Ntc-Iso22301 2019 de 0322 2020

Bogotá, 2020-07-18
DE DE_0322_2020
TITULO
ETAPA Consulta Pública
INICIO 2020-07-18
FINALIZACIÓN 2020-08-21
El presente documento ha sido preparado por el comité técnico de normalización de ICONTEC,

CTN 205 Seguridad de la Sociedad y resiliencia. Como parte del proceso normativo, este
documento se circula por un periodo de 60 días para concepto y observaciones de las partes
interesadas en general.
El CTN agradece cualquier observación a este documento, el cual debe ser enviado antes de la
fecha de finalización de Consulta Pública en el formato de observaciones adjunto o a través del
enlace proporcionado. De igual manera, al comité le gustaría conocer su concepto (aprobación,
aprobación con observaciones, desaprobación (indicando la causa) o abstención (indicando la
causa)) con respecto al documento. En caso de no recibir respuesta, consideraremos su
conformidad con el proyecto propuesto.
Toda observación (eliminación, modificación o inclusión de texto) debe ser relacionada con un
numeral, tener un sustento técnico y estar acompañado de la propuesta respectiva. En caso de no
presentar el sustento técnico o propuesta, su observación puede no ser considerada.
Se invita a los receptores de este proyecto a enviar, junto con sus comentarios, notificación de
cualquier derecho de patente pertinente del que tengan conocimiento, y a suministrar la
documentación de apoyo.
Este documento está sujeto a cambios y no debe ser utilizado como una Norma Técnica.
NOTA 1 Este documento corresponde a: (elegir una de las siguientes opciones):
- Una adopción idéntica de la norma _________________________________
- Un documento elaborado a partir de información proporcionada por el comité.
- Una adopción modificada de la norma ________________________________. Los cambios con respecto al

documento de referencia están identificados en el Anexo ___ del proyecto.
(incluir esta nota solo cuando sea aplicable):
NOTA 2 En el proyecto se encuentran posiciones divergentes en el numeral ___. Se solicita elegir una de las opciones.
Toda la información relacionada con este documento debe ser enviada a xxxxxxxx@icontec.org
ES-P-NN-03-F-002 página 1 de 1 Versión 02

NORMA TECNICA COLOMBIANA
NTC XXX
2020-06-10
Seguridad y resiliencia.
Sistemas de gestión de continuidad de
negocio. Orientación sobre el uso de la
NTC-ISO 22301
E: Security and resilience. Business continuity management

systems. Guidance on the use of NTC-ISO 22301 Este documento, que
incluye la carátula y el
prólogo, se encuentra en
estudio, hasta tanto el
proceso normativo llegue
a la ratificación para que
CORRESPONDENCIA: Esta Guía Técnica Colombiana es una adopción idéntica por se convierta en
documento técnico
traducción (IDT) de la norma ISO 22313:2020.
colombiano (NTC, GTC o
EDN, según sea el caso).
DESCRIPTORES: seguridad de las personas; sistema de gestión de continuidad de
negocio; resiliencia - resiliencia de la sociedad; emergencia; crisis. DIRECCIÓN DE
NORMALIZACIÓN
I.C.S.: 03.100.70; 03.100.01
® ICONTEC 2020
Reservados todos los derechos. Ninguna parte de esta publicación puede ser reproducida o utilizada
en cualquier forma o por cualquier medio, electrónico o mecánico incluyendo fotocopiado y
microfilmación, sin permiso por escrito del editor.
Editada por ICONTEC. Apartado 14237 Bogotá, D.C. - Tel. (571) 6078888
Primera actualización
Prohibida su reproducción | Editada 2020-06-10
PRÓLOGO
El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo nacional de

normalización, según el Decreto 1595 de 2015.
ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental para
brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el sector
gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en los mercados
interno y externo.
La representación de todos los sectores involucrados en el proceso de Normalización Técnica está

garantizada por los Comités Técnicos y el período de Consulta Pública, este último caracterizado
por la participación del público en general.
Se llama la atención sobre la posibilidad de que algunos elementos de este documento pueden ser
objeto de derechos de patente. ICONTEC no asume la responsabilidad por la identificación de dichas
patentes, o por la documentación que se haya aportado que goza de esta protección legal.
La END XXX fue ratificada por el Consejo Directivo de 2020-06-10.
Este documento está sujeto a ser revisado en cualquier momento con el objeto de que responda a
las necesidades y exigencias actuales. Se invita a los usuarios de este documento a presentar sus
solicitudes de revisión a ICONTEC; sus comentarios serán puestos a consideración del comité
técnico responsable del estudio de este tema.
ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados normas
internacionales, regionales y nacionales y otros documentos relacionados.
DIRECCIÓN DE NORMALIZACIÓN
PROYECTO DE DE_0322_2020
GUÍA TÉCNICA COLOMBIANA END XXX
CONTENIDO
Página
INTRODUCCIÓN ............................................................................................................................. I
1. OBJETO Y CAMPO DE APLICACIÓN ............................................................................... 1
2. REFERENCIAS NORMATIVAS .......................................................................................... 1
3. TÉRMINOS Y DEFINICIONES ............................................................................................ 2
4. CONTEXTO DE LA ORGANIZACIÓN ................................................................................ 2
4.1 Comprensión de la organización y su contexto .............................................................. 2
4.2 Comprensión de las necesidades y expectativas de las partes interesadas ................ 3
4.3 Determinación del alcance del sistema de gestión de continuidad de negocio ........... 5
4.4 Sistema de gestión de continuidad de negocio .............................................................. 6
5. LIDERAZGO ....................................................................................................................... 7
5.1 Liderazgo y compromiso .................................................................................................. 7
5.2 Política ............................................................................................................................... 8
5.3 Roles, responsabilidades y autoridades ......................................................................... 9
6. PLANIFICACIÓN .............................................................................................................. 11
6.1 Acciones para abordar riesgos y oportunidades .......................................................... 11
6.2 Objetivos para la continuidad de negocio y planificación para lograrlos ................... 12

Página
6.3 Planificación de los cambios en el sistema

de gestión de continuidad de negocio........................................................................... 13
7. APOYO ............................................................................................................................. 13
7.1 Recursos .......................................................................................................................... 13
7.2 Competencias .................................................................................................................. 14
7.3 Toma de conciencia ........................................................................................................ 16
7.4 Comunicación.................................................................................................................. 18
7.5 Información documentada .............................................................................................. 18
8. OPERACIÓN..................................................................................................................... 22
8.1 Planificación y control operacional ............................................................................... 22
8.2 Análisis de impacto en el negocio y evaluación de riesgos......................................... 24
8.3 Estrategias y soluciones de continuidad de negocio ................................................... 31
8.5 Programa de ejercicios ................................................................................................... 56
8.6 Evaluación de la documentación y

las capacidades de continuidad de negocio ................................................................. 61
9. EVALUACIÓN DEL DESEMPEÑO ................................................................................... 64
9.1 Seguimiento, medición, análisis y evaluación .............................................................. 64
9.2 Auditoría interna .............................................................................................................. 64
9.3 Revisión por la dirección ................................................................................................ 65
10. MEJORA ........................................................................................................................... 67
10.1 No conformidad y acción correctiva .............................................................................. 67

Página
10.2 Mejora continua ............................................................................................................... 68
BIBLIOGRAFÍA ............................................................................................................................ 70
DOCUMENTO DE REFERENCIA ................................................................................................ 71
FIGURAS
Figura 1. Ciclo PHVA aplicado a los procesos del BCMS ........................................................... v
Figura 2. Ilustración de la continuidad de negocio

siendo efectiva para la interrupción repentina ......................................................................... viii
Figura 3. Ilustración de la continuidad de negocio siendo efectiva para

la interrupción gradual (por ejemplo, la aproximación a una pandemia). .............................. viii
Figura 4. Ejemplos de partes interesadas en los sectores público y privado ........................... 4
Figura 5. Elementos de la gestión de continuidad de negocio................................................. 23
Figura 6. Cómo entender la organización .................................................................................. 26
TABLAS
Tabla 1. Explicación del ciclo PHVA ............................................................................................ iv
Tabla 2. La relación entre el ciclo PHVA y los Numerales 4 al 10 .............................................. v
Tabla 3. Ejemplos de roles y responsabilidades del BCMS ...................................................... 10
Tabla 4. Ejemplos del tipo de impacto ....................................................................................... 27
Tabla 5. Ejemplos de equipos y posibles roles y responsabilidades ...................................... 48
Tabla 6. Ejemplos de descripciones de métodos de ejercicio.................................................. 60

INTRODUCCIÓN
0.1 GENERALIDADES
Este documento proporciona orientación, cuando procede, sobre los requisitos especificados en la
norma NTC-ISO 22301. No es la intención de este documento proporcionar una orientación general
sobre todos los aspectos de la continuidad de negocio.
Este documento incluye los mismos encabezados de los numerales de la NTC-ISO 22301, pero no
repite los requisitos y los términos y definiciones relacionados.
La intención de esta orientación es explicar y aclarar el significado y el propósito de los requisitos de

la NTC-ISO 22301 y ayudar a resolver cualquier problema de interpretación. Otras normas y
especificaciones técnicas que proporcionan orientación adicional, y a las que se hace referencia en
este documento, son la GTC-ISO/TS 22317, la GTC 296, la ISO 22322, la ISO/TS 22330, la ISO/TS
22331 y la GTC 278. El objeto y campo de aplicación de estos documentos puede ir más allá de los
requisitos de la NTC-ISO 22301. Por lo tanto, las organizaciones deberían remitirse siempre a la
NTC-ISO 22301 para verificar los requisitos a cumplir.
Para proporcionar más aclaraciones y explicaciones sobre los puntos clave, este documento incluye
varias figuras. Las figuras son de carácter ilustrativo y el texto correspondiente del cuerpo del
presente documento tiene prioridad.
Un sistema de gestión de continuidad de negocio (BCMS, por sus siglas en inglés) ENFATIZA la
importancia de los siguientes aspectos:
- Establecimiento de una política y objetivos de continuidad de negocio que se ajusten a los

objetivos de la organización;
- Ejecución y mantenimiento de procesos, capacidades y estructuras de respuesta para

asegurar que la organización sobreviva a las interrupciones;
- Seguimiento y revisión del desempeño y la eficacia del BCMS;
- Mejora continua basada en la medición cualitativa y cuantitativa.
Un BCMS, como cualquier otro sistema de gestión, incluye los siguientes componentes:
a) políticas;
b) personas competentes con responsabilidades definidas;
i
c) gestión de procesos relacionados con:
1) políticas;
2) planificación;
3) implementación y operación;
4) evaluación del desempeño;
5) revisión por la dirección;
6) mejora continua;
d) información documentada que apoye el control operacional y permita la evaluación del

desempeño.
La continuidad de negocio es generalmente específica de una organización. Sin embargo, su

implementación puede tener consecuencias de gran alcance para la comunidad en general y otros
terceros. Es probable que una organización tenga organizaciones externas de las que dependa y
habrá otras que dependan de ella. Por consiguiente, la continuidad de negocio eficaz contribuye a
una sociedad más resiliente.
0.2 BENEFICIOS DE UN SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO
Un BCMS aumenta el nivel de preparación de la organización para seguir operando durante las
interrupciones. También contribuye a mejorar la comprensión de las relaciones internas y externas
de la organización, a mejorar la comunicación con las partes interesadas y a crear un entorno de
mejora continua. La implementación de un BCMS de conformidad con las recomendaciones que
figuran en el presente documento y con los requisitos de la NTC-ISO 22301 puede ofrecer muchas
ventajas adicionales.
- El seguimiento de las recomendaciones del numeral 4 ("contexto de la organización") implica

que la organización:
- revise sus objetivos estratégicos para asegurarse de que el BCMS los apoya;
- reconsidere las necesidades, expectativas y requisitos de las partes interesadas;
- sea consciente de las obligaciones legales, reglamentarias y de otro tipo aplicables.
- Numeral 5 ("liderazgo") implica que la organización:
- reconsidere los roles y responsabilidades de la gerencia;
- promueva una cultura de mejora continua;
- asigne la responsabilidad del seguimiento del desempeño y la presentación de

informes.
- Numeral 6 ("planificación") implica que la organización:
ii
- reexamine sus riesgos y oportunidades y determine las acciones para abordarlos y

aprovecharlos;
- establezca una gestión eficaz del cambio.
- Numeral 7 ("apoyo") implica que la organización:
- establezca una gestión eficaz de sus recursos del BCMS, incluida la gestión de la
competencia;
- mejore la toma de conciencia de los empleados sobre los asuntos que son
importantes para la gestión;
- disponga de mecanismos eficaces de comunicación interna y externa;
- gestione eficazmente su documentación.
- Numeral 8 (“operación”) resultados de la organización:
- las consecuencias imprevistas del cambio;
- prioridades y requisitos de continuidad de negocios;
- dependencias;
- vulnerabilidades desde la perspectiva de los impactos;
- los riesgos de interrupción y la determinación de la mejor manera de abordarlos;
- soluciones alternativas para dirigir el negocio con recursos limitados;
- estructuras y procedimientos eficaces para hacer frente a las interrupciones;
- responsabilidades para con la comunidad y otras partes interesadas.
- Numeral 9 ("evaluación de desempeño") implica que la organización:
- tenga mecanismos eficaces para el monitoreo la medición y la evaluación del

desempeño;
- involucrar a la gerencia en el seguimiento del desempeño y en la contribución a la

eficacia de la SCBN.
- Numeral 10 ("mejora") implica que la organización:
- disponga de procedimientos para realizar el seguimiento del desempeño y mejorar la

eficacia;
- se beneficie de la mejora continua de sus sistemas de gestión.

Como resultado, la aplicación del BCMS puede:
iii
a) proteger la vida, los bienes y el medio ambiente;
b) proteger y mejorar la reputación y la credibilidad de la organización;
c) contribuir a la ventaja competitiva de la organización permitiéndole operar durante las

interrupciones;
d) reducir los costos derivados de las interrupciones y mejorar la capacidad de la organización

para seguir siendo eficaz durante ellas;
e) contribuir a la capacidad de resiliencia general de la organización;
f) contribuir a que las partes interesadas tengan más confianza en el éxito de la organización;
g) reducir la exposición legal y financiera de la organización;
h) demostrar la capacidad de la organización para gestionar el riesgo y hacer frente a las

vulnerabilidades operacionales.
0.3 CICLO PLANIFICAR-HACER-VERIFICAR-ACTUAR (PHVA)
Este documento aplica el ciclo Planificar-Hacer-Verificar-Actuar (PHVA) a la planificación,

establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua
de la efectividad del BCMS de una empresa. Una explicación del ciclo del PHVA se presenta en la
Tabla 1.
La Figura 1 ilustra la forma en que el BCMS toma los requisitos de las partes interesadas como
insumos para la gestión de continuidad de negocio y, mediante las acciones y procesos necesarios,
produce resultados de continuidad de negocio (es decir, continuidad de negocio gestionadas) que
cumplen esos requisitos.
Tabla 1. Explicación del ciclo PHVA
Planificación Establecer la política, los objetivos, los controles, los procesos y los procedimientos de
(Establecer) continuidad de negocio pertinentes para mejorar la continuidad de negocio a fin de obtener
resultados que se ajusten a las políticas y los objetivos generales de la empresa.
Hacer Implementar y poner en práctica la política, los controles, los procesos y los procedimientos
(Implementar y operar) de continuidad de los negocios.
Verificar Monitorear y revisar el desempeño en relación con la política y los objetivos de continuidad
(Monitorear y revisar) de negocio, informar sobre los resultados a la gerencia para que los examine, y determinar
y autorizar acciones de reparación y mejora.
Actuar Mantener y mejorar el BCMS mediante la adopción de acciones correctivas, basadas en los
(Mantener y mejorar) resultados de la revisión por la dirección y la reevaluación del alcance del BCMS y la política
y los objetivos de continuidad de negocio.
iv
Figura 1. Ciclo PHVA aplicado a los procesos del BCMS
0.4 COMPONENTES DEL PHVA EN ESTE DOCUMENTO
La Tabla 2 muestra la relación directa entre el contenido de la Figura 1 y los numerales de este
documento.
Tabla 2. La relación entre el ciclo PHVA y los Numerales 4 al 10
Componente PHVA Numeral relativa al componente PHVA
Planificación Numeral 4 ("contexto de la organización") establece lo que la organización debería hacer

(Establecer) para asegurarse de que el BCMS cumpla sus requisitos, tomando en consideración todas
las cuestiones externas e internas pertinentes, entre ellos:
- las necesidades y expectativas de las partes interesadas;
- sus obligaciones legales y reglamentarias;
- el alcance de aplicación requerido del BCMS.
Numeral 5 ("liderazgo") establece el rol de la Gerencia en términos de demostrar el

compromiso, definir la política y establecer los roles, responsabilidades y autoridades.
Numeral 6 ("planificación") describe las acciones para establecer los objetivos estratégicos
y los principios rectores para la implementación del BCMS.
Numeral 7 ("apoyo") identifica los elementos del BCMS que deberían estar en
funcionamiento, como recursos, competencia, concienciación, comunicación e información
documentada.
Hacer Numeral 8 (“operación") identifica los procesos para establecer y mantener la continuidad
(Implementar y operar) de negocio.
Verificar Numeral 9 ("evaluación del desempeño") proporciona la base para mejorar el BCMS a través
(Monitorear y revisar) de la medición y evaluación de su desempeño.
Actuar Numeral 10 ("mejora") abarca las acciones correctivas para abordar las no conformidades
(Mantener y mejorar) identificadas mediante la evaluación del desempeño.
v
0.5 ESTRUCTURA DEL DOCUMENTO
No es la intención de este documento sugerir la uniformidad en la estructura de un BCMS, sino que

una organización debería diseñar un BCMS que sea apropiado para sus necesidades y que cumpla
con los requisitos de sus partes interesadas, en particular los clientes y los empleados. Esas
necesidades están determinadas por los requisitos legales, reglamentarios, organizativos y de la
industria, los productos y servicios, los procesos empleados, el entorno en el que opera, el tamaño
y la estructura de la organización y los requisitos de las partes interesadas.
El presente documento no tiene por objeto evaluar la capacidad de una organización para satisfacer
sus propias necesidades de continuidad de negocio, ni las de sus clientes, ni las legales o
reglamentarias. Las organizaciones que lo deseen pueden utilizar los requisitos de la NTC-ISO
22301.
Los numerales 1 a la 3 del presente documento establecen el alcance, las referencias normativas y
los términos y definiciones que se aplican a la utilización del presente documento. Los numerales 4
a la 10 contienen directrices sobre los requisitos que figuran en la NTC-ISO 22301.
En este documento se utilizan las siguientes formas verbales:
a) "debería" que indica una recomendación;
b) "puede" que indica una autorización, una posibilidad o una capacidad para hacer algo.
0.6 CONTINUIDAD DE NEGOCIO
La continuidad de negocio es la capacidad de la organización para seguir suministrando productos

o servicios a capacidades predefinidas aceptables después de una interrupción. La gestión de
continuidad de negocio es el proceso de implementar y mantener la continuidad de negocio (véase
el numeral 8.1.2 y la Figura 5) con el fin de prevenir pérdidas y prepararse para las interrupciones,
mitigarlas y gestionarlas.
El establecimiento de un BCMS le permite a la organización controlar, evaluar y mejorar

continuamente su continuidad de negocio.
En el presente documento, la palabra " negocio " se utiliza como un término global para referirse a
las operaciones y servicios realizados por una organización en la consecución de sus objetivos,
metas o misión. Como tal, es igualmente aplicable a las grandes, medianas y pequeñas
organizaciones que operan en los sectores industrial, comercial, público y sin fines de lucro.
Las interrupciones tienen el potencial de paralizar todas las operaciones de la organización y su

capacidad de ofrecer productos y servicios. Sin embargo, la aplicación de un BCMS antes de que
se produzca una interrupción, en lugar de responder de manera imprevista después del incidente,
le permitirá a la organización reanudar las operaciones antes de que se produzcan niveles
inaceptables de impacto.
vi
La gestión de continuidad de negocio implica:
a) la identificación de los productos y servicios de la organización y las actividades que los

suministran;
b) el análisis de los impactos de no reanudar las actividades y los recursos de los que dependen;
c) comprensión del riesgo de interrupción;
d) determinar las prioridades, los plazos, las capacidades y las estrategias para reanudar la
entrega de productos y servicios;
e) tener soluciones y planes para reanudar las actividades dentro de los plazos requeridos
después de una interrupción;
f) cerciorarse de que esos arreglos se revisen y actualicen periódicamente para que sean
eficaces en todas las circunstancias.
El enfoque de la organización con respecto a la gestión de continuidad de negocio y la información

documentada debería ser adecuada a su contexto (por ejemplo, el entorno operativo, la complejidad,
las necesidades, los recursos).
La continuidad de negocio puede ser eficaz para hacer frente tanto a interrupciones repentinas (por
ejemplo, explosiones) como a las graduales (por ejemplo, pandemias).
Las actividades pueden verse interrumpidas por una amplia variedad de incidentes, muchos de los
cuales son difíciles de predecir o analizar. Al centrarse en los impactos de la interrupción y no en la
causa, la continuidad de negocio le permite a una organización identificar las actividades que son
esenciales para poder cumplir con sus obligaciones. Mediante la continuidad de negocio, una
organización puede reconocer lo que hay que hacer para proteger sus recursos (por ejemplo, las
personas, las instalaciones, la tecnología, la información), la cadena de suministro, las partes
interesadas y la reputación antes de que se produzca una interrupción. Con ese reconocimiento, la
organización puede establecer una estructura de respuesta, de modo que pueda confiar en la
gestión de los impactos de una interrupción.
Las Figura 2 y Figura 3 ilustran conceptualmente la forma en que la continuidad de negocio puede
ser eficaz para mitigar los impactos en determinadas situaciones. No hay escalas de tiempo
específicas implícitas en la distancia relativa entre las etapas representadas en ninguno de los dos
diagramas.
vii
Figura 2. Ilustración de la continuidad de negocio siendo efectiva para la interrupción repentina
Figura 3. Ilustración de la continuidad de negocio siendo efectiva para la interrupción gradual (por ejemplo, la
aproximación a una pandemia).
viii
GUÍA TÉCNICA COLOMBIANA END 141
SEGURIDAD Y RESILIENCIA.
SISTEMAS DE GESTIÓN DE CONTINUIDAD DE NEGOCIO.
ORIENTACIÓN SOBRE EL USO DE LA NTC-ISO 22301
1. OBJETO Y CAMPO DE APLICACIÓN
Este documento proporciona orientación y recomendaciones para aplicar los requisitos del sistema
de gestión de continuidad de negocio (BCMS) que figuran en la norma NTC-ISO 22301. La
orientación y las recomendaciones se basan en las buenas prácticas internacionales.
Este documento es aplicable a las organizaciones que:
a) implementan, mantienen y mejoran un BCMS;
b) buscan asegurar la conformidad con la política de continuidad de negocio declarada;
c) necesitan poder seguir suministrando productos y servicios a una capacidad predefinida

aceptable durante una interrupción;
d) tratan de mejorar su capacidad de resiliencia mediante la aplicación efectiva del BCMS.
La orientación y las recomendaciones se aplican a organizaciones de todos los tamaños y tipos,

incluidas las grandes, medianas y pequeñas organizaciones que operan en los sectores industrial,
comercial, público y sin fines de lucro. El enfoque adoptado depende del entorno operativo y la
complejidad de la organización.
2. REFERENCIAS NORMATIVAS
Se hace referencia a los siguientes documentos en el texto de manera que parte o la totalidad de su
contenido constituye requisitos del presente documento. En el caso de las referencias fechadas,
solo se aplica la edición citada. Para las referencias sin fecha, se aplica la última edición del
documento de referencia (incluida cualquier enmienda).
NTC-ISO 22301, Seguridad y resiliencia. Sistemas de gestión de continuidad de negocio. Requisitos.
ISO 22300, Security and Resilience. Vocabulary.
1 de 71
3. TÉRMINOS Y DEFINICIONES
A los efectos del presente documento, se aplican los términos y definiciones que figuran en las
normas ISO 22300, NTC-ISO 22301 y sucesivas.
La ISO y IEC mantienen bases de datos terminológicas para su uso en la normalización en las
siguientes direcciones:
- ISO Plataforma de navegación en línea: disponible en https: //www.iso.org/obp
- IEC Electropedia: disponible en http: //www.electropedia.org/
3.1 gestión de continuidad de negocio (business continuity management). Proceso de

aplicación y mantenimiento de la continuidad de negocio.
4. CONTEXTO DE LA ORGANIZACIÓN
4.1 Comprensión de la organización y su contexto
En este numeral se proporcionan recomendaciones para comprender el contexto de la organización

en relación con el BCMS. Las recomendaciones para establecer y mantener la continuidad de
negocio se abordan en el numeral 8.1.
La organización debería evaluar y comprender las cuestiones externas e internas (incluidos los
factores o condiciones positivos y negativos a considerarse) que son pertinentes para sus objetivos
generales, sus productos y servicios y la cantidad y el tipo de riesgo que puede o no puede asumir.
Esta información debería tomarse en cuenta al aplicar y mantener el BCMS de la organización y al
asignar prioridades.
El contexto externo de la organización incluye, cuando sea pertinente, lo siguiente:
- el entorno político, legal y regulatorio, ya sea internacional, nacional, regional o local;
- aspectos sociales y culturales;
- el entorno financiero, tecnológico, económico, natural y competitivo, ya sea internacional,

nacional, regional o local;
- compromisos y relaciones de la cadena de suministro (véase también la GTC 296);
- los impulsores (por ejemplo, el riesgo, la tecnología) y las tendencias que repercuten en los
objetivos y el funcionamiento de la organización;
- las relaciones con las partes interesadas fuera de la organización y las percepciones y
valores de éstas;
- los canales de comunicación, incluidos los medios sociales, utilizados para determinar y
establecer esas relaciones.
2
El contexto interno de la organización incluye, cuando sea pertinente, lo siguiente:
- productos y servicios, actividades, recursos, cadenas de suministro y relaciones con las

partes interesadas;
- capacidades en términos de recursos y conocimientos (por ejemplo, capital, tiempo,

personas, procesos, sistemas, tecnologías);
- sistemas de gestión existentes;
- información y datos (almacenados en forma física o digital) y procesos de toma de decisiones

(formales y de otro tipo);
- las partes interesadas dentro de la organización, incluidos los proveedores internos

[consideración de los acuerdos de nivel de servicio (SLA), evaluación de los acuerdos de
resiliencia y recuperación], véase la GTC 296;
- las políticas y objetivos, y las estrategias de negocio que se establecieron para lograrlos;
- oportunidades futuras y prioridades del negocio;
- percepciones, valores y cultura;
- normas y modelos de referencia adoptados por la organización;
- estructuras (por ejemplo, gobernanza, roles, responsabilidades);
- canales de comunicación interna utilizados para el intercambio de información dentro de la

fuerza de trabajo (por ejemplo, medios de comunicación social).
4.2 Comprensión de las necesidades y expectativas de las partes interesadas
4.2.1 Generalidades
La organización tiene el deber de cuidar de una amplia gama de personas dentro y fuera de la
organización (véase también la norma ISO/TS 22330). Al establecer su BCMS, la organización
debería asegurarse de que se tengan en cuenta las necesidades y los requisitos de todas las partes
interesadas.
La organización debería identificar a todas las partes interesadas que sean pertinentes para su
BCMS (véase la Figura 4) y, conforme a sus necesidades y expectativas, debería determinar sus
requisitos. Es importante identificar no solamente los requisitos obligatorios y declarados, sino
también los que están implícitos.
Al planificar y aplicar el BCMS, es importante determinar las acciones que son apropiadas en relación
con las partes interesadas, pero diferenciándolas entre sí. Por ejemplo, si bien puede ser apropiado
comunicarse con todas las partes interesadas después de una interrupción, tal vez no sea
conveniente comunicarse con todas las partes interesadas al aplicar y mantener la gestión de
continuidad de negocio (véase el numeral 8.1.2).
3
Figura 4. Ejemplos de partes interesadas en los sectores público y privado
4.2.2 Requisitos legales y reglamentarios
La aplicación del presente documento supone el conocimiento de los requisitos legales y

reglamentarios aplicables.
Los requisitos pueden ser implícitos, declarados u obligatorios. La información relativa a estos
requisitos debería documentarse y mantenerse actualizada. Los nuevos requisitos o los cambios en
los requisitos existentes se deberían comunicar a los empleados afectados y a otras partes
interesadas.
La organización debería demostrar que tiene acceso a los requisitos legales y reglamentarios
vigentes y pendientes que sean pertinentes para sus operaciones y la forma en que se cumplen
esos requisitos. Los requisitos pueden incluir:
a) respuesta a incidentes, que incluye la gestión de emergencias y otra legislación pertinente;
b) continuidad de negocio, que puede determinar el alcance de aplicación del programa o el

grado o la velocidad de recuperación;
c) riesgo, los requisitos que definen el alcance o los métodos de gestión del riesgo;
d) peligros (por ejemplo, los requisitos de funcionamiento relativos a los materiales peligrosos
almacenados en el lugar).
e) las organizaciones que operan en múltiples lugares pueden tener que satisfacer los requisitos
de diferentes jurisdicciones.
4
4.3 Determinación del alcance del sistema de gestión de continuidad de negocio
4.3.1 Generalidades
El propósito de determinar la aplicación del BCMS es determinar sus límites y su aplicabilidad para
asegurar la cobertura de todos los productos y servicios, actividades, lugares, recursos, proveedores
y otras dependencias pertinentes.
El alcance debería abordar las cuestiones identificadas en el numeral 4.1, los requisitos de las partes
interesadas determinados en el numeral 4.2, así como la misión, los objetivos y las obligaciones de
la organización.
La organización debería preparar una declaración que establezca el alcance del BCMS de manera
y en términos adecuados al tamaño, naturaleza y complejidad de la organización. La declaración
debería estar a disposición de las partes interesadas.
4.3.2 Alcance del sistema de gestión de continuidad de negocio
La organización debería:
a) establecer, por referencia a los productos y servicios, las partes de la organización que están
incluidas o excluidas del alcance del BCMS, por ejemplo:
1) solamente incluir la entrega de un producto específico a un país o región;
2) excluir un producto que ya no es viable o es de bajo valor para la empresa;
3) incluir solo un subconjunto de productos y servicios;
b) identificar los productos y servicios de la organización de manera que se puedan identificar

todas las actividades, recursos y cadenas de suministro conexas.
El alcance puede:
- incluir una indicación de la escala o magnitud del incidente que abordará el BCMS;
- identificar cómo encaja el BCMS en la estrategia de negocio de la organización y el enfoque

de la gestión de riesgos.
4.3.3 Exclusiones del alcance
El alcance determina los lugares, productos y servicios, actividades y recursos a los que se aplica el
BCMS. De ello se desprende que todas las dependencias estarán en el alcance, aunque no se hayan
identificado explícitamente en la declaración sobre este. Por ejemplo, si una organización
manufacturera incluye un producto en su ámbito de aplicación del BCMS, entonces se incluirá el
suministro de materias primas, el procesamiento, la entrega y cualquier función de apoyo (como el
procesamiento de datos, las compras y los recursos humanos) en cualquier lugar que participe
directa o indirectamente en su entrega al cliente.
Las exclusiones no deberían afectar a la capacidad de la organización para cumplir los requisitos de
continuidad de negocio, según lo determinado por el análisis de impacto comercial (véase el numeral
5
8.2.2). En este sentido, no se pueden excluir las actividades, los recursos y las cadenas de
suministro necesarios para suministrar los productos y servicios incluidos en el alcance.
Las exclusiones del objeto y campo de aplicación de aplicación del BCMS deberían documentarse
y explicarse la justificación de estas.
Si el BCMS se está integrando en un sistema de gestión existente, la organización debería

asegurarse de que se incluyan todos los elementos del BCMS.
4.4 Sistema de gestión de continuidad de negocio
El propósito de esta subnumeral es destacar la necesidad de que la organización implemente y

mantenga procesos que permitan al BCMS cumplir con los requisitos de la NTC-ISO 22301, incluidas
las interacciones entre los procesos.
Al determinar los procesos y su aplicación en toda la organización, la organización debería:
a) determinar los insumos requeridos y los productos esperados de estos procesos;
b) determinar la secuencia e interacción de estos procesos;
c) determinar y aplicar los criterios y métodos (incluidos el monitoreo, las mediciones y los
indicadores de desempeño conexos) necesarios para asegurar el funcionamiento y el control
eficaces de esos procesos;
d) determinar los recursos necesarios para estos procesos y asegurar su disponibilidad;
e) asignar las responsabilidades y las autoridades de estos procesos;
f) abordar los riesgos y oportunidades que se determinan en el numeral 6.1;
g) evaluar estos procesos y aplicar los cambios necesarios para asegurar que estos procesos
logren los resultados previstos;
h) mejorar los procesos y el BCMS.
En la medida en que sea necesario, la organización deberá:
- mantener información documentada para apoyar el funcionamiento de sus procesos;
- conservar la información documentada para tener la confianza de que los procesos se están
llevando a cabo según lo previsto.
6
5. LIDERAZGO
5.1 Liderazgo y compromiso
5.1.1 Generalidades
Todos los niveles de gestión en toda la organización deberían demostrar su liderazgo y compromiso,
según corresponda a sus esferas de responsabilidad.
5.1.2 Alta dirección
La alta dirección debería demostrar liderazgo y compromiso mediante lo siguiente:
a) asignar roles y asegurándose de que se cumplan (véase el numeral 5.1.3);
b) establecer una política de continuidad de negocio (véase el numeral 5.2);
c) designar a una o más personas con la autoridad y las competencias adecuadas para que se
encarguen del BCMS y rindan cuentas de su funcionamiento efectivo (véase el numeral 5.3);
d) comunicar la importancia de la continuidad de negocio y cumpliendo con los requisitos del

BCMS;
e) poner a disposición los recursos necesarios, incluidos los niveles adecuados de financiación
(véase el numeral 7.1);
f) promover la mejora continua (véase el numeral 10.2);
g) asegurarse de que se logren los resultados previstos del BCMS;
h) proporcionar a otros niveles de gestión un apoyo que les permita demostrar el liderazgo y el
compromiso aplicables a sus esferas de responsabilidad.
5.1.3 Otros roles directivos
Otros niveles de gestión deberían demostrar su liderazgo y compromiso mediante:
a) El establecimiento de objetivos de continuidad de negocio que sean compatibles con los

objetivos estratégicos de la organización (véase el numeral 6.2);
b) La integración de los requisitos del BCMS en los procesos de negocio de la organización

(véase el numeral 8.1);
c) El despliegue de la toma de conciencia de los requisitos legales, reglamentarios y de otro

tipo aplicables (véase el numeral 4.2.2);
d) El establecimiento de los roles, responsabilidades y competencias del BCMS (véanse los

numerales 5.3 y 7.2);
e) El logro de los resultados previstos en el BCMS;
7
f) La participación en el programa de ejercicios (véase el numeral 8.5);
g) La realización de auditorías internas del BCMS (véase el numeral 9.2);
h) La realización de revisiones por la dirección eficaces del BCMS (véase el numeral 9.3);
i) La dirección y el apoyo a la mejora del BCMS (véase el numeral 10).
El compromiso de la dirección también puede demostrarse mediante:
- la participación operacional a través de grupos de dirección;
- la inclusión de la continuidad de negocio como un tema permanente en las reuniones de

gestión.
5.2 Política
5.2.1 Establecimiento de la política de continuidad de negocio
La alta dirección debería definir la política de continuidad de negocio en términos de los objetivos de
la organización y sus obligaciones, así como asegurarse de que:
a) sea una declaración concisa y de alto nivel de la intención y dirección de la alta dirección
para el BCMS;
b) sea apropiado para el propósito de la organización (dado su tamaño, naturaleza y

complejidad, así como para reflejar su cultura, sus dependencias y su entorno operativo);
c) proporcione un marco para el establecimiento de objetivos;
d) incluya un claro compromiso de cumplir los requisitos aplicables, incluidas las obligaciones
legales y reglamentarios;
e) incluya el compromiso de mejorar continuamente el BCMS.
La política debería:
- especificar el alcance y los límites de la continuidad de negocio de la organización, lo que

incluye limitaciones y exclusiones (véase el numeral 4.3);
- identificar las autoridades y delegaciones necesarias, incluida la persona o personas

responsables del BCMS de la organización (véase el numeral 5.3);
- incluyen referencias a normas, directrices, reglamentos o políticas que debería considerar o

cumplir el BCMS.
La política puede contener lo siguiente:
- un compromiso de financiación;
- referencias a otras políticas conexas;

8
- un requisito para poner en práctica la continuidad de negocio;
- un compromiso de ejercer y mantener la continuidad de negocio.
En el caso de las organizaciones con sistemas de gestión existentes, puede ser conveniente integrar
la política de BCMS con las relativas a los demás sistemas de gestión.
Se deberían adoptar disposiciones adecuadas para aprobar la política, conservar la información

documentada sobre ella y revisarla periódicamente (por ejemplo, anualmente) y siempre que se
produzcan cambios significativos en los factores internos o externos (por ejemplo, un cambio en la
alta dirección, la introducción de nueva legislación). La idoneidad de esas disposiciones dependerá
del tamaño, la complejidad, la naturaleza y el objeto y campo de aplicación de la organización.
5.2.2 Comunicación de la política de continuidad de negocio de la organización
La política de continuidad de negocio debería:
a) estar disponible y mantenerse como información documentada;
b) comunicarse, comprenderse y aplicarse dentro de la empresa;
c) se pondrán a disposición de las partes interesadas con la aprobación de la administración.
5.3 Roles, responsabilidades y autoridades
La alta dirección debería asegurar la asignación y comunicación de responsabilidades y autoridades

dentro del BCMS.
Un miembro de la alta dirección debería ser responsable y rendir cuentas del BCMS. La alta dirección
puede designar otros órganos (por ejemplo, un comité directivo) para supervisar la aplicación y el
seguimiento continuo del BCMS. Los representantes, independientemente de sus otras
responsabilidades, deberían ser nombrados con roles, responsabilidades y autoridad definidas para:
- asegurarse que el BCMS se ajusta a la política de continuidad de negocio;
- informar sobre el desempeño del BCMS a la alta dirección para su revisión y como base para
la mejora (véanse los numerales 9 y 10);
- promover la tomad de conciencia de la continuidad de negocio en toda la organización (véase

el numeral 7.3);
- asegurar la eficacia de los procedimientos elaborados para responder a los incidentes (véase
el numeral 8.4.4.2.2).
El representante de la alta dirección puede:
- recibir un título específico (por ejemplo, "gerente de continuidad de negocios", "oficial de

continuidad de negocios" o "gerente de resiliencia");
- tener otras responsabilidades dentro de la organización; -
9
- ser de cualquier área de la organización.
Se pueden identificar representantes de los roles o lugares de la organización para que ayuden en
la aplicación del BCMS (por ejemplo, los responsables de los asuntos relacionados con los riesgos).
Sus funciones, responsabilidades y rendición de cuentas deberían integrarse en las descripciones
de los puestos, que pueden reforzarse con la inclusión de estos en la política de evaluación,
recompensa y reconocimiento de la organización. En la Tabla 3 figuran ejemplos de las funciones y
responsabilidades del BCMS que podrían ser apropiadas.
NOTA En el sitio web de la Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura (UNESCO)
se ofrecen ejemplos de equipos y de posibles roles y responsabilidades que podrían ser apropiadas para responder a los
incidentes y reanudar las actividades. Tabla 5 (véase el numeral 8.4.4)
Según el tamaño de la organización, los roles y responsabilidades que figuran en la Tabla 3 podrían
establecerse de manera diferente. Lo importante es asegurarse de que todas las responsabilidades
sean parte de un rol y tengan un propietario.
Todos los roles, responsabilidades y autoridades del BCMS deberían definirse y documentarse y
estar sujetas a auditoría.
Tabla 3. Ejemplos de roles y responsabilidades del BCMS
Roles Responsabilidades
Representante de la alta - Rendir cuentas del GSCN
dirección - Representar la gestión de continuidad de negocio en las evaluaciones por la alta
dirección
Gerente de continuidad de - Ser responsable del GSCN
negocio - Establecer y demostrar el compromiso con la política de continuidad de negocio
- Liderar todas las actividades del programa y coordinar con otros roles
Nombrar a los miembros del equipo con la debida antigüedad, autoridad y
-
competencia
- Facilitar la aprobación de soluciones, procedimientos y programas de ejercicios
- Presentar recomendaciones del equipo en las reuniones de revisión por la
dirección.
Equipo de gestión de - Aplicar la gestión de continuidad de negocio en toda la empresa
continuidad de negocio - Mantener la documentación
- Asegurarse de que se efectúen revisiones del programa en forma oportuna
Evaluar la adecuación de la continuidad de negocio para las funciones
-
individuales
Organizar y coordinar programas de concienciación sobre la continuidad de
-
negocio
Crear programas de ejercicios y solicitar la aprobación de la autoridad
-
competente
- Llevar a cabo reuniones y sesiones informativas sobre los ejercicios
- Mantener a las partes interesadas informadas del programa
Continúa…
10
Tabla 3. (Final)
Roles Responsabilidades
Equipo de gestión de - Asegurarse de que el ejercicio se realice de conformidad con el programa de
continuidad de negocio ejercicios
Asegurarse que las auditorías internas y la revisión por la dirección se realicen a
-
tiempo
Mantener las relaciones con las funciones y estar en contacto con ellas durante
-
las interrupciones
Asegurarse de que los planes de acción correctiva se apliquen de manera
-
oportuna
- Facilitar los esfuerzos de los representantes/coordinadores funcionales
Representantes - Mantener los procedimientos de continuidad de negocio
funcionales - Informar al responsable de la continuidad de negocio sobre el estado de la
preparación
- Realizar e informar sobre las actividades del programa según lo indicado
Hay que confirmar que se prueban y mantienen los planes de continuidad de los
-
proveedores
- Coordinar la participación del personal en los ejercicios
- Mantener los registros de los ejercicios de continuidad de negocio
Mantener al equipo informado de los cambios que podrían afectar a la continuidad
-
de negocio
- Seguimiento de las acciones correctivas de manera oportuna
- Mantener al responsable de la continuidad de negocio informado de los progresos
de las acciones correctivas
6. PLANIFICACIÓN
6.1 Acciones para abordar riesgos y oportunidades
NOTA La orientación de este subnumeral se refiere a la eficacia del BCMS. La orientación relativa a los riesgos de que
se interrumpan las actividades prioritarias se ofrece en el subnumeral 8.2.3.
6.1.1 Determinación de los riesgos y las oportunidades
La determinación y el tratamiento de los riesgos y oportunidades le permiten a la organización:
a) obtener la seguridad de que el BCMS puede lograr los resultados previstos;
b) prevenir, o reducir, los efectos no deseados;
c) lograr la mejora continua;
La organización debería determinar las acciones para abordar las cuestiones identificadas en el
numeral 4.1, las necesidades y expectativas de las partes interesadas identificadas en el numeral
4.2, y los requisitos legales y reglamentarios identificados en el numeral 4.2.2.
Esta determinación debería incluir la consideración de los riesgos y oportunidades y sus posibles
impactos en la eficacia del BCMS. Los riesgos y oportunidades pueden surgir de:
- una falta de liderazgo y compromiso de la alta dirección;

11
- La insuficiente financiación del BCMS, que conduce a una respuesta inadecuada;
- información poco documentada;
- la falta de personas con competencia demostrada;
- un proceso inadecuado de revisión de la gestión;
- una incapacidad de irrumpir en nuevos mercados donde la continuidad de negocio es un

requisito.
6.1.2 Abordar riesgos y oportunidades
La organización debería planificar las acciones necesarias para abordar estos riesgos y
oportunidades de manera que:
- evita los resultados no deseados;
- aprovecha cualquier oportunidad para mejorar el BCMS;
- logra la integración en el proceso del BCMS (véase el numeral 8.1);
- asegura de que se disponga de información documentada para evaluar si las acciones han
sido eficaces (véase el numeral 9.1).
6.2 Objetivos para la continuidad de negocio y planificación para lograrlos
6.2.1 Establecer los de objetivos para la continuidad de negocio
La organización debería establecer objetivos para la implementación y el mantenimiento de la

gestión de continuidad de negocio (véase el numeral 8). Éstos deberían estar alineados con los
objetivos generales de la organización y deberían incluir la identificación de responsabilidades y el
establecimiento de objetivos apropiados y realistas para su realización. La planificación debería
comunicarse a toda la organización. Los avances en su implementación deberían ser monitoreados
y documentados.
A medida que evoluciona el BCMS, este plan debería ser revisado regularmente y, cuando sea
apropiado, actualizado.
6.2.2 Determinar los objetivos para la continuidad de negocio
Al determinar sus objetivos de continuidad de negocio, la organización debería asegurarse de que

éstos se especifiquen claramente:
a) lo que se hará;
b) los recursos que se necesitarán;
c) quien será responsable;
d) fechas de finalización;
12
e) cómo se evaluarán los resultados.
Los siguientes ejemplos de objetivos de continuidad de negocio pueden, en determinadas

circunstancias, cumplir los requisitos especificados en la NTC-ISO 22301:
- “La alta dirección asignará los recursos necesarios para asegurar que se establezca un
BCMS, coherente con la NTC-ISO 22301, en la fecha XX para todos los productos y
servicios”;
- “El Director A colaborará con XXX Consultores para lograr la certificación según la NTC-ISO
22301 antes de la fecha XX para los productos y servicios establecidos”;
- “La alta dirección utilizará los recursos existentes para asegurar que, para la fecha,
tendremos implementado la gestión de continuidad de negocio conforme a la NTC-ISO 22301
para cumplir con nuestras obligaciones para con los clientes establecidos”;
- “El Director de TI trabajará con nuestros proveedores para acortar el tiempo de recuperación
de las actividades de apoyo a los productos y servicios definidos en un 10%. Esto se logrará
antes de la fecha XX”;
- “Sin necesidad de recurrir a recursos adicionales, el gerente de producción dispondrá, para

la fecha XX, de una gestión de continuidad de negocio que cumpla con los requisitos de la
NTC-ISO 22301 y proteja los productos y servicios determinados.”.
6.3 Planificación de los cambios en el sistema de gestión de continuidad de negocio
La gestión del cambio es una consideración importante para todos los procesos de gestión.
Los cambios en el BCMS, incluidos los identificados en el numeral 10.1, deberían planificarse
cuidadosamente para asegurar que se investigue y comprenda plenamente el propósito previsto.
Esto debería incluir la contemplación de las consecuencias de los cambios propuestos, asegurando
que se consideren tanto las consecuencias previstas como las no previstas y asegurando que se
preserve la integridad del BCMS.
La organización también debería asegurarse de que se disponga de recursos apropiados y suficientes

y de que se asignen o reasignen responsabilidades y autoridades en la medida de lo necesario.
7. APOYO
7.1 Recursos
7.1.1 Generalidades
La organización debería determinar y asegurar la disponibilidad de los recursos necesarios para el

BCMS que:
a) cumpla con su política y objetivos de continuidad de negocio;
b) satisfaga los requisitos cambiantes de la organización;
13
c) permita una comunicación eficaz sobre los asuntos del BCMS, tanto interna como
externamente;
d) facilita el funcionamiento y la mejora continua del BCMS.
Los recursos deberían estar disponibles de manera oportuna y eficiente.
7.1.2 Recursos del BCMS
Al determinar los recursos necesarios para el BCMS, la organización debería prever los fondos
necesarios:
a) personas y recursos relacionados con dichas personas, entre ellos
1) el tiempo necesario para cumplir los roles y responsabilidades del BCMS;
2) formación, educación, concienciación y ejercicio;
3) la gestión del personal del BCMS;
b) instalaciones, entre ellas los lugares de trabajo y la infraestructura apropiados;
c) sistemas de tecnología de la información y las comunicaciones (TIC), incluidas las

aplicaciones que apoyan la gestión eficaz y eficiente de los programas;
d) gestión y control de todas las formas de información documentada;
e) comunicación con las partes interesadas (véase Figura 4);
f) finanzas y fondos.
Los recursos y su asignación deberían ser revisados periódicamente para asegurar su adecuación.
Puede ser apropiado involucrar a la alta dirección en esta revisión.
7.2 Competencias
La organización debería establecer un sistema apropiado y eficaz para gestionar la competencia de

las personas que realizan la labor del BCMS bajo su control.
La dirección debería determinar las competencias requeridas para todas los roles y
responsabilidades del BCMS, así como la conciencia, los conocimientos, la comprensión, las
habilidades y la experiencia necesarios para cumplirlas. Todas las personas a las que se asignen
roles dentro de la organización deberían demostrar las competencias requeridas y recibir formación,
la educación, el desarrollo y otros apoyos necesarios para ello. Esto puede denominarse "programa
de desarrollo de competencias" y puede incluir:
- una evaluación de las competencias para los roles que se vayan a desempeñar
- la creación de un programa de desarrollo personal que identifique la formación, la educación,

el desarrollo y otros apoyos necesarios para alcanzar las competencias;
14
- el suministro de formación y tutoría, incluida la selección de métodos y materiales adecuados;
- la evaluación del desempeño;
- el intercambio de conocimientos;
- el intercambio de trabajo;
- la contratación de personas competentes;
- la formación de los grupos objetivo;
- la documentación y seguimiento de la formación recibida;
- la evaluación de la formación recibida en función de las necesidades y requisitos de

formación definidos, a fin de verificar la conformidad con los requisitos de formación del
BCMS;
- el mejoramiento del programa de desarrollo en la medida en que sea necesario.
La organización debería contar con un proceso para identificar y proveer los requisitos de formación
en materia de continuidad de negocio de todos los participantes y evaluar la eficacia de su
prestación.
Los tipos de formación que pueden ser apropiados para establecer, gestionar y mantener el BCMS
son los siguientes:
- establecimiento y manejo de la gestión de continuidad de negocio;
- realización de un análisis de impacto en el negocio;
- realización de una evaluación de riesgos;
- habilidades de comunicación;
- gestión de proyectos;
- elaborar e implementar la documentación sobre la continuidad de negocio;
- ejecución de un programa de ejercicios.
La competencia puede reforzarse con cualquiera de los siguientes elementos:
- integrar los logros del BCMS en el proceso de recompensa y reconocimiento de la

organización;
- integrar los logros del BCMS en el proceso de desempeño y evaluación;
- integración de los roles, responsabilidades y autoridad del BCMS dentro de las descripciones
de los puestos de trabajo y el conjunto de habilidades de la organización;
15
- la participación de los usuarios empresariales y de la alta dirección en los ensayos, ejercicios

y pruebas.
La organización debería exigir a los contratistas que trabajen en su nombre que demuestren que
la(s) persona(s) que realiza(n) el trabajo bajo su control tiene(n) la competencia necesaria para el
BCMS y los roles de respuesta que desempeñará(n).
7.3 Toma de conciencia
La organización debería asegurarse de que todas las personas que trabajan bajo su control (por
ejemplo, el personal, los contratistas, los proveedores) tomen conciencia de la política y los objetivos
de continuidad de negocio de la empresa, y:
- cómo reducir la probabilidad de que se produzcan interrupciones y su función con respecto

a la detección de incidentes, la mitigación, la autoprotección, la evacuación, la respuesta, la
continuidad y la recuperación;
- la importancia de la conformidad con la política y los procedimientos de continuidad de

negocio;
- la dependencia de los proveedores y de los socios externos y los riesgos asociados a los
objetivos de negocio;
- las consecuencias de los cambios en el funcionamiento de la organización;
- su contribución a la eficacia del BCMS, incluyendo los beneficios de la mejora de la

continuidad de negocio;
- su función y responsabilidad en el logro de la conformidad con sus requisitos.
La organización debería construir, promover e incorporar la gestión de continuidad de negocio en la

cultura de la organización, a fin de que:
- se convierte en parte de los valores básicos y de la gestión de la organización;
- las partes interesadas toman conciencia de la política de continuidad de negocio y de su

papel en los procedimientos asociados.
Una organización con la gestión de continuidad de negocio integrada en su cultura realizará lo

siguiente:
- desarrollar la continuidad de negocio de manera más eficiente;
- infundir confianza a sus partes interesadas (especialmente al personal y a los clientes) en su

capacidad para manejar las interrupciones;
- aumentar su resiliencia a lo largo del tiempo al asegurar que las implicaciones para la
continuidad de negocio se consideren en las decisiones a todos los niveles;
- minimizar la probabilidad y el impacto de las interrupciones.
16
- La incorporación de la gestión de continuidad de negocio en la cultura de la organización se

apoya en:
- la participación de todo el personal en la empresa;
- un liderazgo disperso en toda la empresa;
- la asignación de responsabilidades;
- medición basada en indicadores de desempeño;
- la integración de la continuidad de negocio en las prácticas normales de gestión;
- aumento de la toma de conciencia;
- entrenamiento de habilidades;
- la ejecución de los planes de continuidad de negocio.
Un programa de toma de conciencia puede incluir:
- un proceso de consulta con el personal de toda la organización en relación con el

establecimiento y la administración de la gestión de continuidad de negocio;
- una discusión sobre la continuidad de negocio en los boletines, sesiones informativas,

programa de inducción o revistas de la organización (incluida la orientación para nuevos
empleados);
- inclusión de la continuidad de negocio en las páginas web pertinentes;

- inclusión de la gestión de continuidad de negocio como tema en las reuniones del personal
y del equipo directivo;
- publicación selectiva de los informes posteriores a los incidentes;
- reuniones informativas para la alta dirección;
- visitas a un lugar alternativo designado (por ejemplo, un sitio de recuperación);
- comunicaciones regulares con los proveedores para asegurarse de que entienden los
requisitos de continuidad de la organización y pueden demostrar su capacidad para cumplir
con las capacidades de continuidad acordadas.
Los cambios en el entorno y las operaciones de negocio afectan al enfoque y la forma en que se
planifican, diseñan y ejecutan las actividades de continuidad de negocio. La organización puede
demostrar que es consciente de las tendencias de la gestión de continuidad de negocio, por ejemplo,
con su participación en actividades relacionadas con la continuidad de negocio en la industria, que
pueden incluir:
- ser miembro de un grupo de interés de la industria;
- ser miembro de un comité organizador de congresos;

17
- realizar presentaciones en conferencias y seminarios;
- asistir a conferencias locales o mundiales sobre la continuidad de negocio.
7.4 Comunicación
La organización debería determinar las comunicaciones pertinentes para el BCMS.
Las comunicaciones pertinentes para el BCMS le permiten a la organización responder a las

necesidades y expectativas de las partes interesadas (véase el numeral 4.2). Para que la
comunicación sea eficaz, la organización debería determinar y, cuando corresponda, establecer
criterios para determinar lo siguiente.
a) Sobre lo que va a comunicar: La comunicación relativa al BCMS puede ser necesaria

dependiendo de la naturaleza de la organización y de la situación. Algunas organizaciones,
por ejemplo, tienen la obligación legal o reglamentaria de comunicar.
b) Cuando la comunicación debería tener lugar: Puede haber umbrales más allá de los cuales
se hace imperativo que la organización se comunique y el contexto de la organización puede
determinar la frecuencia con la que debería efectuarse la comunicación.
c) Con quien se comunicará: Todas las partes interesadas necesitarán comunicarse de vez en
cuando, por lo que es importante determinar para cada una de ellas las circunstancias en
que se necesitará la comunicación y las prioridades de comunicación.
d) Los medios de comunicación: Determinar con antelación los métodos, instrumentos y canales
de comunicación, incluidas las alternativas, le permitirá a la organización comunicarse de
manera eficaz.
e) Las personas que ejecuten la comunicación: La organización debería identificar portavoces

que la representen y designar a personas concretas como puntos de contacto para la
comunicación.
La organización puede incluir referencias a su BCMS y a los acuerdos de continuidad de negocio en

los boletines y las reuniones informativas para proveedores y clientes.
La organización debería proporcionar una comunicación externa eficaz como parte de su programa
de toma de conciencia (véase el numeral 7.3) y cuando responda a un incidente (véase el numeral
8.4.4).
7.5 Información documentada
7.5.1 Generalidades
La información documentada requerida por la NTC-ISO 22301 proporciona evidencia de la

conformidad con los requisitos y el funcionamiento eficaz del sistema de gestión.
Por "procedimiento" se entiende una forma específica de llevar a cabo una actividad o un proceso.
Un "procedimiento documentado" significa que el procedimiento debería establecerse y mantenerse
en un medio adecuado.
18
Un solo documento puede abordar los requisitos de uno o más procedimientos documentados. El
requisito de un procedimiento documentado puede estar cubierto por más de un documento.
La información documentada incluye:
- Comprensión de la organización y su contexto (véase el numeral 4.1);
- requisitos legales y reglamentarios (véase el numeral 4.2.2);
- alcance del BCMS y sus exclusiones (véase el numeral 4.3);
- política (véase el numeral 5.2);
- objetivos de continuidad de negocio y planificación para alcanzarlos (véase el numeral 6.2);
- competencias (véase el numeral 7.2);
- análisis de impacto en el negocio y evaluación de riesgos (véase el numeral 8.2);
- estrategias y soluciones de continuidad de negocio (véase el numeral 8.3);
- Planes y procedimientos para la continuidad de negocio (véase el numeral 8.4);
- programa de ejercicios (ver el numeral 8.5);

- monitoreo, medición, análisis y evaluación (véase el numeral 9.1);
- auditoría interna (véase el numeral 9.2);
- revisión por la dirección (véase el numeral 9.3);
- no conformidad y acciones correctivas (véase el numeral 10.1).
Asimismo, puede requerirse información documentada que abarque la siguiente información para
asegurar la eficacia del BCMS:
- contratos con los clientes y niveles de servicio;
- resultados de los análisis de impacto de negocio;
- resultados de las evaluaciones de riesgos;
- determinación y selección de soluciones de continuidad de negocio;
- resumen de la respuesta al incidente;
- programa de toma de conciencia;
- el BCMS y las comunicaciones de incidentes con el personal y las partes interesadas, como
boletines, notas de reuniones y alertas;
- programas de formación para la organización y los individuos;

19
- programa de ejercicios;
- contratos y acuerdos de nivel de servicios con los proveedores;
- política y planes de continuidad de negocio de los contratistas y proveedores, incluidas

evidencia del monitoreo de los riesgos de sus proveedores, así como evidencias de que los
planes de continuidad de sus proveedores se mantienen y se ejercen;
- procedimientos de notificación y respuesta de contratistas y proveedores;
- evidencia de inspección, mantenimiento y calibración;
- informes posteriores a los incidentes y cuasi-incidentes;
- actas de la reunión de revisión del BCMS.
7.5.2 Creación y actualización
Cumplir con los requisitos para crear y actualizar la información documentada:
- toda la información documentada debería ser claramente identificable (por ejemplo, nombre,
número de referencia, descripción, fecha, autor, versión);
- la organización debería especificar los formatos que son aceptables (por ejemplo, el idioma,
la versión de software, los gráficos) y los medios que pueden utilizarse para el
almacenamiento de la información documentada (por ejemplo, papel, digital);
- el formato y los medios de comunicación utilizados deberían revisarse y aprobarse en cuanto

a su idoneidad y adecuación.
El alcance de la información documentada para el BCMS puede diferir entre las organizaciones
debido a los siguientes factores:
- el tamaño de la organización, sus productos y servicios, y el tipo de actividades que realiza;
- la complejidad de las actividades y sus interacciones;
- la competencia de las personas.
7.5.3 Control de la información documentada
7.5.3.1 Acceso a la información documentada
Se debería controlar toda la información documentada requerida.
El propósito de controlar la documentación es asegurar que las organizaciones creen, mantengan y

protejan los documentos de manera apropiada y suficiente para implementar y operar el BCMS. El
objetivo principal debería ser este propósito en lugar de establecer un complejo sistema de control
de documentos.
Entre los ejemplos de protección se incluye la prevención de que los documentos se vean
comprometidos o se modifiquen sin la debida autorización y de que se eliminen accidentalmente.
20
Hay varios niveles y combinaciones de acceso que pueden concederse (por ejemplo, ver solamente,
ver y cambiar, vista restringida). También puede ser apropiado que la organización clasifique su
información documentada según su sensibilidad (por ejemplo, restringida, confidencial, protegida).
Esa clasificación puede ser necesaria, por ejemplo, para las soluciones de continuidad de negocio
relacionadas con la interrupción laboral interna, o cuando los planes y procedimientos de continuidad
de negocio contienen información sensible sobre la competencia.
7.5.3.2 Tipos de control
Se debería establecer un procedimiento documentado para definir los controles necesarios para:
- distribuir la información documentada;
- proporcionar acceso a ella (el acceso incluye, por ejemplo, los permisos y la autoridad para
ver o modificar la información documentada);
- aprobar los documentos para su adecuación antes de su emisión;
- revisar y actualizar según sea necesario y volver a aprobar los documentos;
- asegurarse que se identifiquen los cambios y el estado actual de revisión de los documentos;
- asegurarse que las versiones pertinentes de todos los documentos aplicables estén
disponibles en los puntos de uso;
- asegurarse que los documentos permanezcan legibles y fácilmente identificables;
- asegurarse que se identifiquen los documentos de origen externo que la organización

determine como necesarios para la planificación y el funcionamiento del BCMS y que se
controle su distribución;
- impedir el uso no intencional de documentos obsoletos y aplicarles una identificación

adecuada si se retienen para cualquier motivo;
- establecer parámetros de retención y archivo de documentos;
- asegurar la protección y la no divulgación de la información confidencial.
Las organizaciones deberían asegurar la integridad de la información documentada haciéndola a

prueba de manipulaciones, con copias de seguridad, accesible únicamente al personal autorizado y
protegida contra daños, deterioro y pérdida.
La organización debería demostrar que conoce toda la legislación y reglamentación pertinentes

relativos a la conservación de la información documentada y debería conservar evidencias de su
cumplimiento.
21
8. OPERACIÓN
8.1 Planificación y control operacional
8.1.1 Generalidades
La organización debería determinar, planificar, implementar y controlar los procesos necesarios para
establecer y mantener una gestión de continuidad de negocio que cumpla con los requisitos
aplicables (véase el numeral 4) e implementar las acciones determinadas en el numeral 6.1.
Estos procesos deberían integrarse en los procesos de negocio de la organización para asegurar
que se gestionen adecuadamente y se mantenga su eficacia.
La organización debería establecer mecanismos de control que incluyan:
a) decidir cómo deberían determinarse, planificarse, implementarse y controlarse esos

procesos (por ejemplo, mediante el establecimiento de un plan de implementación y el
acuerdo de una metodología adecuada para implementar y mantener la gestión de
continuidad de negocio);
b) asegurarse que los controles de estos procesos se implementen de conformidad con las
decisiones adoptadas, por ejemplo, mediante el establecimiento de hitos en los proyectos y
la especificación de los productos necesarios;
c) mantener la información documentada para demostrar que los procesos se han llevado a
cabo según lo previsto.
La organización debería asegurarse de que se controlen los cambios planificados, se revisen los
cambios no previstos y se adopten las acciones apropiadas.
La organización debería asegurarse de que los procesos contratados de forma externa y la cadena
de suministro estén controlados (véase el numeral 8.3.4.9).
8.1.2 Gestión de continuidad de negocio
Los elementos de la gestión de continuidad de negocio, como se muestra en la figura 5, son los siguientes.
a) Planificación y control operacional (véase el numeral 8.1): La planificación y el control

operacionales eficaces son el núcleo de la gestión de continuidad de negocio. Debería ser
liderado por una persona responsable nombrada por la alta dirección.
b) Análisis de impacto en el negocio y evaluación de riesgos (véase el numeral 8.2): El análisis

de impacto en el negocio le permite a la organización evaluar los impactos que la interrupción
de las actividades tendría en la entrega de sus productos y servicios. Esto le permite a la
organización dar prioridad a la reanudación de sus actividades.
La comprensión de los riesgos de interrupción de estas actividades priorizadas le permite a

la organización gestionarlas.
El resultado del análisis de impacto en el negocio y la evaluación de riesgos le permite a la

organización determinar los parámetros adecuados para sus estrategias y soluciones de
continuidad de negocio.
22
c) Estrategias y soluciones de continuidad de negocio (véase el numeral 8.3): La identificación

y evaluación de una serie de estrategias de continuidad de negocio le permite a la
organización identificar soluciones para reducir el riesgo y mitigar el impacto de la
interrupción de sus actividades priorizadas y hacer frente a cualquier interrupción que se
produzca. Las soluciones de continuidad de negocio seleccionadas permitirán reanudar las
entregas de productos y servicios a una capacidad aceptable (nivel de producción o de
servicio) y dentro de los plazos acordados.
d) Planes y procedimientos de continuidad de negocio (véase el numeral 8.4): Los planes y

procedimientos de continuidad de negocio le permiten a la organización gestionar una
interrupción y continuar las actividades sobre la base de sus requisitos de continuidad de
negocio. Debería haber una estructura de respuesta definida que identifique los equipos
responsables de responder a las interrupciones (véase el numeral 8.4.2). La organización
debería establecer e implementar planes y procedimientos de alerta y comunicación (véase
el numeral 8.4.3), de respuesta a incidentes (véase el numeral 8.4.4.2.2) y de recuperación
(vuelta a la normalidad) (véase el numeral 8.4.5).
e) Programa de ejercicios (véase el numeral 8.5): Un programa de ejercicios le permite a la

organización validar la eficacia de las soluciones, planes y procedimientos que se han puesto
en marcha. Un programa de ejercicios también ofrece oportunidades para que la organización:
1) promueva la toma de conciencia del personal y el desarrollo de competencias;
2) asegure de que sus planes y procedimientos de continuidad de negocio sean

completos, actuales y apropiados;
3) mejore su continuidad de negocio.
f) Evaluación de la documentación y las capacidades de continuidad de negocio (véase el

numeral 8.6): La organización debería evaluar su gestión de continuidad de negocio para
asegurarse de que es eficaz y le permite alcanzar sus objetivos de continuidad de negocio.
Figura 5. Elementos de la gestión de continuidad de negocio

23
8.1.3 Mantenimiento de la continuidad de negocio
El mantenimiento efectivo de la continuidad de negocio incluye:
- asegurar la continua pertinencia del alcance, los roles y las responsabilidades para la
- promover e incorporar la gestión de continuidad de negocio en la organización y en otras

partes interesadas, según sea apropiado
- gestionar los costos asociados a la continuidad de negocio;
- establecer y hacer seguimiento a la gestión del cambio y de gestión de la sucesión en el

marco del BCMS;
- organizar o proporcionar al personal la formación y la toma de conciencia adecuadas;
- mantener la documentación del programa apropiada al tamaño y complejidad de la

organización.
Cada componente de los arreglos de continuidad de negocio de una organización, incluida la

documentación, debería revisarse, ponerse en práctica y actualizarse periódicamente. Estos
arreglos también deberían revisarse y actualizarse siempre que haya un cambio significativo en el
entorno operacional, la estructura, los lugares, el personal, los procesos o la tecnología de la
organización, o cuando un ejercicio o incidente ponga de manifiesto deficiencias.
La organización puede adoptar un método reconocido de gestión de proyectos para asegurar la

gestión eficaz de la continuidad de negocio.
Las técnicas para asegurar que la continuidad de negocio se mantenga efectiva, incluyen:
- la implementación de buenas prácticas;
- la administración del programa de ejercicios;
- la coordinación de la revisión y actualización periódica de la continuidad de negocio, lo que

incluye la revisión o reelaboración del análisis de impacto en el negocio y las evaluaciones
de riesgo;
- El aseguramiento de que los procedimientos de continuidad de negocio sigan siendo

apropiados para las necesidades de los equipos de respuesta.
8.2 Análisis de impacto en el negocio y evaluación de riesgos
8.2.1 Generalidades
Una organización logra su propósito mediante la entrega de sus productos y servicios a los clientes.
Por consiguiente, es importante crear una comprensión de los impactos adversos que, a lo largo del
tiempo, tendría la interrupción de la entrega de esos productos y servicios (y de las actividades que
los respaldan) en la organización y en las partes interesadas. También es importante comprender
las interrelaciones y las necesidades de recursos de las actividades de apoyo a los productos y
servicios y las amenazas a éstas.
24
La organización debería implementar y mantener procesos que analicen sistemáticamente los

impactos en el negocio (véase el numeral 8.2.2) y evalúen los riesgos de interrupción (véase el
numeral 8.2.3), cuyos resultados le permitan identificar estrategias y soluciones de continuidad de
negocio (véase el numeral 8.3). El análisis de impacto en el negocio y la evaluación de riesgos
deberían revisarse a intervalos planificados y cuando se produzcan cambios significativos en la
organización o en el contexto en el que opera.
Depende de la organización determinar el orden en que se realizan el análisis de impacto en el

negocio y la evaluación del riesgo, siempre que se evalúen los riesgos para sus actividades
priorizadas (véase el numeral 8.2.3).
8.2.2 Análisis de impacto e en el negocio (BIA, por sus siglas en inglés)
El análisis de impacto en el negocio le permite a la organización establecer prioridades para reanudar

las actividades que se han interrumpido. Su principal objetivo es permitir que la organización
identifique y clasifique como "priorizada" toda actividad que pueda necesitar una acción urgente
cuando se haya visto interrumpida porque si no se reanuda rápidamente podría dar lugar a niveles
inaceptables de impacto adverso. Es posible que haya que dar prioridad a otras actividades distintas
de las que deberían recuperarse rápidamente. Por ejemplo, habría que dar prioridad a una actividad
que no es necesario reanudar durante seis meses, pero que tardaría un mínimo de ocho meses en
reanudarse. Por consiguiente, las actividades priorizadas también se pueden considerar como
actividades que pueden requerir la aplicación de soluciones de continuidad de negocio antes de que
se interrumpan (véase el numeral 8.3.5).
En el presente documento se utiliza la expresión "actividad priorizada", pero las organizaciones pueden
utilizar sus propios términos, periodos de tiempo u órdenes de prioridad. Algunos ejemplos de términos
son "crítico", "esencial", "vital" y "clave". Los ejemplos de períodos de tiempo incluyen "0-2 horas", "0-
1 día" y "1-3 días". Ejemplos de prioridades son "alta", "media" y "baja", o "1ª", "2ª" y "3ª".
Cada organización describe cómo funciona a su manera. Por ejemplo, una organización puede
describir las actividades como tareas o conjuntos de tareas que la organización realiza para producir
o entregar sus productos y servicios (véase la Figura 6). Otras organizaciones tal vez deseen
describir los productos y servicios como creados por procesos constituidos por actividades.
El análisis debería abarcar todas las actividades comprendidas en el alcance del BCMS. Es
aceptable realizar el análisis de grupos de actividades, por ejemplo, en relación con productos y
servicios específicos (véase la Figura 6).
Al realizar el análisis de impacto en el negocio, la terminología utilizada debería reflejar la forma en

que la organización describe sus propias operaciones.
25
Figura 6. Cómo entender la organización
La norma GTC-ISO/TS 22317 contiene más orientaciones sobre la realización de un análisis de

impacto en el negocio. Se trata de una especificación técnica que presenta un enfoque por fases
como forma de cumplir con los requisitos de la NTC-ISO 22301.
El análisis de impacto en el negocio le permite a la organización determinar los impactos adversos

que las interrupciones tendrían en sus operaciones y preparar, como resultado, una declaración y
una justificación de los requisitos de continuidad de negocio.
Asimismo, el análisis le permite a la organización
- obtener una comprensión de sus productos y servicios y de las actividades que los
suministran;
- determinar las prioridades y los plazos para reanudar la entrega de productos y servicios;
- identificar los recursos que podrían requerirse para la continuidad y la recuperación;
- identificar las dependencias (tanto internas como externas).
El proceso de análisis de impacto en el negocio debería utilizarse para determinar las prioridades y
los requisitos de continuidad de negocio.
El proceso debería incluir la definición de criterios de evaluación para el análisis de impacto en el

negocio, incluidos los tipos de impacto y los plazos que se deberían considerar. Ambos deberían
basarse en el contexto, los objetivos de negocio y las metas de la organización y deberían tener en
cuenta las necesidades de las partes interesadas. Los criterios de evaluación deberían revisarse
periódicamente y con mayor frecuencia durante los períodos de cambio.
Los tipos de impacto (que pueden denominarse "categorías de impacto") pueden incluir, por ejemplo,
los que se muestran en la Tabla 4.
26
Tabla 4. Ejemplos del tipo de impacto
Tipo Descripción
Financiero Pérdidas por multas, penalizaciones, pérdida de beneficios o disminución de la participación

de mercado
Reputacional Opinión negativa o daño de la marca
Operacional Extensión y duración de la interrupción del flujo de las operaciones de negocio
legal y reglamentario Responsabilidad por litigios y revocación de la licencia de comercio
Contractual Incumplimiento de contratos u obligaciones entre organizaciones
Objetivos de negocio fracaso en lograr los objetivos o tomar ventaja de las oportunidades
El tiempo necesario para que los impactos se transformen en inaceptables puede variar entre
segundos y varios meses. Los plazos dependerán de la sensibilidad temporal de los productos y
servicios de la organización. Por ejemplo, para dar cabida a productos que son muy sensibles al
tiempo, los plazos pueden ser de minutos u horas. Los plazos más largos serían apropiados para
las organizaciones con productos y servicios menos sensibles al tiempo.
La interrupción de las actividades puede hacer que la entrega de productos y servicios se vea
afectada indirectamente. Por ejemplo, la pérdida de la capacidad de pagar a los proveedores puede
dañar la reputación de la organización y dar lugar a que los proveedores se nieguen a suministrar
los bienes, lo que a su vez impide que se fabriquen los productos o se presten los servicios. Los
productos y servicios también tienen variaciones diarias en la demanda y pueden ser de naturaleza
cíclica. Con frecuencia hay variaciones estacionales y niveles más altos de actividad asociados a
los plazos de entrega semanales, mensuales o anuales o a las fechas de entrega de los proyectos.
El hecho de tener en cuenta las consecuencias indirectas y de suponer que la interrupción se
produce en el peor momento asegura que se evalúen los máximos impactos posibles.
Corresponde a la alta dirección de la organización determinar los umbrales de impacto que son
inaceptables para la empresa. El tiempo que se tardaría en que los impactos se convirtieran en
inaceptables puede denominarse "período máximo tolerable de interrupción (MTTI)", "período
máximo tolerable" o "interrupción máxima aceptable". El nivel mínimo de producto o servicio que es
aceptable para la organización puede expresarse como el "objetivo mínimo de continuidad de la
actividad (OMCA)".
El análisis de impacto en el negocio debería incluir también la identificación de las dependencias de

las actividades priorizadas, lo que le permitirá a la organización asegurarse de que se incluyan en
la evaluación del riesgo (véase el numeral 8.2.3) y estén disponibles para la determinación de la
estrategia y las soluciones de continuidad de negocio (véase el numeral 8.3).
La organización debería ser cautelosa a la hora de determinar las necesidades de recursos de las
actividades priorizadas (véase el numeral 8.3.4) antes de seleccionar las soluciones de continuidad
(véase el numeral 8.3.3) porque las dependencias de las actividades priorizadas pueden no ser
pertinentes para las soluciones de continuidad que se seleccionen.
El proceso de análisis de impacto en el s negocio debería incluir:
a) la definición de los criterios de evaluación pertinentes al contexto de la organización, entre ellos:
1) tipos de impacto;
27
2) marcos de tiempo;
b) identificar las actividades que apoyan la entrega de los productos y servicios de la

organización
c) utilizar los criterios de evaluación para valorar los impactos previstos a lo largo del tiempo
como consecuencia de la interrupción de esas actividades;
d) calcular el tiempo en el que los impactos de no reanudar las actividades serían inaceptables;
e) establecer plazos dentro del tiempo indicado en el literal d) anterior para la reanudación de
las actividades a las capacidades mínimas aceptables especificadas (véanse Figuras 2 y 3);
f) Identificar las actividades priorizadas;
g) la identificación de las dependencias de las actividades priorizadas, incluidas las personas

(véase el numeral 8.3.4.2), la información y los datos (véase el numeral 8.3.4.3), los edificios,
los lugares de trabajo y los servicios públicos conexos (véase el numeral 8.3.4.4), el equipo
y los bienes de consumo (véase el numeral 8.3.4.5), los sistemas de tecnología de la
información y las comunicaciones (véase el numeral 8.3.4.6), el transporte y la logística
(véase el numeral 8.3.4.7), las finanzas (véase el numeral 8.3.4.8), y los asociados y la
cadena de suministro (véase el numeral 8.3.4.9);
h) identificar las interdependencias de las actividades priorizadas (por ejemplo, las

adquisiciones dependen de la financiación para liberar fondos).
En el presente documento, el plazo para reanudar una actividad [véase (e) anterior] se denomina
"objetivo de tiempo de recuperación (RTO por sus siglas en inglés)" de la actividad. Al establecer el
RTO de una actividad también hay que tener en cuenta:
- dependencias de actividades conexas;
- la complejidad del proceso de recuperación.
Puede ser conveniente que las organizaciones con procesos de recuperación complejos establezcan
múltiples RTO para una gama de capacidades aceptables.
Al considerar la dependencia de las actividades de la información y los datos, la organización debería

asegurarse de que la información y los datos requeridos para la reanudación de una actividad estén
debidamente actualizados. La organización puede utilizar la expresión "objetivo de punto de
recuperación (RPO por sus siglas en inglés)" para lograrlo. El RPO es el punto hasta el cual se
restaura la información y los datos utilizados por una actividad para que ésta pueda funcionar al
reanudarse. El RPO también puede utilizarse para determinar la frecuencia de la copia de seguridad
necesaria para evitar la pérdida inaceptable de datos e información, y otros trabajos en curso que
podrían impedir la reanudación de una actividad.
La GTC-ISO/IEC 27031 proporciona más orientación con respecto a la garantía de la vigencia de

los datos mantenidos electrónicamente. La norma ISO/IEC 27002 proporciona orientación para
asegurar la confidencialidad, integridad y disponibilidad permanentes de los datos.
28
El análisis de impacto en el al negocio debería documentarse, incluyendo:
- la identificación de los requisitos (obligaciones) legales, reglamentarios y contractuales y su

efecto en los requisitos de continuidad de negocio (véase el numeral 4.2.2);
- la aprobación o modificación del alcance del BCMS de la organización (véase el numeral

4.3);
- la evaluación de los impactos en la organización a lo largo del tiempo como justificación de

los requisitos de continuidad de negocio (tiempo y capacidad);
- la identificación de las relaciones entre productos y servicios, actividades y recursos;
- la identificación de los recursos de apoyo de los que dependen las actividades priorizadas;
- la identificación de las dependencias de otras actividades, cadenas de suministro, socios y

otras partes interesadas.
La información puede provenir de:
- entrevistas;
- cuestionarios;
- talleres;
- otras fuentes internas y externas.
8.2.3 Evaluación del riesgo
NOTA La orientación de este numeral se refiere a los riesgos de que se interrumpan las actividades priorizadas. o La
orientación relativa a la eficacia del BCMS se presenta en el numeral 6.1.
El propósito de la evaluación de riesgos es permitir que la organización evalúe los riesgos de que
se interrumpan las actividades priorizadas, de modo que pueda tomar las acciones adecuadas para
abordar esos riesgos.
La organización debería implementar y mantener un proceso formal de evaluación del riesgo que
identifique, analice y evalúe sistemáticamente el riesgo de interrumpir las actividades priorizadas de
la organización y los procesos, sistemas, información, personas, activos, proveedores y otros
recursos que las respaldan.
La evaluación del riesgo es un proceso estructurado para analizar el riesgo en términos de

probabilidad y consecuencias antes de decidir sobre el tratamiento posterior que podría requerirse.
Este proceso estructurado trata de responder a algunas preguntas fundamentales, como las
siguientes.
- ¿Qué podría suceder?
- ¿Cuál es la probabilidad de que esto o aquello ocurra?
29
- ¿Cuáles podrían ser las consecuencias?
- ¿Hay algo que pueda mitigar las consecuencias o reducir la probabilidad?
El proceso debería considerar el contexto de la organización y las necesidades y expectativas de

las partes interesadas (véanse los numerales 4.1 y 4.2).
La organización debería comprender las amenazas y vulnerabilidades pertinentes a los recursos

que requieren sus actividades, en particular las siguientes:
- recursos necesarios para las actividades identificadas como de alta prioridad;
- cuando el plazo de sustitución del recurso es mayor que el objetivo de tiempo de recuperación
de la actividad.
La organización debería seleccionar un método apropiado para identificar, analizar y evaluar los
riesgos que podrían dar lugar a una interrupción. La NTC-ISO 31000 establece los principios de la
gestión de riesgos y las directrices correspondientes. Los elementos característicos que deberían
incluirse en el contexto del presente documento son los siguientes.
a) Identificación de los riesgos: Fuentes potenciales de riesgo para las actividades priorizadas
de la organización y los procesos, sistemas, datos, personas, activos, proveedores y otros
recursos que las sustentan. Estos pueden provenir de:
1) amenazas específicas que podrían en algún momento interrumpir las actividades y

los recursos (por ejemplo, incendios, inundaciones, cortes de electricidad, pérdidas
de personal, ausentismo del personal, virus informáticos, fallas de hardware);
2) interrupciones, que podrían surgir de vulnerabilidades dentro de los recursos (por

ejemplo, puntos únicos de falla, insuficiencias en la protección contra incendios, falta
de capacidad eléctrica, niveles inadecuados de personal, escasa seguridad y
resiliencia de la tecnología de la información).
b) Análisis de riesgos: Una comprensión del riesgo para que se pueda evaluar y determinar el
tratamiento más apropiado. Esto debería implicar:
1) la consideración de las causas y fuentes de riesgo, la probabilidad de consecuencias

tanto positivas como negativas, y el efecto que otros factores podrían tener en la
probabilidad;
2) determinar los riesgos, sobre la base, principalmente, de su probabilidad y

consecuencias anticipadas, pero también teniendo en cuenta la eficacia y la eficiencia
de los controles existentes.
Un parámetro clave del análisis es la probabilidad, por lo que la confianza en su validez

(basada en la divergencia de opiniones entre los expertos, la incertidumbre, la disponibilidad,
la calidad, la cantidad y la pertinencia continua de la información, o las limitaciones en la
elaboración de modelos) debería considerarse y llevarse a la consideración de los
encargados de la toma de decisiones y otras partes interesadas.
El análisis puede ser cualitativo, semicuantitativo o cuantitativo.

30
c) Evaluación de riesgos: Una evaluación de cuáles son los riesgos relacionados con la
interrupción que requieren tratamiento. Esto debería centrarse en los recursos necesarios
para las actividades de alta prioridad o con un plazo de sustitución considerable.
La organización debería estar al tanto de cualquier obligación financiera, reglamentaria /legislativa o

gubernamental que requiera la comunicación de estos hallazgos. Además, ciertas necesidades de la
sociedad también pueden justificar que se comparta esta información con un nivel de detalle apropiado.
8.3 Estrategias y soluciones de continuidad de negocio
8.3.1 Generalidades
Las estrategias de continuidad de negocio son posibles formas de que la organización cumpla con
sus requisitos de continuidad de negocio.
- Las estrategias de continuidad de negocio deberían comprender al menos una solución de

continuidad de negocio, pero pueden requerir más de una solución para cumplir con los
requisitos de continuidad de negocio.
- Las soluciones de continuidad de negocio incluyen enfoques, disposiciones, métodos,

procedimientos, tratamientos y acciones que pueden ponerse en práctica para implementar
las estrategias de negocio. Las soluciones se pueden utilizar para más de una estrategia.
Las estrategias y soluciones de continuidad de negocio:
a) le permiten a la organización reanudar las operaciones de negocio en los plazos requeridos

y con una capacidad aceptable;
b) identificar las capacidades que la organización puede implementar y mejorar con el tiempo
para mitigar los riesgos relacionados con la interrupción.
La identificación de las estrategias de continuidad de negocio y la selección de las soluciones de

continuidad de negocio deberían basarse en el análisis de impacto en el negocio (véase el numeral
8.2.2) y en la evaluación del riesgo (véase el numeral 8.2.3), teniendo en cuenta los costos
asociados.
La organización debería contar con procedimientos para identificar y seleccionar estrategias y

soluciones de continuidad de negocio, incluida la revisión y aprobación de las soluciones
recomendadas. La organización debería considerar las opciones que pueden implementarse antes,
durante y después de una interrupción.
8.3.2 Identificación de estrategias y soluciones
8.3.2.1 Generalidades
La mayoría de las estrategias requieren una o más soluciones, pero, en el caso de algunas de las
actividades de la organización, no hacer nada o aplazar su reanudación pueden ser estrategias
aceptables.
31
Por ejemplo, una estrategia de reubicación para reanudar las actividades puede consistir en varias
soluciones, entre ellas el "transporte de emergencia", la "redirección de la red" y la "dotación
alternativa de personal". Estas soluciones también pueden formar parte de la estrategia de
"ampliación de la jornada laboral".
En forma similar, una estrategia de producción para proteger las actividades priorizadas puede
consistir, por ejemplo, en una serie de soluciones, como la de " desplazar la fabricación del 30% del
producto A de la ubicación A a la ubicación B" o " dividir la fabricación del producto A entre la
ubicación C y la ubicación D".
Para asegurar que el funcionamiento de los planes de continuidad de negocio (véase el numeral
8.4.4) no se vea afectado negativamente por la interrupción, la organización puede necesitar tomar
precauciones, por ejemplo, separar los equipos y los sistemas de las TIC recuperados en varios
lugares. La separación total para todas las escalas y tipos de interrupción no siempre es posible y
puede ser necesario identificar las limitaciones y acordarlas con la alta dirección. Las limitaciones
pueden expresarse en términos de distancia, personal mínimo o gravedad, y pueden verse
condicionadas por la respuesta de los organismos públicos a interrupciones graves o generalizadas.
La organización debería identificar estrategias y soluciones adecuadas para:
- la protección de las actividades priorizadas;
- estabilizar, continuar, reanudar y recuperar las actividades priorizadas;
- mitigar, responder y gestionar los impactos.
La organización debería disponer de un mecanismo para determinar y seleccionar estrategias y

soluciones de continuidad de negocio, en particular la aprobación e implementación de las
soluciones recomendadas (véase el numeral 8.3).
La norma ISO/TS 22331 proporciona más orientación sobre la determinación y selección de

estrategias y soluciones de continuidad de negocio.
8.3.2.2 Protección de las actividades priorizadas
La protección de las actividades priorizadas puede lograrse mediante:
- la reducción del riesgo de que las actividades se vean impactadas por una interrupción;
- la transferencia de actividades a un tercero (aunque la responsabilidad sigue siendo de la

organización).
Por otra parte, puede ser posible cambiar la forma en cómo se realizan las actividades si se dispone
de alternativas viables.
Al determinar las estrategias y soluciones para proteger las actividades priorizadas, la organización
debería considerar:
- la vulnerabilidad percibida de la actividad y los impactos que se producirían si la actividad se

detuviera;
- el costo de las medidas en comparación con los beneficios previstos;

32
- la urgencia de la actividad, ya que habrá menos tiempo para resolver el problema;
- su viabilidad e idoneidad general.
8.3.2.3 Estabilización, continuación, reanudación y recuperación de las actividades

prioritarias
El establecimiento de RTOs para reanudar las actividades priorizadas a la capacidad acordada le

permite a la organización identificar estrategias para acortar el período de interrupción, reducir los
impactos y permitir la recuperación oportuna de las actividades priorizadas.
.
Para asegurar que las actividades priorizadas puedan reanudarse en el marco de sus RTOs, también
deberían establecerse RTOs compatibles para las dependencias y los recursos de apoyo. Las
organizaciones también deberían determinar las capacidades a las que las dependencias y los
recursos de apoyo se necesitan reanudar. Al establecer estos RTOs, la organización puede tener
que considerar:
- la posibilidad de proporcionar un servicio diferente hasta el punto en que se requiera la

reanudación completa;
- asegurarse de que las personas se movilicen de manera efectiva;
- proporcionar aliento y apoyo a las personas que regresan al trabajo en momentos de

necesidad;
- soluciones provisionales (como los procesos manuales) que postergan la necesidad de

reanudar la dependencia de los recursos de apoyo;
- los retrasos y el tiempo requerido para recuperar la información perdida;
- la complejidad y la escala de los requisitos de recuperación o la necesidad de equipo

especializado con un largo plazo de entrega.
Las estrategias de continuidad de negocio pueden incluir lo siguiente.
a) Reubicación de actividades: La transferencia de algunas o todas las actividades, bien sea

internamente a otra parte de la organización o externamente a un tercero, ya sea de manera
independiente o mediante un acuerdo recíproco o de cooperación mutua. Al determinar los
lugares en los que se puede reanudar una actividad, se deberían tener en cuenta los lugares
dañados/afectados y los lugares alternativos no dañados.
b) Reubicación o reasignación de recursos: Los recursos, incluido el personal, se transfieren a

otro lugar o actividad dentro de la organización, o externamente a un tercero.
c) Procesos alternativos y capacidad de reserva: Establecimiento de procesos alternativos o

creación de redundancia/capacidad de reserva en los procesos y/o el inventario.
d) Solución provisional: Algunas actividades pueden adoptar una forma de trabajo diferente que
proporcione resultados aceptables durante un tiempo limitado. Es probable que la solución
provisional consuma más tiempo o intensidad laboral (por ejemplo, una operación manual en
lugar de un sistema automatizado). Por estas razones, las soluciones provisionales suelen
33
ser adecuadas únicamente para períodos cortos de tiempo o para aplazar el regreso a la
normalidad.
Entre los ejemplos de estrategias se incluyen:
- proporcionar una capacidad de fabricación de reserva en un lugar alternativo;
- proporcionar capacidades de trabajo remoto para el personal clave.
8.3.2.4 Mitigación, respuesta y gestión de los impactos
Las estrategias para mitigar, responder y gestionar los impactos de una interrupción pueden incluir
lo siguiente.
a) Seguro: La compra de un seguro puede proporcionar cierta recompensa financiera por

algunas pérdidas, pero no cubrirá todos los costos (por ejemplo, los riesgos no asegurados,
la marca, la reputación, el valor de las partes interesadas, la participación de mercado, las
consecuencias humanas). Un acuerdo financiero por sí solo no protegerá plenamente a la
organización y no satisfará las expectativas de las partes interesadas. Es más probable que
la cobertura del seguro se utilice combinada con otras soluciones.
b) Restauración de activos: Contratar los servicios de organizaciones especializadas en la

limpieza o reparación de bienes después de su avería.
c) Gestión de la reputación: El desarrollo de una capacidad efectiva de alerta y comunicación

(véase el numeral 8.4.3) y el establecimiento de procedimientos eficaces de comunicación
de incidentes (véase el numeral 8.4.4.5).
En el caso de los riesgos identificados que requieren tratamiento y de conformidad con su actitud
general ante el riesgo, la organización debería considerar formas de reducir la probabilidad, acortar
el período y limitar los impactos de una interrupción.
Si existe un peligro específico sobre el que la organización no tiene control y que podría causar una
interrupción significativa de la organización (por ejemplo, un terremoto o una inundación), la
organización deberá, cuando proceda:
- identificar estrategias e implementar soluciones para limitar su impacto potencial;
- identificar el organismo externo responsable de la monitorización del peligro;
- comunicarse con el organismo externo para entender sus protocolos de notificación;
- analizar los protocolos de notificación para determinar si se ajustan a las necesidades de la

organización.
8.3.3 Selección de estrategias y soluciones
La selección de las estrategias de continuidad de negocio debería basarse en la medida en que:
a) permitan reanudar las actividades priorizadas a la capacidad acordada en los plazos

identificados durante el análisis de impacto en el negocio (véase el numeral 8.2.2);
34
b) están en línea con la cantidad y el tipo de riesgo que la organización puede o no puede tomar;
c) ofrecer beneficios a un costo manejable y razonable.
La organización debería reexaminar todas las soluciones cuando se hagan cambios en su

funcionamiento.
Las soluciones de continuidad de negocio para estabilizar, continuar, reanudar o recuperar una
actividad priorizada pueden ser a menudo prohibitivamente costosas. Cuando la organización estime
que este es el caso, debería seleccionar soluciones alternativas que sean aceptables y cumplan sus
objetivos de continuidad de negocio o tratar los productos y servicios afectados como exclusiones
del alcance del BCMS de conformidad con el numeral 4.3.3.
Cuando la organización estime que una amenaza es extremadamente improbable o que el costo de
proteger una actividad prioritaria es prohibitivo, podrá optar por aceptar el riesgo y reevaluarlo como
parte de su evaluación continua del desempeño del BCMS (véase el numeral 9). Aceptar el riesgo
también puede requerir que los productos o servicios afectados se retiren del alcance del BCMS.
8.3.4 Requisitos de recursos
La organización debería determinar los requisitos de recursos para implementar las soluciones
seleccionadas.
La organización debería establecer:
- equipos idóneos o, en el caso de organizaciones más pequeñas, personas con la autoridad

apropiada para supervisar la preparación, respuesta y recuperación en caso de incidentes;
- capacidades y procedimientos logísticos para localizar, adquirir, almacenar, distribuir,

mantener, probar y contabilizar los servicios, el personal, los recursos, los materiales y las
instalaciones producidos o donados;
- procedimientos financieros, logísticos y administrativos para apoyar las disposiciones de

continuidad de negocio antes, durante y después de un incidente; estos procedimientos
deberían:
- asegurarse de que las decisiones financieras se puedan agilizar;
- estar en consonancia con los niveles de autoridad y los principios de gobernanza y rendición
de cuentas establecidos;
- objetivos de gestión de recursos en cuanto a tiempos de respuesta, personal, equipo,

formación, instalaciones, financiación, seguros, control de la responsabilidad civil,
conocimientos especializados, materiales y los plazos en que se necesitará cada uno de los
recursos de la organización y de cualquier proveedor;
- procedimientos de asistencia a las partes interesadas, comunicaciones, alianzas estratégicas

y ayuda recíproca o mutua.
35
8.3.4.2 Personas
8.3.4.2.1 Generalidades
La organización debería contar con personas con la competencia para responder y gestionar los
incidentes, así como participar en la reanudación de las actividades priorizadas.
8.3.4.2.2 Respuesta al incidente
La organización debería nombrar un personal de respuesta a incidentes con la responsabilidad, la

autoridad y la competencia necesarias para gestionar un incidente.
El personal de respuesta a incidentes debería formar un grupo que se encargue de gestionar

cualquier interrupción que impacte o tenga el potencial de impactar significativamente a la
organización.
El personal puede ser asignado a los equipos en función de su competencia demostrada en, por
ejemplo:
- gestión de incidentes/estrategia (véase el numeral 8.4.4.4);
- comunicaciones (véase el numeral 8.4.4.5);
- seguridad y bienestar (véase el numeral 8.4.4.6);
- rescate y seguridad (véase el numeral 8.4.4.7);
- reanudar las actividades (véase el numeral 8.4.4.8);
- recuperación de los sistemas de TIC (véase el numeral 8.4.4.9).
Todo el personal que forme parte de estos grupos debería tener responsabilidades y autoridades
claramente definidas que se apliquen antes, durante y después de una interrupción.
La formación apropiada para el personal de respuesta a incidentes y de recuperación del negocio

incluye:
- evaluación de incidentes;
- la gestión de la evacuación y el refugio en el lugar, según sea aplicable para el alcance;
- arreglos en lugares de trabajo alternativos;
- técnicas para manejar eficazmente las comunicaciones internas y externas;
- el trato de los aspectos relacionados con las personas (véase la norma ISO/TS 22330).
Las habilidades y competencia de respuesta en toda la organización deberían desarrollarse

mediante una formación práctica, que incluya la participación en los ejercicios.
36
Los equipos de respuesta y recuperación deberían recibir educación y formación sobre sus
responsabilidades y obligaciones, incluyendo la interacción con los primeros respondientes y otras
partes interesadas. Los equipos deberían recibir formación a intervalos regulares y los nuevos
miembros deberían ser formados cuando se incorporen a la estructura de respuesta. Estos equipos
también deberían recibir formación sobre la prevención de incidentes que podrían escalar a crisis.
8.3.4.2.3 Reanudación de las actividades
La organización debería identificar las medidas apropiadas para mantener y ampliar la disponibilidad
de las habilidades y conocimientos básicos que permitan reanudar las actividades con una
disponibilidad de personal reducida. Es posible que las personas no respondan como se espera
durante un incidente y que necesiten estímulo, consuelo y apoyo. Se debería incluir a los empleados,
contratistas y otras partes interesadas que posean amplias habilidades y conocimientos
especializados. Las técnicas para proteger o mejorar estas habilidades pueden incluir:
- una lista de especialistas calificados de respaldo y un plan de llamadas;
- formación de múltiples habilidades del personal y los contratistas;
- separación de las habilidades básicas para reducir el impacto de un incidente, incluyendo la

separación física del personal con habilidades básicas en más de un lugar;
- uso de terceros;
- planificación de la sucesión;
- procesos de documentación y otras formas de retención y gestión de conocimientos.
Los procedimientos que dependen de la reubicación del personal después de un incidente pueden
necesitar considerar:
- transporte del personal a otro lugar;
- necesidades de personal en el sitio alternativo, como:
- alojamiento;
- instalaciones de catering;
- compromisos personales y familiares;
- formación en diferentes equipos;
- desafíos planteados por el teletrabajo.
Los roles de los especialistas pueden incluir:
- seguridad;
- logística de transporte;
- bienestar y emergencia.
37
Para motivar y restaurar la confianza de las personas que tendrán que responder a una interrupción,
la organización debería proporcionar, por ejemplo, asesoramiento práctico, formación para la toma
de conciencia sobre los riesgos, soluciones de transporte y apoyo a las familias.
La norma ISO/TS 22330 proporciona más información sobre los aspectos de la continuidad de
negocio relacionados con las personas.
8.3.4.3 Información y datos
Las palabras "información" y "datos" se utilizan indistintamente en el uso cotidiano. En el presente

documento se utiliza el término "información" para referirse a los datos que han sido procesados,
organizados y correlacionados para producir un significado. Por lo tanto, la información se crea a
partir de datos, que incluyen, por ejemplo, hechos, estadísticas y números mantenidos manualmente
y en forma digital que pueden almacenarse y utilizarse en una computadora.
Es posible recrear la información a partir de los datos durante una interrupción, pero el tiempo de
procesamiento para hacerlo puede ser muy prolongado y es posible que tampoco se disponga de
los medios para hacerlo. Por consiguiente, las organizaciones deberían considerar los requisitos de
información y datos de las actividades. Si se pierde irremediablemente la información o los datos
que requiere una actividad (no solamente una actividad priorizada), podría ser imposible que se
reanude la actividad.
La información y los datos vitales para el funcionamiento de la organización deberían protegerse y

recuperarse de acuerdo con los plazos identificados durante el análisis de impacto en el negocio. Al
determinar las disposiciones para el almacenamiento y la recuperación de los datos, la organización
debería ser consciente de los requisitos legales aplicables.
Toda la información o los datos necesarios para permitir la respuesta y la recuperación de la

organización deberían tener una adecuada:
- confidencialidad (por ejemplo, si la actividad se traslada a otro lugar);
- integridad: que la información y los datos sean fiables y se pueda confiar en ellos;
- disponibilidad: que la información y los datos estén disponibles tan pronto como la actividad
lo requiera (es decir, dentro del RTO de la actividad); la información y los datos requeridos
durante la respuesta pueden ser requeridos inmediatamente mientras que otra información y
datos pueden no ser requeridos hasta después del incidente;
- moneda: tan actualizada como se requiera para que la actividad funcione (véase 8.2.2),
aunque tal vez sea necesario volver a crear la información perdida a causa del incidente y
restaurar los datos.
Cuando se copian la información y los datos, pueden utilizarse diversos métodos, entre ellos los
formatos virtuales (digitales) (por ejemplo, disco, nube, cinta) y físicos (en papel) (por ejemplo,
microfichas, fotocopias, creación de copias dobles en el momento de la producción).
Se deberían documentar las soluciones de información y datos para la recuperación de la

información y los datos que aún no se han copiado o respaldado en un lugar seguro.
38
Si la información o los datos copiados se almacenan demasiado cerca del original, la interrupción
podría comprometer la integridad o impedir el acceso a ellos. Sin embargo, una larga distancia puede
impedir que la información/datos estén disponibles cuando se necesiten. Sería conveniente tener
evidencias escritas de cómo se han resuelto estas consideraciones conflictivas.
La información y los datos a que se hace referencia en este numeral pueden incluir:
- información de contacto;
- proveedor, partes interesadas y detalles de las partes interesadas;
- documentos legales (por ejemplo, contratos, pólizas de seguro, títulos de propiedad);
- otros documentos de servicios (por ejemplo, contratos, acuerdos sobre el nivel de servicio);
- metadatos (es decir, información para describir el contenido audiovisual y la esencia de los
datos en un formato definido);
- mensajes de notificación y alerta difundidos como medida de respuesta a incidentes;
- directrices y criterios sobre quién tiene autoridad para invocar los procedimientos.
8.3.4.4 Edificios, lugares de trabajo y servicios asociados
Las soluciones para el lugar de trabajo pueden variar significativamente y se puede disponer de una
gama de opciones. Los diferentes tipos de incidentes o amenazas podrían requerir la
implementación de opciones distintas o múltiples en el lugar de trabajo. Las tácticas apropiadas se
determinarán en parte por el tamaño de la empresa, el sector y la distribución de las actividades, por
las partes interesadas y por la base geográfica. Por ejemplo, las autoridades tendrán que mantener
una prestación de servicios de primera línea en sus comunidades, mientras que algunas
organizaciones podrían funcionar desde un país o continente diferente.
La organización debería idear una solución que reduzca el impacto de la falta de disponibilidad de
su(s) lugar(es) de trabajo normal(es). Esto puede incluir uno o más de los siguientes aspectos:
- locales (ubicaciones) alternativos dentro de la empresa, incluyendo el desplazamiento de

otras actividades;
- locales alternativos proporcionados por otras organizaciones (ya sea que se trate de
acuerdos recíprocos o no);
- centros de mando;
- locales alternativos proporcionados por terceros especializados;
- trabajar desde casa o en sitios remotos;
- otros locales idóneos acordados;
- el uso de una fuerza de trabajo alternativa en un sitio establecido.
39
Los locales alternativos deberían seleccionarse cuidadosamente tomando en consideración una

zona geográfica que pueda verse afectada por el mismo incidente. Un incidente como un desastre
natural puede causar daños en amplias zonas y afectar a servicios esenciales como la electricidad,
el gas, el agua y las comunicaciones. Si se prevé ese riesgo, los locales alternativos deberían estar
alejados de esa posible zona afectada.
Si se va a trasladar al personal a otros locales, se debería prestar la debida atención:
- Asegurarse de que los locales no estén tan cerca como para que puedan verse afectados
por el mismo incidente;
- asegurarse de que los locales estén lo suficientemente cerca como para que el personal esté
dispuesto a viajar allí y pueda hacerlo;
- las posibles dificultades que podría causar el incidente.
La utilización de los locales alternativos con fines de continuidad debería estar respaldada por una
declaración clara en cuanto a si los recursos requeridos en los locales alternativos son para uso
exclusivo de la organización. Si los locales alternativos se comparten con otras organizaciones, se
debería elaborar y documentar un plan para mitigar la falta de disponibilidad de estos locales.
En algunas situaciones (por ejemplo, en una línea de fabricación, un centro de llamadas o si el RTO
es corto), puede ser apropiado trasladar la carga de trabajo en lugar del personal. Para ello puede
ser necesario disponer de capacidad extra en el lugar alternativo o de personal adicional (ya sea
mediante horas extraordinarias o contratación) y otros recursos.
8.3.4.5 Equipo y consumibles
La organización debería identificar y mantener un inventario de los suministros básicos que

respaldan sus actividades priorizadas.
Algunas instalaciones y maquinaria pueden ser difíciles de adquirir, ser muy caras (requieren un
largo tiempo para su autorización) o tener largos plazos de entrega. Es posible que las soluciones
para proporcionar esos recursos deban tener en cuenta esas consideraciones. El cambio de las
prácticas de negocio, como el control de las existencias o la gestión de edificios, puede aportar
soluciones.
Las técnicas para proporcionarlas pueden incluir:
- almacenamiento de suministros adicionales en otro lugar;
- acuerdos con terceros para la entrega de las existencias a corto plazo;
- desviación de entregas justo a tiempo a otros lugares;
- la retención de materiales en almacenes o lugares de envío;
- transferencia de las operaciones de subensamblaje a un lugar alternativo que cuente con

suministros;
- identificación de suministros alternativos/sustitutivos;

40
- la identificación de las instalaciones y el equipo y la planificación de opciones múltiples por

fases.
Cuando las actividades dependen de suministros especializados, la organización debería identificar

a los proveedores de los que dependen las actividades priorizadas, especialmente cuando hay una
sola fuente de suministro. Las soluciones para gestionar la continuidad del suministro pueden incluir:
- aumentar el número de proveedores;
- animar o exigir a los proveedores a que tengan una continuidad comercial;
- acuerdos contractuales y/o de nivel de servicios con los proveedores;
- la identificación de proveedores alternativos y capaces.
En los casos en que se reubiquen las actividades, debería verificarse que los proveedores puedan
suministrar sus productos o servicios eficazmente en el lugar alternativo.
8.3.4.6 Sistemas de las TIC
En muchas organizaciones, las actividades no pueden realizarse sin sistemas de TIC y es necesario
restablecerlas antes de que se puedan reanudar las actividades. Cuando sea posible y práctico, la
organización puede tener que implementar soluciones manuales mientras se restablecen sus
sistemas de TIC.
Las opciones tecnológicas dependerán de la naturaleza de la tecnología empleada y de su relación

con las actividades, pero normalmente serán una combinación de lo siguiente:
- disposición adoptada dentro de la organización;
- servicios prestados a la organización por un tercero;
- servicios externos a los que se suscribe la empresa.
Las técnicas para proporcionar los sistemas de TIC requeridos por las actividades prioritarias
pueden incluir:
- difundirlos geográficamente (por ejemplo, al mantener la misma tecnología en diferentes

lugares que no se verán afectados por la misma interrupción);
- mantenimiento del equipo más antiguo como reemplazo de emergencia o repuestos;
- suministro de equipo o servicios de recuperación contratados.
Debido a la complejidad de las tecnologías que las sustentan, los sistemas de TIC a menudo
necesitan disposiciones complejas para asegurarse de que se puedan recuperar de manera
oportuna. Por lo tanto, debería prestarse atención a:
- la ubicación de los sitios de tecnología y la distancia entre ellos;
- distribución de la tecnología en sitios separados;

41
- proporcionar instalaciones adecuadas para un mayor número de usuarios con acceso remoto;
- establecer sitios sin personal (oscuros) así como sitios con personal;
- mejorar la conectividad de las telecomunicaciones y aumentar los niveles de enrutamiento

redundante;
- proporcionando una "conmutación" automática en lugar de requerir una intervención manual

para restablecer los sistemas de TIC;
- adaptarse a la obsolescencia de los sistemas de TIC.
Si una organización alberga sus sistemas de TIC en más de un sitio, podría existir una oportunidad
de implementar una solución en la que cada sitio tenga el tamaño para dar cabida a la capacidad
combinada de los sistemas de TIC de más de un sitio.
Si una organización utiliza tecnologías muy especializadas o hechas a la medida con largos plazos
de entrega, puede que tenga que considerar la posibilidad de aumentar la protección de sus sistemas
de TIC adoptando disposiciones especiales para su sustitución o restauración.
La GTC-ISO/IEC 27031 ofrece más orientación sobre la preparación de TIC para la continuidad
de negocio.
8.3.4.7 Transporte y logística
Puede ser necesario proporcionar transporte después de un incidente para:
- enviar al personal a casa si su medio de transporte normal no está disponible;
- Trasladar el personal a un lugar de trabajo alternativo;
- recursos necesarios en un lugar diferente.
La organización debería determinar de antemano las opciones para proporcionar los medios de
transporte alternativos que podrían requerirse tras una interrupción. Estos pueden incluir:
- la identificación de posibles escenarios de interrupciones logísticas, entre ellas las causadas

directamente por un incidente o una situación inusual;
- asegurar medios de transporte y rutas alternativos para hacer frente a condiciones de tráfico
inusuales;
- acuerdos con proveedores de transporte alternativos.
8.3.4.8 Finanzas
La organización debería determinar las opciones para asegurar que se disponga de la financiación
necesaria durante y después de una interrupción. Esto puede incluir:
- proporcionar fondos para compras de emergencia, como comida, alojamiento, instalaciones,

consumibles y transporte;
42
- reembolso de los gastos de personal;
- gastos importantes en, por ejemplo, el alquiler o la compra de edificios y equipo;
Para protegerse contra el abuso o facilitar las reclamaciones de seguros, puede ser necesario
demostrar la eficacia de los controles financieros, por ejemplo, disponiendo el registro formal de los
gastos durante y después de una interrupción.
8.3.4.9 Socios y cadena de suministro
Las redes de negocio y las cadenas de suministro suelen ser amplias, complejas e
interdependientes, con múltiples niveles. Es esencial comprender la cadena de suministro y los
riesgos que plantea a la organización. Al analizar los impactos en el negocio (véase 8.2.2), la
organización debería realizar, junto con los proveedores pertinentes, un análisis de las cadenas de
suministro de las que dependen las actividades priorizadas. A su vez, se debería exigir a los
proveedores que hagan el análisis en cascada a sus proveedores.
El análisis de la cadena de suministro debería basarse en un conjunto de criterios desarrollados por

la organización, que ofrezcan un enfoque organizativo común para evaluar el nivel de dependencia
de la cadena de suministro y de los proveedores específicos dentro de ella y para comprender los
plazos de búsqueda de acuerdos alternativos.
Las técnicas para obtener garantías y evaluar la continuidad de negocio de los proveedores y socios
pueden incluir:
- especificar los requisitos de continuidad de negocio en las licitaciones y contratos;
- auditoría periódica de los planes de los proveedores;
- revisar los programas de ejercicio y mantenimiento;
- participar en ejercicios conjuntos de continuidad de negocio.
Si se ha subcontratado un producto, servicio o actividad, la responsabilidad de ese producto, servicio

o actividad sigue siendo de la empresa.
Cuando las actividades priorizadas o las soluciones de continuidad de negocio se basen en los
productos y servicios de un proveedor, la organización debería evaluar la continuidad de negocio de
los proveedores para obtener garantías de que el proveedor cuenta con acuerdos eficaces de
continuidad de negocio para esos productos y servicios, por ejemplo, examinando los resultados de
los ejercicios
La organización tal vez desee concentrar sus esfuerzos en los proveedores cuyo incumplimiento de
la entrega de productos y servicios interrumpiría con mayor rapidez las actividades priorizadas.
8.3.5 Implementación de soluciones
Las soluciones seleccionadas deberían implementarse y mantenerse a lo largo del tiempo.
Una vez seleccionadas las soluciones para la continuidad de negocio, la dirección debería participar
en la selección de los recursos para tal fin (por ejemplo, el espacio de trabajo, las personas, el
43
equipo, los suministros). Se debería tener cuidado para asegurar que estos recursos estén
disponibles en el momento del incidente.
Para asegurar que las estrategias de reanudación y mitigación sean factibles, la organización
debería definir e implementar todas las soluciones que deberían estar en funcionamiento antes de
una interrupción. Si el plazo de activación de una solución excede los requisitos de continuidad de
negocio, la organización debería aplicar la solución seleccionada antes de la interrupción.
8.4 PLANES Y PROCEDIMIENTOS DE CONTINUIDAD DE NEGOCIO
8.4.1 Generalidades
La organización debería contar con una estructura de respuesta apoyada por planes y
procedimientos de continuidad de negocio para:
- controlar la respuesta a la interrupción;
- comunicarse efectivamente con las partes interesadas;
- utilizando soluciones de continuidad de negocio para reanudar las actividades dentro de sus
RTOs.
Un plan comprende uno o más procedimientos. Colectivamente, los planes y procedimientos deberían:
- identificar los pasos inmediatos que deberían tomarse y ayudar a la toma de decisiones
oportuna;
- ser lo suficientemente flexible para adaptarse a amenazas imprevistas y situaciones

cambiantes;
- Centrarse en los impactos previstos de las interrupciones;
- se alinean con las soluciones de continuidad de negocio seleccionadas por la organización

para minimizar los impactos;
- identificar claramente los roles y asignar responsabilidades para todas las tareas a realizar.
8.4.2 Estructura de la respuesta
8.4.2.1 Propósito
Una estructura de respuesta eficaz les permite a las organizaciones detectar los eventos, identificar
los incidentes y determinar si es probable que den lugar a una interrupción. La organización debería
desarrollar una estructura de respuesta a incidentes que proporcione una respuesta eficaz a las
interrupciones, independientemente de su causa. Si no existe una estructura acordada y
documentada, es probable que la organización sea incapaz de responder eficazmente a la
interrupción y no pueda reanudar las actividades interrumpidas en los plazos necesarios.
44
8.4.2.2 Diseño
La estructura de respuesta a incidentes debería identificar claramente:
- los equipos encargados de responder a los incidentes y reanudar las actividades;
- la jerarquía del equipo;
- los roles y responsabilidades de los equipos.
La estructura de respuesta debería ser simple y capaz de formarse rápidamente. También debería
proporcionar mecanismos que aseguren la comunicación oportuna de información y decisiones.
No existe una estructura única de respuesta a incidentes que sea adecuada para todas las
organizaciones. Cada organización debería diseñar su propia estructura, considerando lo siguiente:
- la estructura de gestión existente;
- la naturaleza, la cultura, la escala, la complejidad y la infraestructura de procesos de la

organización;
- las soluciones de continuidad de negocio seleccionadas;
- los requisitos de continuidad de negocio de la organización;
- cualquier amenaza percibida por la organización.
Es posible que las organizaciones más grandes o complejas necesiten establecer equipos
separados para centrarse en diferentes aspectos del incidente. En las organizaciones más
pequeñas, puede ser factible que un equipo se encargue de un incidente, pero nunca debería ser
responsabilidad de un solo individuo.
8.4.2.3 Capacidades del equipo
Colectivamente, los equipos deberían ser capaces de:
- evaluar la naturaleza y la extensión de la interrupción y su posible impacto;
- medir los posibles impactos del incidente en relación con umbrales de impacto predefinidos,
a fin de determinar si se justifica o no una respuesta formal;
- iniciar una respuesta apropiada a una interrupción, activar planes, movilizar equipos de
respuesta y asegurar la disponibilidad de los recursos necesarios;
- planificar todas las acciones que se llevarán a cabo;
- establecer prioridades para todas las acciones, dando prioridad a la seguridad de la vida;
- Monitorear cómo se desarrolla el incidente y la eficacia de la respuesta de la organización

para hacer frente a los impactos y las consecuencias;
45
- activar soluciones de continuidad de negocio adecuadas;
- proporcionar un comando y control efectivo de la respuesta de la organización al incidente y

responder a los cambios a medida que la situación evoluciona;
- comunicarse con las partes interesadas, en particular con los trabajadores, los familiares
afectados, los visitantes, las autoridades y los medios de comunicación.
8.4.2.4 Composición y orientación del equipo
Cada equipo debería tener:
a) Miembros y suplentes del equipo identificados, con la responsabilidad, la autoridad y la

competencia para que el equipo pueda cumplir su función y sus responsabilidades;
b) procedimientos documentados para orientar las acciones del equipo (véase el numeral 8.4.4).
8.4.3 Advertencia y comunicación
El manejo eficaz de las comunicaciones iniciales desde el principio de una interrupción puede marcar
una gran diferencia en la eficacia de la respuesta de la organización. Solo se puede lograr una
comunicación eficaz si la organización tiene claro qué, cuándo, con quién y cómo comunicarse. Por
consiguiente, la organización debería establecer procedimientos documentados para las siguientes
advertencias y las acciones relacionadas con la comunicación e identificar quién será responsable
de llevarlas a cabo:
- comunicación interna entre los diferentes niveles y funciones dentro de la organización,

incluso dentro de la estructura de respuesta;
- alertar a las partes interesadas y recibir, documentar y responder a las comunicaciones de

éstas (esto puede incluir los contactos de emergencia de los empleados);
- asegurarse de que el equipo y las instalaciones de comunicación estén disponibles;
- facilitar la comunicación estructurada con los equipos de respuesta a emergencias;

- gestionar la respuesta de la organización a los medios de comunicación y asegurarse de que
se ajusta a la estrategia de comunicaciones de la empresa;
- registrar información vital sobre el incidente, las acciones realizadas y las decisiones tomadas.
La organización debería asegurarse de que existan procedimientos e instalaciones eficaces para

recibir, documentar y responder a las advertencias, alertas y comunicaciones externas de los
sistemas nacionales o regionales de asesoramiento sobre riesgos o equivalentes. Es posible que
algunas organizaciones necesiten establecer instalaciones dedicadas o ad hoc situadas lo
suficientemente lejos del lugar afectado para que su funcionamiento no se vea obstaculizado por el
incidente. Pueden requerirse arreglos especiales para quienes tienen necesidades específicas (por
ejemplo, los adultos mayores y las personas con necesidades especiales). Para obtener orientación
sobre la difusión de advertencias, incluido el contenido de la información y los canales de
comunicación, véase la norma ISO 22322.
46
El equipo de comunicaciones puede verse afectado por las interrupciones, por lo que tal vez sea
necesario disponer de diversas alternativas, por ejemplo:
- megáfonos;
- sistemas de altavoces;
- teléfonos móviles de repuesto;
- teléfonos satelitales;
- radios transmisores.
8.4.3.2 Alertar a las partes interesadas
En algunas circunstancias, las partes interesadas pueden verse afectadas por una interrupción ya
iniciada o inminente. Por ejemplo, las interrupciones en una organización que lleva a cabo
operaciones peligrosas o almacena productos tóxicos podrían hacer que los vecinos de la
organización corrieran peligro. Esas organizaciones deberían considerar:
- establecer procedimientos que permitan monitorear los peligros;
- determinar de antemano la información de alerta pública que pueden tener que proporcionar
durante una interrupción;
- identificar las zonas geográficas a las que puede ser necesario enviar información de alerta
pública;
- evaluar científicamente los niveles potenciales de gravedad de los peligros;
- definir criterios con base científica para emitir advertencias y asegurar que existan
procedimientos para transferir la información de advertencia a las organizaciones con
responsabilidades en materia de advertencia pública;
- establecer relaciones con organismos externos responsables de las zonas potencialmente

afectadas.
También puede ser necesario que tales organizaciones hagan lo siguiente:
- establecer una relación con una organización externa con responsabilidades en materia de
advertencia pública;
- se aseguren de que sus vecinos entiendan cómo se emiten las alarmas y cómo responder.
Los procedimientos de advertencia y comunicación deberían ejercerse como parte del programa de
ejercicios de la organización (véase el numeral 8.5).
47
8.4.4 Planes de continuidad de negocio
Los planes de continuidad de negocio establecen la forma en que los equipos responderán a las
interrupciones y reanudarán las actividades dentro del alcance del BCMS.
Dado que la terminología difiere de una organización a otra y que, en muchos casos, los términos
específicos se utilizan indistintamente, es esencial que los roles y responsabilidades de los equipos
se establezcan claramente y que los procedimientos documentados que los respaldan indiquen
claramente su propósito, alcance y objetivos (véase la Tabla 5).
Tabla 5. Ejemplos de equipos y posibles roles y responsabilidades
Equipo Rol Responsabilidades
Respuesta de emergencia del sitio Respuesta de emergencia Seguridad de la vida

Gestión de las instalaciones limitación de daños
Seguridad
Evaluación de los daños Evaluación de los daños Evaluación de los daños
Gestión de incidentes Gestión y control de incidentes Gestión de incidentes
Gestión de crisis Toma de decisiones estratégicas Gestión estratégica

Alta Dirección Comunicación durante el incidente Gestión de crisis
Comunicaciones
Relaciones públicas
Comunicaciones Comunicación durante el incidente Comunicaciones

Relaciones públicas
Recuperación de TIC Recuperación de los sistemas y la Recuperación de desastres de TIC

infraestructura de TIC
NOTA En la norma GTC-ISO/IEC
27031 se puede encontrar orientación
sobre los procedimientos de TIC.
Finanzas Administración general y financiera Finanzas y administración

Administrativo
Recursos humanos Bienestar y necesidades especiales Recursos humanos

Salud ocupacional Bienestar de los interesados Seguridad y bienestar
Salvamento Salvamento de instalaciones, Salvamento y seguridad

Seguridad física sistemas de TIC y datos
Instalaciones Seguridad
TIC
Continuidad de negocio Reanudar las actividades Reanudación de las comunicaciones

interrumpidas Administrar los recursos
48
8.4.4.2 Cobertura
Colectivamente, los planes de continuidad de negocio deberían abordar todos los aspectos de la
respuesta a un incidente y deberían ser específicos para los equipos que los utilizarán. Por lo tanto,
puede ser beneficioso para:
- involucrar a una amplia gama de personal, incluyendo equipos de especialistas, en el

desarrollo de planes de continuidad de negocios;
- utilizar la retroalimentación de los ejercicios y aprovechar las lecciones aprendidas de las

interrupciones.
Los plazos y los niveles de desempeño deberían basarse en la información reunida durante el
análisis de impacto en el negocio (véase el numeral 8.2.2) y la selección de estrategias y soluciones
de continuidad de negocio (véase el numeral 8.3.3).
8.4.4.2.2 Responder a los incidentes
Cuando se trata de un incidente, hay una serie de acciones que pueden tener que ser consideradas.
Éstos deberían incluirse en los procedimientos documentados e incluyen:
a) responder y evaluar el incidente, incluyendo:
1) determinar lo que pasó y cómo ocurrió;
2) identificar cuáles son las partes de la organización y las partes interesadas que han
sido o podrían haber sido afectadas;
3) tratar de anticipar la duración del incidente y los probables impactos;
4) evaluar si el incidente se gestionará mediante acuerdos de gestión rutinarios;
5) juzgando por referencia a umbrales predefinidos si el incidente pudiese dar lugar a

una interrupción;
b) gestionar las consecuencias inmediatas del incidente, teniendo debidamente en cuenta las
cuestiones de bienestar de las personas afectadas (incluidos los miembros del equipo) y los
impactos en el ambiente, considerar las opciones para responder al incidente y prevenir
nuevas pérdidas o daños;
c) evaluar la evaluación del incidente en función de los criterios de activación de cada uno de
los procedimientos;
d) declarar un incidente y activar los procedimientos cuando se han cumplido los criterios de
activación;
e) la movilización del personal de respuesta a incidentes en equipos para las actividades de

estabilización, continuidad y recuperación;
49
f) estableciendo una ubicación central para el equipo que gestiona y controla el incidente
(centro de mando);
g) priorizar las cuestiones y las actividades que deberían llevarse a cabo en la gestión del
incidente y sus impactos;
h) controlar y coordinar todos los procedimientos activados;
i) activar o establecer sitios alternativos para el restablecimiento de la capacidad de la

tecnología de la información u otra infraestructura y para el funcionamiento temporal de las
actividades de la empresa;
j) monitorear el incidente a medida que progresa;
k) revisar y adaptar los planes en respuesta a las circunstancias cambiantes;
l) desescalar, retirar y retornar a las operaciones rutinarias a medida que se reestablezca la

capacidad sostenible;
m) realizar un informe e identificar las oportunidades de aprendizaje;
n) asegurar la buena gobernanza y la recolección y la seguridad de la documentación generada

durante la gestión y la recuperación del incidente.
Para lograr la reanudación oportuna de la entrega de productos y servicios por parte de la

organización, los procedimientos documentados para la reanudación de cada actividad deberían:
- cumplir con el RTO de la actividad que apoya ese producto o servicio;
- ser suficientemente confiable.
Esto puede lograrse mediante:
- la propiedad o el control de los medios y recursos para promulgar el procedimiento;
- contratos, acuerdos o niveles de servicio con terceros.
8.4.4.3 Contenido y uso
Cada plan de continuidad de negocio debería identificar su propósito, alcance y objetivos de forma
que quede claro para los equipos que lo utilicen. Deberían indicarse claramente los vínculos con
otros procedimientos o documentos pertinentes o requeridos y describirse el método de obtención y
acceso a los mismos. El plan de continuidad de negocio también debería incluir:
- criterios y procedimientos de activación;
- procedimientos de implementación;
- requisitos y procedimientos de comunicación;

50
- las interdependencias e interacciones internas y externas;
- necesidades de recursos;
- requisitos de presentación de informes;
- el flujo de información y los procesos de documentación.
8.4.4.3.2 Guía e información de apoyo
Cada plan debería incluir:
a) roles, responsabilidades y autoridades:
1) definir los roles, responsabilidades y autoridades de las personas y equipos que

utilizarán el plan;
2) directrices y criterios referentes a quién tiene autoridad para invocar el plan y en qué
circunstancias (esto puede incluir etapas de escalada definidas);
b) criterios de activación:
1) un proceso para activar la respuesta de la organización a una interrupción y, dentro

de cada procedimiento documentado, sus criterios y procedimientos de activación
(puede ser pertinente considerar si esto está dentro o fuera del horario normal de
trabajo);
2) lugares de encuentro con alternativas adecuadas;
c) parámetros de operación:
1) la identificación de las acciones y tareas a realizar, en particular en relación con la

forma en que la organización continuará o recuperará sus actividades priorizadas en
plazos predeterminados;
2) las necesidades de recursos pertinentes (véase el numeral 8.3.4);
3) los medios para registrar la información sobre el incidente, las acciones tomadas y las
decisiones adoptadas;
d) información de apoyo para la coordinación y la comunicación:
1) datos de contacto de los miembros del equipo y otras personas con roles y
responsabilidades; la organización debería conocer los requisitos legales aplicables
en relación con la protección de la información y debería conservar evidencias de su
cumplimiento;
2) detalles de contacto y movilización de agencias, organizaciones y recursos

pertinentes que pudieran ser necesarios;
51
e) criterios de retirada:
1) los mecanismos para retirarse una vez que el incidente haya pasado;
2) instrucciones por seguir.
8.4.4.3.3 Usabilidad
Como ocurre con cualquier forma de información documentada (véase el numeral 7.5.3), la
organización debería asegurarse de que los planes de continuidad de negocio sean utilizables y
estén disponibles en el momento y lugar en que se necesiten. Para asegurar que el funcionamiento
de los planes de continuidad de negocio no se vea afectado negativamente por la interrupción, es
posible que la organización tenga que tomar precauciones (por ejemplo, separar los equipos y los
sistemas de las TIC recuperados en varios lugares). La separación total para todas las escalas y
tipos de interrupción no siempre es posible y puede ser necesario identificar las limitaciones y
acordarlas con la alta dirección. Las limitaciones pueden expresarse en términos de distancia,
personal mínimo o gravedad y pueden verse influidas por la respuesta de los organismos públicos
a interrupciones graves o generalizadas.
8.4.4.4 Gestión de incidentes/estratégica
El objetivo de la gestión de incidentes es asegurar que la respuesta de la organización a una

interrupción sea eficaz a nivel estratégico.
Los procedimientos deberían incluir la base para gestionar todas las posibles cuestiones a las que
se enfrente la organización durante un incidente, incluidas las relacionadas con las partes
interesadas, y deberían abordar todas las facilidades que el equipo que gestiona el incidente y otros
equipos de respuesta puedan necesitar.
8.4.4.5 Comunicaciones
Los procedimientos de comunicación pueden incluirse en la gestión de incidentes o en los

procedimientos de respuesta de otros equipos. Si hay varios equipos, deberían trabajar en estrecha
cooperación.
Las comunicaciones que se entreguen y reciban durante el incidente deberían ser gestionadas y
coordinadas. Los procedimientos deberían contener:
a) detalles sobre cómo y bajo qué circunstancias la organización se comunicará con los
empleados y sus familiares, otras partes interesadas y contactos de emergencia;
b) detalles sobre la respuesta de los medios de comunicación después de un incidente, que

puede incluir:
1) la estrategia de comunicaciones del incidente;
2) interfaz preferida con los medios de comunicación;
3) una guía o plantilla para redactar una declaración para los medios de comunicación;
4) un número apropiado de portavoces formados y competentes autorizados para dar

información a los medios de comunicación.
52
Es importante que el momento y el contenido de las comunicaciones internas y externas sean

coherentes. Para crear confianza, seguridad y motivación, la comunicación interna es una prioridad.
La información preparada de antemano puede ser especialmente útil en las primeras etapas de un
incidente. Permitirá al equipo proporcionar detalles sobre la organización y sus actividades de
negocio mientras se establecen los detalles del incidente.
Puede ser apropiado:
- establecer un lugar adecuado para el enlace con los medios de comunicación u otros grupos
de partes interesadas;
- establecer un número apropiado de personas competentes y formadas para responder a las

consultas telefónicas de los medios de comunicación;
- utilizar todos los canales de comunicación abiertos a la organización, incluidos los medios de
comunicación social;
- preparar material de antecedentes sobre la organización y sus operaciones (esta información

debería ser acordada previamente para su difusión).
También puede ser necesario considerar la posibilidad de crear grupos de presión o de acción
comunitaria que colectivamente tengan poder o influencia sobre la empresa.
Debería incluirse un proceso para identificar y priorizar las comunicaciones con otras partes
interesadas clave. Tal vez sea necesario elaborar un procedimiento separado para la gestión de las
partes interesadas, proporcionar criterios para el establecimiento de prioridades y adoptar
disposiciones para la asignación de personas a cada interesado o grupo de interesados.
8.4.4.6 Seguridad y bienestar
Las organizaciones tienen el deber de cuidar a los empleados, contratistas, visitantes y clientes
cuando un incidente plantea un riesgo directo para la vida, el sustento y el bienestar. Habrá que
prestar especial atención a los grupos con discapacidades físicas y de aprendizaje u otras
necesidades específicas (por ejemplo, embarazo, discapacidad temporal debida a una lesión).
Planificar de antemano para cumplir estos requisitos puede reducir el riesgo y tranquilizar a los
afectados. No se pueden subestimar los impactos a largo plazo de los incidentes. La organización
debería elaborar soluciones apropiadas, incluida la consideración de las cuestiones sociales y
culturales pertinentes, para promover la recuperación física y psicológica dentro de la organización.
Se deberían incluir los siguientes elementos de respuesta de bienestar:
- evacuación del sitio (incluyendo actividades internas de refugio en el sitio) y puntos de reunión;
- la movilización de equipos de seguridad, primeros auxilios o de ayuda a la evacuación;
- localizar y contar a los que estaban en el lugar o en las inmediaciones.
También se puede incluir lo siguiente:
- servicios de traducción;
53
- asistencia para el transporte, incluidas las instrucciones, según sea necesario;
- enlaces designados e información de contacto para los servicios de emergencia, los

organismos apropiados y los primeros respondedores;
- localizar la mano de obra desplazada o los contratistas;
- gestionar las líneas de ayuda telefónica;
- rehabilitación física y apoyo psicológico.
Los recursos necesarios deberían identificarse específicamente. Un recurso debería estar disponible
de manera oportuna y debería tener la capacidad de cumplir su función prevista.
8.4.4.7 Salvamento y seguridad
La organización puede preparar procedimientos documentados que aborden el salvamento y la

seguridad e incluyan orientación sobre:
- prioridades de salvamento para las instalaciones, el equipo (incluidos los sistemas de

tecnología de la información y las comunicaciones) y la información documentada (teniendo
en cuenta los requisitos de seguridad y privacidad de la información);
- la seguridad de los locales una vez entregados por los servicios de emergencia.
La organización podrá designar contratistas especializados en salvamento con antelación al

incidente. El salvamento eficaz de las instalaciones, el equipo y la información documentada puede
limitar los impactos y permitir un retorno más rápido a la normalidad.
8.4.4.8 Reanudación de las actividades priorizadas
Debería haber procedimientos que especifiquen:
- las actividades priorizadas que se reanuden;
- las escalas de tiempo dentro de las cuales deberían ser reanudadas;
- capacidades en las que se deberían reanudar las actividades priorizadas;
- las situaciones en las que se puede utilizar el procedimiento.
Cada procedimiento debería detallar, según sea apropiado, los recursos requeridos en distintos
momentos para lograr los objetivos. Esto puede incluir:
- números de recursos;
- habilidades y cualificaciones;
- equipo técnico;
- instalaciones de telecomunicaciones;
54
- la disponibilidad de los recursos contratados, acordados por medio de ayuda mutua o que es
probable que estén disponibles.
8.4.4.9 Sistemas TIC
Los procedimientos para reanudar las actividades deberían identificar los sistemas de TIC en los
que se basa su reanudación y deberían hacer referencia a los procedimientos de continuidad de TIC
que existan.
Los procedimientos de continuidad de TIC, si los hay, deberían abordar, como mínimo:
- la invocación de la respuesta necesaria de TIC y el despliegue de personal de TIC;
- acceder a los datos de respaldo y adquirir la prestación de servicios alternativos;
- restauración de datos, servicios de información, comunicaciones y apoyo;
- el calendario de disponibilidad y los requisitos de capacidad que permiten a las actividades

cumplir sus RTOs. La GTC-ISO/IEC 27031 proporciona más orientación.
8.4.5 Recuperación
La organización debería determinar previamente cómo volverá a funcionar normalmente tras una
interrupción y debería contar con procedimientos documentados para restablecer y retornar a las
operaciones de negocio a partir de las medidas temporales adoptadas durante un incidente. Estas
deberían abordar los requisitos pertinentes de auditoría y gobernanza corporativa.
El propósito de la recuperación es restablecer las actividades de negocio para apoyar el trabajo

normal después de una interrupción. El retorno a la normalidad puede lograrse mediante:
- la reparación de los daños resultantes del incidente;
- la migración de las operaciones de los locales temporales de vuelta al lugar de negocio

principal restaurado;
- el traslado hacia una nueva ubicación.
La mejor manera de volver a la normalidad de negocio dependerá de la gravedad de los daños

causados por el incidente y de las estimaciones de cuánto tiempo podría llevar el establecimiento
de las instalaciones necesarias.
Los procedimientos documentados deberían prever una evaluación detallada de la situación y sus
impactos, la determinación de las tareas y los pasos de recuperación. Durante la recuperación, es
posible que la organización necesite hacer lo siguiente:
- establecer recursos e infraestructura de recuperación;
- operar en instalaciones de recuperación;
- restaurar las instalaciones dañadas;
55
- asegurar las adquisiciones y la financiación de emergencia;
- suministrar equipos de salvamento en instalaciones dañadas;
- hacer reclamaciones contra las pólizas de seguro existentes;
- obtener personas adicionales para apoyar el esfuerzo de recuperación;
- seleccionar las opciones para restaurar y volver a la normalidad de negocio;
- migrar las operaciones a instalaciones de recuperación;
- recuperar la información documentada perdida;
- comunicarse con las partes interesadas pertinentes con las frecuencias apropiadas;
- normalizar las operaciones en las instalaciones restauradas;
- llevar a cabo un examen posterior a la recuperación;

- realizar la debida diligencia en relación con los requisitos de auditoría y gobernanza
corporativa.
Los procedimientos documentados para la recuperación deberían incluir disposiciones para la

reanudación de todas las actividades y no solo las identificadas como actividades priorizadas. Con
ello se reconoce que las actividades de menor prioridad deberían reanudarse en algún momento y
tienen necesidades de recursos que deberían satisfacerse (véase el numeral 8.3.4).
8.5 Programa de ejercicios
8.5.1 Generalidades
Los procedimientos y disposiciones de continuidad de negocio de una organización no pueden

considerarse fiables hasta que se ejerciten y a menos que se mantenga su vigencia. Los ejercicios
desarrollan el trabajo en equipo, la competencia, la confianza y el conocimiento, y debería incluir a
quienes podrían ser requeridos para utilizar los procedimientos.
8.5.2 Diseño del programa de ejercicios
Los ejercicios robustos y realistas identifican áreas de mejora incluso en procedimientos bien
diseñados. La organización debería diseñar un programa de ejercicios que valide a lo largo del
tiempo la eficacia de sus estrategias y soluciones de continuidad de negocio, planes y
procedimientos.
El establecimiento de un programa de ejercicios permite un enfoque coordinado para construir,

evolucionar y madurar las capacidades de la organización. El programa debería abarcar los planes
individuales, las personas (incluidas las de organizaciones externas), las capacidades y los recursos
que contribuyen a los objetivos estratégicos de la organización.
La alta dirección debería asegurarse de que se establezcan los objetivos del programa de ejercicios
y se asigne una persona competente para gestionar el programa de ejercicios. El alcance de un
programa de ejercicios debería basarse en el tamaño y la naturaleza de la organización que
56
emprenda el ejercicio, así como en el alcance, la funcionalidad, la complejidad y el nivel de madurez

de los planes y capacidades que se ejerciten. En las primeras etapas de la madurez, el ejercicio y
los ensayos pueden limitarse al uso de listas de comprobación, simulacros y ejercicios de
concienciación. A medida que el programa madure, podrá ampliarse para incluir ejercicios de mesa
y simulaciones en vivo a escala real.
El programa de ejercicios debería ser flexible, teniendo en cuenta los cambios dentro de la
organización y el resultado de los ejercicios anteriores. Un cambio significativo en la organización
puede dar lugar a la programación de un ejercicio para examinar las disposiciones revisadas.
El programa de ejercicios debería tener en cuenta los roles de todas las partes, incluidos los terceros
proveedores, suministradores y otros que se esperaría que participaran en las actividades de
recuperación. Una organización puede incluir a esas partes en sus ejercicios y puede participar en
los ejercicios que ellas organicen.
Para asegurar que los ejercicios se realicen de manera eficaz y eficiente dentro de los plazos
especificados, el programa de ejercicios debería incluir lo siguiente:
- análisis de necesidades;
- el respaldo de la alta dirección;
- objetivos claros;
- la extensión, el número, los tipos, la duración, los lugares y los cronogramas de los ejercicios;
- personal apropiado para apoyar el programa;
- los recursos y el presupuesto necesarios;
- procesos para manejar la confidencialidad, la seguridad de la información, la salud y la

seguridad, y otros asuntos similares.
El programa de ejercicios debería ofrecer garantías a lo largo del tiempo de que la respuesta general
de la organización será eficaz. El programa, cuando se implemente, debería:
- ejercitar los aspectos técnicos, logísticos, administrativos, de procedimiento y otros aspectos

operativos de los procedimientos;
- ejercitar a todas las personas con responsabilidades dentro de los procedimientos, incluidas
las de organizaciones externas;
- ejercitar las disposiciones de continuidad de negocio y la infraestructura (incluidos, por

ejemplo, los centros de mando y las zonas de trabajo);
- validar la recuperación de la tecnología y las telecomunicaciones, incluida la disponibilidad y

la reubicación del personal;
- ejercitar los equipos de respuesta en la gestión de los impactos derivados de la interrupción

de la cadena de suministro.
57
La organización debería monitorear y medir la implementación del programa de ejercicios para

asegurarse de que se logren sus objetivos. El programa de ejercicios debería revisarse para
determinar las mejoras.
8.5.3 Ejecutar los planes de continuidad de negocio
Los ejercicios, incluidas las pruebas, son actividades destinadas a examinar la capacidad de la
organización para responder, recuperar y seguir desempeñando eficazmente las funciones de
negocio asignadas cuando se enfrentan a escenarios de interrupción específicas. La organización
debería utilizar los ejercicios y los resultados documentados de los mismos para asegurar la eficacia
y la preparación de sus planes de continuidad de negocio.
Cada ejercicio y prueba debería tener metas y objetivos claramente definidos y basarse en un
escenario apropiado para cumplirlos.
Los ejercicios pueden:
- anticipar un resultado predeterminado (por ejemplo, se planifica y se determina su alcance

de antemano);
- permiten a la organización desarrollar soluciones innovadoras.
Los ejercicios deberían ser realistas, cuidadosamente planificados y acordados con las partes
pertinentes, de modo que haya un riesgo mínimo de que las actividades se interrumpan y de que
ocurra un incidente como resultado directo del ejercicio. Esto puede lograrse realizando el ejercicio
en un entorno controlado y aislado, siempre que ello no ponga en peligro la integridad de los
objetivos que se están ensayando.
La organización debería diseñar escenarios de ejercicio que satisfagan los objetivos del ejercicio y
puede utilizar las amenazas identificadas en la evaluación de riesgos o la información obtenida de
interrupciones anteriores.
La eficacia de algunos aspectos de la continuidad de negocio requerirá que determinadas personas

o quienes ocupen determinados puestos tengan conocimientos, aptitudes y comprensión
particulares. Éstos deberían estar en su sitio antes del ejercicio, lo que permite a los participantes
aplicarlos a los escenarios y simulaciones pertinentes.
Los ejercicios deberían diseñarse y realizarse de manera que proporcionen uno o más de los
siguientes elementos:
- verificación que los RTOs de las actividades (véase el numeral 8.2.2) y los RTOs de las
dependencias y los recursos de apoyo de las actividades priorizadas (véase el numeral
8.3.2.3) son factibles;
- confianza en que la información y los datos requeridos por las actividades están debidamente
actualizados (véase el numeral 8.3.4.3);
- una mejor comprensión de las dependencias de la continuidad de negocio de los proveedores

y otras partes interesadas;
- una mayor conciencia del contexto y las prioridades de la organización;

58
- una mejor comprensión del contenido y el uso de los procedimientos de continuidad de negocio;
- mejoramiento de la confianza en la respuesta a los incidentes;
- una oportunidad para mejorar las capacidades;
- una evaluación de la utilidad y aplicabilidad de las soluciones de continuidad de negocio;
- una evaluación de la idoneidad de las capacidades desarrolladas y las asignaciones de recursos;
- una identificación de los requisitos y prácticas previamente indocumentados empleados en

el manejo de las interrupciones;
- una oportunidad para identificar cualquier otra insuficiencia en los procedimientos escritos de
continuidad de negocio y su implementación;
- garantía de que los procedimientos de continuidad de negocio se pueden implementar

cuando sea necesario;
- mejoramiento de la confianza de las partes interesadas en cuanto a la preparación de la

organización;
- un medio de cumplir con los requisitos reglamentarios, contractuales o de gobernanza

organizacional.
Los ejercicios pueden tener una variedad de formatos diferentes. La decisión sobre la idoneidad del
tipo de ejercicio dependerá de varios factores, entre ellos:
- el contexto de la organización;
- los objetivos del ejercicio;
- la madurez del programa de ejercicios;
- la experiencia de los participantes;
- presupuesto;
- disponibilidad de los participantes;
- la tolerancia de la organización a la interrupción operacional causada por la realización del ejercicio.
La organización debería actuar sobre los resultados de su ejercicio para implementar los cambios y
mejoras aprobados.
Se dan muchos nombres diferentes a los distintos tipos de ejercicios que se pueden realizar, pero
por lo general se clasifican en las siguientes categorías.
- Discusión: Los ejercicios basados en el debate tienen por objeto familiarizar a los
participantes con los planes y procedimientos de continuidad de negocio en un entorno de
bajo estrés.
59
- Simulación: Los ejercicios basados en operaciones están diseñados para ser más realistas
y desafiantes. Pueden llevarse a cabo en el entorno operativo normal, en locales alternativos
o en centros de mando.
Se proporcionan ejemplos en la Tabla 6.

Tabla 6. Ejemplos de descripciones de métodos de ejercicio
Categoría Método Descripción
Revisión del plan Las revisiones de planes son revisiones informales de planes y
procedimientos que se utilizan para familiarizar a los participantes con
contenidos nuevos o actualizados. Son útiles como punto de partida
cuando se elaboran por primera vez los planes y procedimientos o cuando
se revisan de manera significativa. Una revisión del plan puede realizarse
típicamente en 1 h a 2 h.
Discusión Simulación (in situ) Los ejercicios de simulación en el sitio utilizan escenarios simples para
familiarizar a los participantes con los planes y procedimientos en un
ambiente de bajo estrés. También pueden utilizarse para revisar las
estrategias y soluciones de continuidad de negocio y para su validación y
mejora. Un ejercicio de simulación in situ suele ser el primer tipo de ejercicio
formal realizado por una organización y normalmente puede realizarse en
2 h a 3 h.
simulación (fuera del Los ejercicios de simulación fuera de las instalaciones suelen realizarse en
sitio) instalaciones alternativas o en un centro de mando con el fin de revisar los
planes y procedimientos de continuidad de negocio. El ejercicio típicamente
usa un escenario simple. La diferencia clave con respecto a una simulación
in situ es que la revisión tiene lugar fuera del entorno operativo normal. Un
ejercicio de simulación fuera del sitio puede realizarse típicamente en 2 h
a 3 h sin contar el tiempo de transporte.
Taller (planes Los talleres basados en planes suelen realizarse fuera del lugar en locales
individuales o alternativos utilizando escenarios razonablemente complejos. Los
múltiples) participantes en el ejercicio pueden representar un único plan o varios
planes, según el alcance del ejercicio. El propósito es que los equipos
practiquen el trabajo conjunto y la toma de decisiones en plazos más
estresantes. Un ejercicio de taller que abarque múltiples planes puede
llevarse a cabo típicamente en 3 h a 5 h, dependiendo de la complejidad
de los planes y del escenario.
Simulación Taller (uno o varios Los talleres basados en la ubicación suelen realizarse fuera del lugar en
lugares) locales alternativos utilizando escenarios que impactan en uno o más
lugares. El propósito del ejercicio es que los equipos de diferentes lugares
practiquen el trabajo conjunto y la toma de decisiones conjuntas. Un
ejercicio de taller que abarque múltiples lugares puede realizarse
típicamente en 3 a 5 h, dependiendo del número de lugares involucrados y
la complejidad del escenario.
Taller para toda la Los ejercicios a gran escala están diseñados para preparar a los
organización (a escala participantes para las interrupciones que afectan a toda la organización y
real) que requieren la activación del plan de continuidad de negocio. Se trata de
ejercicios complejos y de alto estrés que se planifican y controlan
cuidadosamente para asegurar que alcancen sus objetivos y no causen
una interrupción. Un ejercicio a gran escala puede llevar entre medio día y
una semana dependiendo de su complejidad y del número de personas
involucradas.
60
Como parte del ejercicio, se debería programar una revisión con todos los participantes para discutir
las cuestiones y las lecciones aprendidas. Esta información debería ser documentada y se deberían
hacer actualizaciones de los procedimientos según se requiera.
La organización debería realizar una reunión informativa y un análisis después del ejercicio en el
que se considere el logro de las metas y objetivos del ejercicio. Se debería elaborar un informe
posterior al ejercicio que contenga recomendaciones y un calendario para su implementación.
Las lecciones de los ejercicios y los incidentes reales experimentados deberían volver a examinarse
durante los ejercicios futuros. Los ejercicios que muestren graves deficiencias o inexactitudes en los
procedimientos deberían repetirse una vez que se hayan completado las acciones correctivas.
Los beneficios de realizar los ejercicio y pruebas incluyen:
- validación de las suposiciones, las soluciones de continuidad de negocio y los alcances de

los planes de continuidad de negocio;
- garantía del correcto funcionamiento de las instalaciones y recursos técnicos;
- asegurar la capacidad de las instalaciones alternas;
- el aumento de la eficiencia y reducción del tiempo necesario para completar los procesos
(por ejemplo, utilizando ejercicios repetidos para acortar los tiempos de respuesta);
- la mejora de la conciencia de las partes interesadas;
- el desarrollo de la competencia y la conciencia de los participantes.
La GTC 278 proporciona más orientación sobre los tipos de ejercicio, así como orientación sobre la
planificación, la realización y la mejora de los programas de ejercicio.
8.6 Evaluación de la documentación y las capacidades de continuidad de negocio
8.6.1 Generalidades
La organización debería realizar evaluaciones de su análisis de impacto en el negocio, evaluación

de riesgos, estrategias y soluciones, planes y procedimientos de continuidad de negocio, a fin de
asegurar su continua idoneidad, adecuación y eficacia.
Las evaluaciones deberían abordar la posible necesidad de introducir cambios en la política, los
objetivos y otros elementos del BCMS sobre la base, por ejemplo, de los resultados de los ejercicios,
las revisiones posteriores a los incidentes y los cambios en las circunstancias de la organización.
Las evaluaciones pueden adoptar la forma de auditorías internas o externas, o de autoevaluaciones.

La frecuencia y el tiempo de la revisión pueden verse influidos por leyes y reglamentos, según el
tamaño, la naturaleza y la condición jurídica de la organización. También pueden verse influidos por
los requisitos de las partes interesadas.
Las evaluaciones deberían verificar que:
- todos los productos y servicios y sus actividades y recursos de apoyo se han identificado e
incluido en las soluciones de continuidad de negocio de la organización;
61
- la política, las soluciones y los procedimientos de continuidad de negocio de la organización

reflejan con precisión sus prioridades y requisitos de negocio;
- la competencia de las personas y la continuidad de negocio de la organización son efectivas

y adecuadas para el propósito y permitirán la gestión, el mando, el control y la coordinación
de la respuesta de la organización a una interrupción;
- las soluciones de continuidad de negocio de la organización son eficaces, actualizadas y

adecuadas para su propósito;
- los programas de ejercicio y mantenimiento de la organización se han aplicado eficazmente;
- las soluciones y procedimientos de continuidad de negocio incorporan las mejoras

identificadas durante los incidentes y ejercicios y en el programa de mantenimiento;
- la organización tiene un programa continuo de formación y toma de conciencia sobre la

- los procedimientos de continuidad de negocio se han comunicado eficazmente al personal

pertinente, y que éste personal comprenda sus roles y responsabilidades;
- Las disposiciones de continuidad de negocio que tienen los proveedores y socios para las
dependencias de las actividades priorizadas son apropiados y adecuados;
- la organización cumple suficientemente los requisitos legales y reglamentarios aplicables y

las mejores prácticas de la industria, y se ajusta a la política y los objetivos de continuidad de
negocio;
- los procesos de control de cambios están en marcha y funcionan eficazmente.
8.6.2 Medición de la eficacia
La medición de la eficacia de los planes, procedimientos y capacidades de continuidad de negocio

debería incluir los acuerdos de continuidad de negocio para las actividades subcontratadas y la
continuidad de negocio de los proveedores y asociados de los que dependen las actividades
priorizadas.
Entre los ejemplos de métricas que pueden utilizarse para medir la eficacia figuran los siguientes:
- los datos de respaldo están suficientemente actualizados para reanudar las actividades y los
recursos dentro de los RTOs especificados;
- el alojamiento y el equipo necesarios están disponibles en otro(s) lugar(es) para permitir la

recuperación y la reanudación de las actividades;
- se han demostrado las competencias requeridas para reanudar las actividades priorizadas
dentro de los RTOs especificados;
- se han demostrado las competencias requeridas para responder y gestionar los incidentes.
62
Cuando la organización experimenta una interrupción, se debería realizar una revisión. Esto puede incluir:
- identificar la naturaleza y la causa de la interrupción;
- evaluar la idoneidad de la respuesta de la dirección;
- evaluar la efectividad de la organización en el cumplimiento de sus RTOs;
- evaluar la adecuación de los acuerdos de continuidad de negocio en la preparación de los

empleados para un incidente;
- identificar las mejoras que deberían hacerse en los acuerdos de continuidad de negocio;
- comparar los impactos reales con los considerados durante el análisis de impacto en el
negocio (véase el numeral 8.2.2);
- obtener retroalimentación de las partes interesadas y de los que han participado en la

respuesta.
8.6.3 Resultados
Entre los resultados indicativos de la eficacia de los planes, procedimientos y capacidades de

continuidad de negocio pueden figurar los siguientes:
- se habilita una capacidad de gestión de incidentes que proporciona una respuesta eficaz;
- la comprensión que la organización tiene de sí misma y de sus relaciones con otras

organizaciones, con los organismos reguladores o departamentos gubernamentales
pertinentes, con las autoridades locales y con los servicios de emergencia está debidamente
desarrollada, documentada y comprendida;
- el ejercicio regular asegura que el personal esté formado para responder eficazmente a una
interrupción;
- los requisitos de las partes interesadas son entendidos y pueden ser cumplidos;
- el personal recibe apoyo y comunicaciones adecuadas durante una interrupción;
- la reputación de la organización está protegida;
- una demostración de cumplimiento legal y reglamentario;
- los controles financieros se mantienen durante un incidente;
- la organización puede demostrar un mayor nivel de resiliencia a sus clientes y otras partes
interesadas.
La información documentada relativa a todas las evaluaciones y sus resultados debería mantenerse
como evidencia.
63
9. EVALUACIÓN DEL DESEMPEÑO
9.1 Seguimiento, medición, análisis y evaluación
9.1.1 Generalidades
Los procedimientos para el seguimiento, la medición, el análisis y la evaluación del desempeño y la

eficacia del BCMS deberían incluir:
a) determinar los métodos para el seguimiento, el análisis de las mediciones y la evaluación,

incluyendo:
1) especificar a lo que se debería hacer seguimiento y medición;
2) identificar cómo, cuándo y quién debería realizar el seguimiento y la medición;
3) establecer métricas de desempeño, entre ellas medidas cualitativas y cuantitativas

que sean apropiadas para la organización y asegurar resultados válidos;
4) registrar los datos y resultados para facilitar el posterior análisis de las acciones
correctivas;
b) examinar las pruebas históricas;
c) Hacer seguimiento a el grado de cumplimiento de la política y los objetivos de continuidad de

negocio de la empresa;
d) medir el cumplimiento del BCMS con los requisitos legales y reglamentarios aplicables;
e) hacer seguimiento a la no conformidad y otras evidencias de un desempeño deficiente del

SGC.
9.1.2 Retención de evidencia
La organización debería conservar la información documentada apropiada de todas las evaluaciones

periódicas y sus resultados.
9.1.3 Evaluación del desempeño
La organización debería utilizar indicadores de desempeño para evaluar el desempeño y la eficacia

del BCMS y sus resultados, a fin de determinar los éxitos y las áreas que requieren corrección o
mejora. Los datos obtenidos pueden utilizarse para identificar patrones y permitir a la organización
obtener información con el desempeño del BCMS.
9.2 Auditoría interna
9.2.1 Generalidades
La organización debería realizar auditorías internas a intervalos planificados para evaluar el

desempeño del BCMS.
64
Las auditorías internas del BCMS proporcionan un mecanismo para medir el grado en que el BCMS
está logrando sus objetivos, es conforme con las disposiciones previstas y se ha implementado y
mantenido adecuadamente, y para identificar las oportunidades de mejora. Deberían realizarse
auditorías internas del BCMS a intervalos planificados para determinar y proporcionar información
al personal de la alta dirección sobre la idoneidad y eficacia del BCMS, así como para proporcionar
las bases para establecer objetivos de mejora continua del desempeño del BCMS.
9.2.2 Programa(s) de auditoría
La organización debería establecer un programa de auditoría (véase la norma ISO 19011) para dirigir
la planificación y realización de las auditorías, e identificar las auditorías necesarias para cumplir los
objetivos del programa. El programa debería basarse en la naturaleza de las actividades de la
organización, en lo que respecta a la evaluación de los riesgos y el análisis de impacto, los resultados
de las auditorías anteriores y otros factores pertinentes.
Los programas de auditoría interna deberían basarse en todo el alcance del BCMS, sin embargo, no es
necesario que cada auditoría abarque todo el sistema de una sola vez. Las auditorías pueden dividirse
en partes más pequeñas, siempre que el programa de auditoría asegure que todas las unidades
organizativas, funciones, actividades, elementos del sistema y todo el alcance del BCMS sean auditados
en el programa de auditoría dentro del período de auditoría designado por la organización.
Los resultados de una auditoría interna del BCMS pueden proporcionarse en forma de informe y
utilizarse para corregir o prevenir determinadas no conformidades y para proporcionar insumos a la
realización de la revisión por la dirección.
Las auditorías internas del BCMS pueden ser realizadas por personal de la organización o por
personas externas seleccionadas por la organización, que trabajen en su nombre. En cualquier caso,
las personas que realicen la auditoría deberían ser competentes y capaces de hacerlo de manera
imparcial y objetiva. En las organizaciones más pequeñas, la independencia de los auditores puede
demostrarse mediante la liberación de la responsabilidad de la actividad que se está auditando.
9.3 Revisión por la dirección
9.3.1 Generalidades
La alta dirección debería revisar el BCMS de la organización, a intervalos planificados, para asegurar
su continua idoneidad, adecuación y eficacia, incluido el desempeño eficaz de sus procedimientos y
capacidades de continuidad.
9.3.2 Entradas de la Revisión por la dirección
La revisión por la dirección debería incluir la evaluación de:
- el estado de las acciones de revisiones anteriores;
- el desempeño del sistema de gestión, incluidas las tendencias que se desprenden de las no
conformidades y las acciones correctivas, los resultados del seguimiento y la medición, y los
hallazgos de las auditorías;
- los cambios en la cadena de suministro y la eficacia de los acuerdos de continuidad de la

cadena de suministro;
65
- otros cambios en la organización y su contexto (véase el numeral 4.1) y la retroalimentación

de las partes interesadas (véase el numeral 4.2) que podrían impactar al sistema de gestión;
- oportunidades de mejora continua.
La revisión por la dirección ofrece a la alta dirección la oportunidad de evaluar la idoneidad, la

adecuación y la eficacia permanentes del sistema de gestión. La revisión por la dirección debería
cubrir el alcance del BCMS y cualquier exclusión (véase el numeral 4.3), aunque no es necesario
revisar todos los elementos a la vez y el proceso de revisión puede tener lugar a lo largo de un
período de tiempo.
La revisión de la implementación y los resultados del BCMS por parte de la alta dirección debería
programarse y evaluarse periódicamente. Si bien es aconsejable revisión continua del sistema, la
revisión formal debería estructurarse y documentarse adecuadamente y programarse sobre una
base apropiada. Las personas las involucradas en la implementación del BCMS y en la asignación
de sus recursos deberían participar en la revisión por la dirección.
Además de las revisiones programadas del sistema de gestión, los siguientes factores pueden
desencadenar una revisión y, por lo tanto, deberían examinarse una vez que se haya programado
la revisión:
a) Tendencias del sector/industria: Las principales iniciativas de los sectores/industrias

deberían iniciar una revisión del BCMS. Las tendencias generales y las mejores prácticas en
el sector/industria y en las técnicas de planificación de la continuidad de negocio /operacional
pueden utilizarse con fines de referencia.
b) Requisitos reglamentarios: Los nuevos requisitos reglamentarios pueden requerir una

revisión del BCMS.
c) Experiencia del incidente: Se debería realizar una revisión después de la respuesta a una
interrupción, aunque el procedimiento de respuesta no se haya activado. Si se activa, la
revisión debería considerar la historia del procedimiento de respuesta, cómo funcionó y por
qué se activó. Si no se activó el procedimiento de respuesta, la revisión debería examinar
por qué no lo fue y si fue la decisión correcta. También puede ser beneficioso revisar las
interrupciones que afectan a otras organizaciones del mismo sector y a industrias similares.
9.3.3 Salidas de la revisión por la dirección
9.3.3.1 Mejora del BCMS
Una revisión por la dirección debería resultar en mejoras en la eficiencia, el desempeño y la eficacia
del BCMS y puede dar lugar a los siguientes cambios:
- variaciones en el alcance;
- actualizaciones de las estrategias y soluciones de continuidad de negocio;
- cambios en los controles y cómo se mide su eficacia.
66
9.3.3.2 Conservación de información documentada
La organización debería conservar la información documentada como evidencia de los resultados

de la revisión por la dirección y debería:
- comunicar los resultados de la revisión por la dirección a las partes interesadas pertinentes;
- tomar las acciones adecuadas en relación con estos resultados.
10. MEJORA
10.1 No conformidad y acción correctiva
10.1.1 Generalidades
La organización debería determinar las oportunidades de mejorar el BCMS e implementar las

acciones necesarias para lograr sus resultados previstos.
10.1.2 Ocurrencia de la no conformidad
La organización debería identificar las no conformidades, y tomar acciones para controlarlas,

contenerlas y corregirlas, enfrentar sus consecuencias y evaluar la necesidad de acciones para
eliminar sus causas.
La organización debería establecer procedimientos eficaces para asegurar la identificación de:
- el incumplimiento de un requisito;
- un enfoque de planificación ineficaz;
- debilidades asociadas con el BCMS.
Una vez identificadas, se debería actuar de manera oportuna para evitar que la situación se repita,
así como para identificar y abordar las causas raíz. Los procedimientos deberían permitir la
detección, el análisis y la eliminación permanentes de las causas reales y potenciales de las no
conformidades.
Las no conformidades deberían identificarse y tratarse de manera oportuna, así como las acciones
correctivas para abordarlas. Las acciones correctivas pueden tener su origen en una declaración de
no conformidad bien definida que exponga claramente el problema y sea comprendida.
Cuando se identifique alguna no conformidad, deberá realizarse una investigación sobre su causa
raíz y elaborarse un plan de acción correctiva para abordar inmediatamente el problema. El plan de
acción debería estar diseñado para mitigar cualquier consecuencia e identificar los cambios que
deberían hacerse para corregir la situación, restablecer las operaciones normales y eliminar la(s)
causa(s) a fin de evitar que el problema se repita. La naturaleza y el momento de las acciones
deberían ser adecuados a la escala y la naturaleza de la no conformidad y sus consecuencias
potenciales.
67
La organización debería mejorar el desempeño y la eficacia del BCMS, incluso cuando no haya
evidencia de falta de no conformidad. Las mejoras pueden incluir la corrección, la acción correctiva,
la innovación y la reorganización
El establecimiento de procedimientos para abordar las no conformidades reales y potenciales y para

tomar acciones correctivas de manera continua contribuye a asegurar la confiabilidad y la eficacia
del BCMS. Los procedimientos deberían definir las responsabilidades, la autoridad y los pasos que
deberían adoptarse en la planificación y ejecución de las acciones correctivas. La alta dirección
debería asegurarse de que se implementen las acciones correctivas y de que haya un seguimiento
sistemático para evaluar su eficacia.
10.1.3 Conservación de información documentada
La organización debería conservar la información documentada como evidencia de la:
- la naturaleza de las no conformidades y las acciones subsecuentes, si las hubiera, tomadas;
- los resultados de las acciones correctivas, si las hubiera, tomadas.
10.2 Mejora continua
La mejora continua, en términos de idoneidad, adecuación y eficacia del BCMS, opera a todos los
niveles dentro del ciclo PHVA y debería estar impulsado por la política y los objetivos de continuidad
de negocio, los resultados de las auditorías, el análisis de las interrupciones, el re, las ambiciones y
el nivel de madurez deseado.
La mejora continua requiere un proceso que identifique las oportunidades y un proceso para
gestionarlas. El proceso de mejora continua debería seguir el mismo proceso básico que se utiliza
para las acciones correctivas y debería incluir lo siguiente:
- identificar lo que hay que abordar y la condición actual (margen de mejora);
- identificar el proceso y los controles actuales;
- determinar qué cambios implementar (mejora).
Las acciones correctivas abordan las deficiencias del BCMS y aseguran que funcione según lo
previsto, mientras que la mejora continua lleva al BCMS a un nivel más alto de eficiencia y eficacia.
La organización puede lograr mejoras mediante la aplicación efectiva de los procesos del BCMS,
como el liderazgo (véase el numeral 5), la planificación (véase el numeral 6) y la evaluación del
desempeño (véase el numeral 9). La alta dirección también debería considerar las oportunidades de
mejora en el BCMS, que pueden provenir de los cambios en:
- el contexto de la organización (por ejemplo, el fracaso de un competidor);
- la estructura interna de la organización (por ejemplo, la adquisición de emplazamientos o

personal adicional);
- los medios de producción o de entrega (por ejemplo, el cambio tecnológico, las mejoras de
la infraestructura);
68
- la evolución de las metodologías o la disponibilidad de nuevos métodos de recuperación (por

ejemplo, nuevas instalaciones de reserva o tecnología de redes);
- tecnología y prácticas, incluido nuevas herramientas y técnicas.
Éstos deberían ser evaluados para establecer su posible beneficio para la organización.
69
BIBLIOGRAFÍA
[1] ISO 19011, Guidelines for Auditing Management Systems.
[2] ISO/IEC 20000 (All Parts), Information Technology. Service Management.
[3] ISO/TS 22317, Societal Security. Business Continuity Management Systems. Guidelines for
Business Impact Analysis (BIA).
[4] ISO/TS 22318, Societal Security. Business Continuity Management Systems. Guidelines for
Supply Chain Continuity.
[5] ISO/TS 22330, Security and Resilience. Business Continuity Management Systems.
Guidelines for People Aspects of Business Continuity.
[6] ISO/TS 22331, Security and Resilience. Business Continuity Management Systems.
Guidelines for Business Continuity Strategy.
[7] ISO 22398, Societal Security. Guidelines for Exercises.
[8] ISO/IEC 27002, Information Technology. Security Techniques. Code of Practice for
Information Security Controls.
[9] ISO/IEC 27031, Information Technology. Security Techniques. Guidelines for Information and
Communication Technology Readiness for Business Continuity.
[10] ISO 31000, Risk Management. Guidelines
70
DOCUMENTO DE REFERENCIA
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Security and Resilience. Business

Continuity Management Systems. Guidance on the Use of ISO 22301. ISO, 2020, 55 p. (ISO
22313:2020)
71

Ntc-Iso22301 2019 de 0322 2020

Cargado por

Copyright:

Formatos disponibles

Ntc-Iso22301 2019 de 0322 2020

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ntc-Iso22301 2019 de 0322 2020

Cargado por

Copyright:

Formatos disponibles

Bogotá, 2020-07-18

El presente documento ha sido preparado por el comité técnico de normalización de ICONTEC,

NOTA 1 Este documento corresponde a: (elegir una de las siguientes opciones):

- Una adopción idéntica de la norma _________________________________

- Un documento elaborado a partir de información proporcionada por el comité.

- Una adopción modificada de la norma ________________________________. Los cambios con respecto al

(incluir esta nota solo cuando sea aplicable):

ES-P-NN-03-F-002 página 1 de 1 Versión 02

E: Security and resilience. Business continuity management

El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo nacional de

La representación de todos los sectores involucrados en el proceso de Normalización Técnica está

La END XXX fue ratificada por el Consejo Directivo de 2020-06-10.

1. OBJETO Y CAMPO DE APLICACIÓN ............................................................................... 1

2. REFERENCIAS NORMATIVAS .......................................................................................... 1

3. TÉRMINOS Y DEFINICIONES ............................................................................................ 2

4. CONTEXTO DE LA ORGANIZACIÓN ................................................................................ 2

4.1 Comprensión de la organización y su contexto .............................................................. 2

4.2 Comprensión de las necesidades y expectativas de las partes interesadas ................ 3

4.4 Sistema de gestión de continuidad de negocio .............................................................. 6

5.1 Liderazgo y compromiso .................................................................................................. 7

5.2 Política ............................................................................................................................... 8

5.3 Roles, responsabilidades y autoridades ......................................................................... 9

6.1 Acciones para abordar riesgos y oportunidades .......................................................... 11

6.2 Objetivos para la continuidad de negocio y planificación para lograrlos ................... 12

6.3 Planificación de los cambios en el sistema

7.1 Recursos .......................................................................................................................... 13

7.2 Competencias .................................................................................................................. 14

7.3 Toma de conciencia ........................................................................................................ 16

7.5 Información documentada .............................................................................................. 18

8.1 Planificación y control operacional ............................................................................... 22

8.2 Análisis de impacto en el negocio y evaluación de riesgos......................................... 24

8.3 Estrategias y soluciones de continuidad de negocio ................................................... 31

8.5 Programa de ejercicios ................................................................................................... 56

8.6 Evaluación de la documentación y

9. EVALUACIÓN DEL DESEMPEÑO ................................................................................... 64

9.1 Seguimiento, medición, análisis y evaluación .............................................................. 64

9.2 Auditoría interna .............................................................................................................. 64

9.3 Revisión por la dirección ................................................................................................ 65

10. MEJORA ........................................................................................................................... 67

10.1 No conformidad y acción correctiva .............................................................................. 67

10.2 Mejora continua ............................................................................................................... 68

DOCUMENTO DE REFERENCIA ................................................................................................ 71

Figura 1. Ciclo PHVA aplicado a los procesos del BCMS ........................................................... v

Figura 2. Ilustración de la continuidad de negocio

Figura 3. Ilustración de la continuidad de negocio siendo efectiva para

Figura 4. Ejemplos de partes interesadas en los sectores público y privado ........................... 4

Figura 5. Elementos de la gestión de continuidad de negocio................................................. 23

Figura 6. Cómo entender la organización .................................................................................. 26

Tabla 1. Explicación del ciclo PHVA ............................................................................................ iv

Tabla 2. La relación entre el ciclo PHVA y los Numerales 4 al 10 .............................................. v

Tabla 3. Ejemplos de roles y responsabilidades del BCMS ...................................................... 10

Tabla 4. Ejemplos del tipo de impacto ....................................................................................... 27

Tabla 5. Ejemplos de equipos y posibles roles y responsabilidades ...................................... 48

Tabla 6. Ejemplos de descripciones de métodos de ejercicio.................................................. 60

La intención de esta orientación es explicar y aclarar el significado y el propósito de los requisitos de

- Establecimiento de una política y objetivos de continuidad de negocio que se ajusten a los

- Ejecución y mantenimiento de procesos, capacidades y estructuras de respuesta para

- Seguimiento y revisión del desempeño y la eficacia del BCMS;

- Mejora continua basada en la medición cualitativa y cuantitativa.