Iso 22301

NORMAS
ISO/IEC 22301
2016
Docente: Ing. Manuel Castillo Fernndez
1
Agenda de la Semana
Da
Da 1
1
Introduccin a
a la
la norma
norma ISO
ISO 22301
22301 y
y el
el
Introduccin
inicio
inicio
De un
un SGCN
SGCN
De
Planificar la
la implementacin
implementacin del
del SGCN
SGCN
Planificar
Da
Da 2
2
Da 3
3
Da
Despliegue del
del SGCN
SGCN
Despliegue
Monitoreo del
del SGCN,
SGCN, mejora
mejora contina
contina y
y
Monitoreo
Preparacin para
para la
la auditora
auditora de
de
Preparacin
certificacin
certificacin
Examen final
final
Examen
Capacitacin del Implementador Lder

Certificado en la norma ISO 22301
Seccin 2
Estndar y marco normativo
a.
b.
c.
d.
e.
Qu es la ISO?
Principios fundamentales de la ISO
Normas de sistemas de gestin
Sistema de gestin integrado
Normas de Continuidad del
Negocio
f. ISO 22301 e ISO 27001
g. Ventajas de la ISO 22301
Qu es ISO?
ISO es una red de organismos nacionales de estandarizacin de ms

de 160 pases
Los resultados finales de los trabajos

publicados como normas internacionales
Se han publicado ms de 19000 normas desde 1947
realizados
por ISO son
Principios Bsicos Normas ISO
1.
1. Representacin igualitaria: 1 voto por
pas
2. Adhesin voluntaria: ISO no tiene la
autoridad
PRINCIPI
para forzar la adopcin de sus normas
OS
Bsicos
3. Orientacin al negocio: ISO slo
de desarrolla normas para
existe demanda del mercado
las
Normasa
4. Enfoque de consenso: busca un amplio
ISO consenso entre las
distintas partes interesadas
5. Cooperacin internacional: ms de 160
pases adems de
organismos de enlace
Los Ocho Principios de Gestin de la ISO
Enfoque en el
cliente
Liderazgo
Enfoque del
Sistema para la
gestin
Participacin de
Las personas
Enfoque en los
procesos
Mejora continua
Enfoque basado
en hechos para la
Toma de decisiones
Relaciones
Mutuamente
Beneficiosas con
el proveedor
Normas de Sistemas de Gestin
Normas primarias en las que una organizacin puede estar

certificada
ISO 9001
Calidad
ISO 22000
Sanidad
Alimentaria
OHSAS 18001
ISO 14001
Medioambiente
Salud y
Seguridad en
el trabajo
ISO 22301
ISO 27001
Continuidad
del Negocio
Seguridad de la
Informacin
ISO 20000
Servicios
de TI
ISO 28000
Seguridad de
la Cadena de
Suministro
Sistema de Gestin Integrado

Estructura tpica de las normas ISO
ISO
9001:2008
ISO
14001:2004
ISO
20000:2011
ISO
22301:2012
ISO
27001:2005
5.4.1
4.3.3
4.5.2
6.2
4.2.1
Poltica del sistema

de gestin
5.3
4.2
4.1.2
5.3
4.2.1
Compromiso de la
Direccin
5.1
4.4.1
4.1
5.2
Requisitos de
Documentacin
4.2
4.4
4.3
7.5
4.3
Auditoria interna
8.2.2
4.5.5
4.5.4.2
9.2
Mejora continua
8.5.1
4.5.3
4.5.5
10
Revisin por la
Direccin
5.6
4.6
4.5.4.3
9.3
Requisitos
Objetivos del sistema de

gestin
ISO 22301
Especifica los requisitos de

gestin de un SGCN
Los requisitos (clusulas)
son escritos utilizando el
verbo debern en
imperativo
Integrar el modelo PDCA
(PLAN, DO, CHECK Y Act)
Auditable
La organizacin puede ser
certificada en esta norma
INTERNATIONAL
ISO
STANDARD
22301
_______________________________________________
Societal security- Business continuity
Management Systems Requirements
_________________________________________________
ISO 22301
Contenido
Seccin
1
mbito de aplicacin
Seccin
2
Referencias normativas
Seccin
3
Trminos y definiciones
Seccin
4
Contexto de la organizacin
Seccin
5
Liderazgo
Seccin
6
Planificacin
Seccin
7
Apoyo
Seccin
Funcionamiento
ISO 22313
Gua para el cdigo de

buenas
prcticas
para
implementar, mejorar un
Sistema de Gestin de la
Continuidad de los Negocios
(Documento de referencia).
Clusula escrita utilizando el
verbo debera a fin de
proporcionar orientacin en
materia de aplicacin.
La organizacin no puede
ser certificada en esta
norma
INTERNATIONAL
ISO
STANDARD
22313
_______________________________________________
Societal security-Business continuit
Management Systems Gidance
_________________________________________________
Historia de la norma ISO 22301

1988 2013
2013
2012
2007
2006
2003
2002
1984
1988
Creacin del DRI

Internacional conocido
originalmente como
Disaster Recovery
Institute (Instituto de
Recuperacin ante
Desastres)en los EEUU
Creacin del
Business
Continuity
Institute
(BCI) en el
Reino Unido
Publicacin
de la
norma BS
25999-1
Publicacin de
PAS 56
BCI publica
Guas de
Buenas
Prcticas de la
GCN
Publicac
in de la
norma
BS
25999-2
ISO public
la primera
versin de
la norma
ISO 22301
ISO publica la
primera versin
de la norma ISO
22313
Otras Normas sobre Continuidad del Negocio

Ejemplos
ISO 24762
NIST 800-34
ISO 27031
Norma NFPA
1600
El Contenido y la Relacin entre ISO

22301 e ISO 27001
ISO 27001, A. 14: Gestin de Continuidad del Negocio
A.141 Aspectos de la seguridad de la informacin dela gestin de la continuidad del negocio
Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los
procesos comerciales crticos de los efectos de fallas o desastres importantes o desastres en
los sistemas de informacin y asegurar su reanudacin oportuna
Control
A.14.1.1
Incluir seguridad de l
Informacin en el
proceso de
Gestin de la
continuidad
del negocio
Se debe desarrollar y mantener un proceso gerencial para

la continuidad del negocio a travs de toda la organizacin
para tratar los requerimientos de seguridad de la
informacin necesarios para la continuidad comercial de la
organizacin.
ISO 22301
Requisitos
Continuidad del negocio
4.4 sistema de gestin
8.2 AIN y la Evaluacin de

los riesgo
Control
A.14.1.2
Continuidad del
negocio y
evaluacin del riesgo
Se deben identificar los eventos que causan interrupciones en los

procesos de negocios, junto con la probabilidad de impacto de
dichas interrupciones y sus consecuencias para la seguridad de la
informacin.
Control
A.14.1.3
Desarrollo e
implementar
Planes de continuidad
Incluyendo seguridad
de la
informacin
Se deben desarrollar e implementar planes para mantener o

restaurar las operaciones y asegurar la disponibilidad de la
informacin en el nivel requerido y en las escalas de tiempo
requeridas despus de la interrupcin o falta en los procesos de
negocios crticos.
8.4 Procedimientos de la
continuidad del negocio
6 Planificacin del
SGCN
Control
A.14.1.4
Marco referencial para

la
Planeacin de la
continuidad
Del negocio
Se debe mantener un solo marco referencial del plan de continuidad

de negocio para asegurar que todos los planes sean consistentes y
para tratar consistentemente los requerimientos de la seguridad de
la informacin e identificar las prioridades de pruebas y
mantenimiento.
Control
A.14.4.5
Prueba mantenimiento
8.5
Ejercicio y pruebas
Ejercicio 1
Mitos y Realidades Continuidad del Negocio
Continuidad del Negocio

Ventajas
Previsible y
eficaz respuesta
a las crisis
Proteccin de
las personas
Mantenimiento de
las actividades
esenciales de la
organizacin
Mejor
comprensin de
la organizacin
Reduccin de
costos:
Respeto de las
partes
interesadas
Proteccin dela
reputacin y la
marca
Confianza de
los clientes
Ventaja
competitiva
El cumplimiento
de los requisitos
legales
Cumplimiento
de normativas
Cumplimiento
de los
contratos
Capacitacin del Implementador Lder

Certificado en la norma ISO 22301
Seccin 3
Sistema de Gestin de la Continuidad del Negocio (SGCN)
a.
b.
c.
d.
Definicin de un SGCN
Enfoque en los procesos
Visin general Clusulas 4 a 10
Los componentes claves de un SGCN
Qu es la Continuidad del Negocio?

Proceso impulsado por el negocio que establece un marco
Estratgico y tctico de ajuste a los objetivos que:
Mejora la organizacin pro activa de resistencia contra la interrupcin de su

capacidad de lograr sus objetivos clave
Proporciona un mtodo ensayado para restaurar la capacidad de una

organizacin para garantizar el suministro de sus productos y servicios clave
despus de una interrupcin
Proporciona una capacidad demostrada para gestionar una interrupcin del

negocio y proteger la reputacin de la organizacin y de la marca
Gestin de Continuidad del Negocio

ISO 22301, clusula 3.4:
Proceso de gestin holstico que identifica amenazas potenciales para la
organizacin as como el impacto en las operaciones del negocio que
dichas amenazas, en caso de materializarse, puedan causar, y que
proporciona un marco para aumentar la capacidad de resistencia o
resilencia de la organizacin para dar respuesta eficaz que salvaguarde
los intereses de sus principales partes interesadas, la reputacin, la
marca y las actividades de creacin de valor
Nota:
Nota: El
El sistema
sistema de
de gestin
gestin incluye
incluye la
la estructura,
estructura, las
las polticas,
polticas, las
las
actividades
de
planificacin,
las
responsabilidades,
actividades de planificacin, las responsabilidades,
Las
Las prcticas,
prcticas, los
los procedimientos,
procedimientos,
Los
Los procesos
procesos yy los
los recursos
recursos de
de la
la organizacin
organizacin
Los componentes claves de un SGCN
ISO 22301, Introduccin

Un SGCN, a igual que cualquier otro sistema de gestin,
tiene los siguientes Componentes fundamentales :
1. Una poltica
2. Personas con responsabilidades definidas;
3. Procesos de gestin asociados con:
- Poltica
- Planificacin
- Implementacin y operacin
- Evaluacin del rendimiento
- Revisin por la Direccin
- Mejora
4. Documentacin que provea pruebas
auditables
5. Cualquier proceso de gestin de la
continuidad del negocio pertinente a la
organizacin
El ciclo Planificar Hacer Verificar Actuar (PHVA)

ISO 22301, Introduccin
Establecer
un
SGCN
Actuar
Requerimientos
expectativas
de la
Continuidad del
Negocio
Partes
Interesadas
Planificar
Partes
Interesadas
Hacer
Mantener y
Mejorar el
SGCN
Implement
ar
El SGCN
Supervisar y
Revisar el
SGCN
Verificar
Continuidad del
Negocio
Gestionada
Requisitos generales
ISO 22301
En resumen
La organizacin deber establecer, implementar, mantener y mejorar u SGCN en
conformidad con las necesidades y los requisitos de las partes interesadas
1.Conocimien
to
de la
organizacin
y su entorno
2.
Determinar
las
necesidade
sy
requisitos
3.
Implementar
y
Administrar
un
SGCN
Contexto de la organizacin
ISO 22301, clusula 4
Conocimiento de la
Organizacin y su
entorno
Comprensin de
las
Necesidades y
Expectativas de
las
Partes
interesadas
Determinar el
Alcance del SGCN
Las actividades de la organizacin, las funciones, los servicios,

productos, asociaciones,
cadenas de suministro, las
relaciones con las partes interesadas.
Los vnculos entre la poltica de continuidad del negocio y los
objetivos de la organizacin
y otras polticas
El apetito de la organizacin por el riesgo
Las necesidades de las partes interesadas que son pertinentes
para el SGCN
Los requisitos de estas partes interesadas
Requisitos jurdicos y normativos
La organizacin determinar los limites y la aplicabilidad del

SGCN para establecer su alcance
A la hora de determinas el alcance , la organizacin tendr en
cuenta las cuestiones internas y externas y los requisitos
Liderazgo y Compromiso de la Direccin

ISO 22301, clusula 5.1 y 5.2
Orientacin estratgica
Asegurarse de que el SGCN es compatible
con la orientacin estratgica de la
organizacin
Integrar los requisitos del SGCN en los
procesos de negocio de una organizacin
Hacer que los recursos estn

disponibles
La Direccin deber determinar y
proporcionar los
Recursos necesarios para el SGCN
Comunicacin
Direccin deber comunicar la
importancia de una
buena Gestin
de la Continuidad del Negocio y el
cumplimiento de los procesos del SGCN
Poltica de Continuidad del Negocio

La alta direccin debe establecer una poltica de continuidad del
negocio que:
- Sea apropiada para los fines de la organizacin

- Proporcione un marco para establecer objetivos de continuidad del negocio
- Incluya un compromiso de cumplir los requisitos aplicables
- Incluya un compromiso de mejora continua del SGCN
La poltica del SGCN deber:

-
Estar disponible como informacin documentada

Ser comunicada dentro de todas las partes interesadas, segn corresponda
Ser revisada para su adecuacin continuada a intervalos definidos y cuando se
reduzcan cambios significativos
Funciones, Responsabilidades y Autoridades

La alta direccin deber asegurarse de que las responsabilidades y
autoridades para funciones pertinentes sean asignadas y comunicadas
dentro de la organizacin.
La alta gerencia deber asignar la responsabilidad y autoridad para:

-Garantizar que el sistema de gestin
se ejecuta en conformidad con los
los requisitos de la norma ISO 22301.
-Informar sobre la eficacia de la
gestin a la alta direccin.
Los Objetivos y los Planes para Alcanzarlos

La alta direccin deber asegurarse de que los objetivos de

continuidad del negocio son establecidos y comunicados para las
funciones y los niveles pertinentes dentro de la organizacin
Los objetivos debern:
a) Ser coherentes con la poltica de continuidad del negocio
b) Tomar cuenta del nivel mnimo de los productos y servicios que sea
aceptable para la organizacin para alcanzar sus objetivos
c) Ser mensurables
d) Tener en cuenta los requisitos aplicables
e) Ser monitoreados y actualizados segn proceda
Apoyo
ISO 22301, clusula 7:
La organizacin
deber determinar y
proporcionar
los
recurso necesarios
para el SGCN
Recursos
Compete
ncia
La organizacin
Deber asegurar
Tener personas
Competentes
para realizar las
tareas
relacionadas con
el SGCN
Las personas que realizan

Trabajo en el marco del
Control de a organizacin
Debern ser conscientes
De la poltica de la CN,
Sus funciones en el SGCN
Y los requisitos para la
organizacin
Sensibilizaci
n
El SGCN de la
Organizacin deber
Incluir informacin
Documentada requerida
Por la ISO 22301 y
Registros
para
demostrar
La eficacia del SGCN
Comunicaci
n
La organizacin deber
Establecer, implementar
y mantener mecanismos
De comunicacin con
las partes interesadas
internas y externas
Documenta
cin
Informacin documentada
9. Disposicin
1. Creacin
8. Archivado
7. Uso adecuado
2. Identificacin
3. Clasificacin
6. Distribucin 4. Modificacin
5. Aprobacin
Se debe establecer un procedimiento para gestionar el ciclo de vida de los documentos
Anlisis del impacto en el Negocio y Evaluacin de los Riesgos

ISO 22301, clusula 3.50 y 8.2
Proceso de
anlisis de las
funciones del
negocio y del
efecto que una
interrupcin del
negocio podra
tener sobre
dichas funciones
Anlisis de
Impacto en el
Negocio
Evaluacin
de riesgo
Proceso general
de identificacin,
Anlisis y
Evaluacin de
riesgos
Estrategia de Continuidad del Negocio

ISO 22301, clusula 8.3
La organizacin deber determinar las opciones apropiadas de continuidad
para:
A) Proteger las actividades

prioritarias
C) Mitigar, responder a los

impactos y gestionarlos
B) Estabilizar, continuar,
reanudar y recuperar
actividades prioritarias
Establecer y Aplicar Procedimientos de Continuidad del Negocio

ISO 22301, CLUSULA 8.4.1
La organizacin deber documentar los procedimientos (incluyendo arreglos
necesarios) para garantizar la continuidad de las actividades y la gestin de
un
incidente perjudicial
os
en Cas
a
t
s
e
u
La resp rgencia y la
de Eme de Crisis
n
Gesti
Contingencia
Recuperacin y
Restauracin
Protecci
n
y mitigac
in
Ca
y pac
ita
Co
ci
n
n ncie
nc
iac
i
Generalidades
Generalidades
La
La organizacin
organizacin deber
deber
establecer,
implementar
establecer, implementar yy
mantener
mantener procedimientos
procedimientos de
de
continuidad
continuidad del
del negocio
negocio para
para
gestionar
un
incidente
gestionar un incidente
perjudicial
perjudicial yy continuar
continuar sus
sus
actividades
sobre
la
base
actividades sobre la base de
de
objetivos
objetivos de
de recuperacin
recuperacin
identificados
identificados en
en el
el anlisis
anlisis
del
impacto
en
el
negocio
del impacto en el negocio
Ejercicios y Pruebas
La organizacin
deber ejercitar y
Probar sus
Procedimientos de
Continuidad del negocio
para garantizar que son
Coherentes con sus
Objetivos de
Continuidad del
negocio
Evaluacin del desempeo

1.
2.
Revisin del ejercicio y la

prueba de los procedimientos
de continuidad, despus de los
informes sobre incidentes.
Revisin peridica de la eficacia

del SGCN teniendo en cuenta las
proposiciones y sugerencias de los
interesados.
6.
Revisin de la gestin
y actualizacin de los planes
de continuidad del
Negocio y de los
Procedimientos.
5. Realizacin de las auditorias

internas.
Monitoreo
y revisin
del SGCN
3.
Medicin de la eficacia
de los procedimientos
4. Revisin de las evaluaciones

De riesgo y del AIN.
Nota: Cada una de estas acciones debe ser documentada y registrada.
Mejora
La organizacin deber mejorar continuamente la conveniencia, adecuada

y eficacia del SGCN.
La organizacin puede utilizar los procesos de SGCN como el liderazgo, la

planificacin y la evaluacin del desempeo, para lograr la mejora.
Capacitacin Implementador Lder Certificado en la norma ISO 22 301

Seccin 4
Principios fundamentales de la continuidad del negocio
a.
Continuidad de negocio y recuperacin de desastres
b.
Evento: de un incidente a una emergencia
c.
Organizacin y actividades prioritarias
d.
Procesos y recursos
e.
Probabilidad, consecuencia e Impacto
f.
Interesados (partes interesadas)
g.
Resiliencia
Continuidad del Negocio y Recuperacin ante Desastres

Diferencias
Asegurar que el negocio
Pueda continuar durante
Una emergencia
Los Objetivos son:
En primer lugar, el capital
Humano de la empresa
Entrega de productos o
prestacin de servicios a los
clientes de la empresa
Funciones crticas
del negocio en la empresa
Recuperacin ante
desastres
Recuperar la tecnologa
Lo
ms
rpidamente
posible.
Se incluyen:
Los Datos, el hardware y el
software necesarios para
reanudar las operaciones
Crticas de la empresa
Un plan de recuperacin
ante desastres (DRP) tambin
incluye la elaboracin de
planes para hacer frente a la
inesperada o repentina prdida
de personal clave
En un PCN, es uno de los
aspectos del plan
COMUNICACIONES &
RRPP
SEGURIDAD
RECURSOS HUMANOS
GESTIN DE CRISIS
SALUD Y SEGURIDAD
GESTIN DEL MEDIO

AMBIENTE
GESTIN DE CALIDAD
GESTIN DE LA CADENA DE
SUMINISTRO
ADMINISTRACIN DE
LAS INSTALACIONES
RECUPERACIN DE TI
ANTE DESASTRE
GESTIN ANTE
UNA EMERGENCIA
GESTIN DE RIESGO
Participacin de todos los elementos de la organizacin
La Gestin de Continuidad del Negocio

Est en relacin con:
Evento: de incidente a una Emergencia

Definiciones de las normas ISO 22300, ISO 22301 e ISO 22399
Evento
(ISO 22301, 3.17)
Interrupcin
(ISO 22399. 3.4
Ocurrencia de un conjunto particular de circunstancias.
Evento que pudiera constituir o pudiera redundar en una interrupcin

del negocio, en una prdida, emergencia o crisis.
Incidente
(ISO 22301, 3.19)
Incidente, ya sea previsto (p. ej., un huracn) o imprevisto (por

naturales,
que requieren de atencin urgente y de medidas para
proteger la vida,
los bienes o el medio ambiente.
Crisis
(ISO 22399, 3.3)
Cualquier incidente(s), causado por los humanos o causas naturales,

que requieren de atencin urgente y de medidas para proteger la vida,
los bienes o el medio ambiente.
Desastre
(ISO 22300, 2.
Situacin en la que se han producido amplias prdidas humanas,

materiales, econmicas o ambientales que superaron la capacidad de la
organizacin, la comunidad y la sociedad afectadas para responder y
recuperarse utilizando sus propios recursos.
Emergencia (ISO
22399, 3.6)
Suceso o evento repentino, urgente, generalmente inesperado que

requiere accin inmediata.
Organizacin y Actividades
ISO 22301, CLUSULA 3.1,3.33 y 3.42
Organizacin (3.33)
(3.33)
Organizacin
Persona
Persona oo grupo
grupo de
de personas
personas que
que tiene
tiene sus
sus
propias
propias funciones
funciones con
con
responsabilidades,
responsabilidades,
autoridades
autoridadesyyrelaciones
relaciones para
para lograr
lograrsus
sus objetivos.
objetivos.
Actividad (3.1)
(3.1)
Actividad
Proceso
Proceso oo conjunto
conjunto de
de procesos
procesos acometidos
acometidos por
por
una
una organizacin
organizacin (o
(o en
en su
su nombre)
nombre) que
que producen
producen
oo dan
danapoyo
apoyo aauno
unooo ms
ms productos
productos yyservicios.
servicios.
Actividades Prioritarias
Prioritarias (3.42)
(3.42)
Actividades
Las
Las actividades
actividades aa las
las que
que deben
deben darse
darse prioridad
prioridad
tras
trasun
unincidente
incidente con
con el
el fin
finde
demitigar
mitigarlos
losimpactos.
impactos.
Proceso
Conjunto de actividades mutuamente relacionadas o que interactan, que
transforman elementos de entrada en resultados.
Entrada
Actividades
Salida
Recurso
ISO 22301, CLUSULA 3.47
Recursos
Todos
Todos los
los archivos,
archivos, personal,
personal,
habilidades,
informacin,
habilidades,
informacin,
tecnologa
tecnologa (incluyendo
(incluyendo maquimaquinaria
y
equipos),
locales,
yy
naria y equipos), locales,
suministros
suministros ee informacin
informacin (ya
(ya
sea
electrnica
o
no)
que
una
sea electrnica o no) que una
organizacin
organizacin debe
debe tener
tener dispodisponibles
para
uso,
cuando
nibles para uso, cuando sea
sea
necesario,
para
operar
yy
necesario, para operar
cumplir
cumplir sus
sus objetivos.
objetivos.
Las Personas
Activos
Informacin
Informacin
Locales
Tecnologas
Suministros
Locales
Tecnologas
Suministros
Riesgo
ISO 22301
Riesgo
Riesgo (3.48)
(3.48)
Efecto
Efecto de
de incertidumbre
incertidumbre sobre
sobre los
los objetivos
objetivos
Apetito por
por el
el riesgo
riesgo (3,49)
(3,49)
Apetito
Cantidad
Cantidadde
de riesgo
riesgo que
que una
una organizacin
organizacin est
est
Dispuesta
Dispuesta aa conseguir
conseguiroo conservar
conservar
Evaluacin de
de Riesgo
Riesgo (3.50)
(3.50)
Evaluacin
Proceso
Procesogeneral
generalde
de identificacin,
identificacin, anlisis
anlisis yy
Evaluacin
Evaluacin de
de riesgos.
riesgos.
Gestin del
del riesgo
riesgo (3.51)
(3.51)
Gestin
Actividades
Actividades coordinadas
coordinadas para
para dirigir
dirigiryycontrolar
controlar
Una
Unaorganizacin
organizacincon
con respecto
respecto al
alriesgo
riesgo
R
I
S
K
K
Probabilidad, Consecuencia e Impacto

ISO 22399
Probabilidad
Probabilidad (3.28)
(3.28)
Grado
Grado al
al que
que es
es probable
probable que
que se
se produzca
produzca
un
un evento
evento
Consecuencia
Consecuencia (3.2)
(3.2)
Resultado
Resultado de
de un
un evento
evento
Impacto
Impacto (3.10)
(3.10)
Consecuencia
Consecuencia evaluada
evaluada de
de un
un resultado
resultado en
en
particular
particular
Parte interesada (interesados)

ISO 22301, CLUSULA 3.21:
Persona u organizacin que puede afectar, pueden verse afectados por,
o se consideran afectados por una decisin o actividad
Instituciones
financieras
Proveedores
Consejo de
Administraci
n
Clientes
Grupos
Interesados
Equipo de
Gestin
Organizaci
n
Empleado
s
Regulador
Medios
Sindicatos
Pblico
Accionistas
Resilencia
ISO 22300, clusula 2.1.17
Resilen
cia
Capacidad de adaptacin
de una organizacin en un
ambiente
complejo
y
cambiante
Capacitacin Implementador Lder Certificado en la norma ISO

22301
Seccin 5
Iniciando la implementacin del SGCN
a.
Enfoque para la implementacin del SGCN
b.
Metodologa de implementacin del SGCN
c.
Alimentacin con las mejores prcticas
Requisitos
5.4 Funciones organizativas, responsabilidades y autoridades

La alta gerencia deber asigna la responsabilidad y autoridad para :
Garantizar que el sistema de gestin se establece y ejecuta en
conformidad con los requisitos de esta Norma Internacional
1.1. Iniciando la Implementacin del SGCN

Lista de actividades
Intencin de
Implementar
Intencin
de
un SGCN
Implementar
un SGCN
1.1.1
Definicin del
1.1.1
enfoque para
Definicin
del
la
enfoque
para
implementaci
la
n
implementaci
n
1.1.2.
Seleccin de
un1.1.2.
marco
Seleccin
de
metodolgico
un marco
metodolgico
1.1.3.
Alineacin
Con las
mejores
Prcticas
1.2.
Comprensin
1.2.
De
la
Comprensin
organizacin
De la
organizacin
1.1.1. Definicin del Enfoque de Aplicacin del SGCN

Posibles Enfoques
2. Nivel de madurez de
los Procesos en uso
3. Expectativas
y alcance
1. Velocidad de
implementacin
Enfoque Propuesto
Directrices
1. Enfoque del negocio
Se integra en el contexto de
las actividades comerciales
a travs de la organizacin
2. Enfoque de sistemas
La aplicacin general del
proceso de SGCN, no
mediante al aislamiento de
los procesos
5. Mtodo iterativo
La rpida
Implementacin del
SGCN respetando lo
Requisitos mnimos y
Cambiar a mejora
Continua a partir de
entonces
Directrices
3. Enfoque Sistemtico
4. Enfoque Integrado
Integracin del SGCN o armonizarlo
con los dems requisitos de la
organizacin
Aplicar las mejores

prcticas en gestin de
proyectos
Las Directrices de Aplicacin

Recomendaciones
1.
2.
3.
4.
5.
6.
Evitar la integracin de nuevas tecnologas

Integrar el DGCN en los procesos existentes
Aplicar los principios de mejora continua
Involucrar a los participantes en la organizacin
Obtener el apoyo de la Direccin
Identificar y formalmente nombrar a un Director del proyecto del
SGCN
1.1.2. Elegir un Marco Metodolgico para Gestionar el Proyecto de

Implementacin del SGCN
1. Planificar
2. Hacer
3. Verificar
4. Actuar
1.1. Inicio del

SGCN
1.2 Comprensin
de la organizacin
2.1 Anlisis del

Impacto al Negocio
(AIN)
1.3 Analizar el
sistema existente
2.2 Evaluacin
del negocio
1.4 Alcance
1.5 Liderazgo y
planificacin
2.3 Estrategia de
Continuidad del
Negocio
1.6 Poltica de CN
2.4 Medidas de
Presentacin &
Mitigacin
1.7 Estructura
de la organizacin
2.5 plan y
procedimientos de la
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia &

sensibilizacin
2.7 Ejercicio y
pruebas
3.1 Seguimiento,
medicin, anlisis y
evaluacin
4.1 No conformidades
y accin correctiva
3.2 Auditora interna
3.3 Revisin
por la Direccin
4.2 Mejora continua
Metodologa de Implementacin Integrada para los Sistemas de

Gestin y las Normas (IMS)
Metodologa de PECB para la aplicacin del SGCN
4 FASES
Planificar
Proyecto
Del
SGCN
Hacer
Verificar
Actuar
21 Pasos
101 actividades
Tareas sin definir
Enfoque y Metodologa
Basado en las mejores prcticas
ISO 10006
Directrices para la gestin de
calidad en proyectos
PMBOK
Conjunto de Conocimientos
de la gestin de Proyectos
(PMBOK en idioma ingls
22313
Orientacin para la
Implementacin del
sistema
de gestin de
1.1.3. Alineacin con las Mejores Prcticas

Uso de las normas ISO
ISO
22301
ISO 27031
ISO
24762
ISO 223
01
ISO 22313
ISO 27001 ISO XXXX

X
Ejercicio 2
Las ventajas, los impulsores, las limitaciones de un proyecto de
SGCN
Capacitacin Implementador Lder Certificado en la norma ISO 22301

Seccin 6
Comprensin de la organizacin
a.
b.
c.
d.
Identificacin y anlisis de las partes interesadas
Identificacin y anlisis de los requisitos y expectativas
Definicin preliminar del alcance
1.2. Comprensin de la organizacin
1. Planificar
2. Hacer
3. Verificar
4. Actuar
3.1 Seguimiento,
medicin, anlisis y
evaluacin
4.1 No
conformidades
y accin correctiva
1.1. Inicio del

SGCN
1.2 Comprensin
de la organizacin
2.1 Anlisis del

Impacto al Negocio
(AIN)
1.3 Analizar el
sistema existente
2.2 Evaluacin
del negocio
1.4 Alcance
1.5 Liderazgo y
planificacin
2.3 Estrategia de
Continuidad del
Negocio
1.6 Poltica de CN
2.4 Medidas de
Presentacin &
Mitigacin
1.7 Estructura
de la organizacin
2.5 plan y
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia &

sensibilizacin
2.7 Ejercicio y
pruebas
3.2 Auditora
interna
3.3 Revisin
por la Direccin
4.2 Mejora
continua
Requisitos
Comprensin de la organizacin y su entorno
La organizacin deber determinar las cuestiones internas y externas que son pertinentes a su propsito y que
afectan su capacidad de alcanzar los resultados esperados de su SGCN.
Estos temas se tomarn en cuenta al establecer, implementar y mantener la organizacin del SGCN.
La organizacin deber identificar y documentar lo siguiente:
a) Las actividades de la organizacin, las funciones, los servicios, productos, asociaciones, cadenas de
suministro, las relaciones con las partes interesadas, y el impacto potencial de un incidente perjudicial;
b) Los vnculos entre la poltica de continuidad del negocio y los objetivos de la organizacin y otras polticas
incluyendo su estrategia global de gestin de riesgos.
c) El apetito por el riesgo de la organizacin.
Para establecer el contexto, la organizacin deber:
1) Articular sus objetivos, incluidos los que se ocupan de la continuidad del negocio,
2) Definir los factores internos y externos que crean la incertidumbre que da lugar al riesgo.
3) Establecer criterios de riesgo teniendo en cuenta el apetito por el riesgo, y
4) Definir el objetivo del SGCN.
1.2. Comprensin de la organizacin

1.2 Comprensin de la
organizacin
1.1
1.1 Iniciar
Iniciar el
el
SGCN
SGCN
1.2.1
1.2.1 Misin
Misin
objetivos,
objetivos, valores
valores
estrategias
estrategias
1.2.2
1.2.2 Entorno
Entorno
externo
externo
1.2.3
1.2.3 Entorno
Entorno
interno
interno
1.2.4
1.2.4 proceso
proceso yy
actividades
actividades
1.2.5
1.2.5
Infraestructura
Infraestructura
1.2.6
1.2.6 Partes
Partes
interesadas
interesadas
1.2.7
1.2.7 Requisitos
Requisitos
del
negocio
del negocio
1.2.8
1.2.8 Apetito
Apetito por
por
el
riesgo
y
el riesgo y
criterios
criterios de
de riesgo
riesgo
1.2.9
1.2.9 Alcance
Alcance
Preliminar
Preliminar
1.3
1.3 Anlisis
Anlisis
de
brechas
de brechas
1.4
1.4 Alcance
Alcance
1.2.1. Comprensin de la Misin, Objetivos, Valores y Estrategias
Misin
Misin
Valores
Valores
Estrategias
Alineamient
o
Estratgico
Los
Los
objetivos
objetivos
De
De
Continuidad
Continuidad
del
del Negocio
Negocio
Objetivos
Polticas Corporativas
Polticas de Continuidad
del Negocio
1.2.2. Anlisis del Ambiente Externo
Consejos
Consejos Prcticos
Prcticos
Fortalezas
Debilidades
La
La ISO
ISO 22301
22301 no
no ofrece
ofrece
enfoques
enfoques
prcticos
prcticos
para
para
analizar
analizar el
el contexto
contexto de
de una
una
organizacin
organizacin
Existen
Existen varias
varias metodologas
metodologas
para
para entender
entender
cmo
cmo
funciona
funciona una
una organizacin
organizacin
Oportunidades
Amenazas
Lo
Lo importante
importante es
es identificar
identificar
las
las caractersticas
caractersticas de
de los
los
factores
factores ambientales
ambientales internos
internos
yy externos
externos que
que influyen
influyen en
en la
la
gestin
gestin de
de la
la continuidad
continuidad del
del
negocio:
negocio: misin,
misin, actividades
actividades
principales,
principales,
organizacin
organizacin
interna,
interna, partes
partesinteresadas,
interesadas, ttc.
ttc.
1.2.3. Anlisis del Entorno Interno

Estructura organizativa y actores claves
Comprender
Comprender la
la estructura
estructura yy los
los
principales
actores
de
la
principales actores de
la
organizacin
organizacin relacionados
relacionados con
con
el
el mbito
mbito de
de aplicacin
aplicacin en
en los
los
planos:
planos:
Estratgico
Estratgico (Quin
(Quin
establece
establece las
las orientaciones
orientaciones
estratgicas?)
estratgicas?)
Gobierno
Gobierno (Quin
(Quin
coordina
coordina yy gestiona
gestiona las
las
operaciones?)
operaciones?)
Operacional
Operacional (Quin
(Quin
participa
participa en
en las
las actividades
actividades de
de
produccin
produccin yy apoyo?)
apoyo?)
1.2.4. identificacin de los Principales Procesos y Actividades
1.
3. Activos de
Informacin Claves
Cules son los
Activos de
informacin
Claves de la
Organizacin?
Oferta de Productos
y servicios
Cules son los bienes y

Servicios producidos por
la organizacin?
2. Procesos de
Negocios
Cules so los
Procesos claves que
Permiten a la
Organizacin cumplir
Con su misin?
Nota: En esta etapa, no hay necesidad de esquematizar completamente los procesos

ni
un inventario detallado de activos, sino slo establecer una lista general
1.2.5. Identificacin de la Infraestructura

Infraestructura: Sistema de instalaciones, equipos y servicios
Necesarios para el funcionamiento de una organizacin
Categora
Ejemplos
(Ejemplo)
Sitios
Utilidades
Equipo industrial
Servicio
Transporte
Oficinas, centro de datos, residenciad e los empleados, reas seguras,

Sitio de fabricacin, etc.
Electricidad, gas, aire acondicionado, control de humedad, etc.
Almacenamiento y manejo de equipos, cintas transportadoras, robots
industriales,
Contabilidad, recursos humanos, compras, logstica, etc.
Camiones, automviles, barcazas, ferrocarriles, transporte pblico, etc.
telecomunicaciones
Telfonos, PBX, enrutadores, cables de red, llaves, puentes, etc.
Tecnologa de la
informacin
Servidor, ordenador porttil, red, sistema operativo, software de

contabilidad, etc.
1.2.6. Identificacin y Anlisis de las Partes Interesadas

Anlisis de sus necesidades y expectativas
1. Identificar las
Necesidades y
expectativas
Identificar
Identificar las
las necesidades
necesidades
yy expectativas
expectativas de
de todas
todas las
las
partes
partes interesadas
interesadas
Las
Las necesidades
necesidades yy
expectativas
expectativas puedes
puedes ser
ser
implcitas
implcitas oo explcitas
explcitas
Ejemplo:
Ejemplo: la
la tasa
tasa de
de
disponibilidad
disponibilidad del
del servicio
servicio
del
99,5%
del 99,5%
2. Validar las
necesidades y
expectativa
Analizar
Analizar las
las necesidades
necesidades de
de
seguridad
si
seguridad yy confirmar
confirmar
si
responde
a
las
responde a
las
preocupaciones
de
preocupaciones
de la
la
organizacin
en
este
momento
organizacin en este momento
Se
Se puede
puede hacer
hacer mediante
mediante el
el
envo
de
un
cuestionario,
envo de un cuestionario,
realizando
realizando entrevistas
entrevistas oo
facilitar
facilitar
grupos
grupos de
de enfoque
enfoque
3. Identificar roles y
responsabilidades
Definir
Definir lo
lo que
que se
se espera
espera de
de las
las
diferentes
diferentes partes
partes interesadas
interesadas
en
el
proyecto:
las
en el proyecto: las ff unciones,
unciones,
las
las responsabilidades
responsabilidades yy los
los
niveles
de
participacin
que
niveles de participacin que se
se
necesita
necesita
Establecer
Establecer un
un consenso
consenso con
con
ellos
ellos durante
durante la
la etapa
etapa de
de
planificacin
de
su
planificacin
de
su
participacin
participacin
Partes Interesadas
Influencia positiva y negativa
Partes
Partes interesadas
interesadas negativas
negativas
Por
Por estas,
estas, el
el SGCN
SGCN podra
podra tener
tener un
un impacto
impacto
negativo
negativo
Ejemplo:
Ejemplo: un
un departamento
departamento de
de recursos
recursos humanos
humanos
involucrado
involucrado en
en la
la implementacin
implementacin del
del SGCN
SGCN
sufrir
sufrir una
una pesada
pesada carga
carga con
con la
la documentacin
documentacin
de
de los
los expedientes
expedientes de
de los
los empleados
empleados
Partes
Partes interesadas
interesadas negativas
negativas
Los
Los que
que se
se beneficiaran
beneficiaran del
del SGCN
SGCN
Ejemplo:
Ejemplo: los
los clientes
clientes de
de una
una empresa
empresa de
de
servicios
de
TI
servicios de TI
Nota importante: Las partes interesadas negativas a menudo ponen su inters en primer lugar al momento
de evaluar el riesgo que pudieran experimentar debido a la aplicacin del SGCN
Legal y
Regulatorio
Todas las leyes y
reglamentos con los
debe cumplir la
organizacin
Externos
1.2.7. Identificacin y Anlisis de los Requisitos del Negocio
Obligatorios
Voluntarios
Polticas Internas
Internos
Mercado
Todas las obligaciones
contractuales que la
organizacin ha firmado
con sus partes
interesadas
Estndares
Las normas internacionales
Y cdigos de prcticas
relacionados con el sector,
que son voluntariamente
Implementados por la
organizacin
Todos los requisitos

dentro de la organizacin:
las polticas internas, el
cdigo de tica, normas de
trabajo, etc.
Cumplimiento de los Requisitos Legales
La organizacin debe cumplir con

las leyes y reglamentos aplicables
En la mayora de los pases, la
aplicacin de una norma ISO es una
decisin voluntaria de la organizacin,
no una condicin jurdica
Las organizaciones que operan en
varios lugares a menudo tienen que
satisfacer las necesidades de las
diferentes jurisdicciones
En todos los casos, las leyes tienen
precedencia sobre las normas
22301 a
O
S
I
d
La
utiliza
r
e
s
e
Pued umplir con
Para c leyes y
Varias aciones
riz
regula
Leyes y Reglamentos
Requisitos
Requisitos para
para los
los registros
registros
electrnicos
electrnicos
Requiere
Requiere que
que los
los bancos
bancos tengan
tengan
planes
de
CN
y
RD
para
garantizar
planes de CN y RD para garantizar
el
el funcionamiento
funcionamiento continuo
continuo yy con
con el
el
fin
de
limitar
las
prdidas
fin de limitar las prdidas
Requiere
Requiere que
que los
los planes
planes de
de
Continuidad
del
Negocio
(PCN)
Continuidad del Negocio (PCN) se
se
actualicen
y
prueben
para
actualicen y prueben para
incorporar
incorporar los
los riesgos
riesgos detectados
detectados
Gobierno
Requiere
Requiere plan
plan de
de copia
copia de
de
seguridad
seguridad de
de datos,
datos, plan
plan de
de
recuperacin
ante
desastres
recuperacin ante desastres yy un
un
plan
plan de
de operacin
operacin en
en el
el modo
modo de
de
emergencia
emergencia
Utilidades
Finanzas
Finanzas
Asistencia
sanitaria
Los cuatro sectores de la industria ms afectados
Requiere
Requiere plan
plan de
de copia
copia de
de
seguridad
seguridad de
de datos,
datos, plan
plan de
de
recuperacin
ante
desastres
y
un
recuperacin ante desastres y un
plan
plan de
de operacin
operacin en
en el
el modo
modo de
de
emergencia
emergencia
Requisitos
Requisitos para
para los
los registros
registros
electrnicos
electrnicos
Requiere
Requiere un
un PCN
PCN para
para garantizar
garantizar
que
la
contina
misin
que la contina
misin de
de la
la
agencia
durante
una
crisis
agencia durante una crisis
Se
Se requieren
requieren planes
planes de
de
restauracin
restauracin
de
de emergencia
emergencia como
como condicin
condicin
para
servicios
continuados
para servicios continuados
1.2.8. Determinacin del Apetito por el Riesgo y los Criterios

de Riesgo
ISO 22301, clusula 3.49 y 4.1
80
5. Hambriento
70
Apetito
Apetito por
por el
el Riesgo
Riesgo
Definicin:
Definicin: Cantidad
Cantidad yy tipo
tipo de
de
que
una
organizacin
est
que una organizacin est
dispuesta
dispuesta aa conseguir
conseguir oo conservar
conservar
Es
Es el
el nivel
nivel de
de riesgo
riesgo que
que una
una
organizacin
est
dispuesta
organizacin est dispuesta aa
aceptar,
aceptar, antes
antes de
de que
que la
la accin
accin es
es
considerada
para
considerada necesaria
necesaria
para
reducirlo
reducirlo
Representa
Representa un
un equilibrio
equilibrio entre
entre los
los
beneficios
de
la
beneficios potenciales
potenciales
de
la
innovacin
innovacin yy las
las amenazas
amenazas que
que el
el
cambio
inevitablemente
trae
consigo
cambio inevitablemente trae consigo
60
4. Abierto
50
40
3. Prudente
30
20
10
2. Mnimo
1. Aversin
Ejemplo de escala de apetito

por el riesgo
Criterios de Riesgo
ISO 22301, clusula 4.1 y la norma ISO 31000, clusula 5.3.5
1 Evaluacin de riesgo
Criterio
s
2 Impactos
3 Aceptacin del riesgo
Nota: Este paso slo consiste en definir los criterios bsicos para la gestin del riesgo. Los criterios detallados
se definirn durante la evaluacin del riesgo.
1.2.9. Definicin Preliminar del Alcance

El alcance preliminar del SGCN debera incluir:
Las principales caractersticas dela organizacin
Procesos de negocio que podran estar dentro del mbito
Lista de los productos y servicios y todas las actividades relacionadas dentro del mbito
del aplicacin propuesto
Lista de ubicaciones geogrficas en las que se aplicara el SGCN
Una descripcin de cmo el/las rea(s) en el mbito de aplicacin interactan con otros
sistemas de gestin (e. g. ISO 9001, ISO 27001, ISO 28000)
Ejercicio 3

Seccin 7
Anlisis del sistema de gestin existente
a. Recopilacin de la Informacin
b. Realizacin de una Entrevista
c. Anlisis de Brechas
1.3. Anlisis del Sistema de Gestin Existente
1. Planificar
2. Hacer
3. Verificar
4. Actuar
1.1. Inicio del

SGCN
1.2 Comprensin
de la organizacin
2.1 Anlisis del

Impacto al Negocio
(AIN)
1.3 Analizar el
sistema existente
2.2 Evaluacin
del negocio
1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.7 Estructura
de la organizacin
2.3 Estrategia de
Continuidad del
Negocio
3.1 Seguimiento,
medicin, anlisis y
evaluacin
3.2 Auditora
interna
2.4 Medidas de
Presentacin &
Mitigacin
2.5 plan y
Hacer
Hacer
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia &

sensibilizacin
2.7 Ejercicio y
pruebas
4.1 No
conformidades
y accin correctiva
3.3 Revisin
por la Direccin
4.2 Mejora
continua
Lista de las actividades

Anlisis del sistema de gestin existente
1.2
1.2 Comprensin
Comprensin
de
la
de la organizacin
organizacin
1.4 Liderazgo y
planificacin
1.4 Liderazgo y
planificacin
1.3.1
1.3.1 Recoleccin
Recoleccin
de
informacin
de informacin
1.3.2
1.3.2 Anlisis
Anlisis
de
brechas
de brechas
1.3.3.
1.3.3. Objetivos
Objetivos ee
informe
informe del
del anlisis
anlisis
de
brechas
de brechas
1.3.1. Recopilacin de la Informacin

Tcnicas
Cuestionarios
Cuestionarios
Encuestas
Encuestas
Entrevistas
Entrevistas
Revisin de la
documentacin
Revisin de la
documentacin
El envo de cuestionarios a una muestra de personas que representan

a las partes interesadas
Las entrevistas con personas la claves en diferentes niveles jerrquicos

dentro de la organizacin
Lectura y anlisis de la documentacin pertinente, las polticas internas,

procedimientos, informes de auditoras previas, dictmenes jurdicos,
contratos, etc.
Entrevista Individual y Grupal

Las entrevistas individuales sueles
Proporcionar informacin
ms
precisa y detallada y permiten tener
una evaluacin del riesgo ms
correcta
Individual
Individual
Entrevista
Entrevista
Grupal
Grupal
Las entrevistas grupales son efectivas

para comprender rpidamente las
operaciones de un proceso desde
perspectiva global
Realizacin de una Entrevista
Utilice
Utilice preguntas
preguntas abiertas
abiertas yy evite
evite las
las preguntas
preguntas cerradas
cerradas oo guiadas
guiadas
A
Asegrese
segrese de
de cubrir
cubrir todos
todos los
los temas,
temas, mientras
mientras controla
controla el
el tiempo
tiempo
Tome
Tome notas
notas durante
durante la
la entrevista
entrevista
Realice
Realice preguntas
preguntas para
para clarificar
clarificar una
una respuesta
respuesta oo situacin
situacin
1.3.2. Anlisis de Brechas
Anlisis de Brechas
Tcnica
Tcnica para
para determinar
determinar los
los pasos
pasos para
para
pasar
pasar de
de la
la situacin
situacin actual
actual aa un
un estado
estado
futuro
futuro deseado.
deseado.
1.
1. Comparacin
Comparacin del
del rendimiento
rendimiento actual
actual
del
del sistema
sistema de
de continuidad
continuidad del
del
negocio
negocio con
con los
los requisitos
requisitos de
de la
la ISO
ISO
22301
22301
2.
Identificacin
2. Identificacin de
de las
las necesidades
necesidades de
de
mejora
mejora
3.
3. Bases
Bases para
para la
la elaboracin
elaboracin del
del plan
plan
del
del proyecto
proyecto del
del SGCN
SGCN
Determinar el Estado Actual

El anlisis de brechas y el nivel de madurez
Las preguntas tpicas:
1.
El proceso est presente en la organizacin? Est estandarizado?
2. Es el proceso seguido por los usuarios relevantes?

3. Est el proceso documentado? Cmo?
4. hay un responsable designado para la eficacia del proceso? Estn
determinadas las funciones y responsabilidades?
5. Se ha comunicado a todas las personas en cuestin? Por quin? Hay
capacitacin disponible?
6. El proceso est controlado Cmo lo est? Medido?
7. El proceso est automatizado? Se utilizan herramientas?
8. Existe un proceso para actualizar el proceso?
9. El rendimiento del proceso se compara con las prcticas de la industria?
1.3.3. Establecimiento de Objetivos y la Publicacin de un Informe de

Anlisis de Brechas
0
No existe
1
Inicial
1
Gestionado
Definido
Inicial
4
Gestionado
4
cuantitativamente
Gestionado
cuantitativamente
Situacin actual
Objetivo
5
Optimizado
Establecimiento de Objetivos
El anlisis de brechas y el nivel de madurez
Usted puede fijar las metas para los procesos
segn el nivel de madurez
Procesos
optimizados
Procesos
monitoreados y
medidos
Los procesos estn
documentados
y comunicados
No hay procesos
estndar
vigentes
Ausencia total de
Procesos
identificables
0.
Inexistentes
Hay implementacin
de proceso caso
por caso sin ningn
mtodo
1.
Inciales
2.
Gestionadas
3.
Definidos
4.
Cuantitativa
Mente
gestionados
5.
Optimizados

Seccin 8
Alcance del SGCN
a. Lmites de la organizacin
b. Los lmites de las lneas de negocio
c. Lmites Fsicos
d. mbito de aplicacin
1.4. Alcance del SGCN
1. Planificar
2. Hacer
3. Verificar
4. Actuar
1.1. Inicio del

SGCN
1.2 Comprensin
de la organizacin
2.1 Anlisis del Impacto

en el Negocio (AIN)
1.3 Analizar el
sistema existente
2.2 Evaluacin
del negocio
nn1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.7 Estructura
de la organizacin
3.1 Seguimiento,
medicin, anlisis y
evaluacin
4.1 No
conformidades
y accin correctiva
2.3 Estrategia de
Continuidad del
Negocio
2.4 Medidas de
Presentacin &
Mitigacin
3.2 Auditora
interna
4.2 Mejora
continua
2.5 plan y
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia &

sensibilizacin
2.7 Ejercicio y
pruebas
3.3 Revisin
por la Direccin
Requisitos
Alcance del SGCN
La organizacin deber:
a)
b)
c)
d)
e)
Establecer las partes de la organizacin que se incluirn en el SGCN

Establecer requisitos del SGCN, considerando la misin de la organizacin, los objetivos, las
obligaciones internas y externas (incluidas las relativas a las partes interesadas), y las
responsabilidades legales y reglamentarias.
Identificar los productos y servicios y todas las actividades relacionadas en el mbito de
aplicacin del SGCN.
Tener en cuenta las necesidades de las partes interesadas y los intereses, por ejemplo, con
clientes, inversores, accionistas, la cadena de suministro, el pblico y/o comunidad y sus
necesidades, expectativas e intereses (segn corresponda), y
Definir el alcance del SGCN en trminos de y adecuado al tamao, la naturaleza y el grado
de complejidad de la organizacin.
En la definicin del alcance, la organizacin deber documentar y explicar las exclusiones: tales
exclusiones
no afectarn a ala capacidad y la responsabilidad de la organizacin para ofrecer
la continuidad de la
empresa y las operaciones que cumplen los requisitos del SGCN, segn determinado
por el anlisis de
impacto en el negocio o la evaluacin del riesgo y los requisitos legales o los reglamentos
aplicables.
mbito de la aplicacin
Importancia
Una clara definicin del alcance, centrndose en actividades
clave de la
organizacin, es un factor de xito importante para la implementacin del SGCN.
Esto har que sea ms fcil:
1. Conseguir el apoyo de la direccin
2. Movilizar a los interesados por el proyecto
3. Justificar un valor agregado a las partes interesadas
Nota
Nota importante:
importante: la
la extensin
extensin del
del mbito
mbito de
de aplicacin
aplicacin
es
es el
el primer
primer factor
factor que
que determina
determina la
la cantidad
cantidad
de
de esfuerzo
esfuerzo requerido
requerido por
por el
el proyecto.
proyecto.
1.4. mbito de Aplicacin del SGCN

1.2
1.2 Comprensin
Comprensin
de
la
de la organizacin
organizacin
1.4.3 Los lmites

fsicos
1.4.3 Los lmites
fsicos
1.3
1.3 Analiza
Analiza el
el
Sistema
existente
Sistema existente
1.4.4 mbito
de aplicacin
1.4.4 mbito
de aplicacin
1.4.1
1.4.1 Lmites
Lmites
Organizacionales
Organizacionales
1.5 Liderazgo &

planificacin
1.5 Liderazgo &
planificacin
1.4.2
1.4.2 Lmites
Lmites de
de las
las
Lneas
de
negocio
Lneas de negocio
1.6 Poltica
de CN
1.6 Poltica
de CN
Lmites del SGCN
i on
ac
La
sl
ne
al
as
fs
i
ni z
ga
Or
ca
s
Las 3 dimensiones a considerar
del negocio
1.4.1 Definiendo los Lmites Organizacionales del Alcance
Un proceso clave
Un departamento
La organizacin
como un todo
La organizacin y sus
partes interesadas
Nota: Donde una parte de una

organizacin, queda excluida del mbito
de aplicacin de su SGCN, la
organizacin debera documentar y
explicar la exclusin
1.4.2. Definir los Lmites de las Lneas de Negocio del mbito de

Aplicacin
La organizacin debe identificar los productos y servicios en el mbito

Ejemplo:
Un hospital podra incluir slo los servicios de emergencia en el
mbito de aplicacin
La oficina de correos podra incluir todos los servicios en el
mbito de aplicacin con la exclusin de la entrega de paquetes/
encomiendas
Una fbrica podra mantener slo la produccin de un producto.
Etc.
1.4.3. Definir las Fronteras Fsicas del mbito de Aplicacin

Deberan tomarse en cuenta todos lo lugares fsicos, tanto internos como
externos incluidos en el SGCN
Los sitios incluyen todos los lugares dentro del alcance o dentro de parte del
alcance y los medios fsicos necesarios para que funcionen
En el caso de los sitios fsicos subcontratados, tienen que ser consideradas las
interfaces con el SGCN y los acuerdos de servicios aplicables
1.4.4. Definir el mbito de Aplicacin del SGCN
El documento de definicin del mbito de aplicacin debera incluir:

1. Las principales caractersticas de la organizacin
2. Los procesos de negocios cubiertos por el SGCN
3. La lista de productos y servicios y todas las actividades relacionadas en el
mbito de aplicacin del SGCN
4. La lista de los principales recursos (sistemas de Informacin, instalaciones, etc.)
5. La lista de ubicaciones geogrficas
6. Los detalles y motivos para las exclusiones
Declaracin del mbito de Aplicacin

Ejemplo
La declaracin del alcance es pblica y, en general, est disponible en el
sitio web del organismo de certificacin que haya expedido el certificado

Esta declaracin resumida estar escrita en el certificado. Deber ser:
1. Tan simple como sea posible
2. Comprensible para alguien externo a la organizacin
3. Lo suficientemente precisa para expresar lo que est cubierto
por
la certificacin
Ejemplo:
Ejemplo: Este
Este sistema
sistema de
de gestin
gestin de
de la
la continuidad
continuidad del
del negocio
negocio
Se
Se aplica
aplica al
al centro
centro de
de distribucin
distribucin global
global proveyendo
proveyendo
Servicios
Servicios de
de tercerizacin
tercerizacin yy contacto
contacto con
con el
el cliente
cliente
Y
Y externalizacin
externalizacin de
de ABC
ABC S.A.
S.A.
Cambios en el mbito de Aplicacin
Cualquier cambio en el
alcance debe ser evaluado,
aprobado y documentado
Extensin del mbito de Aplicacin

Varias empresas auditadas prefieren definir un alcance reducido para una
certificacin inicial y complementar una solicitud de extensin en los aos
siguientes
La auditora de extensin se puede realizar durante una auditora de control
Si no se concede la certificacin de extensin, la organizacin no pierde su

certificado actual
Ejercicio 4
Definicin del mbito de aplicacin
Da 2
Implementador Lder
Certificado en la ISO 22031
Capacitacin Implementador Lder ISO 22301

Seccin 9
Liderazgo y planificacin
a.
b.
c.
d.
e.
f.
Caso de negocios del SGCN

Equipo del proyecto
Objetivos del SGCN
Plan del proyecto
Plan de comunicacin para el proyecto SGCN
Aprobacin de la Direccin
1.5. Liderazgo y Planificacin
1.
1. Planificar
Planificar
2. Hacer
3. Verificar
4. Actuar
1.1. Iniciar el SGCN

1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin

en el Negocio (AIN)
2.2 Evaluacin
del riesgo
4.1 No
conformidades
y accin correctiva
2.3 Estrategia de la
Continuidad del
Negocio
Negocio
Negocio
1.6 Poltica de CN
2.4 Medidas de
Proteccin &
Mitigacin
1.7 Estructura
organizativa
2.5 Plan y
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.1 Supervisin,
medicin, anlisis y
evaluacin
2.7 Ejercicio y
pruebas
3.2 Auditora
interna
3.3 Revisin
por la Direccin
4.2 Mejora
continua
Requisitos
Norma ISO 22301, clusula 5.1. 7.1 y 8.3.2
5.1 Liderazgo y compromiso
Las personas en los niveles superiores de la administracin y otras en funciones de gestin en toda
la organizacin bebern demostrar liderazgo con respecto al SGCN.
5.2 Compromiso de la Direccin

La alta direccin deber demostrar su liderazgo y compromiso con respecto al SGCN a travs de :
- Asegurar que sean establecidos polticas y objetivos, para el sistema de gestin de la
- continuidad del negocio y que sean compatibles con la direccin estratgica de la organizacin.
Asegurar que estn disponibles los recursos necesarios para la continuidad del negocio
- Comunicar la importancia de
una buena gestin de la continuidad del negocio y de
conformidad con los requisitos del SGCN
- Asegurar que el SGCN logre el resultado (s) esperados(s)
- Dirigir y apoyar a las personas a contribuir a la eficacia del SGCN
- Promover la mejora continua: y
- Apoyar a otras funciones de gestin pertinentes para demostrar su liderazgo y compromiso
en lo que aplica sus reas de responsabilidad
7.1 Recursos
La organizacin deber determinar y proporcionar los recursos necesarios para el SGCN
1.5. Liderazgo y Planificacin

1.4 Alcance
(mbito de aplicacin)
del SGCN
1.5.1
1.5.1 Caso
Caso de
de
negocio
negocio
1.5.2
1.5.2 equipo
equipo de
de
proyecto
proyecto del
del SGCN
SGCN
1.5.5 Plan del

proyecto del SGCN
1.5.5 Plan del
proyecto del SGCN
1.5.6 Plan de
comunicacin
1.5.6 Plan de
comunicacin
1.5.3
1.5.3
Determinacin
Determinacin
de
de los
los objetivos
objetivos
1.5.7 Aprobacin
Por la Direccin
1.5.7 Aprobacin
Por la Direccin
1.5.4
1.5.4 Requisitos
Requisitos
de
de los
los recursos
recursos
1.6 Poltica de CN
1.6 Poltica de CN
1.5.1. Crear y Presentar un Caso de Negocio

Un caso de negocio es:
1. Una herramienta de apoyo de
apoyo de la Direccin para la
toma de decisiones
2.
Un documento que se utiliza

para promover el proyecto
del SGCN
3.
Una primera estructuracin

del proyecto
Contenido del Caso de Negocios

PMBOK
1.
Medioambiente
2. Finalidad y
objetivos
3. Resumen
Del proyecto
4. Beneficios
esperados
5. Alcance
preliminar
6. Factores
Crticos de xito
7. Anteproyecto
8. Plazos e
hitos
9. Funciones y
Responsabilidades
10. Recursos
necesarios
11. Presupuesto
12. Restricciones
Nota: El contenido sobre gestin de proyectos en esta seccin se basa en PMBOK

pero otros marcos como el Prince 2 son equivalentes
1.5.2. Establecer el Equipo del Proyecto del SGCN
Defensor
Del
Proyecto
Del SGCN
Gerente
del SGCN
Director
del proyecto
Equipo de Gestin del
Proyecto
Equipo del Proyecto

Partes Interesadas
Director del Proyecto SGCN

Competencias requeridas
El director del proyecto SGCN debe tener los conocimientos y habilidades en las
siguientes reas:
1. Conocimiento y habilidades en Gestin de Proyectos
2. Conocimiento de la organizacin y su entorno
3. Conocimiento de gestin de la continuidad del negocio
4. Habilidades interpersonales (comunicacin efectiva,
negacin, resolucin de problemas,
habilidades de liderazgo, etc..)
Comit Directivo
Durante el proyecto SGCN
Objetivo
Asegurar la planificacin y el seguimiento del SGCN
Misiones
1. Planificar la implementacin del SGCN

2. Definir el proyecto de SGCN en consonancia con los objetivos establecidos
por la Direccin
3. Definir las funciones y responsabilidades para el proyecto SGCN
4. Definir las funciones y responsabilidades relacionadas con las operaciones
y el mantenimiento del SGCN (despus de la aplicacin)
5. Seleccionar el mtodo de anlisis de riesgo y el AIN
6. Gestionar los recursos
7. Realizar revisiones de los proyectos de la aplicacin del SGCN
Miembros
Director del Proyecto SGCN, responsables de los servicios claves que

participan en los siguientes dominios de aplicacin (TI, auditora, legales,
finanzas, recursos humanos, seguridad fsica etc.)
Frecuencia de las
reuniones
Mensuales
1.5.3. Determinacin de los objetivos del SGCN

ISO 22301, clusula 3.32 y 6.2
Determinar los objetivos
1
Una mayor flexibilidad
(resilencia) de la
Empresa
Puede el SGCN mejorar
la resilencia de la
organizacin en caso de
un incidente perjudicial?
3
2
Gestin de continuidad
del negocio eficiente
Puede el SGCN
mejorar la eficacia de la
gestin de continuidad
del negocio?
Ventaja del negocio

L a implementacin de
un SGCN puede
proporcionar ventajas
competitivas
Determinar los Objetivos

Ejemplos
Los objetivos relacionados con la aplicacin del SGCN pueden ser:
Velar por el cumplimiento de las obligaciones legales, reglamentarias y
contractuales de la organizacin
Demostrar la debida diligencia y el cuidado debido de la gestin
Inspirar confianza de las partes interesadas de la organizacin
Proteger la disponibilidad de las actividades fundamentales de la organizacin
Asegurar la gestin eficaz de continuidad del negocio de acuerdo a las mejores
prcticas
Mejorar el tiempo de respuesta a incidentes y desastres
Velar por el cumplimiento de la Continuidad del Negocio para un proyecto, la
entrega de un servicio o producto, etc.
1.5.4. Determinacin de los Requisitos de Recursos para el

Proyecto SGCN
Los recursos son los medios que se utilizan para alcanzar los objetivos
del proyecto
El recurso principal es evidentemente, las personas con habilidades y
competencias aplicables
El resto de las principales agrupaciones de recursos que se necesitan
son el capital, las
instalaciones, los equipos, los materiales y la
informacin
Generalmente hay un desfase entre el tope de la inversin de un proyecto
y las demandas del proyecto
1.5.5. Elaboracin del Plan del Proyecto SGCN

PMBOK
Un mtodo iterativo
Recursos
Costos
Contenido
Del
Proyecto
Plan del
proyecto
Retrasos
Riesgos
Contenido del plan del proyecto SGCN

PMBOK
Un plan de proyecto incluye lo siguiente:
1. Carta del Proyecto
2. Descripcin del enfoque o estrategia de gestin de proyectos
3. Formulacin del contenido del proyecto, con resultados y objetivos del
proyecto
4. Estructura Detallada de Trabajo del proyecto (estructura WBS)
5. Costos estimados, fecha de inicio prevista, y la asignacin de
responsabilidad
6. Referencias; medicin de costos y el tiempo de funcionamiento
7. Hitos principales con su fecha provisional
8. Personal clave o necesario
9. Riesgos claves, con las limitaciones y supuestos, y las respuestas
propuestas
10. Problemas corrientes y decisiones pendientes
Revisin y Presentacin del Plan del Proyecto SGCN

PMBOK
Revisin
Revisin de
de los
los objetivos
objetivos del
del proyecto
proyecto yy los
los factores
factores de
de xito
xito
Revisar
Revisar el
el mtodo
mtodo propuesto
propuesto
Destacar
Destacar los
los riesgos
riesgos ee incertidumbres
incertidumbres inherentes
inherentes en
en el
el proyecto
proyecto
Estimacin
Estimacin de
de los
los recursos
recursos internos
internos necesarios
necesarios
Definicin
Definicin de
de la
la planificacin
planificacin yy sucesivas
sucesivas fases
fases de
de ejecucin
ejecucin
Revisin
Revisin de
de las
las presentaciones
presentaciones que
que deben
deben proveerse
proveerse
Revisin
Revisin de
de las
las funciones
funciones
Revisin
Revisin de
de los
los documentos
documentos del
del proyecto
proyecto
Definicin
Definicin de
de la
la frecuencia
frecuencia yy el
el contenido
contenido de
de las
las reuniones
reuniones de
de progreso
progreso
1.5.6. Plan de Comunicacin para el Proyecto SGCN

Norma ISO 22301, clusula 7.4
Cuando se establece el SGCN, la organizacin necesita tener comunicacin

efectiva y procedimientos de consulta para el intercambio de informacin con
las partes interesadas
La organizacin debera disponer de una comunicacin eficaz como parte de

su programa de sensibilizacin
El plan de comunicacin ser detallado en el Da 3
1.5.7. Aprobacin por la Direccin del Proyecto SGCN

Mayor
Mayor conocimiento
conocimiento de
de las
las leyes
leyes
ptima
asignacin
de
recursos
ptima asignacin de recursos
Identificacin
Identificacin de
de los
los activos
activos crticos
crticos
Procesos
y
plan
de
la
continuidad
Procesos y plan de la continuidad
del
del negocio
negocio controlados
controlados yy medidos
medidos
SGCN
Ap
r
La oba
Di ci
re n
cc po
i r
n
Beneficios
Beneficios Claves
Claves del
del
Compromiso
Compromiso de
de la
la Direccin
Direccin
Funciones de la Direccin
Durante el proyecto SGCN
Objetivo
Alinear el SGCN con los objetivos y estrategia de negocio
Misiones
1. Asegurarse de que el SGCN es compatible con la direccin estratgica de la

organizacin
2. Garantizar el cumplimiento de las leyes, reglamentos y requisitos contractuales
3. Validar las funciones y responsabilidades de las principales partes interesadas en el
proyecto
4. Aprobar la continuidad de las actividades el AIN y el resultado de la evaluacin del
riesgo
5. Comunicar la importancia de una buena gestin de la continuidad del negocio y en
conformidad con los requisitos SGCN
6. Proveer de recursos suficientes para la implementacin del SGCN
7. Asegurar que se llevan a cabo auditorias internas
8. Hacer revisin del SGCN por la direccin
9. Prestar apoyo al mejoramiento del SGCN
Miembros
Alta Direccin (CEO, CIO, CFO)
Frecuencia de
las reuniones
Algunas de las reuniones de los hitos de este proyecto: reunin de lanzamiento, anlisis
de riesgo e informe del AIN, revisin por la direccin, etc.
Ejercicio 5
Roles y responsabilidades de las partes interesadas

Seccin 10
Poltica de la continuidad del negocio
a. Crear modelos de poltica
b. Proceso de redaccin de poltica
c. Aprobacin por la Direccin
d. Publicacin
e. Capacitacin, comunicacin y sensibilizacin
f.
Control, evaluacin y revisin
1.6. Poltica de la Continuidad del Negocio
1.
1. Planificar
Planificar
2. Hacer
3.
3. Verificar
Verificar
4.
4. Actuar
Actuar

1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.7 Estructura
organizativa

en el Negocio (AIN)
2.2 Evaluacin
del riesgo
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.1 No
conformidades
y accin correctiva
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
3.2 Auditora
interna
4.2 Mejora
continua
2.5 Plan y
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
2.7 Ejercicio y pruebas
3.3 Revisin
por la Direccin
Requisitos
Poltica
La alta direccin deber establecer una poltica de continuidad del negocio que:
a) Sea apropiada para los fines de la organizacin
b) Proporciones un marco para establecer objetivos de continuidad del negocio
c) Incluya un compromiso de cumplir los requisitos aplicables
d) Incluya un compromiso de mejora continua del SGCN
La poltica del SGCN deber:
-) Estar disponible como informacin documentada
-) Ser comunicada dentro de la organizacin
-) Estar a disposicin de todas las partes interesadas, segn corresponda
-) Ser revisada para su adecuacin continuada a intervalos definidos y cuando se
produzcan cambios significativos
La organizacin deber retener informacin
De continuidad del negocio.
documentada sobre la
poltica
Definicin de Poltica de la Continuidad del Negocio

Las intenciones generales y la direccin de la organizacin, relacionadas con su
preparacin ante incidencias y continuidad operacional, tal y como ha sido
expresado por la alta direccin
1.6. Poltica de la Continuidad del Negocio

1.6 Poltica de C. N.
1.5 Liderazgo &
planificacin
1.6.4 Publicacin
1.6.4 Publicacin
1.6.1
1.6.1 Proceso
Proceso de
de
redaccin
redaccin de
de la
la
Poltica
Poltica
1.6.2
1.6.2 Redaccin
Redaccin de
de
la
la Poltica
Poltica
1.6.5 Capacitacin,
comunicacin y
1.6.5
Capacitacin,
sensibilizacin
comunicacin y
sensibilizacin
1.6.6 Control,
evaluacin y
1.6.6
Control,
revisin
evaluacin y
revisin
1.6.3
1.6.3 Aprobacin
Aprobacin
por
por la
la Direccin
Direccin
1.7 Estructura
organizativa
1.7 Estructura
organizativa
1.6.1. Definicin del Proceso de Redaccin de la Poltica

Proceso General
1.
Designar una
1.
Persona
Designar una
Responsable
Persona
Responsable
2.
Definir los
2.
componentes
Definir los
de la poltica
componentes
de la poltica
3.
Redactar
3.
las
Redactar
Secciones
las
Secciones
4.
Validacin
4.
de los
Validacin
contenidos y
de los
el formato
contenidos y
el formato
5.
Aprobacin
5.
por las
Aprobacin
Partes
por las
Interesadas
Partes
Interesadas
Es importante asegurar el apoyo a y la comprensin de una poltica antes de su publicacin
1.6.2. Redaccin de la Poltica de Continuidad del Negocio

Temas que suelen incluirse en la poltica
1. Un marco que permite definir objetivos y establecer una direccin y directrices
de poltica para la gestin de Continuidad del Negocio
2. Una consideracin de las obligaciones legales y reglamentarias impuestas a la
organizacin, as como otros compromisos
3. La alineacin de la gestin de continuidad del negocio con los objetivos
estratgicos de la organizacin
4. Atribucin de las funciones y responsabilidades
5. Aprobacin oficial de los anteriores por la Direccin
1.6.3. Aprobacin por la Direccin
La poltica del SGCN debe:

Demostrar el compromiso de la direccin
Ser aprobada por la Direccin
La poltica debe ser firmada por una persona (a menudo el director general),
pero el proceso de aprobacin puede pertenecer a un comit:
Junto de Directores
Consejo de Administracin
1.6.4. Publicacin de la Poltica de Continuidad del Negocio

Principales modos de comunicacin
Intranet
Distribucin de
Copias en papel
Reunin
Sesin de orientacin
de nuevos empleados
1.6.5. Capacitacin, Comunicacin y Sensibilizacin

Plan
Plan de
de comunicacin
comunicacin
Pblico
Pblico de
de destino
destino
Difusin
Difusin (reuniones,
(reuniones, intranet,
intranet,
extranet,
documentos)
extranet, documentos)
Comunicacin
Proceso
recurrente
Sensibilizacin
No
Capacitacin
Objetivo
alcanzado?
Si
Control, evaluacin y revisin
Nota: Esta temtica se

discutir durante el
Da 3
1.6.6. Control, Evaluacin y Revisin
Asegurar
Revisin
Control
conformidad
Evaluacin
Mantener
Medir el grado de
conformidad
Capacitacin Implementador Lder en la ISO 22301

Seccin 11
Estructura Organizativa
a. Estructura de gestin
b. Estructura Orgnica para la gestin de la continuidad del
negocio
c. Designacin de un coordinacin de la continuidad del negocio
d. Roles y responsabilidades de las partes interesadas
e. Roles y responsabilidades de los comits clave
f.
Equipos de la continuidad del negocio
g. Proceso de decisin y de control
1.7. Estructura Organizativa
1.
1. Planificar
Planificar
2.
2. Hace
Hace
3.
3. Verificar
Verificar
1.2 Comprensin
de la organizacin

en el Negocio (AIN)
1.3 Analizar el
sistema existente
2.2 Evaluacin
del riesgo
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.
4. Actuar
Actuar
1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
3.2 Auditora
interna
2.5 Plan y
2.6 Comunicacin
2.7 Ejercicio y
pruebas
4.1 No
conformidades
y accin correctiva
3.3 Revisin
por la Direccin
4.2 Mejora
continua
Requisitos
Funciones, responsabilidades y autoridades organizativas
La alta direccin deber asegurarse de que las responsabilidades y autoridades
para funciones pertinentes sean asignadas y comunicadas dentro de la
organizacin.
La alta gerencia deber asignar la responsabilidad y autoridad para :
a) Garantizar que el sistema de gestin se establece y ejecuta en conformidad
con los requisitos de esta Norma Internacional; e
b) Informar sobre la eficacia de la gestin del SGCN a la alta direccin
Estructura organizativa
Principios
Para ser eficaz, un programa de continuidad empresarial debera ser un

proceso integrado de gestin impulsado desde las altas esferas de la
organizacin, apoyado y promovido por los principales directores y
ejecutivos
Debera ser administrado en los niveles operativos y de la organizacin
Puede requerirse una serie de profesionales y personal de otras disciplinas

relacionadas con la gestin y los servicios necesarios para apoyar y gestionar
el programa
La continuidad de recursos necesarios, depender del tamao y la diversidad

de la organizacin
1.7. Estructura Organizativa

1.7 Estructura organizativa
1.6 Poltica de
continuidad
del negocio
1.7.4 Roles y
Responsabilidades
1.7.4
y
de
los Roles
comits
Responsabilidades
principales
de los comits
principales
1.7.1
1.7.1 Estructura
Estructura
de
de gobierno
gobierno yy
organizacin
organizacin
1.7.2
1.7.2 Coordinador
Coordinador
de
de la
la continuidad
continuidad
del
del negocio
negocio
1.7.5 Equipos de la
continuidad
1.7.5del
Equipos
negociode la
continuidad
del negocio
1.7.6 Proceso de
decisin y control
1.7.6 Proceso de
decisin y control
1.7.3
1.7.3 Roles
Roles yy
Responsabilidades
Responsabilidades
de
de las
las partes
partes
interesadas
interesadas
1.8 Informacin
documentada
1.8 Informacin
documentada
1.7.1. Definicin de la Gestin de Gobierno y de la Estructura

Orgnica para la Gestin de Continuidad del Negocio
Estructura de gobierno
Junta de
Directores
Comit de Crisis
Comit de
Continuidad del
negocio
CEO
Operaciones
Operaciones
Recursos
humanos
Recursos
humanos
Auditora
Interna
Auditora
Interna
Servicios
Administrativos
Servicios
Administrativos
Tecnologa de
la informacin
(TI) de
Tecnologa
la informacin
(TI)
Ventas &
Marketing
Ventas &
Marketing
Continuidad
del Negocio
Continuidad
del Negocio
Partes Involucradas
Actores Principales
Medios de
Alta Direccin
Comit de Crisis
Director de la Continuidad del

Negocio
Comit de Continuidad del
Negocio
Medios de comunicacin
Organismos Externos
Seguridad pblica
Plan de
Continuidad
del Negocio
Autoridades del Gobierno

CERT
Unidad de negocio 1
Unidad de negocio 2
Director del Sitio

Coordinador de gestin
de CN del Sitio
Plan de
Continuidad del
Negocio adaptado
Para la unidad
Los
Procedimientos
locales
Gestin de TI
Director del Sitio
Director del Sitio
Coordinador de gestin
De CN del Sitio
Coordinador de
Recuperacin de TI
Plan de
Planes de
Continuidad del Recuperacin y
Negocio adaptadoRestauracin de TI
para la unidad
Procesos de Negocios
Planes de
Recuperacin y
Restauracin de
TI
Los
Procedimientos
de TI
Gestin de
Instalaciones
Gerente de las
Instalaciones
Coordinador de la
Respuesta de
Emergencia
Planes de Procedimientos
Respuesta de De emergencia
Emergencia
Procesos de Soporte
1.7.2. Designacin de un Coordinador de la Continuidad del Negocio

Funciones y responsabilidades
El Coordinador de la continuidad del negocio tiene la responsabilidad general de
la concepcin, el desarrollo, la coordinacin, ejecucin, administracin,
capacitacin, programas de sensibilizacin, y el mantenimiento del Plan de
continuidad de Negocios y el SGCN
El CCN debera estar en una funcin de nivel de direccin
Es responsable de la cooperacin y colaboracin en la Continuidad del Negocio
de los gerentes, usuarios, administradores de sistemas, auditores, personal de
seguridad, y habilidades de especialistas en reas como los seguros, las
cuestiones jurdicas, de recursos humanos, TI o la gestin de riesgos
1.7.3. Definir las Funciones y Responsabilidades de las Partes

Interesadas
Consejo legal
Identificar el cumplimiento y anlisis de los requisitos (legales, regulatorios y contractuales)
Encargado de TI
Implementar y administrar soluciones y medidas tcnicas en el manejo de las operaciones
Encargado de
Seguridad de la
Informacin
Coordinar las actividades relativas a la gestin de seguridad de la informacin
Encargado de RRHH
Implementar y gestionar el plan de capacitacin y de sensibilizacin, responsable de contratacin
Encargado de
Patrimonio
Implementar y administrar los controles de seguridad fsica (control de acceso a edificios, proteccin
contra incendios, mantenimiento elctrico, etc.)
Encargado del centro

De servicios / Help
Desk
Implementar y administrar los servicios a las usuarios, y los procesos relacionados (control de acceso,
gestin de incidencias, etc.)
Oficial de RRPP
Validacin del impacto sobre la reputacin de la organizacin, las comunicaciones con las partes
interesadas externas
Auditor interno
Validacin del Cumplimiento del SGCN
Responsable de la
Gestin de documentos
Garantizar en todas las etapas del ciclo de vida de los documentos, que estos tengan las cualidades
necesarias para una buena gestin del patrimonio de conocimientos e informacin, para la preservacin
de las pruebas
1.7.4. Definicin de la Funciones y Responsabilidades de los

Comits Claves
1. Comit Ejecutivo y Comit de Crisis
2. Comit de Continuidad del Negocio
3. Comits Operativos y
Comit Local de CN
1.7.5. Creacin de los Equipos Necesarios de Continuidad del

Negocio
Ejemplo
Lder del Equipo
de Gestin de
Crisis
(Director
Ejecutivo)
Gerente de
Evaluacin de
Riesgo
Equipo de
Respuesta de
Emergencia
Equipo de
Evaluacin de
Daos
Coordinar de
la Continuidad
del Negocio
Equipo de
Relaciones
Pblicas
Representantes de
La unidad de
Negocio
Equipo de
Recuperacin
Equipo de
Restauracin
TI/RR.HH./
Legales/
Finanzas
Equipo de
Telecomunicaciones
Equipo de
Obtencin de
Recursos y
Logstica
Nota importante: La creacin de equipos y comits no es un requisito. Aplicarlo, si es necesario
1.7.6. Definir un Proceso de Decisin y Control

Modelo de la estructura de comando y control
Nivel 1
Estratgico
on
tro
l
Es
ca
la
da
lC
de
Nivel 2
Tctico
Nivel 3
Operativo

Seccin 12
Informacin documentada
a.
b.
c.
d.
e.
Requisitos de la informacin documentada

Valor de la documentacin
Creacin de plantillas
Gestin de la documentacin
Implementacin de un sistema de gestin de
documentos
f. Redaccin de la informacin documentada de
l SGCN
g. Control de los registros
1.8. Informacin documentada
1.
1. Planificar
Planificar
2.
2. Hacer
Hacer
3.
3. Verificar
Verificar
4.
4. Actuar
Actuar

1.2 Comprensin
de la organizacin
2.1 Anlisis del

Impacto
en el Negocio (AIN)
1.3 Analizar el
sistema existente
2.2 Evaluacin
del riesgo
1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin
Continuidad del
Negocio
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.1 No
conformidades
y accin correctiva
3.2 Auditora
interna
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
2.6 Comunicacin
2.7 Ejercicio y
pruebas
3.3 Revisin
por la Direccin
4.2 Mejora
continua
Requisitos
7.5 Informacin documentada
7.5.1 Generalidades
El SGCN de la organizacin incluir:
- La informacin documentada requerida por esta norma internacional
- Informacin documentada determinada por la organizacin como necesaria para la
eficacia del SGCN
7.5.2 Creacin y actualizacin

Al crear y actualizar la informacin documentada, la organizacin deber garantizar la
adecuada:
a) Identificacin y descripcin (por ejemplo, un ttulo, fecha, autor o nmero de referencia),
b) Formato (por ejemplo, el idioma, la versin del software, grficos) y los medios (por
ejemplo, papel, electrnico), y la revisin y aprobacin de idoneidad y suficiencia.
Requisitos
7.5.3 Control de la informacin documentada
La informacin documentada requerida por el SGCN y por esta Norma Internacional deber ser controlada para
asegurar que:
a) Est disponible y apta para su uso, cundo y dnde sea necesario,
b) Est protegida adecuadamente (por ejemplo, de prdida de la confidencialidad, uso indebido, o la prdida
de integridad).
Para el control de la informacin documentada, la organizacin deber abordar las siguientes
actividades, segn corresponda:
Distribucin, acceso, recuperacin y uso,
Almacenamiento y conservacin, incluida la conservacin de la legibilidad,
Control de los cambios (p. ej., control de versiones).
Retencin y disposicin
Recuperacin y uso,
Preservacin de la legibilidad (es decir lo suficientemente claro para leer), y
Prevencin del uso no intencionado de informacin obsoleta.
La informacin documentada de origen externo determinada por la organizacin como necesaria
para la planificacin y el funcionamiento del SGCN deber ser identificada, segn corresponda, y
controlada.
Cuando se establece el control de la informacin documentada, la organizacin deber asegurarse de que exista
una proteccin adecuada d la informacin documentada (por ejemplo, la proteccin ante cualquier peligro, la
modificacin no autorizada o la eliminacin).
Requisitos de Informacin Documentada

Resumen
Contenido
Formato
Ciclo de Vida
del Documento
Documentacin del Sistema de Gestin

Tipos de informacin documentada
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Descripciones
Del
Marco de Gestin
Polticas, el alcance, revisin por la direccin,

y otros documentos estratgicos
Describe los procesos,

Procedimientos y controles
(quin, qu, cundo, cmo,
Dnde y por qu)
Descripcin del proceso, actividades,

controles y procedimientos
Describe en detalle cmo se llevan a

Cabo las tareas y actividades
Proporciona la evidencia objetiva del

Cumplimiento de los requisitos de la norma
Hojas de clculo, formularios

listas de control, etc.
Registros
Valor de la Documentacin
Notas importantes
En muchas organizaciones, la creacin de la
documentacin est desproporcionada
La preparacin de los documentos no debera
ser un objetivo en s mismo. Esta debe ser
actividad de valor aadido, soporte del SGCN
La documentacin que es demasiado es difcil
de manejar, a menudo no es comprendida por
los usuarios, por lo tanto, no se utiliza
Cada organizacin determina la extensin de
la documentacin necesaria y los medios de
comunicacin a utilizar

1.7 Estructura
organizativa
1.8.4 Establecer la
Documentacin
1.8.4del
Establecer
SGCN la
Documentacin
del SGCN
1.8.1
1.8.1 Creacin
Creacin de
de
plantillas
plantillas
1.8.5 Control de
los registros
1.8.5 Control de
los registros
1.8.2
1.8.2 Control
Control de
de
los
documentos
los documentos
1.9 Competencia y
sensibilizacin
1.9 Competencia y
sensibilizacin
1.8.3
1.8.3
Sistema
Sistema de
de gestin
gestin
de
documentos
de documentos
1.8.1. Creacin de Plantillas

Tipo de documentos
Tipo
Objetivos
Poltica
Intenciones y directrices generales de una organizacin formalmente expresadas por la Direccin
Procedimiento
Las instrucciones especificas que explican con claridad los pasos para determinar la forma en que la poltica, las
directrices y las normas de apoyo se aplicarn realmente en un entorno operativo
Directrices
Declaracin general para alcanzar los objetivos de la poltica al proporcionar orientacin sobre buenas
prcticas a seguir
Plan de
Carta
Amplio conjunto de medidas preparadas (incluidas las listas de control y auxiliares del trabajo) diseadas para facilitar
la actividad de la continuidad del negocio o la ordenada y rpida recuperacin de los procesos crticos (de negocio) en
el caso de una crisis
Descripcin de los acuerdos en vigor entre la organizacin y un grupo de actores como usuarios
empleados, proveedores o prestadores de servicios
Esquema de proceso
Esquema que ilustra el trabajo de un proceso
Normativa de proceso
Explicacin detallada de funcionamiento de un proceso como una descripcin
Formulario
Gua
Hoja de datos
Formulario de papel o en formato electrnico que est diseado para proporcionarlo o registrar la informacin sobre
una operacin (solicitud de cambio, solicitud de autorizacin, notificacin de incidentes, etc.)
Documento prctico con instrucciones detalladas sobre el uso y/o instalacin mantenimiento operacin
Documento que resume la informacin tcnica (especificaciones) necesaria para instar, usar, mantener, etc.
1.8.2. Gestin de la documentacin

El desarrollo de un proceso de gestin de la documentacin y
redaccin de un procedimiento
b) Identificacin
a) Creacin
c) Clasificacin, indexado y
seguridad
i) Eliminacin
d) Modificacin
h) Conservacin y
archivado
g) Uso adecuado
e) Aprobacin
f) Distribucin
1.8.3. Implementacin de un Sistema de Gestin de Documentos
Facilitar el almacenamiento, acceso, consulta, difusin de documentos y su
informacin
Custodiar el ciclo de visa complement0 de los documentos
Garantizar la trazabilidad
Garantizar el acceso a los documentos
Optimizar bsqueda
y actualizacin
1.8.4. Redaccin de la Informacin Documentada Requerida del

SGCN
Como mnimo, el SGCN debera contener la siguiente documentacin:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
El contexto de la organizacin
Requisitos legales, reglamentarios y otros y pruebas de su cumplimiento (4.2.2)
El mbito de aplicacin del SGCN y cualquier exclusin (4.3.2)
Poltica de la continuidad del negocio (5.3)
Objetivos de continuidad del negocio (6.2)
Competencia (7.2)
Anlisis del impacto en el negocio y proceso de evaluacin de riesgos (8.2)
Estrategia de continuidad del negocio (8.3) incluidas las opciones de estrategia
consideradas
Procedimientos de continuidad , gestin de incidentes y de recuperacin (8.4)
Informes pos-ejercicio (8.5)
Monitoreo del SGCN (9.1)
Auditoras Internas (9.2)
Revisin por la direccin (9.3)
No Conformidades y acciones correctivas (10.1)
Informacin Documentada que puede ser Requerida

Adems puede ser requerida la informacin documentada que abarca la siguiente
informacin necesaria para asegurar la eficacia del SGCN:
No
el v a
m n
a n en
ua
l
1. Los contratos con clientes y los niveles de servicio

2. Resultados de los anlisis de impacto en el negocio
3. Resultados de las evaluaciones de riesgo
4. Determinacin y seleccin de las estrategias de continuidad del negocio
5. Resumen de respuesta ante incidentes
6. Programa de sensibilizacin
7. Comunicaciones del SGCN e incidente con el personal y las partes interesadas
8. Programas de capacitacin para la organizacin y los individuos.
9. Calendario de ejercicios
10. Contratos y acuerdos de nivel de servicio con los proveedores
11. Notificaciones a los contratistas y proveedores y procedimientos de respuesta
12. Las pruebas de inspeccin, mantenimiento y calibracin
13. Despus de los incidentes los informes de incidentes y casi incidentes
14. Acta de la reunin de la revisin del SGCN
Crear una Lista Maestra de Documentos

Buenas prcticas
Es una buena prctica crear una lista nica de todos los documentos relacionados
con el SGCN con informacin bsica tal como:
El identificador nico
Ttulo
El tipo de documento
Los nombres, funciones y servicios de los autores (y / o los propietarios)
El nombre del responsable y la fecha de la aprobacin
Fecha de emisin
Fecha de la versin y de la revisin
Numeracin de pginas
Nivel de clasificacin
1.8.5. Control de los Registros

o Los controles para garantizar la identificacin, almacenamiento, proteccin,
disponibilidad, tiempo de conservacin y eliminacin de registros deben estar
documentados e implementados
o Los registros deben ser
identificables y accesibles
o Ejemplos de registros:
protegidos, permanecen
Las actas de reunin

Certificados de capacitacin
Enviar cartas a las partes interesadas
Los informes de auditora
Informe de resultados de pruebas
legibles,
fcilmente
Lista Maestra de Documentos

Ejemplo
Identificacin
Almacenamiento
Responsabilidad
Duracin de la
conservacin
Clasificacin
Registro de
capacitacin
Departamento de
Recursos Humanos
Director de
Recursos Humanos
3 aos
Uso interno
Hoja de informe
De incidentes
Centro de Servicios
Centro de Servicios
Director
2 aos
Confidencial
Ejercicios y
Registros de las
Pruebas del
SGCN
Departamento de
Gestin de Riesgos
5 aos
Muy confidencial
Revisin por la
Direccin
Comit Ejecutivo
7 aos
Muy confidencial
Director de CN
Secretario del
Comit Ejecutivo
Gestin de la documentacin
Problemas ms comunes
Problema
Causa potencial
Dificultad para encontrar o gestionar un

documento
Cantidad demasiado grande de documentos

mal clasificados y no catalogados
Incapacidad para extraer rpidamente

informacin til de un documento
Documento voluminoso, demasiado literario, a

menudo con varios anexos
Actualizaciones de carcter tedioso
Los procesos de gestin de documentos no estn

establecidos o poco explotados
Diferencia entre los registros y procesos de

negocio reales
Los empleados relacionados con las operaciones

no han participado en la redaccin de
documentos
Textos o grficos ambiguos / incomprensibles
No hay validacin con los usuarios, la falta de

formacin y sensibilizacin, editor incompetente
Proliferacin de versiones de los documentos
Ningn sistema de gestin de documentos en

uso
Ejercicio 6
Lista maestra de documentos
Capacitacin Implementador Lder en la ISO 22301

Seccin 13
Competencia y sensibilizacin
a.
b.
c.
d.
e.
f.
Diferencia entre capacitacin, sensibilizacin y comunicacin

Definicin de un programa de desarrollo de competencias
Evaluacin de las competencias requeridas
Definicin de un programa de capacitacin
Definicin de un programa de sensibilizacin
Evaluacin y mejora continua del programa de
desarrollo de competencias
1.9. Competencia y Sensibilizacin
1.
1. Planificar
Planificar
2.
2. Hacer
Hacer
3.
3. Verificar
Verificar
4.
4. Actuar
Actuar

1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin

en el Negocio (AIN)
2.2 Evaluacin
del riesgo
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
2.6 Comunicacin
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.1 No
conformidades
y accin correctiva
3.2 Auditora
interna
3.3 Revisin
por la Direccin
4.2 Mejora
continua
Requisitos
ISO 22301, clusula 7.2 y 7.3
7.2 Competencia
a) Determinar la competencia necesaria de la(s) que realizan un trabajo bajo su control que afecta su
rendimiento.
b) Asegurarse de que estas personas son competentes sobre la base de una apropiada, capacitacin y
experiencia.
c) Cuando corresponda, tomar medidas para adquirir la competencia necesaria y evaluar la eficacia de las
medidas adoptadas, y
d) Mantener adecuada informacin documentada como evidencia de su competencia.
e) NOTA acciones aplicables pueden incluir, por ejemplo: el suministro de formacin para la tutora de , o la reasignacin de los empleados; o la contratacin o subcontratacin de personas competentes.
7.3 Conciencia
Las personas que realizan trabajos en el control de la organizacin debern tener en cuenta:
f)
La poltica de continuidad del negocio,
g) Su contribucin a la eficacia del SGCN, incluyendo los beneficios de una mejor gestin de la continuidad
del negocio,
h) Las consecuencias de no conformidad con los requisitos del SGCN
i)
Su papel durante los incidentes disruptivos.
Competencia y Capacitacin
Norma ISO 9000, clusula 3.1.6 e ISO 10015, clusula 3.2
Contexto
Capacidad
Capacidad demostrada
demostrada
para
para aplicar
aplicar
conocimientos
conocimientos yy
habilidades
habilidades
Habilidades
de
conducta
a
tic
ac
r
P
Capacitacin
proporcionar
proporcionar yy desarrollar
desarrollar los
los
conocimientos,
conocimientos, las
las habilidades
habilidades
yy las
las conducta
conducta para
para cumplir
cumplir
con
con los
los requisitos
requisitos
to
ex
nt
Co
Proceso
Proceso para
para
nte
Conocimientos
de
Competencia
Competente
Conocimiento
De
se
m
Habilidades
pe
o
xto
e
t
n
Co
Capacitacin, Sensibilizacin y Comunicacin
Diferencias
Capacitacin
Sensibilizacin
Comunicacin
Adquisicin de
habilidades
Cambio de hbitos
Estar informado
Dirigida al intelecto
Dirigida principalmente a
las emociones y el
comportamiento
Dirigida al intelecto
Qu habilidades
Tienen que adquirir?
Qu comportamiento
queremos reforzar o
cambiar?
Qu mensajes
enviamos?
1.9. Competencia y Sensibilizacin

1.7 Estructura
organizativa
1.9.3
1.9.3 Definir
Definir un
un
programa
programa de
de
capacitacin
capacitacin
1.8 Informacin
documentada
1.9.4
1.9.4 Definir
Definir un
un
programa
programa de
de
sensibilizacin
sensibilizacin
1.9.1
1.9.1 Definir
Definir un
un
programa
programa de
de
desarrollo
desarrollo de
de
competencias
competencias
1.9.5
1.9.5 Evaluacin
Evaluacin
yy mejora
mejora continua
continua
1.8.2
1.8.2 Evaluacin
Evaluacin
de
de las
las
competencias
competencias
necesarias
necesarias
2.1 AIN
1.9.1. Definicin de un Programa de Desarrollo de Competencias
ISO 22301 e ISO 22313 clusula 7.2

La organizacin debera desarrollar un programa de desarrollo de competencias
que incluya:
La evaluacin de competencias para las funcin (es) que se llevarn a
cabo
Creacin de un programa de desarrollo personal que identifica
capacitacin, supervisin, etc.
Servicios de capacitacin y tutora incluyendo la seleccin de mtodos
y materiales adecuados
Intercambio de Conocimientos
Trabajo compartido
Contratacin de una persona o personas competentes
Evaluacin y mejora continua del programa
1.9.2. Evaluacin de las Competencias Requeridas

Ejemplo
Funciones
Polticas
Funcin A
Funcin B
Funcin C
Crisis
AIN
Auditorias
A
B
Funcin D
R
A
Funcin E
Experiencia
Legales
Conocimiento
B
A
Nivel de Sensibilizacin
1.9.3. Definicin de un Programa de Capacitacin

Tipos de programa y sus objetivos
Obtener informacin sobre temas

especficos
Mantenimiento de las habilidades y

adquisicin de habilidades especificas
Adquisicin de habilidades generales
Sesin de Iniciacin
Educacin continua
Educacin Bsica (Universidad)
Principales Mtodos de Capacitacin

Curso
en el sitio o
fuera del
sitio
Aprendizaje
Taller
Mtodos de
capacitacin
Instruccin
en el puesto
de trabajo
Aprendizaje
a distancia
Auto
capacitacin
Cuando se selecciona una

solucin de capacitacin para
cerrar las
brechas de
competencia, deberan
ser
especificadas y documentadas
las
necesidades
de
capacitacin
Deberan
enumerarse los
posibles
mtodos
de
capacitacin a fin de satisfacer
las necesidades de formacin.
La forma adecuada
de
capacitacin depender de los
recursos enumerados, las
limitaciones y objetivos
1.9.4. Definicin de un Programa de Sensibilizacin

Temas principales
Las personas que realizan trabajos en el control de la organizacin debern tener
en cuenta:
La
La poltica
poltica de
de continuidad
continuidad del
del negocio,
negocio,
Su
Su contribucin
contribucin al
al SGCN
SGCN prevista
prevista
Los
Los beneficios
beneficios de
de la
la continuidad
continuidad del
del negocio
negocio
Su
Su papel
papel durante
durante los
los incidentes
incidentes
Nota: Un plan de sensibilizacin sobre la Gestin de la Continuidad del Negocio
de la organizacin es un Proceso en curso
1.9.5. Evaluacin y Mejora Continua del Programa de Desarrollo de

Competencias
El objetivo de la evaluacin es confirmar que se

han
cumplido
los
objetivos
de
ambas
competencias
de
la
organizacin
y
las
individuales, es decir, el programa de desarrollo
ha sido efectivo
Capacitacin Implementador Lder Certificado en la ISO 22301

Seccin 14
Anlisis de Impacto en el Negocio (AIN)
a. Propsito de un AIN
b. Planificacin de un AIN
c. La recopilacin de datos
d. Anlisis de los datos
e. Validacin de los datos
f.
Presentacin del informe del AIN
2.1. Anlisis del Impacto en el Negocio (AIN)
1.
1. Planificar
Planificar
2.
2. Hacer
Hacer
3.
3. Verificar
Verificar
4.
4. Actuar
Actuar

1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.7 Estructura
organizativa
1.8 Informacin
documentada
1.9 Competencia y
sensibilizacin

en el Negocio (AIN)
2.2 Evaluacin
del riesgo
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
2.5 Plan y
2.6 Comunicacin
3.1 Supervisin,
medicin, anlisis y
evaluacin
4.1 No
conformidades
y accin correctiva
3.2 Auditora
interna
3.3 Revisin por

la Direccin
4.2 Mejora
continua
Requisitos
Anlisis del impacto en el negocio
La organizacin deber establecer, implementar y mantener un proceso de evaluacin formal y
documentado para determinar las prioridades, objetivos y metas de continuidad y
recuperacin. Este proceso deber incluir la evaluacin del impacto de interrumpir las
actividades que apoyan las actividades de productos y servicios de la organizacin.
El anlisis del impacto en el negocio deber incluir lo siguiente:
a) Identificacin de las actividades que favorezcan la presentacin de los productos y
servicios;
b) Evaluar el impacto en el tiempo de no realizar estas actividades;
c) Priorizar los plazos para reanudar estas actividades en un determinado nivel mnimo
aceptable, teniendo en cuenta el tiempo en el que los afectos de no volver a reanudarlas
seran inaceptables; e
d) Identificar las dependencias y recursos de soporte para estas actividades,
e) Incluyendo a proveedores, socios externos y otras partes interesadas.
Actividades y Recursos Prioritarios

Propsito de un AIN
Obtener una comprensin de los productos y servicios clave de la
organizacin y la actividades que los ofrecen
Determinar las prioridades y los plazos para reanudar actividades
Identificar los principales recursos que puedan ser necesarios para la
continuidad y recuperacin
Identificar las dependencias (tanto internas como externas)
2.1. Anlisis del Impacto en el Negocio (AIN)

1.9 Competencia y
capacitacin
2.1.4 Validacin
de los datos
2.1.4 Validacin
de los datos
2.1.1
2.1.1 Planificacin
Planificacin
del
del AIN
AIN
2.1.5 Presentacin
del Informe del AIN
2.1.5 Presentacin
del Informe del AIN
2.1.2
2.1.2 Recoleccin
Recoleccin
de
los
de los datos
datos
2.2 Evaluacin del

Riesgo
2.2 Evaluacin del
Riesgo
2.1.3
2.1.3 Anlisis
Anlisis de
de
los
datos
los datos
2.1.1. Planificacin de un AIN

Actividades
Determinacin del enfoque y el mtodo de recoleccin de datos
Identificacin de las actividades que soportan los productos y servicios

clave
Seleccin de los impactos que se van a analizar
Preparacin de las herramientas del AIN
1. Determinacin del Enfoque y el Mtodo de Recoleccin de

Datos
Determinacin
Determinacin del
del enfoque
enfoque
El
El enfoque
enfoque puede
puede ser
ser cuantitativo
cuantitativo (con
(con clculo
clculo de
de consecuencias
consecuencias financieras)
financieras) y/o
y/o
cualitativo
(evaluacin
de
impactos
no
financieros
como
la
reputacin,
el
servicio
cualitativo (evaluacin de impactos no financieros como la reputacin, el servicio
de
de atencin
atencin al
al cliente,
cliente, etc.)
etc.)
Determinacin
Determinacin del
del mtodo
mtodo
La
La recopilacin
recopilacin de
de datos
datos del
del AIN
AIN puede
puede hacerse
hacerse con
con una
una combinacin
combinacin de
de mtodos
mtodos
como
como taller,
taller, entrevistas
entrevistas yy cuestionario
cuestionario
Identificacin de los participantes
Crear
Crear un
un equipo
equipo de
de AIN
AIN ee identificar
identificar aa quienes
quienes van
van aa responder
responder las
las entrevistas
entrevistas
(de
(de las
las funciones
funciones de
de negocio
negocio yy las
las funciones
funciones de
de apoyo)
apoyo)
II. Identificar la Actividades que dan Apoyo a sus Productos y

Servicios Principales
NADA
Las
Las actividades
actividades aa considerar
considerar
Las
Las que
que apoyan
apoyan la
la misin
misin de
de la
la
organizacin
organizacin yy que
que son
son vitales
vitales para
para
sus
logros
sus logros
Relacionadas
Relacionadas con
con obligaciones
obligaciones
legales
legales y/o
y/o contractuales
contractuales
Principales Actividades de Negocio

Ejemplo basado en la cadena de valor de Porter
Gestin
Gestin de
de Infraestructuras
Infraestructuras
Gestin
Gestin de
de Recursos
Recursos Humanos
Humanos
Finanzas
Finanzas yy contabilidad
contabilidad
I+D
Marketing
Diseo
Ventas
Produccin
Distribucin
Atencin al
cliente
Suministros
Embalaje
Investigacin
Y Desarrollo
Transformacin
Exportacin
Fabricacin
Marketing
Diseo
Control de
calidad
Servicios
Pos venta
III. Seleccin de los Impactos a Analizar

PRDIDA DE INGRESOS
Prdida Directa
SANCIONES
Contractuales
Regulatorias
Legales
GASTOS ADICIONALES
Costo de la Recuperacin
Gastos Extras
Mayor Riesgo de Fraude
Una Mayor Tasa de Error
Los Gastos de Viaje
Los Empleados Temporales
Las interrupciones
Pagos Compensatorios
Ingresos Futuros Perdidos
Prdida de Inversin
DAOS A LA
REPUTACIN
Clientes, Proveedores,
Socios, Bancos
Mercados Financieros
Calificaciones de
Crdito
IMPACTOS
RECAUDACIONES
RETRASADAS
Las Prdidas de
Facturacin
Descuentos Perdidos
IMPACTO AMBIENTALES
PRDIDA DE PRODUCTIVEDAD
Nmero de Empleados afectados
Nmero de horas perdidas
% de Capacidad perdida
IMPACTOS EN
SEGURIDAD
La prdida de vida o
lesiones
Irritacin de las vas
respiratorias
Enfermedad
Contaminacin del suelo

Contaminacin del aire
Contaminacin del agua
Devastacin de la flora y la
fauna
IV. Preparacin de las Herramientas del AIN

Principales herramientas
o
Peor de los casos
o Cuestionario
o Gua para al responder a los cuestionarios
o Gua para facilitadores y entrevistadores de talleres
o El Programa y la presentacin de un taller
o Presentacin de lanzamiento
o El software del AIN
2.1.2. La Recopilacin de Datos
Durante el anlisis del impacto en el negocio, es recomendable recoger datos

a travs de cuestionarios, entrevistas, o talleres
o Puede obtenerse datos adicionales usando lo documentos e investigaciones, pero
estos datos se deberan recopilar slo para respaldar o complementar los datos a
travs del contacto directo con expertos en la materia
o Durante la fase de recoleccin de datos, la siguiente informacin debera ser
recopilada:
Evaluacin de los impactos
Identificacin de los objetivos de continuidad del negocio, como RTO, RTP y
MBCO
Documentacin de actividades prioritarias
I. Evaluacin de los Impactos

Ejemplo
Umbrales de Impacto
1
Limitado
2
Importante
3
Grave
4
Critico
Riesgo
Financiero
Riesgo
Financiero
Riesgo
Financiero
Riesgo
Financiero
Riesgo
Financiero
Impacto a la
Funcionalidad
Sin ms retraso
despus de 1
semana
Sin ms retraso
despus de 2
semanas
Sin ms retraso
despus de 1
mes
Sin ms retraso
despus de 3
meses
Impacto en la
Imagen Pblica
Limitada
Divulgacin de
Incidentes
Significativo
Cambio de
Imagen Pblica
Importante
Cambio de
Imagen Pblica
Cambio
Permanente de la
Imagen Pblica
Compromiso de
Responsabilidad
Quejas de los
Clientes
Cuestionamiento
de los Contratos
Actuales
Cancelacin de
los Contratos
Actuales
Destitucin del
Director General
/o miembros de la
Direccin
Impacto
Econmico,
Humano y Social
Riesgo Financiero
Prdida
Financiera
Limitada
Prdidas
Financieras
Importantes
Deudas
Financieras
Quiebra
II. Identificacin de los Principales Recursos y Dependencias

Vinculados a los Procesos Crticos
Ejemplo con un proceso de produccin
III. Identificacin de los Objetivos de Continuidad del Negocio

RPO y RTO
Objetivo de punto de recuperacin

(RPO, por sus siglas en ingls)
Punto en que la informacin
utilizada por una de las actividades
debe ser restaurada para que la
actividad pueda funcionar tras la
reanudacin.
Objetivo de tiempo de
Recuperacin (RTO)
Periodo de tiempo despus de un
incidente en el que: el producto o
servicio deben reanudarse; o la
actividad debe reanudarse; o los
recursos deben ser recuperados.
RPO y RTO
Ejemplo
Objetivo de Tiempo de
Recuperacin (TTO)
Objetivo de punto de
Recuperacin (RPO)
El tiempo mximo aceptable
(Mxima prdida de datos aceptable
Desastre
Desastre
Tiempo
0:00
Copia de
seguridad
en cintas
(7 Das)
Copia de
seguridad
de la red
(24 H)
Sistema
de espejos
(1 Minuto)
Crtico
(1 H)
Muy
Importante
(12 h)
Importante
(72 H)
Identificacin de los Objetivos de Continuidad del Negocio

OMCN (MBCO)
Objetivo
Objetivo Mnimo
Mnimo de
de Continuidad
Continuidad
del
del Negocio
Negocio OMCN
OMCN (MBCO)
(MBCO)
Nivel
Nivel mnimo
mnimo de
de los
los servicios
servicios y/o
y/o
productos
productos que
que es
es aceptable
aceptable para
para
la
la organizacin
organizacin para
para alcanzar
alcanzar sus
sus
objetivos
objetivos de
de negocio
negocio durante
durante una
una
interrupcin
interrupcin
100 %
Nivel de servicio normal
40 %
0%
Objetivo Mnimo de Continuidad del Negocio (MBCO)
IV. Documentacin de las Actividades Prioritarias

Resumen basado en las mejores prcticas
Descripcin de la Funcin Empresarial
Las Actividades crticas
Las Dependencias
Impacto del Flujo de Trabajo
Consecuencias de No Procesar
2.1.3. Anlisis de los Datos
Transcribir en minutas de entrevistas o sntesis de documentos
Comprobar que todas las preguntas que aplican se han complementado

Comprobar que los objetivos de continuidad de la empresa se justifican
por los impactos operativos y/o financieros
Identificar los elementos que se deben aclarar
Identificar incoherencias
? ?
?
?
?
?
? ?
2.1.4. Validacin de Datos
Validacin
Validacin de
de datos
datos
Validar con:
Validar
o con:
Gerente de la funcin de negocio
o o Gerente
de del
la funcin
de negocio
Director
Departamento
o Director del Departamento
Cualquier cambio en los datos
Cualquier
cambio en los datos
recopilados
recopilados
debe estar documentado y aprobado
debe estar documentado y aprobado
En la parte final de esta fase, asegrese
En de
la parte
fase, asegrese
que final
toda de
la esta
informacin
recopilada
de est
que toda
la informacin
recopilada
completada,
es precisa
y
est
completada,
es
precisa
y
est
est acordada por las personas implicadas
acordada por las personas implicadas
2.1.5. Presentacin del Informe del AIN
El
El informe
informe del
del AIN
AIN
No hay formato normalizado para
un informe del AIN y al igual
que con muchos otros
procesos, documento es probable
que siga el formato estndar de la
organizacin
Como mnimo, el informe del
AIN debe incluir:
La lista de actividades que
Apoyan a los principales
productos y servicios.
Las evaluaciones de impacto
El RTO y las prioridades de la
empresa para la recuperacin
Importantes dependencias y
recursos de soporte
Resumen de Objetivos de Recuperacin
Objetivo de Punto de
Recuperacin (RPO, por
sus siglas en ingls
Objetivo de
Tiempo de
Recuperacin
(RTO)
Corte mximo aceptable

(MAO)
Plan de proteccin y de
Medidas de mitigacin
Plan de capacitacin y
sensibilizacin
Desastre
100%
40%
Nivel de
servicio
normal
Objetivo Mnimo de Continuidad

del Negocio (MBCO)
Horas
Da
Semana
Mes
Tiempo
0%
ltima copia de seguridad
Llegar al punto de los

Servicios mnimos a
recuperar
Volver a
Normal
Anlisis de Impacto en el Negocio (AIN)

Resumen con un ejemplo
APORTACIONES
DE LAS PARTES
APORTACIONES
INTERESADAS
DE LAS
PARTES
INTERESADAS
Proceso de
Negocio
Impactos
Potenciales
Mximo de
Inactividad Tolerable
Procesar
Factura
Procesar
Factura
Operaciones ms de 1.000
Empleados afectados
72
Horas
Reputacin medios de
Comunicacin anuncian
preocupaciones
30
Horas
Reputacin visin del

congreso
36
Horas
Servicio de atencin al Cliente

-ms de 500 quejas de los
clientes
36
Horas
Elaborar
factura
Elaborar
factura
Procesar
Factura
Procesar
Factura
Procesar
Factura
Procesar
Factura
Componentes del
Sistema
Objetivo de
Tiempo
de Recuperacin
Servidor de
Aplicaciones
36
Horas
Servidor Web
24
Horas
Servidor de Base de
datos
12
Horas
Los ordenadores de
escritorio
30
Horas
Interdependencias
Ejercicio 7
Anlisis del Impacto en el Negocio (AIN)

Seccin 15
Evaluacin de riesgos
a.
Identificacin de riesgos
b.
Anlisis de riesgos
c. Estimacin de riesgos
2.2. Evaluacin de Riesgos
1.
1. Planificar
Planificar
1.
1. Planificar
Planificar
1.
1. Planificar
Planificar

en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
1.
1. Planificar
Planificar

1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
1.6 Poltica de CN
1.7 Estructura
organizativa
2.2 Evaluacin del

Riesgo
4.1 No
conformidades y
accin correctiva
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
3.2 Auditora
interna
4.2 Mejora
continua
2.5 Plan y
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.3 Revisin por

la Direccin
Proceso de Gestin de Riesgo (ISO 31000)

Evaluacin de
riesgos
Diseo del marco

de trabajo de la
Gestin de riesgos
(4.3)
Mejora continua
Del marco
De trabajo (4.6)
Implementacin
De la gestin
De riesgos (4.4)
Seguimiento y
Revisin del marco
De trabajo (4.5)
Marco (clusula 4)
Identificacin de
Riesgos (5.4.2)
Anlisis de
Riesgos (5.4.3)
Evaluacin
de Riesgos (5.4..4)
Tratamiento
Tratamiento del
del
Riesgo
Riesgo (clusula
(clusula 5.5):
5.5):
Proceso (clusula 5)
Seguimiento y revisin (5.6)
Establecer
Establecer el
el
contexto
contexto (5.3)
(5.3)
Mandato y compromiso (4.2)
Comunicacin y consulta (5.2)
a. Crear valor
b. Parte integral de los
procesos de la
organizacin
c. Parte de la toma de
decisiones
d. Aborda explcitamente
la incertidumbre
e. Sistemtica,
estructurada y
oportuna
f. Sobre la base de la
mejor informacin
disponible
g. Adaptada
h. Toma en cuenta los
factores humanos y
culturales
i. Transparente e
inclusiva
j. Dinmica, interactiva y
sensible a los cambios
k. Facilita la mejora
continua y la
optimizacin de la
organizacin de la
organizacin
Principios (clusula 3)
Herramientas y Mtodos para la Evaluacin de Riesgos Presentados

en la Norma ISO 31010
Tormenta
Tormenta de
de ideas
ideas
Anlisis
Anlisis de
de la
la causa
causa raz
raz
Mantenimiento
Mantenimiento centrado
centrado en
en
la
la fiabilidad
fiabilidad
Entrevistas
Entrevistas estructuradas
estructuradas oo
semi-estructuradas
semi-estructuradas
Modo
Modo de
de Falla
Falla
Anlisis
de
Anlisis de los
los efectos
efectos
Anlisis
Anlisis furtivo
furtivo de
de circuitos
circuitos
Anlisis
Anlisis de
de rbol
rbol de
de fallos
fallos
Delphi
Delphi
Anlisis
Anlisis Markov
Markov
Lista
Lista de
de verificacin
verificacin
Anlisis
Anlisis de
de rboles
rboles de
de
sucesos
sucesos
Simulacin
Simulacin de
de Monte
Monte Carlo
Carlo
Anlisis
Anlisis de
de riesgo
riesgo primario
primario
Anlisis
Anlisis de
de causas
causas yy
consecuencia
consecuencia
Estadsticas
Estadsticas Bayesianas
Bayesianas yy
Bayes
Bayes
Estudios
Estudios de
de peligros
peligros yy
Operabilidad
Operabilidad (HAZOP)
(HAZOP)
Anlisis
Anlisis de
de causa
causa yyefecto
efecto
Curvas
Curvas FN
FN
Anlisis
Anlisis de
de Peligros
Peligros yy Puntos
Puntos
de
Control
Crticos
de Control Crticos ((APPCC)
((APPCC)
Anlisis
Anlisis de
de proteccin
proteccin de
de
la
capa
la capa (LOPA)
(LOPA)
ndices
ndices de
de Riesgo
Riesgo
Evaluacin
Evaluacin de
de riesgos
riesgos
medioambientales
medioambientales
rbol
rbol de
de decisin
decisin
Matrices
Matrices de
de probabilidad
probabilidad //
consecuencia
consecuencia
Estructura
Estructura Y
Ysi?
si? >>
(SWIFT)
(SWIFT)
Anlisis
Anlisis de
de fiabilidad
fiabilidad
humana
humana
Anlisis
Anlisis de
de la
la relacin
relacin
coste/beneficio
coste/beneficio
Anlisis
Anlisis de
de escenarios
escenarios
Anlisis
Anlisis de
de lazo
lazo
Anlisis
Anlisis de
de decisin
decisin por
por
multi-criterios
multi-criterios (MCDA)
(MCDA)
Anlisis
Anlisis del
del impacto
impacto en
en el
el
negocio
negocio
2.2. Evaluacin de Riesgos

2.2 Evaluacin de
Riesgos
2.1 AIN
2.2.1
2.2.1 Identificacin
Identificacin
del
del riesgo
riesgo
2.2.2
2.2.2 Anlisis
Anlisis del
del
riesgo
riesgo
2.2.3
2.2.3 Evaluacin
Evaluacin
del
del riesgo
riesgo
2.3 Poltica de CN
2.3 Poltica de CN
2.2.1. Identificacin de Riesgos

Las organizaciones deberan:
Identificar las fuentes de riesgo, las reas de los efectos, los acontecimientos y sus
causas
Incluir los riesgos (internos y externos) y examinar sus causas y consecuencias
La organizacin debera aplicar herramientas y tcnicas de identificacin del riesgo
que se adapten a sus objetivos y aptitudes, as como a los que est expuesta
Enfoque y Mtodos de Identificacin de Riesgos

o
Los mtodos de identificacin de riesgo pueden incluir:

Mtodos basados en la evidencia, ejemplos de los cuales son las listas de
verificacin
y los comentarios de datos
Enfoques sistemticos de equipo donde un equipo de expertos sigue un proceso
sistemtico para identificar los riesgos por medio de un conjunto estructurado de
mensajes o preguntas
Tcnicas de razonamiento inductivo como HAZOP
Se pueden utilizar diversas tcnicas de apoyo para mejorar la exactitud y la exhaustividad

en la identificacin de riesgos, incluyendo tormenta de ideas y metodologa Delphi
1 HAZOP
= estudios de Peligros y Operabilidad
Identificacin de Riesgos
Principales elementos incluidos en los Mtodos de Evaluacin de Riesgos
1.
Determinacin de los criterios de aceptacin de riesgos y la determinacin de los

niveles de riesgo aceptables
2. Identificacin de los activos
3. Identificacin de las amenazas a las que se enfrentan los activos
4. Identificar las vulnerabilidades que podran ser explotadas por las amenazas
5. Identificacin de los impactos
6. Anlisis y evaluacin del impacto
7. Anlisis y evaluacin de la probabilidad
8. Evaluacin de los niveles de riesgo
9. Determinacin de umbrales aceptables sobre la base de riesgos establecidos
10. Identificacin y evaluacin de opciones de tratamiento del riesgo
11. Seleccin de las medidas y controles para tratar los riesgos
2.2.2. Anlisis de Riesgos

El Anlisis de riesgos se define como el anlisis de un entorno de riesgos
Cada riesgo se evala de acuerdo con:
Las prdidas que pueden ocasionar

La probabilidad de ocurrencia
El costo de las contra medidas para mitigar el riesgo y
La prdida probable si esas contra medidas fueron aplicadas
Enfoque y Mtodos de Anlisis del Riesgo

Anlisis Cualitativo:
Define la consecuencia, la probabilidad y el niel de riesgo por niveles
significacin, como alta, medio y bajo, puede combinar
consecuencia y la probabilidad, y evala el nivel de riesgo resultante
los criterios cualitativos
de
la
de
Anlisis Cuantitativo:
Estima los valores estimados para las consecuencias prcticas y sus
probabilidades, y produce los valores del nivel de riesgo en las unidades
especificas definidas en el desarrollo del contexto. Un completo anlisis
cuantitativo puede no ser siempre posible o deseable debido a
informacin insuficiente
Anlisis de Escenarios de Riesgo

Las categoras habituales
Escenarios
Escenarios con
con edificios
edificios
Escenarios
Escenarios de
de utilidades
utilidades
Escenarios
Escenarios en
en los
los sistemas
sistemas de
de comunicacin
comunicacin
44
Escenarios
Escenarios de
de sistemas
sistemas informticos
informticos
Escenarios
Escenarios de
de consumibles
consumibles
Escenarios
Escenarios que
que involucran
involucran personas
personas
Escenarios
Escenarios de
de informacin
informacin oo datos
datos

Ejemplo
Escenario 1
No disponibilidad del edificio
Posibles Causas
/Amenazas
Fuego
Inundacin
Amenaza de bomba
Huelga
Manifestacin
Fuga de gas
Consecuencias
Se ha detenido la
produccin
Incapacidad para
garantizar la logstica de
entrega
Incapacidad de facturar
bienes entregados
Impacto
3
Probabilidad
2
Nivel de
Riesgo
Huracn
Terremoto
Comentarios:
Comentarios: En
En los
los ltimos
ltimos 10
10 aos,
aos, la
la organizacin
organizacin ha
ha perdido
perdido 99 das
das debido
debido aa la
la no
no disponibilidad
disponibilidad del
del edificio
edificio
(una
(una huelga
huelga de
de 77 das,
das, 11 da
da por
por una
una alerta,
alerta, 11 por
por un
un fuga
fuga de
de gas)
gas)
Clculo de la Determinacin de Riesgo

Ejemplo de un clculo del riesgo
Posibilidad de ocurrencia - Amenaza
Baja
Valor de
los
activos
Mediana
Alta
Nivel de Vulnerabilidad
B
2.2.3. Evaluacin de Riesgos

o
La evaluacin de los riesgos es la comparacin de los niveles de

riesgo
estimados con los criterios de evaluacin y los criterios de aceptacin de riesgos
y priorizarlos
La estimacin de riesgos es necesaria antes de tomar una decisin sobre las

posibles opciones para el tratamiento de riesgos incluyendo:
Si se tomarn medidas correctivas para reducir el nivel de riesgos calculado
A cules riesgos se les dar prioridad
Decisin como resultado de la evaluacin de Riesgos

Las decisiones pueden incluir:
Si un riesgo necesita tratamiento
Prioridades de tratamiento
Si una actividad debe llevarse a cabo
Cul, de una cantidad de caminos debera seguirse
Nota:
Nota: La
La decisin
decisin sobre
sobre las
las medidas
medidas aa tomar
tomar despus
despus
de
de la
la evaluacin
evaluacin del
del riesgo
riesgo se
se ver
ver influida
influida por
por el
el nivel
nivel
de
de apetito
apetito por
por el
el riesgo
riesgo de
de la
la organizacin
organizacin
Ejemplo de una Matriz de Evaluacin de Riesgos
Amenaza
Valor de
consecuencia
(activo)
Probabilidad
de ocurrencia
de la amenaza
Nivel de
riesgo
Orden de
prioridad de
la amenaza
Escenario A
10
22
Escenario B
33
Escenario C
15
11
Escenario D
55
Escenario E
44
Escenario
Escenario F
F
2
2
4
4
8
8
3
33
Evaluacin de Riesgos
Seleccin de medidas de proteccin y mitigacin
o
Los resultados de la evaluacin de riesgos ayudarn a guiar y determinar las

medidas de gestin apropiadas y las prioridades de gestin de los riesgos y
para aplicar las medidas de proteccin y mitigacin para proteger contra estos
riesgos
Las medidas pueden ser seleccionadas a partir de varias normas o pueden

disearse nuevos controles para satisfacer las necesidades especificas de la
organizacin
La seleccin de medidas de proteccin y mitigacin se detallan en el Da 3
Da 3
Implementador Lder
Seccin 16
Estrategia de continuidad del negocio
a.
Anlisis de las opciones de la estrategia de CN
b.
Seleccin de la estrategia de proteccin de actividades

prioritarias
c.
Seleccin dela estrategia para estabilizar, continuar

reanudar y recuperar actividades prioritarias
d.
Seleccin de la estrategia para la mitigacin,

respuesta y manejo de los impactos
e.
Evaluacin de las capacidades de continuidad del

negocio de los proveedores
2.3. Estrategia de Continuidad del Negocio
1.
1. Planificar
Planificar

1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
2.
2. Hacer
Hacer
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
2.2 Evaluacin del

Riesgo
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
3.3 Revisin por

la Direccin
Requisitos
8.3 Estrategia de continuidad del negocio
8.3.1 Determinacin y seleccin
La determinacin y seleccin de la estrategia deber basarse en los resultados de los anlisis
de impacto en el negocio y la evaluacin de los riesgos.
La organizacin deber determinar una adecuada estrategia de continuidad del negocio para:
a) Proteger las actividades prioritarias,
b) Estabilizar, continuar, reanudar y recuperar las actividades prioritarias y sus
dependencias y recursos de soporte, y
c) Mitigar, responder al impacto y gestionarlo.
La determinacin de la estrategia deber incluir la aprobacin de plazos priorizados para la
Reanudacin de las actividades.
La organizacin deber llevar a cabo evaluaciones de las capacidades de continuidad del
Negocio de los proveedores
Estrategia de Continuidad del Negocio
El objeto de la Seleccin de la Estrategia es colaborar en la definicin de las

necesarias para proteger a la organizacin y para seleccionar las soluciones
para la recuperacin ms adecuada para las funciones crticas de la empresa
y los recursos de soporte
La estrategia debe encarar los resultados del AIN y la evaluacin del riesgo
La estrategia de continuidad del negocio es la base

para los Planes de Continuidad del Negocio
EGY
T
A
STR
2.3. Estrategia de Continuidad del Negocio

Lista de las actividades
2.3 Estrategia de C.N.
2.1 AIN
2.3.3 Estrategia para

Estabilizar, continuar,
2.3.3
Estrategia
para
Reanudar
y recuperar
Reanudar y recuperar
2.2 Anlisis
de riesgos
2.3.4 Estrategia
para mitigar,
2.3.4
Estrategia
responder
ay
para
mitigar,
gestionar impactos
responder a y
gestionar impactos
2.3.1
2.3.1 Anlisis
Anlisis &&
Seleccin
Seleccin de
de
Una
Una estrategia
estrategia
2.3.5 Evaluacin de
las capacidades de
2.3.5
los Evaluacin
proveedoresde
las capacidades de
los proveedores
2.3.2
2.3.2 Estrategia
Estrategia
para
para proteger
proteger
las
las actividades
actividades
prioritaria
prioritaria
2.4 Medidas de
Proteccin &
2.4 mitigacin
Medidas de
Proteccin &
mitigacin
2.3.1 Anlisis de las Opciones de la Estrategia de CN
La organizacin debera determinar las opciones de estrategia para:
Proteger
Proteger actividades
prioritarias
Estabilizar,
continuar, reanudar
reanudar yy recuperar
recuperar actividades
prioritarias
Mitigar,
Mitigar, responder
responder al
al impacto
impacto yy gestionarlo
gestionarlo
2.3.2 Seleccin de la Estrategia para la Proteccin de Actividades

Prioritarias
La proteccin de actividades
Prioritarias puede ser dirigida a:
3
2
Reducir el riesgo de la
actividad
transferir la actividad a un
tercero (aunque la
responsabilidad sigue
siendo de la organizacin
Cesar o modifica la
actividad si existen
alternativas viables
2.3.3 Seleccin de la Estrategia para estabilizar, continuar, reanudar

y recuperar actividades prioritarias
La organizacin debera determinar las opciones apropiadas de
terminar las opciones apropiadas de estrategia para:
Traslado
Traslado de
de la
la actividad
actividad
ReRe- ubicacin
ubicacin oo rere- asignacin
asignacin de
de recursos
recursos
Procesos
Procesos alternativos
alternativos yy capacidad
capacidad de
de reserva
reserva
44
Sustitucin
Sustitucin de
de habilidades
habilidades yy recursos
recursos
Solucin
Solucin temporal
temporal
2.3.4 Seleccin de la Estrategia para la Mitigacin, Respuesta y

Manejo de los Impactos
La organizacin debera determinar las opciones apropiadas de
estrategia para:
i n
in
r ac
de
t ac
tau
ac
os
ti v
A)
se La c
gu on
ro
tr a
es
de
un
R
B)
La compra de seguros puede

Ofrecer cierta compensacin
Financiera en caso de prdidas,
Pero no cubrir todos los costes
La contratacin de los
servicios de las compaas
que se especializan en la
limpieza o reparacin de
bienes despus de los daos
C) Gestin de la reputacin
Desarrollo de una efectiva capacidad de comunicacin y de

Alerta y establecer procedimientos de comunicacin eficaces
Ejemplo de Opciones de la Estrategia de CN

Las estrategias de CN disponibles y el RTO que cumplen
C
O
S
T
O
D
E
L
A
E
S
T
R
A
T
E
G
I
A
IX Sitio
cliente
VIII,
Traslado a
otros centros
del grupo
VII,
Trabajo a
distancia
VI, Sitio
tibio
V, Acuerdo
reciproco
IV, Sitio
mvil
III, Sitio
frio
II,
Reconstruccin
y restauracin
TIEMPO DE RECUPERACIN
Ninguna
Estrategia
Caractersticas
I. Ninguna Estrategia
Ninguna estrategia definida
No hay documentacin de recuperacin y continuidad del negocio

No se envan datos fuera del sitio, y no hay ningn otro sitio identificado
Estrategia utilizada por las organizaciones con un evaluado apetito por el
riesgo o de un sitio con baja criticidad; tambin puede ser cuando un
producto tiene una vida til limitada
Ventajas
La estrategia menos costosa para
aplicar
Desventajas
La estrategia ms cara despus de
un desastre
Caractersticas
II. Reconstruccin y Restauracin
La estrategia se enfoca principalmente en los seguros
Documentacin de los bienes materiales e instalaciones

No se envan datos fuera del sitio, y no hay ningn otro sitio identificado
Estrategia de las organizaciones con apetito por el riesgo moderado o de
un sitio con poca criticidad
Ventajas
Estrategia de bajo costo y fcil de
implementar
Proteccin contra las prdidas
financieras de los activos fsicos
Desventajas
Estrategia que generalmente no
toma en cuenta los procesos de
negocio y los activos inmateriales
Estrategia que no incluye un plan
para asegurar la continuidad de las
operaciones en caso de desastres
Caractersticas
III. Sitio fro
Instalacin con energa elctrica. Calefaccin, Ventilacin y Aire Acondicionado (HVAC

en ingls)
Listo para recibir el equipo pero no hay hardware de computacin en el sitio
Los enlaces de comunicacin pueden o no estar preparados
Estrategia de las organizaciones con apetito por el riesgo moderado o de un sitio poca
criticidad
Ventajas
Bajo coste
Rpido de implementar
Fcil de mantener
Desventajas
Falsa sensacin de seguridad

El tiempo de recuperacin puede ser
largo dependiendo de la complejidad de
la tecnologa y el equipo utilizado por la
organizacin
El proveedor d e servicios puede sobre
valorar las capacidades de procesamiento
Caractersticas
IV. Sitio mvil
Triler que puede transportarse rpidamente a un sitio alternativo
Puede ser pre configurado con servidores, equipos de escritorio, equipos

comunicaciones, microondas y enlaces para la transmisin de datos por satlite
Alternativa til cuando no hay instalaciones de recuperacin en el rea geogrfica
Ventajas
de
Bajo coste
Rpido de implementar
Fcil de mantener
Flexibilidad
Desventajas
La capacidad de los equipos puede ser
insuficiente para la necesidad
Caractersticas
V. Acuerdo Recproco
Acuerdo con otra empresa con hardware o configuraciones de software similares
Acuerdo por ambas partes, se supone capacidad suficiente en tiempo de necesidad

(Gran Suposicin)
Slo se debera tener en cuenta si no hay otras opciones, o es un compaero perfecto
con un entorno de tecnologa compatible
Ventajas
Bajo o ningn costo
Si los requisitos de procesamiento son
similares puede ser variable
Desventajas
Muy poco probable la existencia de la
capacidad
Limita severamente la capacidad de
respuesta y apoyo
Caractersticas
VI. Sitio Tibio
Instalacin de energa elctrica, calefaccin, ventilacin y aire acondicionado (HVAC) y

enlace de comunicacin
Las estaciones de trabajo y las impresoras estn disponibles pero el software puede no
estar instalado
Estrategia de las organizaciones con bajo o moderado o apetito por el riesgo para un
sitio con baja o media criticidad
Ventajas
Desventajas
Costo mucho menos que el del sitio

Caliente
El proveedor de servicios puede sobre

valorar capacidades de procesamiento
Ubicacin: Ya que se requiere menos

control, los sitios pueden ser
ms
flexibles
Caractersticas
VII. Trabajo a Distancia
Incluye el concepto de trabajar desde casa y a partir de otros lugares fuera de la

empresa, por ejemplo hoteles
Estrategia utilizada por pequeas organizaciones o para algunas unidades de negocio
Ventajas
Bajo costo y fcil de implementar para
una organizacin pequea
Solucin Flexible
flexibles
Desventajas
Debido a cuestiones de seguridad y
confidencialidad esta opcin no siempre
es adecuada
Difcil de coordinar para grandes
organizaciones
Caractersticas
VIII. Traslado a Otros Centros del Grupo
En el caso de un incidente perjudicial de una divisin de la organizacin, el traslado se

har a otro centro de la misma organizacin
Estrategia utilizada por grandes organizaciones con varias instalaciones
Ventajas
Costo puede ser bajo a medio
Fcil de implementar
En la
mayora
de
casos,
compatibilidad de tecnologa
Respuesta rpida de activar
Desventajas
los
No tiene una garanta de la existencia de

la capacidad cuando sea necesario
Contencin de recursos durante los
desastres
Caractersticas
IX. Sitio Caliente
Las aplicaciones se instalan en los servidores y las estaciones de trabajo

Las estaciones de trabajo y servidores estn actualizados
Estrategia utilizada por grandes organizaciones con muy bajo apetito por el riesgo o
para un sitio con alta criticidad
Ventajas
Disponibilidad 24/7, exclusividad de uso
Disponible de inmediato
Admite interrupciones de corto y largo
plazo
Desventajas
Costoso
Requiere de un constante mantenimiento
de
hardware,
software, datos
y
aplicaciones
Seguridad del sitio caliente, la seguridad
del sitio primario se debe duplicar
2.3.5 Evaluacin de las Capacidades de Continuidad del Negocio

de los Proveedores
o La organizacin debera evaluar los riesgos relevantes y, a continuacin,

adoptar las medidas adecuadas para garantizar que equipos crticos y los
servicios de los proveedores pueden ser garantizados en caso de un incidente
de interrupcin que los afecta
o Debera hacerse una evaluacin peridica de la capacidad del CN para las
actividades crticas tercerizadas o que dependen de un proveedor, Que puede
ser por:
Pedir que los proveedores estn certificados en la ISO 22301
Auditora de los proveedores
La comprobacin auditada de la viabilidad de los planes de continuidad

de los proveedores clave
Firma de un Acuerdo
Cuando la estrategia depende de un sitio alternativo
1.
2.
3.
4.
5.
Durante del acuerdo o contrato

Estructura del costo/ tarifa (uso diario), incrementos del costo natural/tarifas
Prioridad de acceso al lugar/instalacin y/o uso, garanta y disponibilidad de sitios
Cambio, modificacin o proceso de terminacin y condiciones en el acuerdo o contrato
Necesidades en materia de sistemas de informacin (incluidos los datos y requisitos de
telecomunicaciones ) para el hardware, el software y las necesidades especiales del
sistema (hardware y software)
6. Requisitos de seguridad, incluidas las necesidades especiales de seguridad
7. El personal, servicios de las instalaciones, suministros y soporte provisto/no provisto
8. Las pruebas, incluida la programacin, disponibilidad, duracin del tiempo de prueba
9. Gestin de los registros (in situ o de forma remota), inclusive los medios de comunicacin
electrnicos e impresos
10. Gestin del nivel de servicios (medidas de ejecucin y la gestin de la calidad de los
servicios del sistema de informacin prestados), el proceso de negociar la ampliacin del
servicio
11. Espacio de trabajo (por ejemplo, sillas, escritorios, telfonos, computadoras personales)
12. Otras cuestiones contractuales, segn corresponda
Ejercicio 8
Seleccin de una estrategia de continuidad del negocio
Seccin 17
Las medidas de mitigacin y proteccin
a.
Medida de mitigacin y proteccin
b.
Medida preventiva
c.
Medida de deteccin
d.
Medida correctiva
2.4. Las Medidas de Mitigacin y Proteccin
1.
1. Planificar
Planificar

1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
2.
2. Hacer
Hacer
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
2.2 Evaluacin del

Riesgo
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
3.3 Revisin por

la Direccin
Requisitos
Proteccin y mitigacin
Para identificar los riesgos que requieren tratamiento, la organizacin deber
estudiar medidas pro activas que:
a) Reduzca la posibilidad de una interrupcin;
b) Acorde el periodo de interrupcin; y
c) Limiten el impacto de una interrupcin en la provisin de los productos y la
presentacin de los servicios principales de la organizacin.
La organizacin deber elegir e implementar un tratamiento de riesgo apropiado
segn su nivel de aceptacin del riesgo
2.4. Las Medidas de Mitigacin y Proteccin

2.1 AIN
2.4.2 Medidas de
deteccin
2.4.2 Medidas de
deteccin
2.2 Evaluacin del

riesgo
2.4.3 Medidas
correctivas
2.4.3 Medidas
correctivas
Continuidad
del Negocio
2.5 Plan de la
Continuidad
2.5
de la
delPlan
Negocio
Continuidad
del Negocio
2.4.1
2.4.1 Medidas
Medidas
preventivas
preventivas
2.6 Comunicacin
2.6 Comunicacin
Aplicacin de las Medidas de Mitigacin y Proteccin
Medidas
Medidas
Preventivas
Preventivas
Medidas
Medidas de
de
Deteccin
Deteccin
Desastre
Medidas
Medidas
Correctivas
Correctivas
Escenarios de Riesgo y la Seleccin de las Medidas de Mitigacin y

Proteccin
Ejemplo
Escenario
Probabilidad
Impacto
Evaluacin
Medidas de Proteccin y Mitigacin
Fracaso de
los
servicios
pblicos
Posible (3)
Grave (3)
Alto
Redundancia en la proteccin de equipos de aire

acondicionado
de salas tcnicas
Contrato de Intervencin Rpida
Redundancia de las tareas de mantenimiento
Documento de las tareas de mantenimiento
Acceso al
sitio no
autorizado
Regular (4)
Importante
(2)
Alto
Hacer valer el respeto de la poltica de seguridad fsica

Hacer valer el respeto de la poltica de acceso fsico para
las dependencias y los recursos
Vandalismo
internacion
al externo
Posible(3)
Grave (3)
Alto
Redundancia del sistema

Las pruebas peridicas de los equipos de emergencia
Fallo
elctrico
Raro (2)
Importante
(2)
Significativo
Pruebas peridicas de generadores de electricidad

Estar conectados a dos estaciones de
transformadores elctricos
UPS y parada segura de la maquinaria
Utilizacin de equipos con doble fuente de
alimentacin
Contratos de Intervencin Rpida
2.4.1. Aplicacin de Medidas Preventivas
Reducir la probabilidad y el posible impacto

Gestin
Gestin de
de
riesgos
riesgos
Proteccin
Proteccin
fsica
fsica
yy lgica
lgica
Gestin
Gestin del
del
Cambio
Cambio yy de
de la
la
configuracin
configuracin
Medidas preventivas:
- Trabajar de manera pro activa
- Asegurarse de que su preparacin es adecuada
- Desalentar o prevenir la aparicin de problemas
- Debe estar basada sobre la mejora continua
Mantenimiento
Mantenimiento
del
del
equipamiento
equipamiento
2.4.2. Aplicacin de Medidas de Deteccin
Reducir el impacto
Seguimiento
Seguimiento
Alertas
Alertas
Medidas de deteccin:
- Detectar e identificar anomalas
- Dar indicaciones rpida
- No son discriminativas
- Deben ir seguidas de un procedimiento de escalada
Gestin
Gestin de
de
incidentes
incidentes
2.4.3. Aplicacin de Medidas Correctivas
Mitigacin de las consecuencias

Planes
Planes de
de CN
CN yy
RD
RD (Recuperacin
(Recuperacin
ante
ante Desastres
Desastres))
Comunicacin
Comunicacin
Copia
Copia de
de
seguridad
seguridad
Medidas correctivas:
- Trabajar a corto y largo plazo
- Deben seguir la gestin del cambio
- Muy probablemente necesitan la participacin humana
- Debe incorporarse en la mejora continua
Seguimiento
Seguimiento
de
de NoNoconformidades
conformidades
Ejercicio 9
Medidas de mitigacin
Seccin 18
Planes y procedimientos de continuidad del negocio
a.
Desarrollo del plan de continuidad del negocio
b.
Estructura y formato del plan
c.
Contenido del plan de continuidad del negocio
d.
Tipos de planes de continuidad del negocio
e.
Activacin de los diferentes planes
2.5. Planes y Procedimientos de la Continuidad del Negocio
1.
1. Planificar
Planificar

1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
2.
2. Hacer
Hacer
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
2.2 Evaluacin del

Riesgo
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
3.3 Revisin por

la Direccin
Requisitos
Establecer y aplicar procedimientos de continuidad del negocio
La organizacin deber establecer, implementar y mantener procedimientos de
continuidad del negocio para gestionar un evento perturbador y continuar sus
actividades sobre la base de objetivos de recuperacin identificados en el anlisis
del impacto en el negocio .
La organizacin deber documentar los procedimientos (incluyendo arreglos
necesarios) para garantizar la continuidad de las actividades y la gestin de un
incidente perjudicial.
Requisitos
Planes de continuidad del negocio
La organizacin deber establecer procedimientos documentados para responder a
un incidente disruptivo y cmo continuar o recuperar sus actividades dentro de un
tiempo predeterminado. Dichos procedimientos debern atender a las necesidades
de las personas que van a utilizarlos.
Cada plan deber definir:
- Finalidad y alcance;
- objetivos;
- criterios y procedimientos de activacin
- procedimientos de aplicacin;
- funciones, responsabilidades y autoridades;
- requisitos y procedimientos de comunicacin;
- Las interdependencias y las interacciones internas y externas.
- necesidades de recursos; y
- flujo de informacin y procesos de documentacin
Plan de Continuidad del Negocio (PCN)

Objetivos
o El tiempo necesario para ejecutar el plan debe estar dentro o ser igual a RTO
o Abordar la disrupcin del negocio, interrupcin o prdida desde la respuesta

inicial al punto en el que se reanudan las operaciones comerciales normales
o Se basa en las Estrategias de Continuidad del Negocio acordadas y procesos
para la continuidad del negocio y los equipos de recuperacin de recursos
En particular, el plan asigna roles y su rendicin de cuentas, responsabilidad
y autoridad
El plan debe detallar las interfaces y los principios para hacer frente a una serie
de cuestiones clave como, por ejemplo las comunicaciones internas/externas
principales proveedores, entidades externas, servicios de emergencia y los
medios

2.2 Anlisis
de Riesgos
2.5.2 Formato
Y estructura
Del Plan
2.7 Ejercicio y
pruebas
2.7 Ejercicio y
pruebas
Continuidad
del Negocio
2.5.3 Redactar
el/los plan (es)
de CN
2.4 Medidas de
Proteccin
y mitigacin
2.5.4 Redactar
los procedimientos
de CN
2.5.1
2.5.1 Proceso
Proceso del
del
desarrollo
desarrollo del
del
plan
plan
2.6 Comunicacin
2.5.1. Proceso de Desarrollo del Plan de Continuidad del Negocio
4. Recopilar
informacin
1. Nombrar
un
responsable
2. Enfoque y
estrategia
3. Estructura,
5.
Redaccin
Formato,
componentes
6-9 Revisin
8. Uso
7. Publicar
2.5.2. Definir un Formato y Estructura del Plan

Recomendaciones
o
La estructura del PCN debe ser personalizada para satisfacer las necesidades
especficas de la organizacin
o Aunque el seguimiento de una estructura de PCN no es obligatorio, se

recomienda un formato estndar de PCN que permita la aplicacin coherente en
toda la organizacin
o La buena prcticas identifican que un PCN debera ser de diseo modular con
diferentes secciones numeradas / nombradas consecutivamente
Las distintas secciones del PCN proporcionan la oportunidad de formar
documentos separados (denominados: mdulos, secciones o sub planes) que
pueden ser suministrados a las personas y/o equipos sobre la base de saber lo
necesario

Contenido mnimo requerido por la ISO 22301
11
Finalidad
Finalidad yy alcance
alcance
22
Objetivos
Objetivos
33
Criterios
Criterios yy procedimientos
procedimientos de
de activacin
activacin
44
Procedimientos
Procedimientos de
de aplicacin
aplicacin
55
Las
Las funciones,
funciones, responsabilidades
responsabilidades yy autoridades
autoridades
66
Requisitos
Requisitos yy procedimientos
procedimientos de
de comunicacin
comunicacin
77
Las
Las interdependencias
interdependencias yy las
las interacciones
interacciones internas
internas yy externas
externas
88
Recursos
Recursos necesarios
necesarios
99
Flujo
Flujo de
de informacin
informacin yy procesos
procesos de
de documentacin
documentacin
Contenido a excluir del Plan de CN
Los siguientes datos no son esenciales para la invocacin y el funcionamiento del

plan de continuidad del negocio y deberan ser excluidos y mantenidos en
documentos separados:
X
Evaluacin de Riesgos
Anlisis del Impacto en el Negocio (AIN)
Informes de Ejercicios, Ensayos o Pruebas
Proceso de Mantenimiento
Informe de Auditora
Otra informacin y registros no esenciales
Contenido del Plan de Continuidad del Negocio (parte 1)

Ejemplo
Descripcin
1. Descripcin
general del Plan
2. La rendicin de
cuentas,
Responsabilidades y
autoridades
3. Notificacin,
invocacin y
escalada
4. Equipo de GCN
5. contactos
6. Lista de tareas y
ayuda memorias
7. Informacin de
soporte
de la Seccin
Introduccin, propsito (objetivo) del plan, su alcance, objetivos, hiptesis, propiedad del plan,
registro de evento o decisin
Coordinador de la Gestin de la Continuidad del Negocio del Sitio, Jefe de Unidades de Negocio,
Equipo de GCN de la Unidad de Negocio
Procesos de notificacin y/o diagramas de flujo, procesos de invocacin y/o diagrama de flujo, procesos
de escalada y/o diagrama de flujo, procesos de listas de llamadas (rboles de llamadas) (incluyendo una
cascada inversa) y/o diagrama de flujo
Composicin del equipo de GCN, detalles de ubicacin y contacto de centro de comando(s) de GCN,
Mapa de ubicacin del centro(s) de comando de GCN, ubicaciones del centro de comando
Personal interno, contactos externos incluyendo expertos en la materia
Las tareas obligatorias, tareas discrecionales, proceso de seguimiento de finalizacin de tareas
Del personal, lesiones y fatalidades, el bienestar del personal y el asesoramiento, medios y de las relaciones
pblicas, la salud y la seguridad, el enlace con servicios de emergencia, finanzas, asesoramiento jurdico,
proveedores (dentro de la organizacin y los proveedores externos), seguros, la invocacin de servicios
especializados, comunicaciones
Contenido del Plan de Continuidad del Negocio (parte 2)

Descripcin
de
de la
la Seccin
Seccin
8. Las Actividades Criticas de la

Empresa
Calendario
Calendario de
de las
las Actividades
Actividades Criticas
Criticas de
de la
la Empresa
Empresa oo de
de
actividades
actividades de
de apoyo,
apoyo, recuperacin
recuperacin de
de las
las Actividades
Actividades Criticas
Criticas
de
de la
la Empresa
Empresa oo de
de actividades
actividades Criticas
Criticas de
de la
la Empresa
Empresa oo de
de
actividades
actividades de
de apoyo
apoyo (objetivos
(objetivos del
del RTO
RTO yy RPO)
RPO)
Plan
Plan de
de accin,
accin, perfil
perfil de
de recuperacin
recuperacin de
de recursos
recursos de
de la
la GCN,
GCN,
perfil
perfil de
de recuperacin
recuperacin de
de la
la GCN
GCN
9. Ubicacin del sitio de recuperacin

(dentro de la organizacin o proveedor
externo)
Proceso
Proceso de
de invocacin
invocacin y/o
y/o diagrama
diagrama de
de flujo,
flujo, diseado
diseado del
del plan
plan del
del piso
piso
del
del sitio
sitio de
de recuperacin
recuperacin (rea
(rea de
de trabajo),
trabajo), mapa
mapa de
de ubicacin
ubicacin del
del sitio
sitio
de
de recuperacin,
recuperacin, re
re ubicacin
ubicacin de
de personal
personal (incluido
(incluido el
el transporte
transporte yy
alojamiento),
alojamiento),seguridad,
seguridad,correo.
correo.
10. Perfil de los recursos de

recuperacin
Estaciones
Estaciones de
de trabajo
trabajo estndares
estndares decir
decir escritorio,
escritorio, silla,
silla, telfono
telfono yy
ordenador,
ordenador, elel equipo
equipo de
de computacin,
computacin, las
las aplicaciones
aplicaciones de
de software,
software,
conectividad
conectividad de
de las
las tecnologas,
tecnologas, las
las telecomunicaciones,
telecomunicaciones, los
los datos
datos copia
copia
de
deseguridad,
seguridad,documentos/registros
documentos/registrosde
devital
vitalimportancia/nicos
importancia/nicos,,equipos
equipos
de
de oficina,
oficina, equipo
equipo de
de especialistas,
especialistas, suministros
suministros de
de oficina,
oficina, por
por ejemplo
ejemplo
requisitos
requisitos de
de acceso
acceso para
para personas
personas discapacitadas
discapacitadas al
al sitio
sitio de
de
recuperacin
recuperacin
11. Las plantillas de formulario
Orden
Orden del
del Da
Da de
de las
las reuniones,
reuniones, informacin
informacin interna,
interna, registro
registro de
de
decisiones
decisiones yyacciones,
acciones, informe
informe de
deestado
estado de
dela
la lista
lista de
de tareas,
tareas, mensajes
mensajes
telefnicos,
telefnicos,hoja
hojade
declculo
clculode
deacciones
accionesootereas.
tereas.
Apndices
Contratos
ContratosyyAcuerdos
Acuerdosde
deNivel
Nivelde
deServicio,
Servicio,volver
volveraacasa
casa
Tipos de Planes
Descripcin
Plan de continuidad del negocio
Plan de respuesta a incidentes
de la Seccin
Procedimientos documentados que orientan a las organizaciones a responder,
recuperar, reanudar, y restaurar a un nivel definido de funcionamiento tras
interrupciones
Procedimientos documentados que orientan a las organizaciones para responder a un
incidente que pueden ser utilizados para apoyar y mejorar la mitigacin la respuesta y
recuperacin de los trastornos, los efectos de los desastres, o situaciones de emergencia
Plan de respuesta de emergencia
Coordinacin de los procedimientos para minimizar la prdida de vidas o lesiones y proteger a

la propiedad contra daos en respuesta a una amenaza fsica
Plan de gestin de crisis
Coordinacin de los procedimientos para manejar situaciones complejas que representan una
amenaza a los objetivos estratgicos, la reputacin o la existencia de una organizacin
Plan de Recuperacin
Coordinacin de los procedimientos para recuperar y mantener las operaciones criticas de la

empresa, posiblemente en una ubicacin alternativa, en caso de emergencia, fallos del
sistema, o desastres a tiempo para restaurar el funcionamiento normal en el sitio primario
Plan de restauracin
Coordinacin de los procedimientos para recuperar y restaurar las operaciones de la empresa

despus de un desastre, volver a sus actividades normales. Esto puede incluir la limpieza o
reconstruccin de las instalaciones, redes o capacidad operativa
Plan de comunicacin
Proporciona procedimientos par a difundir informes de situacin al personal y al pblico
sensibilizacin
Para garantizar procedimientos para difundir informes de situacin al personal y al

pblico
Plan de pruebas y ejercicios
Para garantizar la eficacia de los planes y procedimientos de continuidad del negocio
Activacin de los Diferentes Planes

Cronologa de la respuesta de incidentes
Tiempo
Desastre
Proteccin y plan
de mitigacin

Plan de respuesta
de emergencia

Plan de recuperacin
Plan de restauracin
Plan de comunicacin
sensibilizacin
Plan de ejercicio y
pruebas
2.5.4. Redaccin de los procedimientos Relacionados con la CN

Procedimiento
Definicin: Forma especificada para llevar a
cabo una actividad o un proceso
La estructura y el formato de los procedimientos
documentados (copia impresa o por
medios
elctricos) deberan ser definidos por
la
organizacin en las siguientes formas: texto,
grficos, tablas, una combinacin
de
los
anteriores, o cualquier otro mtodo apropiado de
la organizacin
Descripcin de las Actividades en el Marco de un Procedimiento

Las 6 palabras (W: W/H en ingls)
1.
2.
3.
4.
5.
6.
Quin
Qu
Cmo
Cundo
Dnde
Por qu
Ejemplo:
El administrador de la red (quin) se asegura de que las copias de seguridad
(qu)se completan mediante la revisin de lo registros de copia de seguridad
(cmo) todas las maanas (cundo). Tras la revisin, llena y firma una lista de
Verificaciones (dnde) que se mantiene para futuras consultas (por qu)
Seccin 19
a.
Supervisin de eventos
b.
Deteccin de incidentes
c.
Valoracin y evaluacin de los incidentes
d.
Activacin de la respuesta a incidentes
e.
Comunicacin de respuesta a incidentes

estructurada
f.
Escalada de los incidentes
g.
Documentacin acerca de un incidente
Requisitos
Estructura de respuesta a Incidentes
La organizacin deber establecer, documentar procedimientos y una estructura de gestin para responder a un
incidente disruptivo utilizando personal con la necesaria responsabilidad, autoridad y competencia para
administrar un incidente.
La estructura de respuesta deber:
a)
Identificar los umbrales de impacto que justifiquen la iniciacin de una respuesta formal,
b)
Evaluar la naturaleza y el alcance de un incidente perjudicial y de sus posibles consecuencias,
c)
poner en marcha una respuesta de continuidad del negocio apropiada;
d)
disponer de procesos y procedimientos para la activacin, operacin, coordinacin y comunicacin
de la respuesta;
e)
Tener recursos disponibles para prestar soporte a los procesos y procedimientos para administrar
un
incidente perjudicial para minimizar el impacto, y
La organizacin deber decidir, con la seguridad de la vida como primera prioridad y en consulta con las partes
interesadas, si comunica o no extremamente informacin acerca de sus riesgos e impactos significativos y
deber documentar su decisin. Si la decisin es comunicarlo, a continuacin, la organizacin deber
establecer y aplicar procedimientos para establecer esta comunicacin externa, las alertas y las advertencias,
incluyendo los medios de comunicacin.
Requisitos
Alerta y comunicacin
La organizacin deber establecer, implementar y mantener procedimientos para:
a)
b)
c)
d)
e)
f)
g)
la deteccin de un incidente,
el seguimiento regular de un incidente,
la comunicacin interna en el seno de la organizacin y recibir, documentar y responder a la
comunicacin de las partes interesadas,
recibir, documentar y responder a cualquier sistema de asesoramiento sobre riesgos nacional
velar por la disponibilidad de los medios de comunicacin durante un incidente disruptivo,
Facilitar la comunicacin estructurada con los equipos de emergencia,
Registrar la informacin de vital importancia sobre el incidente y las medidas adoptadas y las
decisiones que se toman, y lo siguiente tambin deber ser considerado y aplicando en su caso:
- Alerta a partes interesadas potencialmente afectadas por un real o inminente incidente perjudicial;
- Asegurar la inter operabilidad de mltiples organizaciones que responden y el personal;
- Funcionamiento de un servicio de comunicaciones.
La comunicacin y los procedimientos de alerta debern ser ejercidos regularmente.
Plan de Respuesta a Incidentes

Objetivos y contenido comn
El plan de respuesta a incidentes debera integrar procesos y
procedimientos para:
I. El seguimiento de los eventos que pueden provocar incidentes
II. Detectar un incidente
III. Analizar y evaluar un incidente
IV. Declarar una respuesta a incidentes
V . Facilitar la comunicacin estructurada
VI. Escalar un incidente
VII. Documentar y registrar informacin vital acerca de la
incidencia
VIII. Revisin de un incidente
Qu es un Incidente?
o
Definicin: Situacin que pudiera constituir o pudiera redundar en una

interrupcin, una prdida, emergencia o crisis
o Importante no confundir con el uso del trmino incidente en el campo

de la seguridad de la informacin y tecnologas de la informacin:
Una interrupcin no planificada de un servicio (ITIL en ingls)
Un nico o serie de eventos de seguridad de la informacin no deseados o

inesperados que tiene una probabilidad significativa de comprometer las
operaciones comerciales y amenazar la seguridad de la informacin
(ISO 27000)
I. Supervisin de eventos
o
La organizacin debe hacer un seguimiento de los eventos que podran dar

lugar a un incidente
El seguimiento debera estar en consonancia con los escenario

documentados en la evaluacin del riesgo y el AIN
El uso de herramientas de deteccin y el anlisis de tendencias
Compartir e intercambiar con expertos
Advertencias tempranas y los avisos recibidos de
las autoridades, los servicios de emergencia, los
clientes, los medios de comunicacin, etc.
Informe de eventos
Un corte o interrupcin puede ocurrir con o sin previo aviso
o Los eventos pronosticados debera ser comunicados a las partes

interesadas pertinentes
o Ejemplos:
Un aviso de antemano del Servicio Nacional de Meteorologa de que est

previsto un huracn que afectar una determinada zona
Los avisos y advertencias sobre una posible nueva gripe aviar enviados
por la Organizacin Mundial de la salud
Una alerta del CERT (Computer Emergency Response Team) de que un
virus informtico se espera en una fecha determinada
II. Deteccin de incidentes
La organizacin necesita implementar las medidas para

incidentes y recoger la informacin asociada a ellos
Las medidas de deteccin deben estar en lnea
documentadas en la evaluacin del riesgo y el AIN
Alertas en el sistema de TI
Sistema de Alarma
con
detectar
hiptesis
Detector de
Bombas y metal
III. Evaluacin y Valoracin de la Incidencia

Ejemplo de un proceso
Usuario/Fuente
Notificacin de
de un Evento
Grupo de Apoyo a
las Operaciones
Equipo de Respuesta
a incidentes
Equipo de
Gestin de Crisis
Deteccin
Notificacin de
Recopilacin de
Evaluacin de
Decisin
Primera Evaluacin
No
Si
Relevante?
Segunda evaluacin
No
Relevante
Si
Falso Positivo
Comunicaciones
Anlisis forense
Tiempo
No
Respuest
a
inmediata
Si
Respuesta
positiva
Revisin de la
Mejora continua
Incidente
bajo control?
Respuesta
No
Crisis?
Si
Actividades de
crisis
IV. Invocacin de una Respuesta a incidentes

Criterios y procedimientos
o
El plan de CN debera se activado si se cumplen uno o ms de los criterios de

activacin
Si se cumple un criterio de activacin, la autoridad designada debera activar

el plan
Los criterios para la activacin de interrupciones o las disrupciones en el

sistema son nico para cada o organizacin u deberan definirse
Los criterios pueden basarse en:

Magnitud de los daos al sistema (por ejemplo, fsicos, operativos o
costos)
Criticidad del sistema ala misin de la organizacin (p. ej. Activo de
proteccin de infraestructuras crticas)
Duracin prevista de la interrupcin ms larga que el RTO
V. Comunicacin de respuesta a Incidentes
Comunicacin de respuesta a
incidentes
Para ponerse en
personal
contacto con
de emergencia
Para alertar a todas las

partes
interesadas potencialmente
afectadas
por un real o inminente perjudicial
Asegurar la inter operabilidad
de
mltiples organizaciones y personal
de respuesta:
el
Mtodos de notificacin
Las notificaciones se pueden realizar a travs de una variedad de

mtodos, ya sean automtico o manual, entre los que se incluyen:
Telfono
Correo electrnico:
Telfono mvil
Visitar en persona el hogar, etc.
Los sistemas de notificacin automtica siguen protocolos y criterios

establecidos y pueden incluir una rpida aceptacin y autenticacin
y mensajera segura
Los sistemas de notificacin automtica requieren una inversin inicial y una

curva de aprendizaje, pero pueden ser una manera eficaz para algunas
organizaciones para garantizar la rapidez y precisin en la entrega
VI. Escalada de un Incidente

Ejemplo de una escalada de incidentes
to
da
en
Ev
la
ca
Es
Modo
Incidente
OK
Modo
Estndar
Modo
Crisis
OK
Modo de
desastres
da
a
l
ca
Es
VII. Documentacin de un Incidente
Toda la informacin pertinente relacionada con el incidente debera ser registrada,

Incluyendo:
1.
2.
3.
4.
5.
6.
7.
Descripcin del evento

Categora y prioridad
Fecha/hora del registro, escalada, decisin
Los activos y procesos afectados
Grupos o personas afectados por el incidente
Actividades realizadas para resolver el incidente y sus resultados
Las Decisiones tomadas
VIII. Revisin Pos-incidente
En el caso de un incidente que perturba las actividades prioritarias de la

organizacin o que requiere una respuesta a incidentes, debera llevarse a cabo
una revisin pos-incidente. Esto puede incluir:
1. Identificar la naturaleza y la causa del incidente
2. Evaluar la suficiencia de la respuesta de direccin
3. Evaluar la eficacia de la organizacin en el cumplimiento de su objetivo de
tiempo de recuperacin
4. Evaluar la suficiencia de las disposiciones de continuidad del negocio a la
hora de preparar a los empleados en la previsin del incidente
5. Identificar las mejoras que se pueden introducir
6. Compara los impactos reales con los que se consideran en el anlisis del
impacto en el negocio
7. Obtener retro alimentacin de las partes interesadas y de los que han
participado en la respuesta
Seccin 20
Plan de respuesta de emergencia
a.
Qu es una emergencia?
b.
Objetivos de un plan de respuesta de emergencia
c.
d.
Procedimiento de evacuacin
e.
Procedimiento de presentacin de informes de

emergencia
f.
Controles para limitar los impactos durante una emergencia
g.
Controles de deteccin y prevencin
h.
Sensibilizacin, simulacro y capacitacin
Requisitos
Los procedimientos de respuesta debern contener colectivamente:
c) Detalles para gestionar las consecuencias inmediatas de una interrupcin
De una interrupcin del negocio, teniendo en especial consideracin:
1)
2)
3)
el bienestar de las personas

las opciones estratgicas y operativas para responder a la interrupcin; y
la prevencin de prdidas adicionales o indisponibilidad de las actividades
priorizadas
Qu es una Emergencia?
o
Definicin: repentino, urgente, generalmente inesperado suceso o evento que requiere

accin inmediata
Evidentemente, numerosos eventos pueden ser emergencias, entre los que incluyen:
Fuego
Incidente de materiales peligrosos
Inundaciones o riadas
Huracn
Tornado
Tormenta de invierno
Terremoto
Fallo de las comunicaciones
Accidente radiolgico
Disturbios Civiles
Prdida de proveedores o clientes principales
Explosin, etc.
Objetivos de un Plan de Respuesta de Emergencia
1 PRIORIDAD: PROTEGER LA VIDA
o La proteccin de la salud y la seguridad de todos en las instalaciones es la

primera prioridad durante una emergencia
o Las otras prioridades pueden ser:
Proteger el medio ambiente
Limitar la prdida financiera
Proteger la salud y la seguridad de los animales

Proteger registros,
Restaurar las operaciones, etc.
Plan de Respuesta ante Emergencias

Elementos comunes que han de incluirse
I.
II. Procedimiento de evacuacin

III. Procedimiento de presentacin de informes de emergencia
IV. Medidas inmediatas para limitar los impactos durante una situacin de
emergencia
V . Procedimiento de apagado de instalaciones y sistemas
VI. Medidas de deteccin y prevencin
VII. Sensibilizacin, simulacro y capacitacin
I. Funciones y responsabilidades
Coordinador de la Respuesta de Emergencia
o Por lo general, el coordinador de la respuesta de emergencia es el gerente de
las instalaciones
o l est al mando y en control de todos los aspectos de la situacin de
emergencia
Redaccin de los procedimientos de respuesta de emergencia
Aplicar controles preventivos fsicos
Ordenar la evacuacin o el cierre de las instalaciones
Organizar simulacros y ejercicios de evacuacin
II. Procedimiento de Evacuacin

Mejores prcticas
1.
2.
3.
4.
5.
6.
7.
Determinar las condiciones bajo las cuales sera necesaria una evacuacin
Identificar al personal con la autoridad para ordenar la evacuacin. Designar guardianes
de evacuacin para ayudar a otros en una operacin de evacuacin y dar cuenta del
personal
Establecer procedimientos de evacuacin especficos. Establecer un sistema de recuento
del personal. Considerar las necesidades de transporte de los empleados para
evacuaciones en la comunidad
Establecer procedimientos para ayudar a las personas con discapacidad y las personas
que no hablan el idioma local
Redactar procedimientos de pos evacuacin
Designar personal para continuar o cerrar operaciones crticas mientras que una
evacuacin est en curso. Deben ser capaces de reconocer cundo abandonar la
operacin y evacuarse ellos mismos
Coordinar planes con la oficina local de gestin de emergencias
Las Vas y Salidas de Evacuacin

Elementos esenciales con procedimiento de evacuacin
1.
Designar las vas y salidas de evacuacin primarias y secundarias. Tenerlas marcadas

claramente y bien iluminadas. Carteles
2.
Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuacin
3.
Asegurarse de que las rutas de evacuacin y salidas de emergencia son:
Lo suficientemente amplias como para que pueda evacuar el personal

Libres y sin obstculos en todo memento
Sean poco probables de exponer al personal evacuado a peligros adicionales
III. Procedimiento de Presentacin de Informes de Emergencia

Listas de Llamadas de Emergencia
o Las listas (del tamao de una billetera si es posible) de todas las personas en y
fuera de la planta que intervendran para responder a una emergencia, sus
responsabilidades y sus nmeros de telfono disponibles las 24 horas
o Determinar requisitos locales y estatales para la presentacin de informes
sobre las emergencias y a incorporarlos en sus procedimientos
Polica
Cuartel de Bomberos
Compaa de Gas
Los proveedores de telecomunicaciones, etc.
IV. Medidas Inmediatas para Limitar los Impactos

Elementos a tener en cuenta durante una emergencia
o
En la medida de lo posible, quien la descubra deber tratar de asegurar el lugar y el

control del acceso, pero nadie debera colocarse en peligro fsico para realizar estas
funciones
Las medidas de seguridad bsicas incluyen:

Cierre las puertas o las ventanas
Establecer barreras provisorias con muebles despus de que las personas han
evacuado de forma segura
Colocar materiales de contencin (almohadillas absorbentes, etc.) en la ruta de
materiales con fugas
Cerrar los armarios de archivo o los cajones de escritorios
Slo personal capacitado debera poder realizar medidas de seguridad avanzada
El acceso a la planta debera estar limitado a las personas directamente implicadas en la

respuesta
V. Cierre de Instalaciones y Sistemas

Establecer los procedimientos de apagado/cierre
o
El cierre de las instalaciones es generalmente un ltimo recurso, pero siempre es una
posibilidad. El apagado incorrecto o desorganizado puede dar lugar a confusin, lesiones y
daos a la propiedad
o
Algunas instalaciones requieren slo acciones simples, como apagar el equipo, bloqueo
de puertas y activacin de las alarmas. Otros requieren complejos procedimientos de cierre
o
Trabajar con los jefes de departamento para establecer los procedimientos
apagado/cierre. Incluir informacin sobre cundo y cmo apagar las utilidades. Identificar:
Las condiciones que podran exigir el cierre/apagado?
Quin puede ordenar un cierre/apagado
Quin va a llevar a cabo los procedimientos de cierre/apagado
Cmo afectara un cierre parcial a otras operaciones de las instalaciones
El tiempo necesario para apagar y reiniciar
VI. Controles de Prevencin y Deteccin

Algunos ejemplos de las medidas que se pueden aplicar ante una
emergencia
o
Sistema de proteccin contra incendios
Sistemas de proteccin contra rayos
Sistemas de vigilancia del nivel de agua
Dispositivos de deteccin de desbordamiento
Desconexin Automtica
Sistemas de generacin de energa

elctrica de emergencia
VII. Sensibilizacin, Simulacro y Capacitacin

1. Orientacin y sesiones de formacin: Estas son sesiones de discusin programadas regularmente para
proporcionar informacin, responder a sus preguntas y determinar las necesidades y las preocupaciones
2. Ejercicio de Mesa: Los miembros del grupo de gestin de situaciones de emergencia se renen en una
sala de conferencias para hablar de sus y ala manera en que reaccionaran ante situaciones de
emergencia. Esta es una forma eficiente y costo-efectiva para identificar las reas de superposicin y
confusin antes de llevar a cabo las actividades de capacitacin ms exigentes
3. Paseo por el simulacro: El grupo de gestin de situaciones de emergencia y los equipos de respuesta
realmente ponen en prctica sus funciones de respuesta de emergencia. Esta actividad implica, por lo
general ms gente y es ms profunda que la de un ejercicio de mesa
4. Ejercicios funcionales: Estos ejercicios prueban las funciones especificas, tales como respuesta mdica,
las notificaciones de emergencia y procedimientos y equipo de alerta y de comunicaciones, aunque no
necesariamente al mismo tiempo. Al personal se les pide que evalen los sistemas e identifiquen las reas
problemticas
5. Simulacro de Evacuacin: El personal camina la ruta de evacuacin a un rea designada donde se
realizan procedimientos de recuento de todo el personal. Se solicita a los participantes tomar notas s lo
largo de lo que podra convertirse en un peligro durante una emergencia, por ejemplo, las escaleras llenas
de escombros, humo en los pasillos. Los planes se modifican en consecuencia
6. Ejercicio a escala completa: Se simula una situacin de emergencia de la vida real lo ms
estrechamente posible. Este ejercicio involucra personal de respuesta a emergencias, empleados, la
direccin de la empresa y organizaciones de respuesta de la comunidad
Ejercicio 10
Preparacin de las pruebas de auditora para el plan de respuesta
ante emergencias
Seccin 21
a.
Qu es una crisis?
b.
Desarrollo del Plan Gestin de Crisis
c.
Contenidos del Plan Gestin de Crisis
Requisitos
Ningn requisito formal de la norma ISO 22301 (Todos los temas incluidos en un
plan de crisis pueden ser incluidos en los planes)
El plan de crisis suele incorporar el plan de respuesta a incidentes, el plan de

respuesta ante emergencias y el plan de comunicacin en un nico plan
Importante:
Importante: El
El plan
plan yy los
los procedimientos
procedimientos desarrollados
desarrollados
deberan
deberan permitir
permitir responder
responder al
al mismo
mismo tiempo
tiempo de
de una
una
forma
forma coherente,
coherente, integrada
integrada yy complementaria
complementaria
Qu es una crisis?
Situacin con un alto nivel de incertidumbre que afecta las actividades bsicas y/o la
credibilidad de la organizacin y requiere medidas urgentes
Caractersticas de una Crisis
La crisis no siempre implican interrupciones de la actividad empresarial o

amenazas a la vida, a la propiedad, los activos
Sin embargo, casi siempre son reto a la reputacin de una organizacin y su

marca, incluso si es slo a travs de la necesidad de demostrar fortaleza y
liderazgo efectivo
Las crisis pueden llegar a ser altamente politizadas y estar sujetas a un intenso
escrutinio del pblico y de los medios
Plan de Gestin de Crisis

Objetivos y elementos comunes incluidos
El plan de gestin de crisis debera integrar procesos y procedimientos para:
I.
Las funciones, la rendicin de cuentas, la responsabilidad y la autoridad
II. Procedimiento de Emergencia

III. Notificacin, invocacin y escalada
IV. Comit de Crisis y equipos de gestin de crisis
V . Plan de comunicacin de crisis
Gestin de Crisis
Una responsabilidad de la alta direccin
o
Las funciones de la gestin estratgica se amplifican durante una crisis
Es posible que incluyan intervencin directa y liderazgo estratgico decisivo a lo

largo de lneas que no se pueden prever
Incluso pueden incluir reposicionamiento estratgico de la organizacin en su

conjunto, y por ese motivo la gestin de crisis es el dominio de la alta direccin
Esencialmente, los altos directivos, apoyan y respaldan la GCN, pero tienden a

aplicar, conducir y dirigir la gestin de crisis
La Gestin de Crisis lidia con la Complejidad

o
Una gran cantidad de incidentes que pudieran causar trastornos (tornado,

terremoto, etc.) son predecibles y se pueden desarrollar respuestas prepreparadas
Las crisis, por otra parte, se producen a menudo por riesgos que no
haban sido identificados, o por lo menos no se identificaron con la escala y la
intensidad que han presentado
Una crisis tambin puede ser producto de una combinacin imprevista de

riesgos nter dependientes. Se desarrollan de maneras impredecibles, y la
respuesta por lo general requiere soluciones realmente creativas, en
contraposicin a las pre-preparadas,
La gestin de crisis debe ser capaz de hacer frente a problemas que no se

pueden administrar por los procedimientos de GCN, sin importar qu tan bien
desarrollados pueden estar
La Gestin de Crisis lidia con Dilemas
Las crisis estn asociadas con problemas muy complejos, las consecuencias y la
naturaleza de los cuales no ser clara en el momento. Cada solucin posible
puede tener graves consecuencias de una forma u otra
Los administradores pueden tener para elegir la solucin menos mala y puede
que tengan que resolver (o al menos reconocer y aceptar) dilemas estratgicos
fundamentales. Estos pueden significar que cada eleccin viene con una pena
de algn tipo y que no existe una solucin ideal
Comunicacin
Un factor clave de xito
Aun cuando la organizacin se considera que est mal, o censurable, la
manifestacin dela virtud, la integridad y la compasin pueden compensar, en
cierta medida, el dao a su reputacin y prestigio
o
o La buena gestin de crisis puede demostrar las cualidades positivas de la

organizacin y mejorar su reputacin general
Ejercicio 11
Plan de pandemia
Seccin 22
Plan de recuperacin de TI
a.
Objetivos del plan de recuperacin de TI
b.
Activacin del sitio de recuperacin
c.
Traslado al centro de recuperacin y logstica
d.
Suministro de equipos
e.
Procedimiento financieros y administrativos
f.
Recuperacin de telecomunicaciones
g.
Recuperacin de datos y procedimientos de backup
h.
Recuperacin de los servicios y sistemas por prioridad
i.
Procedimiento de recuperacin para cada sistema
Requisitos
La organizacin deber establecer procedimientos documentados para

responder a un incidente disruptivo y cmo continuar o reparar sus
actividades dentro de un tiempo predeterminado. Dichos
procedimientos debern entender a las necesidades de las personas que
van a utilizarlos
El Plan de Respuesta de TI
El plan de recuperacin de TI debera integrar los procesos y
procedimientos para:
I.
La activacin del sitio de recuperacin

II. El traslado al centro de recuperacin y logstica
III. El suministro de equipos
IV. Los procedimientos financieros y administrativos
V . Recuperacin de telecomunicaciones
VI. Recuperacin de datos y procedimientos de backup.
VII. Recuperacin de los servicios y sistemas por prioridad
VIII. Procedimiento de recuperacin para cada sistema
Plan de Respuesta ante Emergencias

Elementos comunes que han de incluirse
I.
II. Procedimiento de evacuacin

III. Procedimiento de presentacin de informes de emergencia
IV. Medidas inmediatas para limitar los impactos durante una situacin de
emergencia
V . Procedimiento de apagado de instalaciones y sistemas
VI. Medidas de deteccin y prevencin
VII. Sensibilizacin, simulacro y capacitacin
I. Funciones y responsabilidades
Coordinador de la Respuesta de Emergencia
o Por lo general, el coordinador de la respuesta de emergencia es el gerente de
las instalaciones
o l est al mando y en control de todos los aspectos de la situacin de
emergencia
Redaccin de los procedimientos de respuesta de emergencia
Aplicar controles preventivos fsicos
Ordenar la evacuacin o el cierre de las instalaciones
Organizar simulacros y ejercicios de evacuacin
II. Procedimiento de Evacuacin

Mejores prcticas
1.
2.
3.
4.
5.
6.
7.
Determinar las condiciones bajo las cuales sera necesaria una evacuacin
Identificar al personal con la autoridad para ordenar la evacuacin. Designar guardianes
de evacuacin para ayudar a otros en una operacin de evacuacin y dar cuenta del
personal
Establecer procedimientos de evacuacin especficos. Establecer un sistema de recuento
del personal. Considerar las necesidades de transporte de los empleados para
evacuaciones en la comunidad
Establecer procedimientos para ayudar a las personas con discapacidad y las personas
que no hablan el idioma local
Redactar procedimientos de pos evacuacin
Designar personal para continuar o cerrar operaciones crticas mientras que una
evacuacin est en curso. Deben ser capaces de reconocer cundo abandonar la
operacin y evacuarse ellos mismos
Coordinar planes con la oficina local de gestin de emergencias
Las Vas y Salidas de Evacuacin

Elementos esenciales con procedimiento de evacuacin
1.
Designar las vas y salidas de evacuacin primarias y secundarias. Tenerlas marcadas

claramente y bien iluminadas. Carteles
2.
Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuacin
3.
Asegurarse de que las rutas de evacuacin y salidas de emergencia son:
Lo suficientemente amplias como para que pueda evacuar el personal

Libres y sin obstculos en todo memento
Sean poco probables de exponer al personal evacuado a peligros adicionales
I. La Activacin del Sitio de Recuperacin
El equipo de recuperacin debera llegar en primer lugar al sitio alternativo para

hacer una evaluacin rpida con el fin de preparar el traslado de los empleados
Con el uso de una lista de comprobacin, se debera verificar y confirmar

estado de los recursos en uso:
HVAC
Equipo y redes de TI
Telecomunicaciones
Copia de seguridad
Espacio de oficina
el
II. Traslado al Centro de Recuperacin y Logstica

Logstica
o Transporte de personal y materiales
o
Apoyo y bienestar del personal
Lista de los proveedores y contratos
Entorno de los trabajadores remotos
III. Suministro de Equipos
Existen tres estrategias bsicas para garantizar una rpida

situacin de los equipos
Suministro
Suministro de
Equipos
Equipos
Acuerdos
con los
proveedores
Inventario
de Equipos
Equipos
Compatibles
Existentes
IV. Compatibilidad y Administracin

La organizacin debera desarrollar los procedimientos financieros y
administrativos para
apoyar las necesidades de la empresa antes,
durante y despus de un incidente
o
Deberan establecerse procedimientos para garantizar que las decisiones

financieras se puedan acelerar y deberan estar en conformidad con os niveles
de autoridad y los principios de contabilidad
o
Los procedimientos deberan incluir, pero no limitarse a, lo siguiente:

Autoridad de finanzas, incluyendo sus relaciones de subordinacin al
coordinador del programa(s)
Acceso a fondos de emergencia
Procedimientos de contratacin de programas
Nminas
Sistemas de contabilidad para llevar un seguimiento y documentar los
costos
V. Recuperacin de Telecomunicaciones
Mtodos
Descripcin
Redundancia
Consiste en proporcionar capacidad adicional con un plan para utilizar el

exceso de capacidad si no se encuentra disponible la capacidad de
transmisin principal normal
Ruta alternativa
Enrutamiento
diverso
Diversidad de
Red larga
distancia
Sistemas de
Comunicacione
s de
Emergencia
Informacin de enrutamiento a travs de un medio alternativo como cables

de cobre o fibra ptica
Enrutamiento del trfico mediante instalaciones de cable partido o de cable
duplicado
Muchos proveedores de instalaciones de recuperacin han proporcionado
diversas redes de larga distancia disponibles
Con el fin de comunicarse entre los miembros del equipo, debera elegirse
un sistema de comunicaciones de emergencia y otras alternativas
VI. Recuperacin de Datos y Procedimientos de Backup

Los componentes clave para restaurar la disponibilidad de la
informacin
o Los procedimientos de copia de seguridad es el componente clave para restaurar la
disponibilidad de la informacin
o Una organizacin debera asegurarse de que la integridad y la confidencialidad de
los datos de la empresa se mantienen mientras se transfieren (ya se electrnica o
fsicamente)
a y desde los centros de recuperacin, sujeto a las obligaciones
contractuales con organizaciones
o Para garantizar la recuperacin de datos, una poltica, una estrategia y procedimientos de
copias de seguridad, necesitan abordar las propiedades sealadas en el AIN. Entre los
temas que una poltica y procedimientos de copias de seguridad deberan resolver estn:
A qu datos hay que hacerles copia de seguridad
Cmo se caratula
durante cunto tiempo se mantiene
Cmo se prueban las copias
Con qu frecuencia se realizan backups
Dnde se almacenan los medios
Que tan rpidamente pueden ser recuperados los medios
Quin est autorizado a recuperar los medios
Cmo se restablecen
Copia de seguridad
Principales soluciones
1.
1. Red
Red de
de rea
rea de
de Almacenamiento
Almacenamiento
2.
2. Duplicacin
Duplicacin
Gracias
Gracias aa la
la virtualizacin
virtualizacin del
del almacenamiento,
almacenamiento,
se
combinan
varios
dispositivos
de
se
combinan
varios
dispositivos
de
almacenamiento
almacenamiento en
en un
un solo,
solo, lgico,
lgico, sistema
sistema de
de
almacenamiento
almacenamiento virtual
virtual
Con
Con la
la duplicacin
duplicacin de
de los
los discos
discos oo las
las imgenes
imgenes
de
recuperacin,
se
ha
optimizado
de recuperacin, se ha optimizado la
la
recuperacin.
recuperacin. Los
Los datos
datos se
se escriben
escriben en
en dos
dos
discos
discos yy proporciona
proporciona una
una alta
alta disponibilidad
disponibilidad
3.
3. Procesamiento
Procesamiento distribuido
distribuido
4.
4. Almacenamiento
Almacenamiento electrnico
electrnico
Los
Los servicios,
servicios, que
que se
se encuentra
encuentra en
en la
la misma
misma oo
en
en mltiples
mltiples ubicaciones,
ubicaciones, se
se configuran
configuran con
con
equilibrio
de
carga
y
agrupamiento
para
procesar
equilibrio de carga y agrupamiento para procesar
las
las solicitudes
solicitudes yy los
los datos
datos de
de intercambio
intercambio
Con
Con el
el almacenamiento
almacenamiento electrnico,
electrnico, se
se realiza
realiza
una
una copia
copia de
de seguridad
seguridad de
de los
los datos
datos aa las
las
unidades
remotas
que
se
encuentran
fuera
de
las
unidades remotas que se encuentran fuera de las
instalaciones
instalaciones mediante
mediante enlaces
enlaces de
de comunicacin
comunicacin
de
alta
calidad
de alta calidad
5.
5. Diario
Diario Remoto
Remoto
6.
6. Archivos
Archivos de
de medios
medios
Las
Las publicaciones
publicaciones remotas,
remotas, las
las transacciones
transacciones oo
archivos
de
diarios
son
transmitidos
archivos
de
diarios
son
transmitidos
peridicamente
a
las
unidades
remotas
peridicamente a las unidades remotas que
que se
se
encuentran
encuentran fuera
fuera del
del sitio
sitio
Otro
Otro es
es grabar
grabar archivos
archivos aa medios
medios de
de copia
copia de
de
seguridad
y
transportarlos,
a
una
ubicacin
fuera
seguridad y transportarlos, a una ubicacin fuera
del
del sitio
sitio
Alineacin de la Estrategia de Copia de Seguridad

Con RPO y RTO
Propiedad
Descripcin
Propiedad baja algn tipo de interrupcin

con poco impacto, dao o perturbacin de
la organizacin
Copia de seguridad: Copia de seguridad en

cinta
Estrategia: Reubicar o sitio fro
Propiedad importante o moderada

cualquier sistema que, si perturbado,
podra causar un problema moderado a la
organizacin y posiblemente a otras redes
o sistemas
De importancia fundamental o prioridad
alta- el dao o perturbacin a estos
sistemas puede provocar el mayor impacto
sobre la organizacin, misin y otras redes
y sistemas
Copia de seguridad: Duplicidad

seguridad ptica de WAN/VLAN
de
Estrategia. Sitio Fro o Tibio
Copia de seguridad: Sistemas reflejados y

duplicacin de discos
Estrategia: Sitio Caliente
Copia de seguridad
Ubicacin y almacenamiento
Copia de seguridad
Puede ser almacenada en
varios lugares, cada
uno
cumpliendo
un propsito
diferente
Cuando son transportados,
los medios deberan ser
garantizados
VII. Recuperacin de los Servicios y Sistemas por Prioridad
Sobre la base de las prioridades de las operaciones predeterminadas en el anlisis

de impacto, una organizacin debera priorizar los servicios y los sistemas a
restaurar por prioridad, ampliamente teniendo en cuenta la extensin de los daos
en el equipo, la disponibilidad real de personal y los posibles avances de la
recuperacin
rity
o
i
Pr
!
hdna
adjhu
jhj na sticas
Ckde
er
caract
VIII. Procedimiento de recuperacin para cada Sistema
En el plan de recuperacin, debera estar disponible un procedimiento de

recuperacin para restaurar cada sistema en el mbito del SGCN con:
Una lista de la secuencia de operaciones a restaurar
Requisitos del sistema para restaurar

Tiempo estimado para cada operacin
o
Se describen los procedimientos de recuperacin por equipo se deberan

realizar en la secuencia que se presenta para mantener un eficiente esfuerzo
de recuperacin
Seccin 23
Plan de restauracin
a.
Los objetivos del plan de restauracin
b.
Asegurar los sitios
c.
Evaluacin de daos y seguros
d.
Plan de restauracin y asignacin de recursos
e.
Limpiar el sitio y restaurar la infraestructura
f.
Sistemas y recuperacin de datos TI
g.
Pruebas y validacin
h.
Traslado al sitio principal
i.
Recompensa y reconocimiento del personal
Requisitos
No hay ningn requisito formal de la norma ISO 22301

Para establecer un plan de restauracin
Plan de Respuesta ante

El Plan de restauracin debera integrar los procesos y procedimientos para:
I.
Asegurar los sitios
II. Evaluacin de daos y de seguros

III. Plan de restauracin y asignacin de recursos
IV. Limpiar el sitio y restaurar la infraestructura
V . Sistema y recuperacin de datos de TI

VI. Pruebas de validacin
VII. Traslado al sitio principal
VIII. Recompensa y reconocimiento del personal
I. Asegurar los Sitios

Primer paso
En caso de un desastre, el sitio primario puede ser vulnerable a los fraudes,
saqueos, vandalismo, etc.
o
Las obras de restauracin deben ser protegidas para evitar acceso fsico no
autorizado
La planificacin debera considerar cmo asignar o contratar guardias de

seguridad
II. Evaluacin de Daos y de Seguros
Evaluacin de daos
Contacto con el seguro
III. Plan de Restauracin y la Asignacin de Recursos
Despus de revisar la informacin sobre la magnitud de los daos y sus

repercusiones en el funcionamiento, recolectados por los equipos de respuesta de
emergencia y de continuidad, la alta direccin debera seleccionar las medidas que
han de adoptarse y especificar los hitos de restauracin, y el nivel de asignacin de
recursos
IV. Limpiar el Sitio y Restaurar la Infraestructura
Limpiar el sitio
Reconstruir la
instalacin y
Restaurar la
infraestructura
V. Recuperacin de los Sistemas de TI y de Datos
Restauracin de la
Infraestructura de TI
Restauracin de datos
VI. Pruebas y Validacin
Prueba y validacin de datos
Las pruebas y la validacin de datos es el proceso de prueba y validacin de

datos para asegurarse de que los archivos de datos o bases de datos se han
recuperado completamente en la ubicacin permanente
Pruebas y validacin de la funcionalidad

Pruebas de validacin de la funcionalidad es el proceso de verificar que la
funcionalidad ha sido probada, y el sistema est listo para volver a la normalidad
de las operaciones. Proporcionar prueba de funcionalidad del sistema y/o los
procedimientos de validacin para asegurar que el sistema est en
funcionamiento
VII. Traslado al Sitio Principal
Restaurar
Restaurar el
el funcionamiento
funcionamiento normal
normal
Declaracin
Declaracin de
de fin
fin del
del incidente
incidente oo crisis
crisis
Cierre
Cierre del
del sitio
sitio de
de recuperacin
recuperacin
Informes
Informes de
de comentarios
comentarios yy de
de pos-recuperacin
pos-recuperacin
VIII. Recompensa y Reconocimiento del Personal
Cuando termina un incidente, es importante que el personal que particip en la

respuesta a incidentes reciba cierto grado de recompensa o reconocimiento
Todo el personal afectado por el incidente tiene que saber que va a haber
cambios como resultado del incidente, que ha habido aprendizaje
para
asegurarse de que no se repita
o
Las personas que han trabajado ms all de sus horas de trabajo y que han
tomado tareas adicionales deberan ver sus esfuerzos reconocidos de
alguna manera
o
Esto puede hacerse de manera informal o formal. Por lo general es muy

positiva la participacin de los gerentes y directores en un proceso formal de
reconocimiento
Seccin 24
Plan de comunicacin
a.
Principios de una eficaz estrategia de comunicacin
b.
Proceso de Comunicacin de CN
c.
Establecer objetivos de comunicacin
d.
Identificar las partes interesadas
e.
Planificar las actividades de comunicacin
f.
Planificar de la comunicacin de una crisis
g.
Realizar una actividad de comunicacin
h.
Evaluar la comunicacin
2.6. Plan de Comunicacin
1.
1. Planificar
Planificar

1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
2.
2. Hacer
Hacer
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
2.2 Evaluacin del

Riesgo
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
3.3 Revisin por

la Direccin
Requisitos
ISO 22301, clusula 7.4 y 8.4.3
7.4 Comunicacin
La organizacin deber determinar la necesidad de comunicacin interna y externa respecto del SGCN
incluyendo:
a) Contenido de la comunicacin.
b) Cuando comunicar, y
c) A quin se va a comunicar.
La organizacin deber establecer, implementar y mantener procedimiento(s) para :
Comunicacin interna entre las partes, interesadas y empleados dentro del a organizacin,
Comunicacin externa con los clientes, las entidades asociadas, la comunidad local, y otras
partes interesadas, incluidos los medios de comunicacin,
Recibir, documentar y responder a la comunicacin de las partes interesadas.
Adaptar e integrar a nivel nacional o regional un sistema de asesoramiento ante amenazas, o
equivalente
a los efectos de la planificacin y el uso operacional, cuando corresponda.
Garantizar la disponibilidad de los medios de comunicacin durante un incidente disruptivo.
Facilitar una comunicacin estructurada con las autoridades competentes y asegurar la inter
operabilidad de mltiples organizaciones y personal, cuando corresponda, y
Operar y probar las capacidades de las comunicaciones para su uso durante las interrupciones
de las comunicaciones normales.

5. Plan y
procedimiento de la
Continuidad
del Negocio
2.6.4 Realizar una

actividad de
comunicacin
2.6.1
2.6.1 Establecer
Establecer
objetivos
objetivos de
de
Comunicacin
Comunicacin
2.6.2
2.6.2 Identifica
Identifica
las
Partes
las Partes
Interesadas
Interesadas
2.6.5 Evaluar
la comunicacin
2.7 Capacitacin y
sensibilizacin
2.6.3 Planificar
las actividades de
comunicacin
Principios de una Eficaz Estrategia de Comunicacin
Transparencia
Transparencia
Hacer
Hacer que
que todos
todos los
los procesos,
procesos, procedimientos,
procedimientos, mtodos,
mtodos, fuentes
fuentes de
de datos
datos yy supuestos
supuestos utilizados
utilizados en
en
la
comunicacin
estn
disponibles
para
todas
las
partes
interesadas,
teniendo
en
cuenta
la
la comunicacin estn disponibles para todas las partes interesadas, teniendo en cuenta la
confidencialidad
confidencialidad de
de la
la informacin
informacin segn
segn se
se requiera
requiera
Idoneidad
Idoneidad
Hacer
Hacer que
que la
la informacin
informacin proporcionada
proporcionada en
en las
las partes
partes interesadas
interesadas sea
sea pertinente,
pertinente, utilizando
utilizando
formatos,
formatos, el
el idioma
idioma yy los
los medios
medios que
que cumplan
cumplan con
con sus
sus intereses
intereses yy necesidades,
necesidades, para
para que
que puedan
puedan
participar
plenamente
participar plenamente
Credibilidad
Credibilidad
Comunicar
Comunicar con
con una
una conducta
conducta honesta
honesta yy justa,
justa, yy proporcionar
proporcionar informacin
informacin que
que sea
sea veraz,
veraz, exacta
exacta yy
sustantiva.
sustantiva. Desarrollar
Desarrollar la
la informacin
informacin yy datos
datos con
con mtodos
mtodos ee indicadores
indicadores reconocidos
reconocidos yy
reproducibles
reproducibles
Respuesta
Respuesta
55
Responder
Responder aa las
las preguntas
preguntas yy preocupaciones
preocupaciones de
de las
las partes
partes interesadas
interesadas de
de forma
forma plena
plena yy oportuna.
oportuna.
Hacer
Hacer conscientes
conscientes aa las
las partes
partes interesadas
interesadas de
de cmo
cmo se
se han
han abordado
abordado sus
sus preguntas
preguntas ee inquietudes
inquietudes
Claridad
Claridad
Asegurar
Asegurar que
que los
los mtodos
mtodos de
de comunicacin
comunicacin yy el
el lenguaje
lenguaje son
son comprensibles
comprensibles para
para las
las partes
partes
interesadas
para
minimizar
la
ambigedad
interesadas para minimizar la ambigedad
Proceso de Comunicacin de la CN
ORGANIZACIN
Otros principios
Corporativos,
Polticas y estrategias
Poltica de comunicacin de la continuidad del negocio
Estrategia de comunicacin de la Continuidad del Negocio

Establecer
objetivos
Identificar
las partes
interesadas
Tener en cuenta las

Cuestiones
relativas
a los recursos
Las actividades de comunicacin de la continuidad del negocio

Evaluar
Grupos
objetivo
Planificar
Realizar
Principios de la comunicacin
Partes
Interesadas
Poltica de continuidad
del negocio
2.6.1. Establecer Objetivos de Comunicacin

Ejemplos
o
Mejorar la credibilidad y la reputacin de la organizacin
o Establecer dilogo constante sobre cuestiones de la continuidad del negocio

con las partes interesadas
o Cumplir con los requisitos legales aplicables y otros requisitos que la
organizacin suscriba
o
Influir en la poltica pblica sobre problemas de continuidad del negocio
Proporcionar informacin y fomentar la comprensin de las partes interesadas

acerca de las actividades de la continuidad del negocio
Cumplir con las expectativas de las partes interesadas sobre informacin de la

2.6.2. Identificar las Partes Interesadas

Para adaptar el plan de comunicacin
Medios de
comunicacin
Proveedores
Inversores
Empleados
Comunidades
Clientes
2.6.3. Planificar las Actividades de Comunicacin

Claves para el xito
Una organizacin debera decidir qu es lo que pretende conseguir con
una actividad de comunicacin de la continuidad del negocio
o
o
Se deberan establecer objetivos compatibles con los objetivos de
comunicacin de la continuidad del negocio y que sean
especficos,
mensurables, alcanzables, realistas y con plazos
o Esto permitir que la organizacin evale la actividad de
comunicacin
de la
continuidad del negocio y determine si el
objetivo se ha cumplido,
o no
o La organizacin debera prever problemas de continuidad de negocio
inters para las partes interesadas
de
Planificar la Comunicacin de una Crisis
Aunque la comunicacin de la continuidad del negocio es importante en todo

momento, es particularmente importante durante las crisis y las emergencias
de continuidad del negocio
o
La organizacin debera identificar las posibles crisis y emergencias, y
planificar la adecuada comunicacin de la continuidad del negocio
o
La planificacin debera abordar informacin

pertinentemente para dar respuesta a las situaciones
potenciales y reales de emergencia y crisis
2.6.4. Realizar una Actividad de Comunicacin

Mtodos y herramientas de comunicacin
Sitio Web
Artculos de prensa
Visitas guiadas a la
organizacin
Informes
Comunicados de
prensa
Talleres
Y Conferencias
Folletos &
Boletines
Anuncios
Entrevistas con los

Medios
Carteles
Reuniones Pblicas
Presentacin a los
grupos
Correos electrnicos
Grupos de enfoque
y encuestas
Medios sociales
Ejemplo de Actividades de Comunicacin

Invitacin a visitas y medios de comunicacin durante un ejercicio
o
Los visitantes pueden tomar una funcin ms o menos formal de observador
Se invita ocasionalmente a los medios de comunicacin a informar sobre

ejercicios (pero su presencia tambin puede ser peligrosa)
2.6.5. Evaluar la comunicacin

o
Una organizacin debera permitir tiempo suficiente para que la comunicacin de

la continuidad del negocio sea eficaz
El tiempo necesario depende de la naturaleza de la comunicacin, el nmero de

partes interesadas y sus preocupaciones, y el tipo de soporte utilizando
La organizacin debera revisar y evaluar la eficacia de su comunicacin de la

Comunicacin y Reportes
Ejemplo de un formulario
Nombre del
proyecto
Responsable
Nmero de
proyecto
Nombre
Comunicacin
Enfoque de la
comunicacin
Inters y temas principales
Estado Actual (Partidario/
Natural/Oponente
Apoyo deseado
(Alto/Medio/Bajo)
Funciones prevista en el
Proyecto
(si existe)
Medidas previstas
Avisos Necesarios
Acciones y otros canales de
comunicacin
Nombre del interesado 1
Fecha
01.02.2015
Ejercicio 12
Comunicacin de una crisis
Da 3
Implementador Lder
Curso de Capacitacin para Implementador Lder Certificado en la

ISO 22301
Seccin 25
Pruebas y ejercicios
a.
Definicin
b.
Definicin de la estrategia de ejercicios y pruebas
c.
Creacin de un plan de ejercicios y pruebas
d.
Creacin de escenarios de ejercicios y pruebas
e.
Programa de ejercicios y pruebas
f.
Determinar los objetivos de los ejercicios/pruebas
g.
Realizar una actividad de ejercicios y pruebas
h.
Evaluacin de una actividad de ejercicios y de pruebas
i.
Informe de Ejercicios/Pruebas
2.7. Pruebas y ejercicios
1.
1. Planificar
Planificar

1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
2.
2. Hacer
Hacer
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
2.2 Evaluacin del

Riesgo
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
3.3 Revisin por

la Direccin
Requisitos
La organizacin deber ejercitar y probar sus procedimientos de continuidad del negocio para
garantizar que son coherentes con sus objetivos de continuidad del negocio.
La organizacin deber llevar a cabo ejercicios y pruebas que:
a)
Estn en consonancia con el alcance y los objetivos del SGCN,
b)
Se basan en escenarios adecuados que estn bien planificados con metas y
objetivos claramente definidos,
c)
Tomados en conjunto en el tiempo validen la totalidad de los planes de
continuidad de su negocio, que involucren a las partes interesadas,
d)
Reducen al mnimo el riesgo de interrupcin de las operaciones,
e)
Producen informes pos-ejercicio formalizados que contengan los resultados,
recomendaciones y acciones para implementar las mejoras,
f)
Son revisados en el contexto de la promocin de la mejora continua y
g)
Se llevan a cabo a intervalos planificados y adems cuando hay cambios
significativos dentro de la organizacin o para el medio ambiente en el que
opera.
Ejercicio
Proceso para capacitar, evaluar,
practicar, y mejorar el
rendimiento de una organizacin
Prueba
nico y
ejercicio,
elemento
de
aprobar dentro
objetivos del
previsto
particular tipo de
que incorpora un
expectativa
de
del objetivo o los
ejercicio que est
Nota: Los ejercicios pueden ser utilizados para: validar las polticas, planes,
procedimientos, capacitacin, equipamiento y acuerdos inter-organizacionales;
aclarando y capacitando al personal en funciones y responsabilidades; mejorar la
coordinacin inter institucional, y las comunicaciones; identificar las deficiencias en
materia de recursos; mejorar el desempeo individual; e identificar las oportunidades
de mejora
Por qu Evaluar Planes de Continuidad del Negocio?

Objetivos de los ejercicios y pruebas
Capacitacin
Capacitacin del
del personal
personal en
en la
la utilizacin
utilizacin de
de planes
planes de
de CN
CN
Ganar
Ganar adeptos
adeptos en
en todas
todas las
las reas
reas de
de negocio
negocio
Probar
Probar la
la adecuacin,
adecuacin, exactitud
exactitud yy veracidad
veracidad de
de los
los actuales
actuales planes
planes de
de
recuperacin
recuperacin
Probar
Probar los
los componentes
componentes de
de elementos
elementos tcnicos
tcnicos
Mejorar
Mejorar procedimientos
procedimientos de
de recuperacin
recuperacin del
del negocio
negocio
Capacitacin
Capacitacin del
del personal
personal en
en la
la utilizacin
utilizacin de
de planes
planes de
de CN
CN
Asegurar
Asegurar que
que todos
todos los
los aspectos
aspectos del
del negocio
negocio estn
estn cubiertod
cubiertod

2.6 Comunicacin
2.7.1
2.7.1 Definicin
Definicin
de
la
de la estrategia
estrategia
2.7.4 Programa de
ejercicios y
pruebas
2.7.5 Seleccin
De objetivos
De ejercicio/prueba
2.7.8
2.7.8 Informe
Informe de
de
Ejercicio/Prueba
Ejercicio/Prueba
3.1 Supervisin,
Medicin, anlisis y
3.1evaluacin
Supervisin,
Medicin, anlisis y
evaluacin
2.7.2
2.7.2 Plan
Plan de
de
ejercicios
ejercicios &&
pruebas
pruebas
2.7.3.
2.7.3. Creacin
Creacin de
de
escenarios
escenarios
27.6 Realizar una

actividad de
ejercicio/prueba
2.7.7
2.7.7 Evaluacin
Evaluacin
de
una
de una actividad
actividad
de
de ejercicio/prueba
ejercicio/prueba
3.2 Auditoria
interna
3.3 Revisin
por la Direccin
2.7.1. Definicin de la Estrategia de Ejercicios y Pruebas

Proceso
Proceso de
de
revisin
revisin
Simulacin de recuperacin
Componente
Componente
Integrado
Integrado
Operacional
Operacional
Servicio
En operaciones
Familiarizacin
Familiarizacin
Comprobacin
Comprobacin yy tutorial
tutorial
del
del proceso
proceso
de
de invocacin
invocacin yy
recuperacin
recuperacin
Pruebas
Pruebas // ejercicios
ejercicios
de
de cada
cada proceso
proceso
O
O competen
competen de
de la
la
infraestructura
infraestructura
Pruebas
Pruebas // ejercicios
ejercicios
de
de recuperacin
recuperacin del
del
Servicio
Servicio integral
integral
Aumentar la confianza y la capacidad de

recuperacin
Servicios
Servicios integrales
integrales de
de
conmutacin
conmutacin entre
entre el
el
Sitio
Sitio principal
principal yy el
el
secundario
secundario
2.7.2. Creacin de un Plan de Ejercicios y Pruebas
El plan de ejercicios y pruebas debera estar documentado a fin de proporcionar la

base para una auditora, incluyendo:
1. Funciones y responsabilidades
2. Frecuencia de los ejercicios y pruebas
3. mbito de aplicacin del plan, incluyendo localidades, reas de negocio,
etc.
4. Los riesgos generales que se deben administrar
5. Los recursos necesarios para ser eficaz
6. La competencias delas personas que ejercen la actividad
7. Los informes sobre las actividades
8. La firma de la alta direccin
2.7.3. Creacin de Escenarios de ejercicios y Pruebas
Tipo
Tipo de
de ejercicio
ejercicio
Qu
Qu es?
es?
Beneficio
Beneficio
Desventajas
Desventajas
Lista
Lista de
de control
control
Distribuye
Distribuye planes
planes para
para su
su
revisin
revisin
Asegura
Asegura que
que el
el plan
plan aborda
aborda
todas
las
actividades
todas las actividades
No
No aborda
aborda la
la
eficacia
eficacia
Tutorial
Tutorial
estructurado
estructurado
Examina
Examina detenidamente
detenidamente
Cada
Cada paso
paso del
del PCN
PCN
Asegurar
Asegurar que
que las
las actividades
actividades
Previstas
se
describen
Previstas se describen con
con
exactitud
exactitud en
en el
el PCN
PCN
Bajo
Bajo valor
valor para
para
demostrar
capacidad
demostrar capacidad
de
de respuesta
respuesta
Simulacin
Simulacin
Escenario
Escenario para
para representar
representar
Procedimientos
Procedimientos de
de
recuperacin
recuperacin
Sesin
Sesin de
de prctica
prctica
Cuando
Cuando los
los
subconjuntos
subconjuntos son
son
muy
muy diferentes
diferentes
Paralelo
Paralelo
Prueba
Prueba completa,
completa, pero
pero las
las
Operaciones
no
Operaciones no se
se
detienen
detienen
Garantizar
Garantizar un
un alto
alto nivel
nivel de
de
Fiabilidad
sin
interrumpir
Fiabilidad sin interrumpir las
las
Operaciones
Operaciones normales
normales
Caro,
Caro, ya
ya que
que todo
todo el
el
personal
est
personal est
involucrado
involucrado
Interrupcin
Interrupcin
total
total
El
El desastre
desastre se
se replica
replica al
al punto
punto
de
que
cesen
las
de que cesen las
Operaciones
Operaciones normales
normales
Prueba
Prueba ms
ms fiable
fiable del
del PCN
PCN
Arriesgada
Arriesgada
Tipo de Escenarios de Prueba para el Sistema de TI

Objetivo
Valida
Valida que
que los
los equipos
equipos yy
sistemas
sistemas se
se ajustan
ajustan aa las
las
especificaciones
y
que
especificaciones y que
operan
operan en
en los
los entornos
entornos
requeridos,
y
que
requeridos, y que los
los
procedimientos
procedimientos yy los
los
procesos
procesos son
son viables.
viables.
Prueba
Prueba
Esttica
Prueba
Funcional
Prueba
Dinmica
2.7.4. Programa de Ejercicios y Exmenes
Departamento/Proceso/Sistema
Recursos humanos
Prueba
Esttica
Finanzas
Adquisiciones
Ventas
CRM
Dinmica
Sistema de correo
electrnico
Funcional
Lista de
control
Tutorial
Simulacin
Ejercicio
Paralelo
Interrupcin
total
2.7.5. Determinar los Objetivos de los Ejercicios/Pruebas

Recomendaciones
Para asegurar que un ejercicio no provoca incidentes o debilita la capacidad de
prestacin de servicios, el ejercicio debera ser cuidadosamente planeado para
reducir al mnimo el riesgo de que ocurra un incidente como consecuencia
directo del ejercicio
o
o Los ejercicios deberan ser realistas y cuidadosamente planificados y

acordados con las partes interesadas, de modo de que exista un mnimo riesgo
de interrupcin de los procesos empresariales
La escala y la complejidad de los ejercicios deberan ser adecuadas a los
objetivos de recuperacin de la organizacin
o
2.7.6. Realizar una Actividad de Ejercicio/Prueba

El ejercicio debera realizarse en el momento oportuno que mejor responde a los
objetivos del evento, y:
partes
Causa el nivel mnimo de perturbacin a la organizacin y a las

interesadas
el
Cuando el nmero apropiado de participantes requeridos para apoyar

ejercicio est disponible
Cuando los lugares fsicos, activos, equipos o instalaciones estn

disponibles para su uso en el ejercicio
Detener o Suspender el Ejercicio
Detener o Suspender
Hay ejercicios que se pueden

detener o suspender, antes de la
hora programada por una serie de
razones, incluso cuando se plantea
un incidente real
Esta decisin de detener o

suspender el ejercicio debera ser
adoptada por el coordinador del
ejercicio, que debera estar en
posesin
del
estado
de
las
actividades desarrolladas en el
ejercicio
y
poder
decidir
el
momento ms seguro para detener
las actividades
Algunas organizaciones utilizan

palabras clave para lograr esto
Documentacin de Ejercicios/Pruebas
Lista estndar
1. Escenarios de Prueba
2. Razones par ala prueba
3. Objetivos de la prueba
4. Tipos de pruebas
5. Cronograma de pruebas
6. Duracin de la prueba
7. Pasos especficos de la prueba
8. Quines sern los participantes
9. Las asignaciones de las tareas de la prueba
10. Los recursos y servicios necesarios
11. Medicin del xito o el fracaso de las pruebas
2.7.7. Evaluacin de una Actividad de Ejercicio/ Prueba

Los informes pos ejercicios deberan cubrir:
Tiempo
Suma
Tiempo real de ejecucin de las tareas previamente determinadas vs. El

tiempo planificado
Suma del trabajo realizado vs. El trabajo planificado
Nmero
Cantidad de transacciones y registros realizados con xito vs. La cantidad

planificada
Recomendaciones
Precisin de la entrada de datos en la instalacin de reserva comparada

con la precisin normal vs. La planificad
Precisin
Lecciones
aprendidas
Identificacin de errores y comisiones
Lo que hay que aplicar para mejorar el PCN
2.7.8. Informe de Ejercicios/ Pruebas

Ejemplo
Dificultades / Problemas
Durante el ejercicio/prueba
Razones/Causas
Cogniciones (Lecciones
Aprendidas)
<Texto>
<Texto>
<Texto>
<Texto>
Qu ha funcionado
Durante la prueba?
Qu no funcion
Durante la prueba?
Curso de Capacitacin para Implementador Lder Certificado en la

ISO 22301
Seccin 26
Supervisin, medicin, anlisis y evaluacin
a.
Proceso de supervisin, medicin, anlisis y evaluacin
b.
Determinar los objetivos de la medicin
c.
Objetivo de la supervisin y de la medicin
d.
Determinacin de la frecuencia y del mtodo
e.
Presentacin de los resultados
f.
Tablero del SGCN
3.1. Supervisin, Medicin, Anlisis y Evaluacin del SGCN
1.
1. Planificar
Planificar

1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
2.
2. Hacer
Hacer
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
2.2 Evaluacin del

Riesgo
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
3.3 Revisin por

la Direccin
Requisitos
9.1 Supervisin, medicin, anlisis y evaluacin
9.1.1 Generalidades
La organizacin deber determinar:
a)
Lo que debe ser medio controlado
b)
Los mtodos de vigilancia, medicin, anlisis y evaluacin, en su caso, para
asegurar resultados vlidos;
c)
Cundo el seguimiento y la medicin debern ser llevados a cabo;
d)
Cundo debern llevarse a cabo el anlisis y la evaluacin del monitoreo y los
resultados de las mediciones.
La organizacin deber conservar la informacin apropiada documentada como evidencia de los
resultados.
La organizacin deber evaluar el rendimiento del SGCN y la eficacia del SGCN.
Adems la organizacin deber:
- Tomar medidas cuando sea necesario abordar las tendencias adversas o los
resultados
antes de que se produzcan una no conformidad
Conservar la informacin apropiada documentada como evidencia de los
resultados
-
Definiciones
segn la ISO 22301
Supervisin (3.29)
Determinar el estado de un sistema,
un proceso o actividad
Medida (3.27)
Proceso para determinar un valor
Evaluacin del Rendimiento (3.36)

Proceso de determinar resultados
mensurables
Proceso de Supervisin, Medicin, Anlisis y Evaluacin

El objetivo principal es la mejora del SGCN
Objetivo A
Objetivo B
Objetivo C
REVISIN Y
MEJORA
OBJETIVO DE MEDICIN
TABLERO
Atributo A
Indicador de rendimiento A
Atributo B
Indicador de rendimiento B
Atributo C
Indicador de rendimiento C
3.1. Supervisin, Medicin, Anlisis y Evaluacin del SGCN

Lista de Actividades
2. Implementacin
del SGCN
(Hacer)
3.1.4 Creacin de
paneles
3.1.4 Creacin de
paneles
3.1.1
3.1.1 Objetivos
Objetivos
de
medicin
de medicin
3.2 Auditoria
Interna
3.2 Auditoria
Interna
3.1.2
3.1.2 Objetivos
Objetivos de
de
Supervisin
Supervisin yy
Medicin
Medicin
3.3 Revisin
por la Direccin
3.3 Revisin
por la Direccin
3.1.3
3.1.3 Creacin
Creacin
de
indicadores
de indicadores
3.1.1. Determinacin de los Objetivos de medicin
Objetivos de la Medicin
La norma no indica lo que debe ser objetivo de
supervisin o medicin
Corresponde a la empresa determinar qu es lo
que necesita ser2.
controlado
y medido
Funcin
de Asesoramiento
dentro de la
organizacin
para la mejora continua
Es una mejor prctica
centrarse en la vigilancia
y medicin de las actividades que estn

vinculadas a los procesos crticos que permiten
a la organizacin alcanzar sus metas y objetivos
de continuidad
Demasiadas medidas pueden distorsionar el
enfoque de una organizacin y desenfocar lo
que es verdaderamente importante
3.1.2. Objetivo de la Supervisin y Medicin

Qu mnimamente necesita ser supervisado y medido?
1. La medida en que
se cumplen la continuidad
del negocio, poltica, objetivos
y metas de la organizacin
2. Los procesos,
procedimientos y funciones
que protegen sus
5. Los datos y los

resultados de la
supervisin y medicin
suficientes para facilitar
el posterior anlisis de
las acciones correctivas
y preventivas
3. Evidencia histrica
de los resultados
deficientes del SGCN,
por ejemplo, no
conformidad, conatos,
falsas alarmas
4. El cumplimiento de las exigencias legales y
nominativas, las mejores prcticas del sector y de la
conformidad con su propia gestin de la poltica y
objetivos de la continuidad del negocio
Indicadores de Rendimiento
Ejemplos
% de falsas alarmas
con deteccin de
eventos
Costo promedio de
un incidente
Incidentes
% del personal que ha

recibido
capacitacin y
calificaciones de CN
Nmero de horas de
capacitacin de los
empleados
Capacitacin
% de planes
probados
Nmero de ejercicios
realizados en el
ltimo ao
% de no conformidades
no cerradas en la
demora fijada
Nmero de das en
promedio para cerrar
una no conformidad
Ejercicios
No conformidades
3.1.3. Determinacin de la Frecuencia y el Mtodo de Supervisin y

Medicin
Cmo y cundo se debe controlar y medir?
Objetivos de la Medicin
COM
O
La norma no indica, ni cmo ni la frecuencia con

que debe realizarse o evaluarse la supervisin
o la medicin
Es ala organizacin quien determina cmo
controlar, medir y con qu frecuencia
Es la mejor prctica utilizar tableros para
registrar y notificar las actividades de medicin y
supervisin con indicadores de rendimiento
Los tableros deberan indicar los resultados
obtenidos frente a los objetivos de rendimiento
3.1.4. Presentacin de los resultados

Ejemplo de Tablero
Ejecucin Operativo
Presenta a los actores de la continuidad operacional la realidad de los
controles implementados
Gestin Tctico
Mide el progreso hacia el logro delos objetivos tcticos
Alta Direccin Estratgico

Hace posible el progreso de la estrategia de
continuidad
I. Tablero Operativo
Ejemplo
II. Tablero Tctico

Ejemplo
Evaluacin de los procedimientos
Nro.
Procedimiento evaluado
Procedimiento de control de documentos
Procedimiento de control de registros
Procedimiento de competencia,
sensibilizacin y capacitacin
Procedimiento de auditorias interna
Procedimiento de acciones correctivas
6
8

Procedimiento de revisin por la
direccin
Procedimiento de supervisin y medicin
Procedimiento de gestin de recursos
1
0
Procedimiento de compra
Evaluacin global
Notas a la debilidad
Y la fuerza
Nivel de cumplimiento
1
III. Tablero Estratgico

Ejemplo
Indicador 1
80
70
60
50
40
30
20
10
0
Indicador 2
Serie 1
65
49
19
Serie 2
61
48
28
18
Indicador 4
71
39
27
Indicador 3
29
36
41
50
2004 2005 2006 2007 2008 2009 2010

Descripcin A
Descripcin B
Descripcin C
Descripcin D
Descripcin E
Ejercicio 13
Supervisin, medicin, anlisis y evaluacin
Capacitacin para Implementador Lder Certificado en la ISO 22301
Seccin 27
Auditoria Interna
a.
Las diferencias entre las Auditoras Internas y Externas
b.
Rol de la Funcin de la Auditoria Interna
c.
Independencia, objetividad e imparcialidad
d.
Planificacin de las actividades de auditoria
e.
La gestin y la asignacin de recursos
f.
Crear un procedimiento de auditora
g.
Actividades de seguimiento de no conformidades
3.2. Auditora Interna
1.
1. Planificar
Planificar

1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
2.
2. Hacer
Hacer
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
2.2 Evaluacin del

Riesgo
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
3.3 Revisin por

la Direccin
Requisitos
9.2 Auditora interna
9.1.1 Generalidades
La organizacin deber llevar a cabo auditoras internas a intervalos planificados para
proporcionar informacin a fin de prestar asistencia en la determinacin de si el SGCN:
a) cumple:
b)
1) Las necesidades propias de la organizacin para su SGCN,

2) Los requisitos de esta norma Internacional.
se aplica y es manteniendo de forma afectiva.
- Planificar, establecer, implementar y mantener un programa de auditorias(s), incluyendo la frecuencia,
mtodos,
- responsabilidades, requisitos de la planificacin y presentacin de informes. El programa de auditoras
(s) deber tener en cuenta la importancia de los procesos y de los resultados de auditorias anteriores,
- Definir los criterios de auditoria y el mbito de aplicacin de cada auditoria,
- La seleccin de los auditores y la realizacin de las auditorias para asegurar la objetividad e
imparcialidad del proceso de auditora.
- Asegurar de que los resultaos se presentan a miembros pertinentes de la gestin, y los resultados de la
auditora.
Qu es una Auditora?
Proceso sistemtico, independiente y
documentado para obtener evidencia de auditora
y evaluarla para determinar en qu medida cumple
los criterios de auditora
En resumen:
Auditora significa preguntar al auditado
Lo que hace, y comprobar si lo hace
Tipos de Auditoras
Externa
Auditora de Segunda
Parte
Nuestro cliente audita
nuestra organizacin
Interna
Auditora de primera
Parte
Auditoria de Segunda
Parte
Nuestra organizacin
audita a nuestro
proveedor
Nuestra organizacin audita sus

propios sistemas
Cliente
Auditora de
Tercera parte
La organizacin es
auditada por una
organizacin
independiente
Proveedor
Organizacin
Las Diferencias entre las Auditoras Internas y Externas

Principales caractersticas
Auditora Interna
1. Es independiente de las actividades auditadas
(no de la organizacin)
2. Considera la eficacia y la eficiencia del
sistema de gestin
3. Funcin de Asesoramiento dentro de la
organizacin para la mejora continua
4. Puede llevarse a cabo en el curso de las
operaciones
Auditora Externa
1. Totalmente independiente de la organizacin
auditada y sus actividades
2. Slo considera la eficacia del sistema de
gestin
3. No tiene funcin de asesoramiento a la
organizacin
(slo
recomendaciones
generales)
4. La actividad de la auditora siempre e
planifica de manera oportuna
Principales Servicios y Actividades de la Auditora Interna
1. Evaluacin de los objetivos

del sistema de gestin
8. Coordinacin entre las

auditorias internas y
externas
7. Evaluacin de la mejora
continua
2. Evaluacin general del

Funcionamiento del sistema
de gestin
Objetivos
principal
es
3. Evaluacin de la gestin
de riesgos en curso
6. Evaluacin de la medicin
y la revisin del sistema de
gestin
5. 4 Evaluacin de la eficacia y la
eficiencia de la gestin del ciclo de
vida del mismo sistema de gestin
4. Evaluacin de la eficacia y
la eficiencia de los procesos y
medidas
ISO 19011
Gua de auditora para los sistemas de gestin
o Las definiciones de los conceptos de

auditora de sistemas de gestin
o Descripcin de las caractersticas y
principios bsicos de la auditora y la
profesin de auditor
INTERNATIONAL
ISO
STANDARD
19011
o Descripcin de todos los elementos

clave del proceso de auditora
______________________________________
Societal security- Business
continuity
Management Systems Requirements
o Descripcin de los aspectos

fundamentales de un programa de
auditora
o Directrices sobre las calificaciones de

los auditores
______________________________________

3.1 Supervisin,
medicin,
anlisis y evaluacin
3.2.4 Planificar
actividades de
auditoria
3.2.8
3.2.8 Seguimiento
Seguimiento
de
de No
No
conformidades
conformidades
3.2.1
3.2.1 Crear
Crear el
el
programa
programa de
de
auditora
auditora interna
interna
3.2.2
3.2.2 Designar
Designar
una
una Persona
Persona
Responsable
Responsable
3.2.3
3.2.3 Establecer
Establecer
Independencia,
Independencia,
objetividad
objetividad ee
Imparcialidad
Imparcialidad
3.2.5 Asignar y
administrar los
recursos
3.2.6 Crear
procedimiento de
auditora
3.2.7
3.2.7 Realizar
Realizar
actividades
actividades de
de
auditora
auditora
3.3 Revisin por la

Direccin
3.3 Revisin por la
Direccin
3.2.1. Crear el Programa de Auditoria Interna
Establecer el programa de auditora (5.2)

- Objetivos y alcance Roles y responsabilidades
- Competencia - riesgo del programad e auditora
Procedimientos - Recursos
Revisar y mejorar
programa de
auditora (5.5)
-Definir cada objetivo, alcance y criterios de la

auditora
-Determinar el mtodo (s) de auditora
-Asignar responsabilidades a los auditores
-Gestionar y mantener registros del programa
de auditoria
Supervisin del programa de auditoria (5.4)

-Revisar y aprobar los informes de auditora
-Determinar la necesidad de una auditoria de
seguimiento
-Evaluar el desempeo delos miembros del
equipo de auditoria y retro alimentacin por
parte de todos los interesados
Competencia y
evaluaciones
de los
auditores
(clusula 7)
Actividades de
Auditoria
(clusula 6)
Verificar
Actuar
Aplicacin del programa de auditora (5.3)
Hacer
Planificar
3.2.2. Designar una Persona Responsable

1. Desarrollar un programa de auditora interna (funciones y
responsabilidades, procedimientos, documentos de trabajo, formacin de
auditores, etc.)
2. Planificar las actividades de auditora
3. Administrar los recursos
4. Desarrollar criterios de rendimiento y asegurar que la auditora cumple con
estos criterios
5. Escribir informes de auditora
6. Asegurar que se siguen las mejores prcticas y que se aplican los
procedimientos de auditora durante la realizacin de la auditora.
7. Implementar un programa de evaluacin continua de los auditores
8. Realizar el seguimiento de las no conformidades y las recomendaciones
de auditoras anteriores
Principales Servicios y Actividades de la Auditora Interna
Preparar, conducir y cerrar una

auditoria, comunicacin oral y
escrita de las conclusiones
Principios
de auditora
Evaluacin y gestin de los

riesgos de auditora y aquellos
relacionados a la operacin de
un sistema de gestin
Sistema
de gestin
Riesgos
de auditora
Aspectos
legales
Principales procesos presentes en

todas las organizaciones (RRHH,
Finanzas, Produccin, etc.)
Operacin de un sistema de
gestin e interaccin
entre sistemas
Proceso
organizacional
Principales leyes y
reglamentos, clusulas
de contrato
3.2.3.Establecer la Independencia, Objetividad e Imparcialidad
Carta de auditora
Definicin normal del propsito y actividades de la auditora interna
Definicin formal del alcance y la extensin de la auditora interna
Estructura del estatuto

(carta) de auditora
Definicin de las responsabilidades y los servicios que sern

proporcionados por la auditora interna
Definicin formal de la autorizacin de acceso de Auditores internos
El establecimiento de la independencia de la auditora interna
El Acceso y la Independencia
El acceso a los recursos y la colaboracin
Los auditores deberan tener acceso sin restricciones a los ejecutivos, empleados,
oficinas, informacin, explicaciones y la documentacin necesaria para el buen
desarrollo de la auditora para el buen desarrollo de la auditora
Esta necesidad de acceso debe estar documentada (por lo general en el estatuto de
auditora
Independiente
Los auditores internos deben ser independientes de los procesos auditados, y esto
generalmente se garantiza si el auditor informa a la Comisin de cuentas de la
organizacin en lugar de directamente a la alta direccin
Esta necesidad de independencia debera reflejarse en el organigrama
3.2.4. Planificacin de las Actividades

Planificacin a corto y largo plazo
Una planificacin de auditora d

alto nivel para tres aos
Esta planificacin debe tener en
cuenta que el sistema general de
gestin debera ser auditado cada
tres aos
Una planificacin anual ms
detallada
Esta planificacin debe tener en
cuenta que no hay ningn requisito
para que el auditor audite todos los
procesos y controles del sistema de
gestin durante ese ao
3.2.5. Asignar y Administrar los Recursos del Programa de Auditora

Recursos financieros
Polticas y procedimientos de auditora
Recursos humanos
Herramientas
Logstica
3.2.6. Crear Procedimientos de Auditora

Los procedimientos de auditora deberan incluir informacin sobre cmo:
1. Planificar y programar las
auditorias teniendo en
cuenta los riesgos de
auditora
2. Administrar la seguridad de
la informacin y la
confidencialidad y gestionar
los riesgos de auditora
3. Garantizar la competencia
de los auditores y los lideres
de los equipos
4. Seleccionar equipos de
auditoria apropiados y asignar
sus
roles
y
responsabilidades
7. Informar de los resultados

del programa de auditora
al cliente de auditora
5. Realizar auditorias incluyendo

el uso de mtodos de
muestreo apropiados
8. Mantener
registros
programa de auditora
6. Realizar el seguimiento de la
auditora, si procede
9. Monitorear la operacin, los

riesgos y eficacia del
programa de auditora
del
Para las organizaciones pequeas, las actividades mencionadas arriba

pueden ser cubiertas por un solo procedimiento
3.2.7. Realizar Actividades de Auditora
Fuente de informacin
Uso de
Procedimientos de auditora
Incluyendo el muestreo
Evidencia de la auditora
Evaluacin frente a los
Criterios de auditoria
Hallazgo de la auditora
Revisin
Conclusiones de la
auditora
No conformidad
Definicin
o De acuerdo con la definicin de la norma ISO 9000: 2005, una no conformidad
es el no cumplimiento de un requisito
o Hay dos tipos de no conformidades
No conformidad menor
No conformidad mayor
3.2.8. Seguimiento de no conformidades

Directrices
El auditor interno debera seguir los planes de accin presentados en
respuesta a las no conformidades (como resultado de las autoridades internas
externas)
o
La persona a cargo del SGCN debe informar al auditor interno de la marcha de

las acciones correctivas
El papel del auditor interno se limita a validar los planes de accin y las
acciones correctivas
o
o
No todas las medidas correctivas tiene que ponerse en prctica
inmediatamente
Basado
Basado en
en su
su experiencia
experiencia yy conocimiento,
conocimiento, el
el auditor
auditor interno
interno debera
debera
ejercer
ejercer buen
buen criterio
criterio yy evaluar
evaluar si
si los
los planes
planes de
de accin
accin
apropiados
apropiados yy pueden
pueden abordar
abordar las
las causas
causas intrnsecas
intrnsecas de
de las
las conformidades
conformidades
Seccin 29
Tratamiento de problemas y no conformidades
a.
Proceso de anlisis de la causa raz
b.
Herramienta de anlisis de la causa raz
c.
d.
Procedimiento de acciones preventivas
3.3. Revisin por la Direccin
1.
1. Planificar
Planificar

1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
2.
2. Hacer
Hacer
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
2.2 Evaluacin del

Riesgo
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
3.3 Revisin por

la Direccin
Requisitos
Revisin por la Direccin
La alta direccin debe revisar el SGCN de la organizacin, a intervalos planificados, para
asegurarse de su conveniencia, adecuacin y eficacia
La revisin por la direccin deber incluir la consideracin de :
a) El estatus de las acciones de las revisiones anteriores llevadas a cabo por la direccin;
b) Los cambios en las cuestiones internas y externas que son relevantes para el sistema
de gestin de la continuidad del negocio;
c) Informacin sobre el desempeo de la continuidad del negocio, incluyendo las
tendencias en :
1) No conformidades y acciones correctivas.
2) Los resultados de la evaluacin del seguimiento y la medicin;
3) Resultados de la auditora; y
d) Oportunidades para la mejora continua.
Revisin por la Direccin

Definicin
Una revisin peridica de la eficacia del Sistema de Gestin realizada por
la alta direccin para analizar su conveniencia, adecuacin y eficacia
continuas
Trmino
Concepto
Idoneidad
Los resultados se logran de la mejor manera posible
Adecuacin
Las salidas cumplen con los criterios establecidos
Eficacia
El sistema cumple con las necesidades de la organizacin
3.3. Revisin por la Direccin

1.2 Implementacin
del SGCN
3.1 Supervisin
Medicin, anlisis y
evaluacin
3.3.2 Realizar
la Revisin
3.3.2
por la Realizar
Direccin
la Revisin
por la Direccin
3.3.3 Cierre de
la Revisin
3.3.3
de
por la Cierre
Direccin
la Revisin
por la Direccin
3.2 Auditora
Interna
3.3.4 Seguimiento
de la Revisin
3.3.4
por laSeguimiento
Direccin
de la Revisin
por la Direccin
3.3.1
3.3.1 Preparar
Preparar
la
Revisin
la Revisin
por
por la
la Direccin
Direccin
4. Mejora
Continua
4. Mejora
Continua
3.3.1. Preparacin de la Revisin por la Direccin
La s revisiones por la Direccin deben llevarse a cabo a intervalos planificados

(por lo menos una vez al ao)
La revisin por la Direccin se puede incluir en una reunin de Direccin y ser

uno de los temas del orden del da
Es una buena prctica enviar al comit de gestin toda la documentacin

relacionada (informe de auditora, resultados de las revisiones, planes de
accin) antes de la revisin
Requisitos
La organizacin deber ejercitar y probar sus procedimientos de continuidad del negocio para
garantizar que son coherentes con sus objetivos de continuidad del negocio.
La organizacin deber llevar a cabo ejercicios y pruebas que:
a)
Estn en consonancia con el alcance y los objetivos del SGCN,
b)
Se basan en escenarios adecuados que estn bien planificados con metas y
objetivos claramente definidos,
c)
Tomados en conjunto en el tiempo validen la totalidad de los planes de
continuidad de su negocio, que involucren a las partes interesadas,
d)
Reducen al mnimo el riesgo de interrupcin de las operaciones,
e)
Producen informes pos-ejercicio formalizados que contengan los resultados,
recomendaciones y
acciones para implementar las mejoras,
f)
Son revisados en el contexto de la promocin de la mejora continua y.
g)
opera.
3.3.2. Realizar una Revisin por la Direccin

Temas que figuraran en el programa
La entrada de una revisin por la Direccin debera incluir informacin sobre:
1.
2.
Los resultados de auditoras del SGCN y sus revisiones

Las tcnicas, productos o procedimientos, que podran utilizarse en la organizacin
para mejorar el rendimiento y la eficacia del SGCN
3. Estado de las acciones preventivas y correctivas
4. Los resultados de ejercicios y pruebas
5. Las vulnerabilidades o amenazas adecuadamente en la evaluacin de riesgo
anterior
6. Los resultados de las mediciones de la eficiencia
7. Las acciones de seguimiento de revisiones por la Direccin anteriores
8. Los cambios que podran efectuar al SGCN, ya sean internos o externos
9. Adecuacin de la poltica
10. Recomendaciones para la mejora
11. Las enseanzas derivadas de incidentes
12. Buenas prcticas y guas emergentes
3.3.3. Resultados de la Revisin

Decisiones y resoluciones
El resultado de la revisin de la Direccin deber incluir todas las decisiones y acciones
relacionadas con lo siguiente:
1. Variaciones al alcance del SGCN;
2. Mejora de la efectividad del SGCN;
3. Actualizaciones de la evaluacin de riesgos, anlisis de impacto y preparacin ante
incidentes y procedimientos de respuesta;
4. Modificacin de los procedimientos y controles que afectan los riesgos, incluidos los
cambios en:
Requisitos empresariales y de funcionamiento
Reduccin de riesgos y requisitos de seguridad
Procesos de las conducciones de funcionamiento del negocio que inciden en
los requisitos operativos existentes;
Los requisitos reglamentarios o legales
Las obligaciones contractuales
Los niveles de riesgo y/o criterios para la aceptacin de riesgos;
Necesidades de recursos
Los requisitos econmicos y presupuestarios
Mejoramiento a la forma de cmo se est midiendo la eficacia de los controles
3.3.4. Seguimiento de la revisin por la Direccin
Las revisiones por la Direccin deben ser documentadas
La organizacin debera presentar informes sobre la revisin por la Direccin a

todos los que forman parte de ella
o
El coordinador del SGCN y el quipo de auditora interna tiene la
responsabilidad de garantizar que los planes de accin de seguimiento sean
aprobados
Direccin
Follow
Up!
4.1. Tratamiento de Problemas y No Conformidades
1.
1. Planificar
Planificar

1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
2.
2. Hacer
Hacer
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
2.2 Evaluacin del

Riesgo
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
3.3 Revisin por

la Direccin
Requisitos
10 Mejora
10.1 No conformidad y accin correctiva
a)
Identificar no conformidad(es);
b)
Reaccionar a la falta de conformidad y, en su caso
1) Adoptar medidas para controlar, contener y corregirla,
2) Hacer frente a las consecuencias.
c)
Evaluar la necesidad de adoptar medidas para eliminar las causas de la no
conformidad, con el fin de que no se repita o se de en cualquier otra parte
d)
Implementar las medidas necesarias
e)
Examen de la eficacia de las medidas correctivas adoptadas,
f)
Realizar cambios en el sistema de la gestin de la continuidad del negocio, si
es
necesario. Las acciones correctivas que se tomen debern ser apropiadas a
los
efectos de las no conformidades encontradas
g)
opera.
Definiciones
ISO 9000
Mejora continua
Actividad recurrente para aumentar la capacidad de cumplir con los

requisitos (ISO 9000, 3.2.13)
Correccin
Medidas para eliminar un a no conformidad detectada (ISO 9000. 3.6.6)
Accin
Correctiva
Accin para eliminar la causa de una no conformidad detectada u otra

situacin indeseada (ISO 9000,3.6.5)
Accin
Preventiva
Medidas para eliminar la causa de una no conformidad potencial u otra

situacin potencialmente indeseable (ISO 9000, 3.6.4)
4.1. Tratamiento de Problemas y No Conformidades

2 Implementacin
del SGCN
3.1 Medicin del

SGCN
4.1.2.
Procedimiento d
4.1.2.
acciones
Procedimiento
correctivas d
acciones
correctivas
4.1.3.
Procedimiento de
4.1.3.
acciones
Procedimiento
correctivas de
acciones
correctivas
3.2 Auditora
Interna
4.1.4. Planes
de accin
4.1.4. Planes
de accin
4.1.1
4.1.1 Proceso
Proceso
de
resolver
de resolver
problemas
problemas yy no
no
conformidades
conformidades
4.2. Mejora
Continua
4.2. Mejora
Continua
4.1.1. Definir un Proceso para Resolver Problemas y No Conformidades

Ejemplo de Mtodo de las Ocho Disciplinas para Solucionar Problemas
Inicio
Definir y Verificar
Causa(s)
Face de
Planificacin
Identificar el Problema
Establecer el Equipo/
Utilizar un enfoque de
Equipo
Describir el Problema
Desarrollar
Plan Provisional de
Contencin
Seleccionar las causas

Probables
No
Es la
Causa
Una
Causa
Raz?
Elegir/ Comprobar las

Acciones Correctivas
Permanentes (ACP)
Validar y Aplicar las

ACP
Prevenir la recurrencia
Facilitar a su Equipo
S
i
Desarrollar
Soluciones posibles(s)
Finalizar
Herramienta de Anlisis de la Causa Raz

Diagramas de causa y efecto
Evaluaciones
El personal de TI no mide
el rendimiento del
prestador del servicio del
sitio de la red.
No hay un procedimiento
Para gestionarlo
No hay formacin en la sensibilizacin
Ningn proceso establecido
para tratar con sitio de la red
Cuando se descompone
Gestin de
Recursos
Recursos
No se siguen adecuadamente los
procedimientos de actualizacin de la
pgina web
Proveedor externo inadecuado

Equipos Obsoleto
El personal de TI no est
apropiadamente capacitado
para gestionar el sitio de la red.
El Sitio de
la Red no
funciona
con
frecuencia
No hay capacitacin de gestin

del sitio de red para sus
empleados
Insuficiencia de recursos
para gestionar el sitio de
la Red
Procedimientos
Causas Prioritarias
Haciendo las preguntas correctas

Necesarias para el anlisis de cualquier problema
Situacin
Situacin actual
actual
Interrogatorio
Interrogatorio
Seguimiento
Seguimiento de
de la
la solucin
solucin
Opcin
Opcin (es)
(es)
Qu
Qu se
se ha
ha hecho?
hecho?
Por
Por qu
qu es
es necesario?
necesario?
Qu
Qu otra
otra cosa
cosa podramos
podramos
hacer?
hacer?
Qu
Qu se
se har?
har?
Cmo
Cmo se
se hace?
hace?
Por
Por qu
qu se
se hace
hace de
de esta
esta
manera?
manera?
Cmo
Cmo hacerlo
hacerlo de
de manera
manera
diferente?
diferente?
Cmo
Cmo se
se har
har
esto?
esto?
Quin
Quin lo
lo hizo?
hizo?
Por
Por qu
qu esta
esta persona?
persona?
Quin
Quin ms
ms podra
podra hacerlo?
hacerlo?
Quin
Quin lo
lo har?
har?
Dnde
Dnde se
se hace?
hace?
Por
Por qu
qu se
se hace
hace en
en este
este
lugar?
lugar?
Dnde
Dnde ms
ms podramos
podramos
hacerlo?
hacerlo?
Cmo
Cmo se
se har
har
esto?
esto?
Cundo
Cundo se
se hace?
hace?
Por
Por qu
qu se
se hace
hace en
en este
este
momento?
momento?
Podramos
Podramos hacerlo
hacerlo en
en otro
otro
momento?
momento?
Cundo
Cundo se
se va
va aa
hacer?
hacer?
4.1.2. Procedimiento de Acciones Correctivas
Mejora Continua
Accin correctiva
Anlisis situacional
Identificacin de la no
conformidad
Revisin y seguimiento de acciones

tomadas
Implementacin de soluciones y registros

de las medidas tomadas
Anlisis de las
causas raz
Evaluacin de las
opciones
Seleccin de
soluciones
Identificacin y documentacin de la no conformidad
4.1.3. Procedimiento de Acciones Preventivas
La organizacin deber determinar las acciones para eliminar las

causas potenciales de no conformidad, de conformidad con los
requisito del SGCN
Costos
Eficacia
Acciones preventivas
Acciones
correctiva
4.1.1. Elaboracin de Planes de Accin
Se
Se puede
puede escribir
escribir en
en forma
forma resumida
resumida
Deben
Deben permitir
permitir que
que sea
sea corregida
corregida la
la no
no conformidad
conformidad
Deberan
Deberan basarse
basarse en
en un
un enfoque
enfoque preventivo
preventivo yy correctivo
correctivo
Deben
Deben incluir
incluir un
un plazo
plazo de
de ejecucin
ejecucin
Deben
Deben permitir
permitir la
la obtencin
obtencin de
de resultados
resultados verificados
verificados
Presentacin de los Planes de Accin tras una Auditora
Se deber presentar un plan de accin global por cada no conformidad, no un

plan de
accin para todas las no conformidades
Los planes de accin deben ser aprobados por la direccin
o El auditor analizar las causas y evaluar si la correccin especifica y las

medidas correctivas adoptadas o previstas, permitirn eliminar no
conformidades detectadas, dentro de un tiempo definido
Planes de Accin
Ejemplo
Almacenar datos archivados y correos electrnicos en un servidor de

archivos ms fiable (2 trimestre 2008)
Una nueva versin de la poltica de CN debe ser publicada para incluir un

marco para establecer objetivos (en el plazo de 2 meses)
Los nombres de las personas de contacto en caso de desastre deben ser

explcitamente mencionados en el plan de continuidad del negocio
(inmediatamente) y los procedimientos para contactar a estas personas
deben ser documentados y comunicados (Tema incluido en el plan de
concientizacin del 2009)
Ejercicio 14
Planes de acciones correctivas
Seccin 30
Mejora continua
a.
Proceso de seguimiento continuo de factores de cambio
b.
Mantenimiento y mejora del SGCN
c.
Actualizacin continua de la documentacin y registros
d.
Documentar las mejoras
4.2. Mejora Continua
1.
1. Planificar
Planificar
1.1. Planificar el
SGCN
1.2 Comprensin
de la organizacin
1.3 Analizar el
sistema existente
1.4 Alcance
1.5 Liderazgo y
planificacin
2.
2. Hacer
Hacer
en el Negocio (AIN)
3.1 Supervisin,
medicin, anlisis y
evaluacin
2.2 Evaluacin del

Riesgo
4.
4. Actuar
Actuar
4.1 No
conformidades y
accin correctiva
Continuidad del
Negocio
2.4 Medidas de
Proteccin &
Mitigacin
1.6 Poltica de CN
2.5 Plan y
1.7 Estructura
organizativa
1.8 Informacin
documentada
2.6 Comunicacin
1.9 Competencia y
sensibilizacin
3.
3. Verificar
Verificar
3.2 Auditora
interna
4.2 Mejora
continua
3.3 Revisin por

la Direccin
Requisitos
10 Mejora
10.2 Mejora Continua
La organizacin deber mejorar continuamente la conveniencia, adecuacin y eficacia del
SGCN
NOTA La organizacin puede utilizar los procesos del SGCN tales como liderazgo, planificacin
y evaluacin del desempeo, para lograr mejoras.
Mejora Continua
La mejora continua es un proceso de aumento de la eficacia y la

eficiencia de la organizacin para cumplir con sus polticas y objetivos.
En pequeos pero certeros

pasos
4.2. Mejora Continua

2. Implementacin
del SGCN (Hacer)
3. Verificar
4.2.2.
Mantenimiento y
4.2.2.
mejoras
Mantenimiento y
mejoras
4.2.3. Actualizacin
de la
4.2.3.
Actualizacin
documentacin
de la
documentacin
4.1. Tratamiento
De problemas y
no conformidades
4.2.4. Documentar
las mejoras
4.2.4. Documentar
las mejoras
4.2.1.
4.2.1. Supervisin
Supervisin
de
factores
de factores de
de
cambio
cambio
Auditora de
Certificacin
Auditora de
Certificacin
4.2.1. Proceso de Seguimiento continuo de los Factores de

Cambio
Los cambios en la organizacin
Misin
Objetivos de la empresa
Presupuesto y recursos
Cambios en el personal
Cambios por el SGNC
Cambios en
las tecnologas
Poltica de continuidad del

negocio
Nuevos escenarios de
riesgo
Los cambios de los
procedimientos
Resultado de las pruebas
y ejercicios
Resultado de la auditora
Hardware
Software
Los procedimientos de TI
Los procesos de TI
Los Cambios externos

Leyes y reglamentos:
Necesidades y preocupaciones
de los clientes y proveedores
Proveedores de SLA
Los cambios en el entorno por
ej.: los competidores
4.2.2. Mantenimiento y mejora del SGNC
El SGNC debe ser mantenido

y actualizado peridicamente.
Mejora
Mantenimiento
Implementacin
Las mejoras acordadas en el

proceso y las acciones
necesarias para mejorar el
proceso deberan ser
notificadas a los directores
ms apropiados para asegurar
que ningn riesgo es pasado
por alto ni subestimado antes
de la aplicacin de los
cambios.
4.2.3. Actualizacin Continua de la Documentacin y Registros

Cambio continuo
Documentacin del SGCN
Poltica del SGCN

Anlisis de riesgos
Estrategia
Continuidad del Negocio y planes de
reanudacin
Programa de sensibilizacin
Programas de Educacin
Planificacin de las actividades y los
resultados.
Los niveles de servicio acordados
Ejercicio
Evolucin organizacional
Nuevas reglas
Cambios en el alcance del negocio
Incidentes
Funcionamiento defectuoso
Fallos
Informes de la Gestin de Riesgos
Resultados de las pruebas
Auditoras Internas
Auditoras Externas
Revisar y adaptar
4.2.4. Documentar las Mejoras

Por lo general, mediante el procedimiento de gestin del cambio
Record of Changes
Page #
Change Comment
Date of
Change
Signature
Capacitacin para Implementador Lder

Seccin 31
Preparacin para la auditora de certificacin
a.
Seleccin de la entidad de certificacin
b.
Preparacin para la auditora de certificacin
c.
Etapa 1 de la auditora
d.
Etapa 2 de la auditora
e.
Auditora de seguimiento
f.
Decisin sobre la certificacin
g.
Auditora de vigilancia
Requisitos

Sistema de gestin de continuidad del negocio
La organizacin deber establecer, implementar, mantener y mejorar continuamente un
SGNC, incluyendo los procesos necesarios y sus interacciones, de conformidad con
los requisitos de esta Norma Internacional.
Organismo de Certificacin
ISO 17021
Organismo de Certificacin: Terceros que realizan la evaluacin de la
conformidad de los sistemas de gestin.
Certificacin: Procedimiento en el cual un tercero garantiza por escrito
que un producto, proceso o servicio es conforme a las condiciones
indicadas.
Seguimiento de
de
Seguimiento
la
Auditora
la Auditora
Auditora Inicial
Inicial
Auditora
Antes de
de la
la
Antes
Auditora
Auditora
Proceso de Certificacin
Informe de auditora
interna Revisin por la
Direccin
1. Seleccionar un
Organismo de
1. Certificacin:
Seleccionar un
Organismo de
Certificacin:
2. Preparacin de
la auditora
3. Etapa 1 de la
auditora
4. Etapa 2 de la
auditora (auditora
in situ)
5. Auditora de
seguimiento (si es
necesario)
6. Decisin de
Certificacin
Implementacin del
SGCN
Mejora Continua y
Auditora de Vigilancia
Antes de la Auditora
o
Antes de ser auditado, un SGNC debe estar en funcionamiento durante un

tiempo determinado
Por lo general, se requiere un plazo mnimo de tres meses.
Como mnimo, se debe haber realizado por lo menos una auditora interna, as
como una revisin por la direccin.
1. Seleccin de un Organismo de Certificacin

Principales criterios
Notoriedad y credibilidad
Presencia geogrfica
Las referencias en su sector
Posibilidad de una auditora combinada
Habilidades y experiencia del equipo auditor
Precio
El Rechazo de un Auditor
Es posible solicitar la
sustitucin de los miembros
del equipo de auditora por
razones vlidas.
El equipo de auditora podra
retirarse si considera que las
razones mencionadas no son
vlidas.
e razones
d
lo
p
m
je
E
vlidas:
en
encuentra
e
s
r
o
it
d
u
e
El a
conflicto d
e
d
n
i
c
a
u
una sit
cial)
al o poten
e
(r
s
r
te
in
o
a mostrad
h
r
o
it
d
u
a
o
El
conducta n
te
n
e
rm
o
ri
ante
l
profesiona
no tiene la
r
o
it
d
u
a
l
E
rida por la
e
u
q
e
r
n
i
habilitac
ditada.
entidad au
2. Preparndonos para la Auditora de Certificacin

Recomendaciones
Preparacin para la
auditora
3. Auditora de
prctica.
3. Auditora de
prctica.
1. La Auto
evaluacin
1. La Auto
evaluacin
2.Preparar
al personal
2.Preparar
al personal
3. Etapa de la auditora
1. Visita al sitio
Evaluacin de la ubicacin del cliente y las condiciones

especficas del lugar.
Reunin/contacto con el personal auditado.
Observacin general de las operaciones del SGCN
2.2. Entrevistas con

actores claves
Validacin del alcance, as de cmo las limitaciones legales,

reglamentarias y contractuales aplicables
Validacin de que se han realizado las auditoras internas y las
revisiones por la Direccin.
Preparacin de la etapa 2 de la auditora.
3. Revisin de documentos
Comprensin general del funcionamiento del sistema de

gestin.
Evaluacin del diseo del sistema de gestin, as como de los
procesos y controles relacionados.
Nota: La revisin de documentos es la actividad principal de la etapa 1 de la auditora.
4. Etapa 2 de la auditora
Auditora in situ
OBJETIVOS DE LA ETAPA 2 DE LA AUDITORA

Asegurar que el SGCN:
-
Cumple con todos los requisitos de la norma ISO 22301

Est eficazmente aplicado
Permite que la organizacin logre sus objetivos de continuidad del
negocio
Recomendacin de Certificacin
Al concluir la auditora, el auditor debe emitir una de las cuatro recomendaciones

siguientes relativas a la certificacin:
1. Recomendacin para la certificacin.
2. Recomendacin para la certificacin con la condicin de la presentacin de
planes de acciones correctivas sin visita previa.
3. Recomendacin para la certificacin con la condicin de la presentacin de
planes de acciones correctivas con visita previa.
4. Recomendacin desfavorable.
5. Realizacin de una Auditora de Seguimiento

ISO 17021, clusula 9.1.12-13
Basado en las conclusiones de la auditora, el auditor puede tener que llevar
a cabo una auditora de seguimiento antes de que la organizacin sea

recomendada para la certificacin.
La verificacin de los planes de accin y las medidas correctivas relacionadas

con las no conformidades identificadas en el informe de auditora.
Una no conformidad mayor debera generalmente implicar

una auditora de seguimiento.
6. Decisin sobre la Certificacin

ISO 17021, clusula 7.5.2 y 9.2.5.1
El organismo de certificacin debe tomar la decisin de certificacin basado

en:
Una evaluacin de los resultados y conclusiones de la auditora.
Cualquier otra informacin pertinente (por ejemplo, la informacin
pblica, los comentarios del cliente en el informe de auditora)
Los auditores que hayan tomado parte en la auditora nunca

toman parte en la decisin de certificacin.
6. Decisin sobre la Certificacin

ISO 17021, clusula 7.5.2 y 9.2.5.1
El organismo de certificacin debe tomar la decisin de certificacin basado

en:
Una evaluacin de los resultados y conclusiones de la auditora.
Cualquier otra informacin pertinente (por ejemplo, la informacin
pblica, los comentarios del cliente en el informe de auditora)
Los auditores que hayan tomado parte en la auditora nunca

toman parte en la decisin de certificacin.
Elementos a Auditar durante una Auditora de Vigilancia

Gestin del
Cambio
Planes de
Accin
Auditora
Interna
Revisin
por la
Direccin
La auditora se centra principalmente

en la mejora continua, y en el
seguimiento de los planes de accin.
La auditora de vigilancia tiene por

objeto garantizar que el SGCN sigue
siendo implementado y est
mejorando.
Mejora
Continua
Reclamos
Y
Sugerencias
Control de las
Operaciones
Efectividad y
mtricas
Utilizacin
de marcas
registradas
Auditora de Re Certificacin
Una auditora de re certificacin deber ser planificada y realizada

para evaluar el cumplimiento continuo de todos los requisitos cada tres
aos.
La auditora de re certificacin tendr en cuenta el rendimiento del

sistema de gestin durante el periodo de certificacin, y deber incluir
la revisin de los anteriores informes de auditora de vigilancia.
La duracin de una auditora de re certificacin debera ser de 2/3 del

tiempo dedicado a la auditora inicial
Uso de los rganos de Certificacin y las Marcas Registradas ISO

ISO 17021, clusula 8.4.1.
Una organizacin certificada est autorizada para exhibir pblicamente

su certificacin y para su uso con fines de comercializacin
La certificacin no se puede mostrar directamente en un producto o de

una manera que conduzca a creer que el producto est certificado.
El organismo de control proporcionar a la entidad auditada un logotipo

que se puede utilizar para la comercializacin.
Capacitacin para Implementador Lder

Seccin 32
Competencia y evaluacin de un Implementador Lder
a.
Las competencias de un implantador
b.
Esquema de certificacin de PECB
c.
Solicitud de auditora
d.
Mejora continua de las competencias
Definiciones de Competencia
Contexto
Capacidad
Capacidad demostrada
demostrada
para
para aplicar
aplicar
conocimientos
conocimientos yy
habilidades
habilidades
Habilidades
de
conducta
a
tic
ac
r
P
nte
Conocimientos
de
Competencia
Competente
Conocimiento
De
se
m
to
ex
nt
Co
Habilidades
pe
o
xto
e
t
n
Co
Habilidades de Conducta
Habilidades de
Conducta
Habilidades de Conducta
1. Integridad
5. Perceptivo
10. Responsable
2. Mente abierta
6. Verstil
11. Abierto a la mejora
3. Diplomtico
4. Observador
Describe en detalle cmo se llevan a

7. Tenaz
Cabo las tarea y actividades
12. Culturalmente
sensible
8. Decisivo
9. Auto
suficiente
Proporciona
la evidencia
objetiva del
Cumplimiento de los requisitos de la norma
13. Colaborador
Esquema de Certificacin de PECB para la ISO 22301

Resumen de requisitos
Examen
ISO 22301
Fundamentos
ISO 22301
Auditor Lder
ISO 22301
Implementador
Lder
AL ISO 22301 +
IL ISO 22301
Credencial Profesional
Experiencia
Profesional
Experiencia
auditora de
SGCN
Experiencia
Proyecto de
SGCN
ISO 22301
Fundamentos
---------------
-------------
-------------
ISO 22301
Auditor Provisional
--------------
------------
-------------
2 Aos (1 en
continuidad del negocio)
200 horas
ISO 22301
Auditor Lder
5 Aos (2 en
300 horas
------------
Implementador
Provisional ISO 22301
------------
------------
------------
ISO 22301
Implementador
2 Aos (1 en
------------
200 horas
ISO 22301
Implementador Lder
5 Aos (2 en
------------
ISO 22301 Master
10 aos (6 en
500 horas
ISO 22301
Auditor
------------
300 horas
500 horas
Proceso de la Certificacin de PCEB
1. Examen PECB
2. Certificado CPD
1. Examen PECB
2. Certificado CPD
5. Evaluacin de
su solicitud
5. Evaluacin de
su solicitud
6. Certificacin
6. Certificacin
3. Resultados del
examen
3. Resultados del
examen
7. Mantenimiento
de la certificacin
7. Mantenimiento
de la certificacin
4.
4. Solicitud
Solicitud de
de
certificacin
certificacin
GRACIAS
Docente: Ing. Manuel Castillo Fernndez

453

Iso 22301

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Iso 22301

Diunggah oleh

Hak Cipta:

Format Tersedia

NORMAS

Capacitacin del Implementador Lder

ISO es una red de organismos nacionales de estandarizacin de ms

Los resultados finales de los trabajos

Se han publicado ms de 19000 normas desde 1947

por ISO son

Principios Bsicos Normas ISO

1. Representacin igualitaria: 1 voto por

Los Ocho Principios de Gestin de la ISO

Normas de Sistemas de Gestin

Normas primarias en las que una organizacin puede estar

Sistema de Gestin Integrado

Poltica del sistema

Objetivos del sistema de

Especifica los requisitos de

Gua para el cdigo de

Historia de la norma ISO 22301

Creacin del DRI

Otras Normas sobre Continuidad del Negocio

El Contenido y la Relacin entre ISO

Se debe desarrollar y mantener un proceso gerencial para

8.2 AIN y la Evaluacin de

Se deben identificar los eventos que causan interrupciones en los

Se deben desarrollar e implementar planes para mantener o

Marco referencial para

Se debe mantener un solo marco referencial del plan de continuidad

Continuidad del Negocio

Capacitacin del Implementador Lder

Qu es la Continuidad del Negocio?

Mejora la organizacin pro activa de resistencia contra la interrupcin de su

Proporciona un mtodo ensayado para restaurar la capacidad de una

Proporciona una capacidad demostrada para gestionar una interrupcin del

Gestin de Continuidad del Negocio

Los componentes claves de un SGCN

ISO 22301, Introduccin

El ciclo Planificar Hacer Verificar Actuar (PHVA)

Las actividades de la organizacin, las funciones, los servicios,

La organizacin determinar los limites y la aplicabilidad del

Liderazgo y Compromiso de la Direccin

Hacer que los recursos estn

Poltica de Continuidad del Negocio

- Sea apropiada para los fines de la organizacin

La poltica del SGCN deber:

Estar disponible como informacin documentada

Funciones, Responsabilidades y Autoridades

La alta gerencia deber asignar la responsabilidad y autoridad para:

Los Objetivos y los Planes para Alcanzarlos

La alta direccin deber asegurarse de que los objetivos de

Las personas que realizan

ISO 22301, clusula 7.5:

Anlisis del impacto en el Negocio y Evaluacin de los Riesgos

Estrategia de Continuidad del Negocio

A) Proteger las actividades

C) Mitigar, responder a los

Establecer y Aplicar Procedimientos de Continuidad del Negocio

Evaluacin del desempeo

Revisin del ejercicio y la

Revisin peridica de la eficacia

5. Realizacin de las auditorias

4. Revisin de las evaluaciones

Nota: Cada una de estas acciones debe ser documentada y registrada.

La organizacin deber mejorar continuamente la conveniencia, adecuada

La organizacin puede utilizar los procesos de SGCN como el liderazgo, la