Resumen GESTIN DE LA CONTINUIDAD DEL NEGOCIO (GNC)

1. OBJETO Y CAMPO DE APLICACIN

El propsito es proporcionar una base para el entendimiento, desarrollo e
implantacin de la continuidad del negocio en una organizacin as como
proporcionar confianza en las relaciones de la organizacin con sus clientes y
con otras organizaciones.
2. TRMINOS Y DEFINICIONES
Continuidad el negocio: Capacidad estratgica y tctica de la
organizacin para planificar y responder ante incidentes e interrupciones
del negocio, a fin de que las operaciones el negocio continen en un
nivel aceptable que ha sido previamente definido.
Gestin de la continuidad del negocio (GCN): Proceso de gestin
holstico que identifica amenazas potenciales para la organizacin as
como el impacto en las operaciones del negocio que dichas amenazas
puedan causar, y que proporciona un marco para aumentar la capacidad
de resistencia o resiliencia de la organizacin para dar una respuesta
eficaz que salvaguarde los intereses de sus principales partes
interesadas, reputacin, marca y actividades que crean valor.
Programa de GCN: Proceso continuo de gestin y gobierno apoyado
por la alta direccin que busca identificar el impacto de las prdidas
potenciales, para mantener estrategias, planes de recuperacin y para
asegurar la continuidad de productos y servicios.
Plan de continuidad del negocio (PCN): Conjunto documentado de
procedimientos e informacin que se desarrolla, recopila y mantiene
preparado para su uso en caso de producirse un incidente.
Actividades crticas: Actividades que deben llevarse a cabo para
entregar los productos y servicios que permiten a una organizacin
alcanzar sus objetivos en un plazo determinado.
Activacin: Acto de declarar que el plan de continuidad del negocio de
la organizacin debe ponerse en marcha para poder seguir entregando
los productos y servicios.
Objetivo de tiempo de recuperacin (OTR): El plazo establecido
para la reanudacin de la entrega de productos y servicios, la
reanudacin de la realizacin de una actividad, la reanudacin de un
sistema o aplicacin de TI.
Apetito por el riesgo o riesgo tolerable: Cantidad de riesgo que la
organizacin est dispuesta a aceptar, tolerar o exponerse en un
momento determinado.
3. GENERALIDADES SOBRE GCN
3.1 Qu es GCN?
Es un proceso propio del negocio, orientado al negocio que establece un
marco estratgico y operativo adecuado a los objetivos y que mejora la

capacidad de resistencia de la organizacin ante la interrupcin de su

capacidad para conseguir sus objetivos fundamentales, proporciona un
mtodo para restaurar la capacidad de la organizacin para suministrar
sus productos y servicios, y proporciona una capacidad para gestionar
una interrupcin del negocio y proteger la reputacin y la marca.
3.2 GCN y la estrategia organizativa
El entendimiento de GCN en el nivel ms alto de la organizacin
asegurar que los objetivos y metas no se vean perjudicados por
interrupciones inesperadas. GCN necesita reconocer la importancia
estratgica de las partes interesadas identificadas.
3.3 GCN y su relacin con la gestin de riesgos
La GCN identifica aquellos productos y servicios de los que la
organizacin depende para su supervivencia y puede identificar aquellos
necesarios para que la organizacin siga cumpliendo sus obligaciones. A
travs de la GCN la organizacin puede averiguar lo que puede hacer
antes de que se produzca un incidente para proteger a su personal,
instalaciones, tecnologa, informacin, partes interesadas y reputacin.
3.4 Por qu una organizacin debera acometer la GCN
Constituye un elemento importante de la buena gestin del negocio, de
la prestacin de servicios y de la prudencia empresarial. La GCN no se
debe considerar como un proceso de planificacin de elevado costo, sino
como un proceso que aade valor a la empresa.
3.5 Beneficios de un programa de GCN eficaz
Los beneficios son que la organizacin:
- Es capaz de identificar proactivamente el impacto de una
interrupcin
- Cuenta con una respuesta eficaz antes las interrupciones, lo que
permite minimizar el impacto en la organizacin.
- Mantiene la capacidad de gestionar los riesgos que no se puedan
asegurar
- Fomenta el trabajo entre equipos
- Podra mejorar su reputacin
- Podra obtener una ventaja competitiva
3.6 Los resultados de un programa de GCN eficaz
Los resultados son los siguientes:
- Se identifican y protegen los productos y servicios principales para
asegurar su continuidad.
- El personal est formado para responder de manera eficaz ante una
interrupcin, donde recibe el apoyo y comunicacin adecuada.
- Se asegura la cadena de suministro de la organizacin
- Se protege la reputacin y se cumple con requisitos legales
- Se habilita una capacidad de gestin de incidentes.

3.7 Elementos del ciclo de vida del GCN

Consta de 6 elementos, puede ser implantada por cualquier organizacin
a. Gestin del programa de GCN
b. Entendimiento de la organizacin
c. Determinacin de la estrategia de continuidad del negocio
d. Desarrollo e implantacin de una respuesta de GCN
e. Prueba, mantenimiento y revisin de las disposiciones de GCN
f. Implantacin de GCN en la cultura de la organizacin

4. LA POLTICA DE GCN
Las polticas definen los siguientes procesos:
- Las actividades para establecer la capacidad para garantizar la
continuidad del negocio
- La gestin y el mantenimiento continuos de la capacidad de
continuidad del negocio.
Las actividades para establecer la capacidad de continuidad del negocio
incorporan la especificacin, diseo integral, construccin, implantacin
y la prueba inicial de continuidad del negocio.
4.1Desarrollo de la poltica de continuidad del negocio
La organizacin debe considerar lo siguiente para desarrollar su poltica:
- Definir el alcance de la GCN en la organizacin
- La dotacin de recursos a la GCN
- Definir los principios, directrices y pautas mnimas de la GCN para la
organizacin.
- Referenciar todas las normas, reglamentos o polticas
correspondientes que deban incluirse o que puedan usarse como
referencia.
4.2Alcance del programa de GCN
La alta direccin podr determinar el alcance del programa de GCN
mediante la identificacin de sus productos y servicios principales que

cubran sus objetivos, las obligaciones y los deberes legales de la

organizacin.

4.3Actividades externalizadas
Si un producto, servicio o actividad ha sido objeto de externalizacin, la
responsabilidad del riesgo correspondiente a dicho producto, servicio o
actividad sigue recayendo en la organizacin.
5. GESTIN DEL PROGRAMA DE GCN

La gestin del
programa de GCN
se encuentra en el corazn del proceso de GCN. La participacin de la alta
direccin es fundamental.
5.1 Generalidades
La gestin del programa de GCN conlleva 3 pasos:
- Asignacin de responsabilidades
- Implantacin de la continuidad del negocio en la organizacin
- El mantenimiento de la gestin de la continuidad del negocio
5.2 Asignacin de responsabilidades (gobierno)
La direccin de la organizacin debera designar a una persona de
rango y autoridad apropiados que se responsabilice de la poltica e
implantacin de GCN.
Designar una o ms personas que se encarguen de implantar y
mantener el programa de GCN.
Si la estructura de la organizacin as lo exige, la alta direccin podr
designar representantes a lo largo de toda la organizacin para
ayudar en la implantacin.
5.3 Implantacin de la continuidad del negocio en la organizacin

Las actividades previstas para mejorar el programa de continuidad del

negocio deberan incluir el diseo, construccin e implantacin del
programa. La organizacin debera:
- Comunicar el programa a las partes interesadas
- Disponer o proporcionar de la capacitacin apropiada al personal
- Probar la capacidad de continuidad del negocio.
5.4 Gestin continua
Las actividades de gestin continua deberan asegurar que la continuidad
del negocio est integrada en la organizacin. Cada componente debera
ser revisado, puesto en prctica y actualizado de manera regular, sobre
todo cuando exista un cambio importante en el entorno operativo, personal,
procesos o tecnologa.
5.5 Mantenimiento continuo
Independiente de los recursos que se destinen, existen actividades que
deberan realizarse tanto al inicio como de manera continuada. Entre estas
pueden ser las siguientes:
- Definir el alcance, las funciones y responsabilidades correspondientes
de GCN
- Nombrar a una persona o equipo apropiados para gestionar la
capacidad continua de GCN.
- Mantener el programa de continuidad del negocio actualizado
- Administrar el programa de pruebas
5.6 Documentacin de GCN
Las personas encargadas de mantener la continuidad del negocio deberan
crear y mantener la documentacin de continuidad del negocio. Esta podra
incluir:
a. Poltica de GCN
b. Anlisis de impacto en el negocio (AIN)
c. Evaluacin de riesgos y amenazas
d. Estrategia o estrategias de GCN
e. Programas de concienciacin
f. Programa de capacitacin
g. Planes de gestin de incidentes
h. Planes de continuidad del negocio
i. Planes de recuperacin del negocio
j. Programa de pruebas e informes
k. Acuerdos a nivel de servicio y contratos.
6. ENTENDIMIENTO DE LA ORGANIZACIN

El objetivo de este elemento

del ciclo de vida es ayudar a
entender la organizacin a
travs de la identificacin de
sus productos y servicios
principales, de las
actividades crticas y de los recursos que los dan apoyo. Este elemento
garantiza que el programa de GCN est alineado con los objetivos,
obligaciones y deberes legales de la organizacin.
6.1 Anlisis de impacto en el negocio (AIN)
6.2 Identificacin de actividades criticas
Aquellas actividades cuya prdida, segn se identific durante el AIN,
tengan el mayor impacto en el plazo ms corto y que necesiten recuperarse
ms rpidamente podrn definirse como actividades crticas.
6.3 Determinacin de los requisitos de continuidad
La organizacin debera estimar los recursos que cada actividad crtica vaya
a precisar cuando se produzca la reanudacin.
6.4 Evaluacin de las amenazas sobre las actividades crticas
(realizacin de una evaluacin de riesgos)
La organizacin debera conocer las amenazas a las que estn expuestos
los recursos, la vulnerabilidad de cada uno de ellos y el impacto que se
producira si una amenaza se convirtiera en un incidente y provocara una
interrupcin.
6.6 Determinacin de opciones
Como resultado de la evaluacin de riesgos del AIN, la organizacin debera
identificar medidas que reduzcan la probabilidad de que se produzca una
interrupcin, corten el plazo de interrupcin, y limiten el impacto de la
interrupcin en los productos y servicios principales de la organizacin.
Continuidad del negocio
Aceptacin (aceptar un riesgo sin que sea necesario tomar otras
medidas)
Transferencia (para algunos riesgos lo mejor es transferirlos)
Cambio, suspensin o terminacin (del servicio, producto actividad,
funcin o proceso)
Visto bueno (la alta direccin debera dar el visto bueno a la lista
documentada de productos y servicios principales)

7. DETERMINACIN DE LA ESTRATEGIA DE CONTINUIDAD DEL

NEGOCIO
Este elemento del ciclo de vida del GCN lgicamente sigue a la fase de
Entendimiento de la organizacin. Como resultado del anlisis anterior,
la organizacin estar en situacin de elegir las estrategias de
continuidad apropiadas para permitir el cumplimiento de sus objetivos.
7.1 Opciones estratgicas
La organizacin debera considerar opciones estratgicas para sus
actividades crticas y los recursos que cada actividad vaya a precisar a
su reanudacin.
7.2 Personal
La organizacin debera identificar las estrategias apropiadas para el
mantenimiento de los perfiles y los conocimientos esenciales del
personal.
7.3 Locales
La organizacin debera disear una estrategia para reducir el impacto
de la no disponibilidad de sus centros de trabajo habituales.
7.4 Tecnologa
Las estrategias tecnolgicas dependern de la naturaleza de la
tecnologa empleada y su relacin con las actividades crticas. Pueden
contar de recursos proporcionados por la propia organizacin, servicios
prestados a la organizacin, y servicios prestados externamente por
terceros.
7.5 Informacin
Las estrategias deberan asegurar que la informacin vital para el
funcionamiento de la organizacin est protegida y sea recuperable
segn los plazos descritos en el AIN. Toda informacin debera ofrecer
confidencialidad, integridad, disponibilidad y vigencia.
7.6 Suministros
La organizacin debera identificar y mantener un inventario de los
suministros principales que dan apoyo a sus actividades crticas.
7.7 Partes interesadas
La organizacin debera considerar y proteger los intereses de sus
principales partes interesadas. Estas estrategias deberan tener en
cuenta consideraciones culturales y sociales que sean relevantes.
7.8 Emergencias civiles
Las organizaciones que pretendan determinar, implantar o validar
estrategias para la gestin de incidentes y para la gestin de la
continuidad del negocio deberan familiarizarse con los organismos
oficiales locales de respuesta temprana.
7.9 Visto bueno
La alta direccin debera dar su visto bueno a las estrategias
documentadas para confirmar que la eleccin de las estrategias de
continuidad ha sido acometida debidamente y que tienen en cuenta las
causas y los efectos potenciales de la interrupcin y que las estrategias

seleccionadas son apropiadas para cumplir los objetivos de la

organizacin en funcin del apetito por el riesgo de la organizacin.

8.

DESARROLLO E
IMPLANTACIN DE UNA
RESPUESTA DE GCN
Este elemento del ciclo de
vida del GCN se refiere al
desarrollo e implantacin de
planes y disposiciones apropiadas para asegurar la continuidad de
actividades crticas, y la gestin de un accidente.
8.1 Estructura de la respuesta a incidentes
Esta estructura debe permitir una respuesta y recuperacin eficaces
frente a interrupciones.

8.2 Contenido de los planes

Todos los planes deben ser concisos y estar accesibles a las personas
que tengan responsabilidades definidas en los planes. Debe incluir:
Propsitos y alcance

Funciones y responsabilidades
Activacin del plan
Propietario y responsable del mantenimiento de los documentos
Datos de contacto

8.3 El plan de gestin de incidentes (PGI)

El propsito es permitir a la organizacin gestionar la fase inicial (aguda)
de un incidente. El PGI debera ser flexible, factible, pertinente, fcil de
leer y entender, proporcionar las bases para gestionar todo tipo de
cuestiones.
8.4 Contenido del PGI
Tareas y listas de accin
Contactos de emergencia
Actividades con respecto a las personas
Respuesta a los medios de comunicacin
Gestin de las partes interesadas
Localizacin de la gestin de incidentes
Anexos
8.5 El plan o planes de continuidad del negocio (PCN)
El propsito es permitir a una organizacin recuperar o mantener sus
actividades en el caso de producirse una interrupcin de las operaciones
normales del negocio.
8.6 Contenido del PCN
Planes de accin / listas de tareas
Recursos necesarios
Persona o personas responsables
Formularios y anexos

9. PRUEBA, MANTENIMIENTO Y REVISIN DE LAS DISPOSICIONES

DE GCN

Este elemento del ciclo de vida asegura que las disposiciones del plan de
GCN de una organizacin son validadas a travs de las pruebas y
revisin, y que se mantienen actualizadas.
9.1 Programa de prueba de puesta en prctica
El programa de pruebas debera ser coherente con el alcance del plan o
los planes de continuidad del negocio, dndole la debida consideracin a
toda la legislacin y reglamentacin aplicables.
9.2 Pruebas de puesta en prctica de las disposiciones de GCN
Las pruebas deberan ser realistas, cuidadosamente planificadas y
pactarse con las partes interesadas, de forma que exista el mnimo
riesgo de interrupcin para los procesos de negocio. Cada prueba
debera planificarse de modo que minimice el riesgo.

9.3 Mantenimiento de las disposiciones de GCN

Debera mantenerse un programa de mantenimiento claramente
definido y documentado. Debe asegurar que todos los cambios (internos
y externos) que impacten en la organizacin se revisen en relacin con
la GCN.
9.4 Revisin de las disposiciones de GCN
La alta direccin debera con la periodicidad que estime conveniente,
revisar la capacidad de GCN de la organizacin con el fin de asegurar
que sigue siendo apta, adecuada y eficaz.

10.
IMPLANTACIN DE GCN EN LA CULTURA DE LA
ORGANIZACIN
Para tener xito la continuidad del negocio ha de formar parte de la
manera en que se gestiona la organizacin, sin tener en cuenta su
tamao o sector. En cada etapa del proceso GCN, existen oportunidades
de introducir y mejorar la cultura de GCN en la organizacin.
10.1 Concienciacin
10.2 Formacin