PROFESOR PATROCINANTE: OSCAR GUEVARA ARIAS

ESCUELA DE INGENIERA CIVIL INDUSTRIAL

Modelo Integral para la implementacin de un Plan de Continuidad

de Negocio en Chile

Trabajo de Titulacin
para optar
al ttulo de Ingeniero Civil Industrial

VCTOR ALEJANDRO SEZ VARGAS

PUERTO MONTT CHILE

ii
RESUMEN
La progresiva competencia entre las organizaciones empresariales, las demandas cada vez ms
exigentes de clientes y las partes interesadas (stakeholders), o las obligaciones regulatorias cada vez
ms restrictivas, son factores que hoy en da comprometen a las empresas a demostrar la firmeza que
deben tener las actividades del negocio, para permanecer activas ante cualquier contingencia grave. Son
mltiples las organizaciones que, independientemente de su tamao, fracasan o incluso desaparecen por
la falta de procesos, mecanismos y tcnicas que mitiguen los riesgos a los que estn expuestos y
garanticen una alta disponibilidad en las operaciones de su negocio. Es por esto que se hace imperante
para las empresas la realizacin de un Plan de Continuidad de Negocio (Business Continuity Plan, BCP
siglas en ingls), el cual consiste en un proceso de direccin que identifica los impactos potenciales que
amenazan a la organizacin y proporciona el marco adecuado para desarrollar la capacidad de dar una
respuesta efectiva, que permita proteger los intereses, imagen y valor de las actividades realizadas por la
misma.
Uno de los principales inconvenientes o barreras a las que se enfrenta una organizacin cuando decide
abordar cualquier tipo de iniciativa relacionada con la continuidad de negocio es la falta de conocimiento,
la falta de instrucciones claras y concisas que detallen por dnde empezar y qu aspectos se deben tener
en cuenta para garantizar el xito. Es por esto, que este trabajo de grado tiene por objetivo crear una
propuesta metodolgica para la implementacin de un Plan de Continuad de Negocio adaptada a la
cultura organizacional de las empresas chilenas y la cual pretende satisfacer los siguientes interrogantes:

Cmo y cules son los pasos a seguir para realizar la implementacin de un BCP en Chile?

Cmo mantener y actualizar el BCP?

Para poder lograrlo, ser necesario contar con el apoyo de un estudio detallado sobre Administracin y la
influencia de la cultura en los proyectos empresariales, adems de estudiar las metodologas utilizadas a
nivel mundial en la actualidad y los estndares referentes a continuidad de Negocio, identificando los
puntos ms fuertes de cada uno y reforzando o modificando algunos de estos para obtener una mejor
adaptabilidad.
Adems este trabajo de grado, pretende sembrar la inquietud de que hay algo pendiente por hacer y que
puede ser absolutamente vital para la organizacin; ms an, que puede hacer que su carencia haga
peligrar la supervivencia de la misma, para que se comience cuanto antes a elaborar el Plan de
Continuidad de Negocio, ya que son muchas las tareas que se deben realizar.
Las principales partes que comprende el trabajo de grado son los siguientes:
En el captulo

2.1: se contextualiza y se estudia el significado y la importancia de los Planes de

continuidad de negocio, adems de analizar la situacin que vive chile con respecto a este tema.

iii
En el captulo 2.2: se presenta un anlisis de la cultura organizacional, con las caractersticas que la
integran y la manera en que esta influye en los proyectos empresariales. El captulo tambin abarca los
temas que deben ser entendidos para llevar a cabo una efectiva implementacin del Plan de continuidad
de negocio.
En los captulos 2.3 y 2.4: se analizan los estndares, metodologas y guas para implementar el BCP
ms utilizadas a nivel mundial, cada uno de los documentos son analizados y comparados, con la
finalidad de identificar sus fortalezas que podran formar parte del modelo que propone el presente
trabajo de grado.
En el captulo 3: se explican los procedimientos que se aplicarn para alcanzar los objetivos del trabajo
de grado, es decir corresponde al planteamiento de una serie de actividades sucesivas y organizadas, en
las cuales se indican los pasos y las tcnicas a utilizar para recolectar y analizar la informacin.
El captulo 4: es la propuesta del trabajo de grado, acerca de un modelo para implementar un Plan de
Continuidad de Negocio en Chile, obtenida sobre un anlisis de conceptos tericos, mejores prcticas a
nivel mundial, metodologas y estndares internacionales.
Finalmente es importante mencionar que la validacin de este trabajo de grado es terica, ya que no es
posible esperar implementar esta metodologa y ver los resultados. Ms adelante se busca que ste sirva
para llevar a cabo una implementacin de un Plan de Continuidad de Negocio en Chile, con la finalidad
de validar sus resultados.

iv
NDICE DE CONTENIDOS

Pgina

1.ANTECEDENTES GENERALES

1.1

INTRODUCCIN

1.2

PLANTEAMIENTO DEL PROBLEMA

1.3

OBJETIVOS

1.3.1

OBJETIVO GENERAL

1.3.2

OBJETIVOS ESPECFICOS

2.MARCO TERICO

2.1

PLAN DE CONTINUIDAD DE NEGOCIO (BCP)

2.1.1

DEFINICIN DE BCP

2.1.2

EVOLUCIN DEL PLAN DE CONTINUIDAD DE NEGOCIO

2.1.3

BENEFICIOS DEL BCP Y COMO SE RELACIONA CON LA COMPETITIVIDAD EN LAS ORGANIZACIONES

2.1.4

BCP EN EL MUNDO

2.1.5

BCP EN CHILE

2.1.6

EMPRESAS QUE HAN IMPLEMENTADO UN BCP

2.2

ADMINISTRACIN E INFLUENCIA DE LA CULTURA EN LOS PROYECTOS EMPRESARIALES

12
14

2.2.1

ADMINISTRACIN DE PROYECTOS.

14

2.2.2

ADMINISTRACIN DE RIESGOS

16

2.2.3

COMPORTAMIENTO ORGANIZACIONAL

19

2.2.4

CULTURA ORGANIZACIONAL

20

2.2.5

CULTURA ORGANIZACIONAL CHILENA

20

2.2.6

LIDERAZGO

23

2.3

METODOLOGAS Y ESTNDARES PARA LA ELABORACIN DE UN PLAN DE CONTINUIDAD DE NEGOCIO

25

2.3.1

BS 25999

26

2.3.2

BS 25777

28

2.3.3

ITIL

29

2.3.4

NFPA 1600

30

2.3.5

ISO 27002

32

2.3.6

ISO 22301

34

2.4

BUENAS PRCTICAS PARA LA ELABORACIN DE UN PLAN DE CONTINUIDAD DE NEGOCIO

36

2.4.1

GUA DE BUENAS PRCTICAS (GPG)

36

2.4.2

CENTRO DE OPERACIONES DE EMERGENCIA (EOC)

39

2.4.3

PRCTICAS GENERALMENTE ACEPTADAS (GAP)

40

2.5 PROPUESTA DE ANLISIS FINANCIERO DE ORACLE

41

3.DISEO METODOLGICO

44

3.1

TIPO DE INVESTIGACIN

44

3.2

MTODOS Y TCNICAS DE INVESTIGACIN

44

3.3

METODOLOGA PARA LA ELABORACIN DEL MODELO INTEGRAL DE BCP

44

3.3.1

ANLISIS DE LA SITUACIN ACTUAL REFERENTE A MODELOS UTILIZADOS A NIVEL MUNDIAL.

46

3.3.2

PLANIFICACIN Y POLTICA DE CONTINUIDAD DE NEGOCIO.

46

3.3.3

COMPRENSIN DE LA ORGANIZACIN Y ANLISIS DE RIESGOS

47

3.3.4

MEDIDAS PREVENTIVAS

48

3.3.5

ESTRATEGIAS DE RECUPERACIN

48

3.3.6

DEFINICIN DE RESPONSABILIDADES Y DESARROLLO DE LOS PLANES DE CONTINGENCIA.

48

3.3.7

PRUEBAS, REVISIN Y MANTENIMIENTO DEL BCP

49

3.3.8

ANLISIS DE LA CULTURA ORGANIZACIONAL CHILENA Y LA INCORPORACIN DE LA CULTURA DE BCP A STA.

49

4.RESULTADOS Y ANLISIS

50

4.1

ANLISIS DE LA SITUACIN ACTUAL REFERENTE A MODELOS UTILIZADOS A NIVEL MUNDIAL.

50

4.2

ACTIVIDADES NECESARIAS PARA DISEAR, IMPLEMENTAR Y MANTENER UN PLAN DE CONTINUIDAD DE NEGOCIO

(BCP) EN CHILE.

52

4.2.1

PLANIFICACIN Y POLTICA DE CONTINUIDAD DE NEGOCIOS

52

4.2.2

COMPRENSIN DE LA ORGANIZACIN Y ANLISIS DE RIESGOS

55

4.2.3

MEDIDAS PREVENTIVAS

63

4.2.4

ESTRATEGIAS DE RECUPERACIN

65

4.2.5

DEFINICIN DE RESPONSABILIDADES Y DESARROLLO DE LOS PLANES DE CONTINGENCIA

69

4.2.6

PRUEBAS, REVISIN Y MANTENIMIENTO DEL BCP

71

4.3

ANLISIS DE LA CULTURA ORGANIZACIONAL CHILENA Y LA INCORPORACIN DE LA CULTURA DE BCP A STA.

74

4.4

PROPUESTA METODOLGICA PARA LA IMPLEMENTACIN DE UN PLAN DE CONTINUAD DE NEGOCIO EN CHILE.

76

vi

4.5

ANLISIS DE RESULTADOS

77

4.5.1

ACERCA DEL OBJETIVO GENERAL DE LA INVESTIGACIN

77

4.5.2

ACERCA DE LOS OBJETIVOS ESPECFICOS DE LA INVESTIGACIN

77

CONCLUSIONES Y RECOMENDACIONES

78

BIBLIOGRAFA

80

LINKOGRAFA

83

ANEXOS

86

vii
NDICE DE TABLAS

Pgina

Tabla N 2.1: Nmero de Quiebras Publicadas en el perodo 01/01/2005 al 31/12/2012 ........................ .9

Tabla N 2.2: Dotacin de trabajadores en declaratoria de quiebra del 01/01/2005 al 31/12/2012 ......... 10
Tabla N 2.3: Matriz de correlacin para determinar los grados de riesgos o niveles de impacto.18
Tabla N 2.4: Datos Generales de las metodologas de BCP .................................................................. 25
Tabla N 2.5: Cuadro comparativo de la Gestin de Riesgos v/s Gestin de Continuidad de Negocio ... 36
Tabla N 2.6: Componentes de la Gua de buenas prcticas .................................................................. 37
Tabla N 3.1: Marco metodolgico para el desarrollo del modelo ............................................................ 44
Tabla N 4.1: Comparacin de los elementos utilizados por cada metodologa ...................................... 49
Tabla N 4.2: Ventajas y desventajas de los estndares, metodologas y buenas prcticas ................... 50
Tabla N 4.3: Registros de las actividades .............................................................................................. 58
Tabla N 4.4: Categorizacin de los Riesgos........................................................................................... 69
Tabla N 4.5: Anlisis de Riesgos............................................................................................................ 60
Tabla N 4.6: Descripcin de los Campos ............................................................................................... 60
Tabla N 4.7: Ejemplos de medidas preventivas ..................................................................................... 63
Tabla N 4.8: Ejemplos de estrategias de recuperacin .......................................................................... 64

viii
NDICE DE FIGURAS

Pgina

Figura N 2.1: Ciclo de vida del Plan de Continuidad de Negocio ........................................................... 26

Figura N 2.2: Gestin y Anlisis de Riesgos .......................................................................................... 30
Figura N 3.1: Metodologa para la elaboracin de un Modelo Integral de BCP45
Figura N 4.1: Mapa para anlisis de riesgos y categoras para evaluar................................................. 59
Figura N 4.2: Ejemplo de visualizacin de riesgos en la Organizacin .................................................. 61
Figura N 4.3: Relacin de la cultura organizacional chilena con el Plan de Continuidad de Negocio 74
Figura N 4.4: Resumen del Modelo propuesto para el BCP .................................................................. 75

ix
NDICE DE FRMULAS

Pgina

Frmula 2.1: El Riesgo de acuerdo a su magnitud y frecuencia ............................................................. 18

Frmula 2.2: Costo de prdida de productividad (P). .............................................................................. 42
Frmula 2.3: Valor de prdida por ventas (S) ......................................................................................... 42
Frmula 2.4: Costo de Recuperacin de Servicio (R). ............................................................................ 43
Frmula 2.5: Costo Estimado de Downtime (T) ...................................................................................... 43
Frmula 4.1: Costo de prdida de productividad (P). .............................................................................. 57
Frmula 4.2: Valor de prdida por ventas (S) ......................................................................................... 57
Frmula 4.3: Costo de Recuperacin de Servicio (R). ............................................................................ 57
Frmula 4.4: Costo Estimado de Downtime (T) ...................................................................................... 57

x
NDICE DE ANEXOS
Anexo A: Ejemplo de registro de las actividades crticas.
Anexo B: Ejemplo de Plan de Contingencia Operacional para una actividad crtica.
Anexo C: Ejemplo de un Plan de Pruebas.
Anexo D: Ejemplo de un Plan de Comunicacin interna.

1.

ANTECEDENTES GENERALES

1.1

Introduccin

La progresiva competencia entre las organizaciones empresariales, las demandas cada vez ms
exigentes de clientes y las partes interesadas (stakeholders), o las obligaciones regulatorias cada vez
ms restrictivas, son factores que hoy en da comprometen a las empresas a demostrar la firmeza que
deben tener las actividades del negocio, para permanecer activas ante cualquier contingencia grave.
En una poca de crisis como la que se vive en estos momentos, es necesario desarrollar ventajas
competitivas que permitan satisfacer las exigencias del mercado. Una de ellas es garantizar la
disponibilidad de los servicios a los clientes, an despus de ocurrir un incidente.
Un estudio realizado por el Emergency Management Forum en Estados Unidos dice lo siguiente (ITEAM,
2013):
De cada 100 empresas que afrontan un desastre sin contar con un Plan de Continuidad del Negocio, el
43 por ciento nunca reabren, el 51 por ciento sobrevive pero estn fuera del mercado en dos aos y slo
el 6 por ciento logra sobrevivir a largo plazo.
Una vez ocurrido algn incidente en la empresa, trae como consecuencia problemas financieros, adems
de daos intangibles como disminucin de la productividad, estrs, recursos desviados, y todo ello
genera una mala imagen de la empresa. En el entorno de la mala reputacin de la empresa, el nombre
de los ejecutivos responsables es lo que se pone en juego. No hay que olvidar que las empresas que
sufren este tipo de incidentes son la noticia al da siguiente, la prensa es la responsable de sealar con
nombres y apellidos a los responsables. Adems, por si fuera poco, los directores corporativos pueden
ser demandados por las consecuencias de interrupcin del negocio.
El Plan de Continuidad de Negocio (BCP, siglas en ingls) es un proceso de direccin que identifica los
impactos potenciales que amenazan a la organizacin y proporciona el marco adecuado para desarrollar
la capacidad de dar una respuesta efectiva, que permita proteger los intereses, imagen y valor de las
actividades realizadas por la misma.
El BCP tiene como objetivo garantizar una respuesta frente a incidentes que pueden poner en riesgo la
operacin de la organizacin, brindar seguridad a los empleados, proteger activos de la organizacin
como procesos y tecnologa, minimizar el tiempo de interrupcin y asegurar la buena reputacin de la
organizacin.
Pero el problema que se presenta en Chile, es que muchas de las empresas an no cuentan con un plan
adecuado, que asegure la continuidad operativa de su negocio ante eventuales desastres que afecten
sus procesos e infraestructura tecnolgica.

Por todo lo anterior el presente trabajo de grado, tiene por objetivo proponer una metodologa para
elaborar un Plan de Continuidad de Negocio en Chile.
Para llevar a cabo este trabajo, se analizaron y se evaluaron las caractersticas principales de la cultura
organizacional chilena con el fin de identificar y aprovechar aquellas positivas y tratar de evitar las
negativas, se analizaron tambin las metodologas utilizadas a nivel mundial en la actualidad para
implementar un BCP, con el objetivo de extraer lo mejor de cada una.
Adems la metodologa de este trabajo de grado comprendi un anlisis terico sobre: administracin de
proyectos, administracin de riesgos, comportamiento organizacional, cultura corporativa, y liderazgo, ya
que estos apoyan de forma directa los proyectos empresariales, ligados a la influencia que tiene la cultura
en la administracin.
Las fuentes bibliogrficas de los estndares y guas utilizadas, corresponden a instituciones
internacionales enfocadas al estudio e implementacin del Plan de Continuidad de Negocio.

1.2

Planteamiento del Problema

El atentado terrorista de las Torres Gemelas en el 2001, el accidente nuclear ocurrido en la Central
nuclear Fukushima I en el 2011 y como no mencionar el terremoto que sufri Chile el 27 de febrero de
2010, en donde el 45 por ciento de las empresas present daos graves o medianos en la continuidad de
su negocio, segn indic el Centro de Estudios en Retail de la Universidad de Chile, deja en evidencia
una grave falencia en el mundo empresarial.
De acuerdo a los ejemplos mencionados anteriormente, la interrogante que se puede plantear es la
siguiente: qu hacer para garantizar la continuidad de las actividades de la organizacin tras impactos
de esta magnitud? La respuesta a esta interrogante existe: los Planes de Continuidad de Negocio,
conocidos como BCP (Business Continuity Plan). Mediante estos planes, las organizaciones identifican
su exposicin a las amenazas internas y externas, seleccionan los activos afectados (materiales e
inmateriales) y desarrollan una prevencin eficaz, estableciendo acciones contingentes para la rpida
recuperacin de la actividad de la organizacin.
Pero el problema que se presenta en Chile, es que muchas de las empresas an no cuentan, con un plan
adecuado que asegure la continuidad operativa de su negocio ante eventuales desastres que afecten sus
procesos e infraestructura tecnolgica.
En Chile muy pocas empresas, salvo el sector bancario, que est regulado, tiene ejecutivos designados
full time a abordar la continuidad operativa. A modo de ejemplo, recin en enero de 2009 el Banco
Central de Chile, publica bases de licitacin para contratacin del servicio orientado a la implementacin
de mejoras al Sistema de Gestin de Continuidad de Negocios (BANCO CENTRAL DE CHILE, 2013).
Del mismo modo, todava no existen en Chile compaas certificadas en continuidad de negocios, es
decir, ninguna organizacin a nivel local cumple con la norma ISO 22301; y a nivel de organismos
internacionales, en el pas prcticamente no se conocen las entidades dedicadas a regular la continuidad
operativa, como el DRI (Disaster Recovery Institute) en Estados Unidos; y el BCI (Business Continuity
Institute) en Inglaterra.
Un indicador demuestra los serios problemas que presenta Chile en Continuidad de Negocio es la gran
cantidad de quiebras observadas entre los aos 2005 2012 promediando aproximadamente 140
organizaciones quebradas anualmente (SQUIEBRAS, 2013).
En sntesis, debido a la historia y el presente de Chile, que evidencia serios problemas de continuidad de
negocios de las empresas y que a pesar de la complejidad de la geografa de Chile y la cantidad de
amenaza que afectan a las distintas actividades econmicas, no se encuentra literatura sobre el tema del
BCP y la modesta informacin encontrada, se refiere al tema, como una herramienta para los sistemas de
informacin, es por esto que surge la necesidad de que las empresas chilenas se pongan a trabajar en lo

que a continuidad de negocios se refiere cuanto antes, ya que en pases desarrollados de Europa es
prcticamente un estndar. Adems las metodologas de BCP existentes a nivel mundial actualmente,
son poco prescriptivas, carecen de contenidos claros y lineamientos especficos, poseen muy pocos
ejemplos que ilustren de mejor forma su comprensin y estn adaptadas principalmente a los pases
europeos y norteamericanos. Otro problema que se presenta en estas metodologas es que poseen
ciertas carencias, algunas no poseen un foque integral de todo el proceso, otras entregan poca o nula
informacin referente a sitios alternos, tecnologas de la informacin, medidas preventivas, etc.
Bajo este escenario se pretende crear una propuesta metodolgica para la implementacin de un Plan de
Continuad de Negocio en Chile, en el que se expone de forma clara y sencilla los aspectos a considerar y
las actividades a desarrollar por cualquier organizacin que desee estar preparada ante posibles
incidencias de seguridad que puedan paralizar la entrega de sus productos y/o servicios. el cual de
respuesta a tantos profesionales que ya sea por peticin de sus superiores o por iniciativa propia, se
plantean la elaboracin de un BCP y como a muchos les suele suceder no saben cmo empezar.
Con esto se busca contribuir la masificacin de los Planes de Continuidad de Negocios en Chile,
adquiriendo de entre sus mltiples beneficios potenciar la competitividad y lograr adems disminuir la
quiebra de empresas chilenas, lo que traera como consecuencia una disminucin en el desempleo y una
mejor estabilidad laboral.
En sntesis, lo que se pretende es dar respuesta a las siguientes interrogantes: Cmo y cules son los
pasos a seguir para realizar la implementacin de un Plan de Continuidad de Negocio (BCP) en Chile? y
Cmo mantener y actualizar el BCP?

1.3

Objetivos

1.3.1

Objetivo General

Crear una propuesta metodolgica para la implementacin de un Plan de Continuad de Negocio en Chile.
1.3.2

Objetivos Especficos
Analizar las metodologas existentes y estndares internacionales para la implementacin de un
Plan de Continuidad de Negocio y extraer sus principales fortalezas.

Identificar las actividades necesarias para disear, implementar y mantener un Plan de

Continuidad de Negocio (BCP) en Chile.

Analizar la cultura organizacional de las empresas chilenas, con el fin de detectar las
caractersticas ms importantes, para as aprovecharlas al momento de la implementacin y
gestin del BCP.

2.

MARCO TERICO

En este captulo se exponen conceptos y teoras que sern utilizadas posteriormente en el desarrollo de
la metodologa propuesta.
2.1

Plan de Continuidad de Negocio (BCP)

En los contenidos de este punto se realiz una investigacin de la evolucin del Plan Continuidad de
Negocio, su significado, la actualidad que vive el mundo y la actualidad de Chile con respecto al BCP,
adems de los beneficios que aporta a la organizacin el contar con un BCP y los problemas que se
pueden generar por no contar con un Plan de Continuidad de Negocio.
2.1.1

Definicin de BCP

Capacidad estratgica y tctica de la organizacin para planificar y responder ante los incidentes e
interrupciones del negocio con el fin de permitir la continuidad de las actividades comerciales en un nivel
aceptable previamente definido (BSI GROUP, 2007).
Una definicin ms completa de BCP es la realizada por ITEAM (2013), una empresa consultora
especializada en Planes de Continuidad de Negocio, Plan de Manejo de Crisis y Riesgo Empresarial.
Esta seala que el BCP es una metodologa interdisciplinaria, que se basa en procedimientos y medidas
de seguridad, utilizadas para crear y validar planes logsticos, para que en la prctica la empresa pueda
recuperar sus funciones crticas parcial o totalmente, despus de una interrupcin o desastre. Adems
consiste en los pasos que el personal de la empresa debe realizar, segn los manuales y procedimientos
del BCP, para hacer frente a situaciones y ambientes inesperadas, que pueden afectar la continuidad y el
normal funcionamiento del negocio. El BCP busca asegurar que los productos o servicios continen
siendo entregados, a los diferentes canales de distribucin durante una interrupcin no planeada. Un plan
de Continuidad de Negocio tiene como objetivo el sostenimiento de los servicios de la empresa y de los
procesos crticos, as como la disminucin de impactos ante eventos inesperados o desastres. El BCP
est orientado a la obtencin de un plan metodolgico, que garantice la cobertura tcnica y organizativa
de las reas crticas del negocio.
2.1.2

Evolucin del Plan de Continuidad de Negocio

El trmino Plan de Continuidad de Negocio o Business Continuity Plan (BCP por sus siglas en ingls),
cada vez expande ms su alcance. Esto se compara con trminos utilizados anteriormente que slo
estaban enfocados a reas especficas como Disaster Recovery y Contingency Planning que han pasado
a formar parte del BCP(BSI GROUP, 2007).
En el siglo pasado, en los setenta Norman L. Harris, Edward S. Devlin y Judith Robey, al tratar de
encontrar un mtodo de planificacin y gestin que evitara la continua atencin de los problemas de

forma aleatoria, dieron inicio a una actividad que llamaron Disaster Recovery Planning. Con esto se
aseguraba la planeacin de cmo reaccionar en caso de un desastre. Ms tarde, esa actividad fue
llamada Contingency Planning, trmino que result ser ms universal puesto que la Contingencia es algo
que puede suceder o no suceder o puede tambin denominarse riesgo (GASPAR, 2004).
En los inicios de la utilizacin de este enfoque de analizar las contingencias empresariales, cuando se
conoca como Disaster Recovery, la actividad estaba dirigida a reas de Tecnologas de informacin. Ms
adelante, cuando las tecnologas de la informacin comenzaron a formar parte de las reas de soporte de
las operaciones de toda la empresa, el Disaster Recovery expandi su alcance, llamndose ahora
Business Continuity Plan (BCP), traducido como Plan de Continuidad de Negocio y Business Continuity
Management (BCM), traducido como Gestin de la Continuidad de Negocio. En la actualidad el concepto
de continuidad de negocio es aplicado a toda la organizacin, es un concepto global, que incorpora a
toda la cadena logstica, es decir desde el cliente hasta el proveedor de insumos.
2.1.3

Beneficios del BCP y como se relaciona con la competitividad en las organizaciones

Los beneficios que se pueden alcanzar al tener implementado de forma correcta un Plan de Continuidad
de Negocio son:

Ventaja competitiva frente a otras organizaciones: el hecho de mostrar que se toman medidas
para garantizar la continuidad de negocio mejora la imagen pblica de la organizacin y
revaloriza la confianza frente a accionistas, inversores, clientes y proveedores.

Previene o minimiza las prdidas de la organizacin en caso de desastres: es capaz de

identificar de forma proactiva los posibles impactos e inconvenientes que una interrupcin de sus
actividades de negocio puede provocar.

Asegurar que las actividades del negocio soporten y se recuperen ante interrupciones:
aumentando la disponibilidad de los servicios dispuestos para el cliente.

Menor riesgo de sufrir sanciones econmicas: al adaptarse a requerimientos regulatorios.

Asignacin ms eficiente de las inversiones en materia de seguridad: gracias al anlisis de

riesgos (BIA), el cual permite priorizar las actividades crticas y fijar los esfuerzos y los
presupuestos en las reas ms necesitadas (GASPAR, 2004).

Dentro de las estrategias que la organizacin debe desarrollar para estar en un buen nivel de
competitividad en el mercado actual, se tienen las siguientes:

Maximizacin de capacidades: Como actividad del BCP est, que en cada rea se comparta el
conocimiento sobre las actividades que realiza cada trabajador, esto con la finalidad de que todo
el equipo conozca las tareas y en caso de que la empresa tenga que declarar un estado de

contingencia, se comunique con el personal identificado como personal clave, para continuar las
operaciones del negocio, pero adems se tenga una segunda y tercera alternativa (BASSI, 1999).

Mejora de procesos: Con el Anlisis de Impacto al Negocio (BIA por sus siglas en ingls) se
obtienen como resultado un informe sobre los procesos clave de la organizacin, los cules
deben ser prioridad, monitoreando que en todo momento se cuente con los recursos necesarios
para no detenerlos. Logrando as un incremento en la satisfaccin del cliente y mejora de la
calidad (BASSI, 1999).

Buena imagen corporativa: estar preparado para responder a cualquier interrupcin, teniendo
formas alternas de atender a los clientes, habla muy bien de cualquier organizacin. Los clientes
siempre van a preferir a un proveedor que tenga buena imagen en cuanto al nivel de servicio a
otra que tenga reputacin de que se caigan sus sistemas y no conteste cuando se necesiten
(BASSI, 1999).

Conocimiento del contexto dnde se desarrolla: Durante la planeacin de los procesos clave
de la empresa, se estudia el marco legal en cual se opera, empezando desde las multas que
ocasionara no entregar un informe a alguna institucin reguladora en el sector, o cuales podran
ser las situaciones en las que no se permitira hacer una prrroga para entregar la informacin
ms tarde. As, cuando acontezca una situacin contingente, tendremos conocimiento sobre lo
que se puede esperar, para poder atender de forma normal a los clientes, en lugar de
preocuparse por elaborar los reportes a las instituciones reguladoras (BASSI, 1999).

Capacidad de servicio en situacin de crisis: El personal de una organizacin que ha

planeado como actuar en una situacin emergente y ha tenido una capacitacin de qu hacer y
cmo hacerlo, tendr una mejor capacidad de trabajar bajo esa presin que otra organizacin
que no ha mencionado a sus empleados, el tipo de situaciones catastrficas que pueden suceder
en la organizacin. Aun sabiendo que los planes no se seguirn detalle a detalle cmo se han
planeado, pues en cada situacin es posible tener una variable que lleve consigo el cambio de
planes, el haber instruido al personal sobre estas situaciones sirve pues ellos tienen la idea de
que en cualquier momento la empresa puede estar en esta situacin. Ello lleva al desarrollo de la
habilidad para trabajar ante los cambios (BASSI, 1999).

Disponibilidad: Con la implantacin de un Plan de Continuidad de Negocio, la empresa se ve

obligada a estudiar la forma de tener en cualquier momento la disponibilidad de sus servicios
ante sus clientes. Para esto puede apoyarse con estrategias como redundancia de datos,
virtualizacin, implementar el trabajo desde casa de sus empleados con la finalidad de que en
cualquier momento puedan atender las solicitudes necesarias, etc. (BASSI, 1999).

Proteccin de la marca: Con la Continuidad de Negocio despus de ocurrido un incidente, se

mantiene la credibilidad de la empresa. Mediante la capacitacin y concientizacin al personal, se
logra que los empleados puedan ser conscientes de lo importante que es trabajar en equipo. Esto
trae como resultado dentro de la operacin diaria, un excelente clima laboral y aumento de la

productividad, en un escenario de contingencia, esto ayuda a facilitar la comunicacin entre el

personal, dando como resultado un excelente trabajo y continuidad al negocio (BASSI, 1999).
2.1.4

BCP en el Mundo

En una poca de crisis como la que se vive en estos momentos, es necesario desarrollar ventajas
competitivas que permitan satisfacer las exigencias del mercado. Una de ellas es garantizar la
disponibilidad de los servicios a los clientes, an despus de ocurrir un incidente.
Un estudio realizado por el Emergency Management Forum en Estados Unidos dice lo siguiente (ITEAM,
2013):
De cada 100 empresas que afrontan un desastre sin contar con un Plan de Continuidad del Negocio, el
43 por ciento nunca reabren, el 51 por ciento sobrevive pero estn fuera del mercado en dos aos y slo
el 6 por ciento logra sobrevivir a largo plazo.
Una vez ocurrido algn incidente en la empresa, trae como consecuencia problemas financieros, adems
de daos intangibles como disminucin de la productividad, estrs, recursos desviados, y todo ello
genera una mala imagen de la empresa. En el entorno de la mala reputacin de la empresa, el nombre
de los ejecutivos responsables es lo que se pone en juego. No hay que olvidar que las empresas que
sufren este tipo de incidentes son la noticia al da siguiente, la prensa es la responsable de sealar con
nombres y apellidos a los responsables. Adems, por si fuera poco, los directores corporativos pueden
ser demandados por las consecuencias de interrupcin del negocio.
A nivel mundial existen organizaciones especializadas en el apoyo a este tema. Dentro de las ms
sobresalientes estn (ITEAM, 2013):

A nivel de consultara: Deloitte, KPMG, Risk Mxico, Price Water House Coopers y AON.

A nivel de servicios de apoyo, como hardware, software, sitios alternos o centro de llamadas:
Sungard, IBM, EMC, Symantec, Veritas, CITRIX y CISCO.

A nivel de disciplina: Business Continuity Institute (BCI), Business Standar Institute (BSI),
Disaster Recovery Institute Internacional (DRII), ISO 27002, ITIL, ISO 22301 y NFPA.

Una encuesta realizada por Chartered Management Institute sobre manejo de continuidad de negocios
a 1257 gerentes de empresas del Reino Unido, arroja que slo en la mitad de sus empresas tiene un
BCP, esto a pesar que ms de un 94 por ciento de ellos estn de acuerdo con su importancia
(WOODMAN, 2007).

2.1.5

BCP en Chile

En Chile se est recin comenzando con este tema, muy pocas empresas, salvo el sector bancario, que
est regulado, tiene ejecutivos designados full time a abordar la continuidad operativa. A modo de
ejemplo, recin en enero de 2009 el Banco Central de Chile, publica bases de licitacin para
contratacin del servicio orientado a la implementacin de mejoras al Sistema de Gestin de Continuidad
de Negocios, Es relevante mencionar que el Banco usa como referencia el estndar internacional de
Continuidad de Negocios BS 25999-1 y que estn en proceso de actualizacin al estndar ISO 22301,
adoptado tambin por la Banca Comercial. Actualmente, el sistema de gestin de continuidad del Banco
Central administra 51 actividades calificadas como crticas, para las cuales se realizan alrededor de 60
pruebas peridicas en un ao. Los escenarios bajo los cuales se han definido planes alternativos incluyen
escenarios de desastres e indisponibilidad de instalaciones, falla de proveedores claves, accin maliciosa
y ausencia de personal crtico. El calendario de pruebas se planifica al inicio del ao y las fechas
especficas de cada prueba se definen de acuerdo a calendarios establecidos por las unidades
responsables de las actividades crticas. El calendario de pruebas, tambin incluye pruebas frente a la
indisponibilidad de instalaciones (oficinas habituales en las cuales el Banco desarrolla sus funciones),
motivo por el cual se traslada la operacin de los funcionarios crticos a un Sitio de Operacin Alternativo
(BANCO CENTRAL DE CHILE, 2013).
Adems, todava no existen compaas certificadas en continuidad de negocios, es decir, ninguna
organizacin a nivel local cumple con la norma ISO 22301; y a nivel de organismos internacionales, en el
pas prcticamente no se conocen las entidades dedicadas a regular la continuidad operativa, como el
DRI (Disaster Recovery Institute), en Estados Unidos; y el BCI (Business Continuity Institute), en
Inglaterra. Un indicador que se puede utilizar para ver la carencia de la continuidad de los negocios de las
empresas en Chile, es la cantidad de quiebras observadas entre los aos 2005 2012 y que son
presentadas a continuacin en la Tabla N 2.1 (SQUIEBRAS, 2013):
Tabla N 2.1: Nmero de Quiebras Publicadas en el perodo 01/01/2005 al 31/12/2012.

Fuente: Superintendencia de quiebras Chile, 2013.

En la siguiente Tabla N 2.2, se puede observar la cantidad de trabajadores existentes al momento de la

declaratoria de quiebra de la empresa.
Tabla N 2.2: Dotacin de trabajadores al momento de la declaratoria de quiebra del 01/01/2005 al 31/12/2012.

Fuente: Superintendencia de quiebras Chile, 2013.

*Nota: Los meses que figuran con 0 trabajadores, quiere decir que no haban trabajadores con contrato vigente al momento de la
incautacin y/o no se pudo determinar el nmero de stos.

Cabe destacar que todas estas quiebras declaradas son porque estas empresas no pudieron enfrentar
sus compromisos econmicos, las reales causas de las mismas son diversas, desde deficiente gestin,
prdidas de competitividad, siniestros, etc. Este simple anlisis seala que existen problemas de
continuidad de negocios en las empresas chilenas.
A continuacin se presentan algunos casos de catstrofes que han ocurrido en Industrias Chilenas, y
que de haber contado con un eficiente Plan de Continuidad de Negocio, sus impactos hubiesen sido
mucho menores:

Industria Salmonera: Desde julio de 2007, cuando se confirm el primer caso de anemia infecciosa
del salmn (conocida por su sigla en ingls ISA) en un vivero en la isla de Chilo, el sector ha estado
en problemas. Obligando a las empresas a redisear el proceso productivo (LONG, 2009).

Caso Farmacias: Problemas legales de monopolio, han gatillado una serie de reacciones de la
comunidad y legisladores que pueden modificar la normativa del rubro y eventualmente poner en
riesgo la continuidad del negocio farmacutico, tal como sucedi con las pequeas farmacias cuando
ingresaron al mercado. En este caso la causa de la crisis tienes sus orgenes desde el interior de las
empresas, afectando en forma directa la imagen de estas. Finalmente dos son las caras que grafican
el desenlace en el llamado Caso Farmacias, mientras el Tribunal de Defensa de la Libre
Competencia (TDLC) mult a Salcobrand y Cruz Verde por cerca de US $40 millones (el monto ms
alto de la historia de Chile en un caso de colusin de precios), por otro lado los diez imputados
aceptaron el ofrecimiento del Ministerio Pblico de suspender condicionalmente el proceso. Las
condiciones que debern cumplir son el pago a modo de indemnizacin de un total de $255 millones
en beneficio de organizaciones como: Cruz Roja, Coaniquem, el Instituto Nacional del Cncer y la

10

Liga Chilena Contra la Epilepsia, adems de asistir y aprobar un curso de tica empresarial, buenas
prcticas de gobierno corporativo o responsabilidad social de la empresa, entre otras medidas (CASO
FARMACIAS, 2013).

Industria Alimentaria: En el ao 2008 se encontr

carne de cerdo contaminada con dioxinas,

cerrando temporalmente mercados de Japn y Korea que representan el 80% de las exportaciones
de carne de cerdo, por un monto de US$ 400.000.000. En el ao 2009 se tiene problemas con la
Listeriosis, el primer producto afectado es el queso, luego es afectado los embutidos, que oblig a la
empresa involucrada a retirar del mercado su produccin, generando desconfianza de los
consumidores principalmente en el consumo de embutidos (CHILE POTENCIA ALIMENTARIA,
2013).

El sector Forestal: La crisis internacional afect en distintas magnitudes a los subsectores de la

industria forestal. Ya desde principios de 2008 comenz a golpear la disminucin de demanda de
EEUU, principal mercado chileno para madera slida. El ndice de construccin de casas se
desplom en 45,2% en mayo de 2008 respecto del mismo mes del ao anterior, y casi un 80% desde
2006. Esto afect a las empresas elaboradoras de madera, que exportan a ese mercado, pero,
despus de la cada de Lehman Brothers, la contraccin de la demanda se extendi a otros
mercados, tales como Europa, Asia y Medio Oriente, impactando a su vez en la demanda de madera
aserrada. En 2008, 148 aserraderos, principalmente medianos y pequeos, paralizaron sus
actividades en Chile. El ltimo trimestre de 2008 le toc el turno a la industria de celulosa, cuya
demanda internacional prcticamente se detuvo para Chile por ms de cuatro meses, para regresar
debilitada y a precios a los cuales ninguna planta del Hemisferio Norte podra producir. Sin embargo,
industrias como la de papel y productos sanitarios recibieron impactos mucho menos severos. Las
empresas grandes debieron reducir las producciones de sus aserraderos y la cosecha de sus
bosques en 2009, y disminuir el ritmo de produccin de celulosa. La celulosa, por su parte, ha
mejorado sus volmenes en virtud de mayores compras de China, an con precios bajos pero
mostrando leves alzas (RAGA, 2009).

Terremoto y tsunami del 27 de febrero de 2010: Un estudio realizado por la Organizacin

Panamericana de la Salud (2010), comenta lo siguiente: el da 27 de febrero a las 03:34 horas, hora
local, se registr un terremoto de magnitud 8,8 en la escala MW que tuvo una duracin aproximada
de tres minutos. El epicentro se situ en la costa de la regin del Maule, aproximadamente a 8 km al
oeste de Curanipe y 115 km al noreste de Concepcin. A continuacin se puede observar los efectos
o consecuencias que dej el terremoto (OPS, 2010):

11

Efectos en la poblacin: En Maule y Bo Bo, las regiones ms golpeadas por el terremoto y

tsunami, habitan 2.769.659 personas, el 19% de la poblacin total del pas. El desastre ocasion
512 muertos, 16 desaparecidos y 800 mil personas damnificadas. La mayor cantidad de
fallecidos fue debido al tsunami, por ejemplo en la comuna de Pelluhue se registraron 47
muertos, 6 eran pobladores de este lugar y 41 fueron turistas chilenos (OPS, 2010).

Energa: Como resultado del sismo, se produjo un apagn total del rea cubierta por el Sistema
Interconectado Central (SIC), que abastece de energa desde Taltal en Antofagasta hasta la Isla
Grande de Chilo, y una indisponibilidad de capacidad de generacin. La electricidad fue
restablecida paulatinamente en el pas dentro de las primeras cuatro horas posteriores al sismo,
a excepcin de Bo Bo donde al cabo de seis horas slo el 40% de la regin contaba con
suministro (OPS, 2010).

Agua y saneamiento: De acuerdo a la Superintendencia de Servicios Sanitarios (SISS), el

terremoto y el tsunami afectaron los sistemas de agua potable, las redes de alcantarillado y de
descarga de aguas servidas, y las plantas de tratamiento en zonas urbanas y rurales. Hubo
roturas en las redes de distribucin, daos estructurales en estanques de regulacin, y fallas en
los sistemas de bombeo e impulsin por la falta de electricidad. A ello, se sum la disminucin en
la disponibilidad de cloro en el pas, por los daos producidos en la principal planta productora Occidental Chemical Chile- ubicada en la baha de Talcahuano (OPS, 2010).

Transportes y comunicaciones: El Ministerio de Obras Pblicas registr daos en 1.154 km de

caminos, 191 puentes y 9 aerdromos o aeropuertos. El terremoto y tsunami tambin afectaron,
en distintos grados, la vialidad urbana en 40 comunas entre las regiones de Valparaso y La
Araucana. Ante la ausencia de la energa elctrica, el pas qued sin comunicacin en la red de
telfonos fijos y en la de celulares, y se produjo un prolongado corte de las comunicaciones de
las radio emisoras tanto de FM como AM. Las lneas de telefona fija comenzaron a recuperar su
normalidad en las horas posteriores reaccionando en general mejor que la telefona mvil, que
estuvo varios das sin servicio (OPS, 2010).

Empleo: Segn la Organizacin Internacional del Trabajo OIT, 93.928 trabajadores perdieron su
empleo, de los cuales 34.437 en Bo Bo y 28.090 en Maule, principalmente en la pesca, el
comercio y la agricultura. La catstrofe se ensa con las pequeas empresas, que concentran el
81% de los empleos perdidos (OPS, 2010).

2.1.6

Empresas que han implementado un BCP

WAL-MART STORES INC.

En Agosto del 2005 cuando Katrina cambi su categora de tormenta tropical a huracn, Jason
Jackson, Director de Continuidad del Negocio de Wal-Mart cambio su ubicacin al centro de
comando de emergencias de Wal-Mart. Dos das despus cuando el huracn lleg a Florida, Jackson
estaba acompaado de 50 gerentes y personal de apoyo, antes de que el huracn tocara tierra en el

12

Golfo de Mxico, Jackson orden a las bodegas de Wal-Mart entregar provisiones a reas de
almacenamiento designadas para tener la capacidad de abastecer a las tiendas cuando fuera
posible. Cuando el sistema computarizado que actualiza los inventarios de la zona de Wal-Mart
quedo sin seal, Jackson atendi las llamadas de las tiendas para saber lo que necesitaban, para el
siguiente martes, camiones de Wal-Mart fueron a abastecer generadores y toneladas de hielo seco a
lo largo de las tiendas ubicadas en el golfo. Inicialmente 126 sucursales fueron cerrados por
encontrarse en el paso de Katrina, a pesar de las prdidas reportadas por las tiendas, 15 das
despus, todas a excepcin de 15 tiendas, volvieron a abrir sus puertas (ZIMMERMAN, 2005).

COMPAREX ESPAA S.A.

En febrero de 2005 tuvo lugar un incendio en el Edificio de Windsor, dnde estaban los servidores
centrales, despus de 6 horas todo el inmueble quedo devastado. Ante esta situacin Comparex
activa su Plan de Continuidad de Negocio (BCP). Dentro de las estrategias que puso a pruebas
estn: Backups de informacin, lugares de trabajo para que los empleados puedan reanudar sus
operaciones desde otro sitio, accediendo a las aplicaciones crticas utilizando como base de acceso
el internet, infraestructura que le permiti la comunicacin de voz y datos entre los centros (MUR,
2013).
El BCP le permiti a la organizacin poder reaccionar la misma noche del incendio, se identificaron
los elementos tecnolgicos (servidores, sistemas de almacenamiento, puestos de trabajo conectados
a la red, comunicaciones, etc.) que se encontraban disponibles y en funcionamiento, as como los
inactivos. Se recurri a las copias de informacin que la organizacin tena en resguardo en Madrid y
Barcelona, verificando si poda hacerse la recuperacin completa al ltimo da hbil de actividad. Se
activ el alquiler de las oficinas alternas, dotndolas de equipo necesario para trabajar y se contact
a los clientes notificndoles la situacin de la compaa. El plan resulto un xito para la compaa
(MUR, 2013).

BANKINTER

El 18 de julio de 2012, BSI realiz la entrega de su primer certificado a nivel internacional de la nueva
norma ISO 22301:2012 de Continuidad de Negocio a Bankinter. El certificado avala que la entidad
mantiene operativo un Sistema de Gestin de Continuidad de Negocio conforme a los requisitos de la
nueva norma. Este certificado es el primer certificado ISO 22301 emitido por BSI a nivel internacional.
Adems Bankinter pasa a ser la primera entidad financiera a nivel mundial certificada en ISO 22301.
Segn los requisitos que exige esta norma, el certificado acredita el Sistema de Gestin de
Continuidad de Negocio (SGCN) de Bankinter para los procesos de identificacin, autentificacin y
firma de operaciones financieras y sus evidencias electrnicas a travs de Internet, Teleproceso
Operativo y la infraestructura de routing de Renta Variable para sus centros de Tres Cantos y
Alcobendas en Madrid. (BSI GROUP, 2012).

13

2.2

Administracin e influencia de la cultura en los proyectos empresariales

Es de suma importancia proporcionar un panorama general sobre temas y conceptos de la administracin

que apoyan de forma directa los proyectos empresariales, ligados a la influencia que tiene la cultura en la
administracin, ya que un Plan de Continuidad de Negocio es un proyecto empresarial y como tal va a
estar influenciado por la cultura organizacional (ROMERO, 2008).
2.2.1

Administracin de Proyectos.

Hoy en da, la mayora de las organizaciones reconocen que la Administracin de Proyectos como
disciplina, tiene mucho que ofrecer al crecimiento y xito de sus estrategias de negocio. Los proyectos
son la clave en esta nueva era de competencia global (FORSBERG, 2000).
Por pequeo que sea el proyecto, se requieren habilidades de administracin del mismo para sortear las
diferentes situaciones que se presenten, y adems garantizar el cumplimiento de los objetivos dentro de
los tiempos estipulados. Estas habilidades van desde la definicin del proyecto, hasta la administracin
de sus medidas de avance. Adicionalmente, se deben incorporar tcnicas para el manejo de contratos y
el manejo de proveedores (DACCACH, 2007).
Jos Daccach (2007), especializado en servicios de administracin de proyectos, identifica 12 actividades
para la administracin de proyectos, que se detallan a continuacin.
1) Definicin del proyecto: Pequeo o grande el proyecto, es necesario definir su alcance, las
decisiones se toman y se califican mediante valoracin del impacto que tienen en su resultado
final, dado por esta etapa de definicin, cuanto ms grande sea el proyecto, la importancia de
dejar esta informacin explcitamente estipulada aumenta (DACCACH, 2007).
2) Planeacin del Trabajo: Se definen las actividades a realizar y la dependencia entre ellas.
Tambin se identifican los recursos con los que se cuenta para realizar las actividades, los
recursos incluyen personal, presupuesto y elementos requeridos (DACCACH, 2007).
3) Administracin de Contratos: Hay que identificar dos temas fundamentales: la entrega de los
resultados (entregables) y el cumplimiento de las fechas para estas entregas. Para ambos se
establecen criterios y requerimientos que permiten controlar el cumplimiento de los dos temas
(DACCACH, 2007).
4) Administracin

de

Proveedores:

Es imperante establecer cmo se

manejarn los

incumplimientos, normales hasta cierto punto, entre lo programado inicialmente y lo que

realmente est entregando el proveedor (DACCACH, 2007).
5) Administracin del Plan de trabajo: Describe lo que hay que hacer, el orden del trabajo, el
esfuerzo requerido y quien est asignado a cada tarea, pero slo representa el mejor estimado
de cmo completar el trabajo que queda por hacer en un momento dado de un proyecto
(DACCACH, 2007).

14

6) Administracin de situaciones: Por lo general, un proyecto se administra en dos instancias:

una a nivel de gerente y equipo de proyecto, y la segunda a nivel de gerencia de la compaa
(DACCACH, 2007).
7) Administracin del Alcance: El alcance de un proyecto describe sus lmites y lo que el proyecto
va a entregar, qu informacin se necesita y qu partes de la organizacin se vern afectadas
(DACCACH, 2007).
8) Administracin de Riesgos: El riesgo es una condicin futura que existe fuera del control del
grupo del proyecto, y que puede tener un impacto negativo sobre el resultado del proyecto si se
llega a dar la condicin. Administradores reactivos esperan a resolver la situacin cuando sta
suceda. Los administradores proactivos tratan de identificar y resolver problemas potenciales
antes de que ocurran (DACCACH, 2007).
9) Administracin de la comunicacin: Hay dos niveles de comunicacin en un proyecto. Todos
los proyectos deben comunicar su estado. Adicionalmente, si el proyecto es complejo o ms
grande, se necesita un nivel ms sofisticado de comunicacin definido en un Plan de
Comunicaciones (DACCACH, 2007).
10) Administracin de la documentacin: Aunque esta es una de las tareas que puede ser asistida
por tecnologas como un depsito documental, estas herramientas pueden ser difciles de
administrar e incorporan mayores problemas al proyecto. Otra decisin es el formato estndar
para los documentos, se recomienda utilizar el PDF para los documentos que no variarn una
vez que se publiquen, y crear un sitio Web para su almacenamiento (DACCACH, 2007).
11) Administracin de la calidad: La calidad de un proyecto se mide bajo el tiempo necesario para
cumplir con las expectativas entregables del cliente, por lo tanto el objetivo central del equipo del
proyecto es tratar de cumplir y exceder los requerimientos del cliente. La medicin de la calidad
no es un evento, sino un proceso continuo y un estado mental (DACCACH, 2007).
12) Administracin de las mtricas: Para fijar las mtricas para el proyecto, se sugiere identificar
los criterios de xito en trminos de entregables y ejecucin, determinar cmo medir tanto el logro
final como el avance, seleccionar un nmero balanceado de mtricas, y recoger la informacin.
Es de vital importancia colocar parmetros de comparacin mediante metas ya que la mtrica por
s sola, no dice mucho. En general, este proceso es de poca importancia para proyectos
pequeos, ya que no hay ni el tiempo para recolectar los valores, y menos para analizar y tomar
correctivos (DACCACH, 2007).
Para el inicio y futuras actualizaciones del ciclo de vida del Plan de Continuidad de Negocio es necesario
tomar en cuenta los puntos que se han mencionado anteriormente con el fin de generar un plan eficiente
para la operacin del negocio. En este punto hay informacin que no se debe pasar por alto, pero qu
sucede cuando algo se sale de lo planeado?, y cundo una situacin cambia la direccin del trabajo?,
para dar respuesta a estas y ms interrogantes, es necesario estudiar sobre administracin de riesgos,

15

logrando con ello estar preparado ante una situacin que puede cambiar el rumbo del proceso
administrativo en caso de ocurrir.
2.2.2

Administracin de Riesgos

La administracin de riesgos es una herramienta que ayuda en el proceso de toma de decisiones que
convierte la incertidumbre en oportunidades, evita el suicidio financiero y catstrofes de graves
consecuencias (DE LARA, 2005).
La palabra riesgo viene del latn risicare, que significa atreverse a transitar por un sendero peligroso,
tiene un significado negativo, relacionado con peligro, dao, siniestro o prdida. Sin embargo, el riesgo es
parte inevitable de los procesos de toma de decisiones en general y de los procesos de inversin en
particular. La medicin cuantitativa del riesgo se asocia con la probabilidad de una prdida en el futuro.
Los seres humanos deben conocer y responder intuitiva o cuantitativamente a las probabilidades que
confrontan en cada decisin (DE LARA, 2005).
Alfonso de Lara Haro (2005), comenta que la clave para una correcta evaluacin de riesgos consiste en:

Identificar el riesgo (Clasificar los tipos de riesgo relevantes para el negocio).

Definir cmo sern tratados (Evitar el riesgo, contratar seguros, utilizar coberturas con
instrumentos financieros, implantar metodologas para riesgos cuantificables, etc.).

Establecer controles (Definir procedimientos para no exceder los lmites de cada riesgo).

Monitorear y reportar la situacin del riesgo (informar peridicamente sobre la evolucin de los
riesgos).

La Administracin de Riesgos concierne a todos los miembros de una entidad e involucra a todos sus
niveles de organizacin. Su actividad no es esttica, ya que siempre habr nuevos y diferentes riesgos al
estar dentro de un entorno cambiante. Para que una empresa tenga una administracin completa, es
necesario estudiar los incidentes que pueden afectar su operacin. Es como surge la necesidad de tener
un rea dedicada al estudio sistemtico de los problemas y que este estudio, consiga determinar las
estrategias adecuadas para reducir a su nivel mnimo el dao que puede ocurrir (DE LARA, 2005).
En cuanto a lo relevante para el Plan de Continuidad de Negocio de lo que Alfonso de Lara (2005)
comenta en su libro Medicin y Control de Riesgos Financieros sobre las medidas que podran
minimizar los riesgos, se destacan los siguientes:

Transferir a un tercero la funcin causante del riesgo: Por ejemplo, para un carpintero que
debe entregar muebles a sus clientes, pero est consciente de los riesgos que existen en el
transporte de mercancas, decide contratar un proveedor que le brinde el servicio de transporte
de la mercanca a sus clientes (DE LARA, 2005).

16

Comprar un contrato de derivados para atenuar el riesgo: Se refiere al conocimiento que se

debe tener sobre el aumento de un precio, para evitar pagar ese aumento, se elabora un contrato
para mantener el precio actual (DE LARA, 2005).

Disminuir la probabilidad de que ocurra el evento negativo: La prdida atribuible de un riesgo

depende de la probabilidad de ocurrencia y de la prdida monetaria, si existe. En algunas
ocasiones es posible aminorar la posibilidad de ocurrencia. Un ejemplo seria aminorar la
probabilidad de un incendio, sustituyendo el cableado elctrico (DE LARA, 2005).

Reducir la prdida relacionada con el evento negativo: Con el ejemplo del incendio, el costo
del incendio puede aminorarse instalando sistemas de rociado, disear instalaciones con zonas
de incendio, etc. (DE LARA, 2005).

Prescindir las actividades que originen el riesgo: Por ejemplo, una compaa puede
interrumpir un producto o lnea de servicios en caso de que la utilidad sea menor que el riesgo
(DE LARA, 2005).

Cuando se identifican los riesgos, existen diferentes posibilidades para las acciones que se emprendern
con los resultados del anlisis de riesgos, de las cuales destacan las siguientes (DE LARA, 2005):

Una de las alternativas es evitarlos, para lo cual se debe eliminar completamente la fuente del
riesgo.

Otra alternativa es mitigar los riesgos, lo cual es una accin preventiva para reducir el dao. Para
lograr esto, Alfonso Haro sugiere elaborar las siguientes tareas:

Cambios estratgicos (metodologa de trabajo, herramientas, proveedores).

Cambios logsticos.

La tercera alternativa, es aceptarlos, lo que implica elegir entre las opciones que se mencionan a
continuacin:
o

Pasiva: no se toma ninguna medida, slo se monitorea el riesgo de forma regular.

Activa: se implementa o usa un Plan de contingencia, en caso de que el riesgo suceda.

A continuacin en la Tabla N 2.3, se presenta un ejemplo de matriz de correlacin en la que intervienen

los principales parmetros que facilitan la caracterizacin y anlisis de riesgos, realizada por Jess G.
Martnez (2001):

17

Tabla N 2.3: Matriz de correlacin para determinar los grados de riesgos o niveles de impacto.
Zona o Actividad Analizada:

Caracterizacin o tipo de
Riesgo:

Elaboro:
Revisin:
Fecha:

Clasificacin de Frecuencias

Durabilidad o tipo de Impacto

Niveles o grados de Riesgo

Constante: 3 o ms veces por ao.

Frecuente: 1 - 2 veces por ao.
Peridica: 1 vez cada 2 aos.
Ocasional: 1- 3 veces cada seis
aos.
Eventual: 1 -3 veces cada 7 a 14
aos.

a. Irreversible.
b. Reversible con tratamiento.
c. Prolongado.
d. Duradero.
e. Momentneo.
f. Instantneo.

I.
II.
III.
IV.
V.
VI.

Crtico.
Muy Alto.
Alto.
Controlable.
Aceptable o Permisible.
Bajo.

Magnitudes y tipos de Impactos

1.
2.
3.
4.
5.
6.

Catastrfica.
Muy Grave.
Grave.
Moderada.
Baja.
Mnima.

a.
b.
c.
d.
e.
f.

Irreversible.
Reversible con tratamiento.
Prolongado.
Duradero.
Momentneo.
Instantneo.

Relaciones de Magnitud del Impacto

1

Constante

II

III

III

Peridica

III

III

III

Frecuente

II

II

III

IV

IV

Frecuencias

Niveles de Riesgo

Ocasional

II

II

III

IV

IV

Eventual

III

III

III

IV

VI

Remota

III

IV

IV

VI

Fuente: Martnez, 2001.

De la anterior Tabla N 2.3 se puede analizar que los eventos que se comportan entre los niveles de
riesgo I y II, implican la obligacin o necesidad de actuar de inmediato. Esta matriz ofrece la oportunidad
de cambiar los parmetros de anlisis (riesgo o impacto), adems siempre ser conveniente que el riesgo
se defina fcilmente por la relacin de la magnitud y la frecuencia (MARTNEZ, 2001):

)(

) (2.1)

18

2.2.3

Comportamiento organizacional

El estudio de este punto es garantizar que la metodologa a elaborar ser parametrizada a las
necesidades de la empresa, pero bsicamente a los empleados y a su comportamiento en la
organizacin.
El comportamiento organizacional es un campo de estudio en el que se investiga el impacto de la
conducta que individuos, grupos y estructuras tienen dentro de las organizaciones, con el propsito de
aplicar los resultados en el mejoramiento de la eficacia de una organizacin (ROBBINS, 2004).
Dentro del comportamiento organizacional es muy importante realizar un estudio de los grupos que
surgen dentro de una organizacin ya que esto colaborar en pleno beneficio para alcanzar las metas y
los objetivos que se planteen (GONZLEZ, 1994).
Entre otras actividades, un grupo puede orientar y resolver problemas, explotar posibilidades o
alternativas en forma creativa o ejecutar planes bien elaborados (GONZLEZ, 1994).
En la terminologa de los sistemas, se define al grupo como: Conjunto de sistemas de comportamiento
mutuamente independientes que no slo se afectan entre s, sino que responden tambin a las
influencias exteriores (HUSE, 1980).
Stephen P. Robbins (2004), hace la siguiente clasificacin de grupos:

Formales: se tienen normas y estatus, esto es, que cuentan con una sancin oficial y han sido
organizados por una autoridad administrativa o de otro tipo, con el propsito de que cumplan con
las metas de la organizacin (ROBBINS, 2004).

Informales: estos no tienen una estructura muy definida, a la vez que no cuentan con un estatus
especfico. Surgen de manera espontnea en alguna organizacin o grupo formal. Estos se
pueden formar en razn de la amistad de los integrantes o de intereses similares (ROBBINS,
2004).

De Mando: los integrantes comparten la responsabilidad de administrar el grupo u organizacin,

para lograr con mayor eficacia las metas propuestas (ROBBINS, 2004).

De Tarea: conjuntos de individuos que se forman en grupo, para plazos breves, con tiempos
especificados con anterioridad a fin de realizar una singular serie de tareas o proyectos
(ROBBINS, 2004).

De Inters: enfocados a la bsqueda de una meta comn, los integrantes de este tipo de grupo
se ocupan de una o varias tareas conjuntamente y logran intereses particulares para cada uno
(ROBBINS, 2004).

De Amistad: los integrantes tienen caractersticas comunes entre s, cada quien escoge a los
integrantes, o bien lo hacen en conjunto (ROBBINS, 2004).

19

De los tipos de grupo que se han comentado anteriormente se debe analizar cuales pueden apoyar de
forma ms positiva la implementacin de un Plan de Continuidad de Negocio.
2.2.4

Cultura Organizacional

La cultura organizacional se ha definido como "una suma determinada de valores y normas que son
compartidos por personas y grupos de una organizacin y que controlan la manera que interaccionan
unos con otros y ellos con el entorno de la organizacin. Los valores organizacionales son creencias e
ideas sobre el tipo de objetivos y el modo apropiado en que se deberan conseguir. Los valores de la
organizacin desarrollan normas, guas y expectativas que determinan los comportamientos apropiados
de los trabajadores en situaciones particulares y el control del comportamiento de los miembros de la
organizacin de unos con otros" (HILL, 2011).
Una de las caractersticas de la cultura organizacional es su carcter simblico. La cultura es algo
intangible, aunque sus manifestaciones s son observables. En este sentido, la cultura de una
organizacin est constituida por una red de smbolos o costumbres que guan y modulan, en distinto
grado, los comportamientos de quienes trabajan en ella y, sobre todo, de las personas que se van
incorporando. Estos elementos simblicos se manifiestan en todos los niveles y departamentos de la
organizacin, desde las relaciones personales y sociales hasta las normas de contabilidad. Mediante los
elementos simblicos de la cultura, la organizacin y sus miembros establecen procesos de identidad y
exclusin (HOFSTEDE, 2010).
La cultura organizacional tiene varios efectos sobre el comportamiento de sus miembros. En primer lugar,
en los procesos de atraccin y seleccin, lo que perpetua an ms la cultura existente. Tambin tendr
efectos sobre los procesos de retencin y rotacin voluntaria, de manera que en la medida que haya una
mayor correspondencia entre los valores de los trabajadores y la cultura organizacional, mayor ser el
compromiso del trabajador hacia la organizacin, y menor la tasa de rotacin o abandono voluntario. Los
estilos de liderazgo y toma de decisiones se vern tambin afectados por contingencias culturales as
como las conductas emprendedoras (BRETONES, 2009)
En conclusin la cultura desempea numerosas funciones dentro de la organizacin. Primero, tiene un
papel de definicin de fronteras; es decir, crea distinciones entre una organizacin y las dems. Segundo,
transmite un sentido de identidad a los miembros de la organizacin. Tercero, la cultura facilita la
generacin de un compromiso con algo ms grande que el inters personal de un individuo. Y cuarto,
incrementa la estabilidad del sistema social (ROBBINS, 2004).
2.2.5

Cultura Organizacional chilena

Diferentes estudios han planteado, desde la dcada de los noventa, que las caractersticas histricas y
culturales de Chile han determinado que la relacin tradicional entre personas y organizaciones se haya

20

basado en el paternalismo, la existencia de una jerarqua respetada y el conformismo (RODRGUEZ,

2008).
Este modelo ha sufrido importantes cambios en las ltimas dcadas, lo que ha llevado al planteamiento
de una transicin hacia una relacin ms impersonal y basada en la eficiencia y el mrito. Los mismos
estudios han planteado una tensin entre individualismo y gregarismo. Adems plantearon que en la
cultura chilena es posible ser solidario, pero sin perder su centro individual. En esta direccin, Abarca,
Majluf y Rodrguez (1998) plantearon que el estilo de administracin chileno favorece la conducta
individualista sobre formas gregarias de trabajo y participacin. El individualismo sera la norma, mientras
que el trabajo en equipo sera la excepcin (ABARCA, 1998).
Otros estudios han destacado la alta distancia con el poder como un rasgo de la cultura latinoamericana,
incluyendo a Chile. Esta distancia, en parte, sera reflejo de la distancia social entre superior y
subordinado, y afectara en prcticas como la dificultad para delegar autoridad, para descentralizar y
entregar poder en la toma de decisiones (DVILA, 2005).
Gmez y Rodrguez (2009) indican el fuerte sentido de jerarqua presente en el contexto organizacional
chileno, donde los subordinados asumen sin crticas las opiniones, mandatos e instrucciones de quienes
tienen poder y se acepta ser controlado estrechamente y supervisado en aras de ser aceptado.
Adems han sealado que algunos de los elementos principales de la dinmica del trabajo en Chile son:

La existencia de gran presin de trabajo, ejercida por los jefes y gerentes.

Foco sostenido en altos niveles de eficiencia organizacional, como un elemento aislado, que
usualmente no considera a las personas.

Inexistencia de autonoma en el trabajo y empoderamiento.

Consideracin de que la lealtad, la dedicacin, la obediencia y el profesionalismo son cualidades

deseadas en los trabajadores.

Rodrguez (2008) en un trabajo que se ha convertido en uno de los ms importantes que se han realizado
sobre cultura organizacional chilena, seal que el modelo se encontraba en transicin. Indic, por
ejemplo, la creciente aplicacin de una racionalidad tcnica en el proceso de reclutamiento y seleccin.
Tambin seal que el trato paternalista de proteccin a cambio de lealtad estaba en retirada, siendo
reemplazado por un modelo en que prevalece una relacin impersonal, en que la racionalidad y la
funcionalidad determinan el comportamiento que tendr cada individuo en la organizacin. En su
descripcin, donde compar el estilo latinoamericano-chileno con el japons y el estadounidense, plante
al aumento del individualismo en las relaciones con la empresa y a la presencia de comunicaciones
verticales y especficas en lo formal, complementadas con otras instancias informales amplias y grupales.
Indic adems la existencia de responsabilidades difusas en los cargos y una participacin casi

21

inexistente en la toma de decisiones, planteando que la incorporacin de trabajadores ms jvenes y con

mejores niveles educacionales podra hacer cambiar esa situacin.
Los planteamientos presentados por todos estos autores, tienen en comn que estn basados en
observaciones cualitativas y observadores externos a la relacin laboral. Complementar estas opiniones
desde la perspectiva de los ejecutivos que aplican las prcticas de gestin de personas y de los
trabajadores, permitira tener una visin global del estilo nacional, es por esto que a continuacin se
presenta un estudio realizado por David E. Hojman y Gregorio Prez (2005), en el cual, se realiz una
encuesta a ms de 1.300 visitantes del mall Parque Arauco en el sector oriente de Santiago.
El Parque Arauco no es perfectamente representativo de la opinin nacional, porque sus clientes son de
ingresos medios y altos. Pero de todas maneras, estos datos permiten formar por lo menos una idea, y en
muchas preguntas el signo (positivo o negativo) del sesgo respectivo ser ms o menos evidente. La
mayora de los entrevistados son tpicos empleados de empresas chilenas (entre las excepciones se
encuentran estudiantes, dueas de casa, empleadores, trabajadores por cuenta propia, y personas que
residen en el extranjero). Los entrevistados estaban conscientes que tanto la inestabilidad econmica
como las nuevas tecnologas haban afectado a los empleados. Los encuestados estaban, igualmente,
divididos entre aquellos que opinaban que el empleo tpico ofreca posibilidades para el desarrollo
personal, y aquellos que crean lo contrario. Tambin estaban divididos entre aquellos que pensaban que
los beneficios del trabajo haban mejorado, y aquellos que crean que haban disminuido. La mayora de
los entrevistados, tres de cada cuatro, crea que el acceso al empleo dependa de amistades o contactos
familiares, y no de la publicacin de avisos en medios de comunicacin y concursos abiertos (HOJMAN,
2005).
Resumiendo, la percepcin general era de cambio corporativo e introduccin de nuevas tecnologas que,
sin embargo, no haban logrado beneficiar, compensar y reconocer a los empleados adecuadamente. La
visin de la abrumadora mayora era pesimista, fatalista y paternalista. La percepcin que tenan los
entrevistados acerca de las relaciones industriales no era particularmente buena. Un 63% pensaba que
las compaas trataban a sus empleados exactamente como la ley lo ordenaba, ni mejor ni peor. Otro
31% pensaba que los empleados eran tratados como desechables o prescindibles. Solamente 5% crea
que los empleados eran tratados como un recurso valioso (HOJMAN, 2005).
En cuanto a la opinin que tenan los entrevistados acerca de los empleados, tampoco era especialmente
buena. El 75% de la muestra estuvo de acuerdo en que el trabajador chileno no corre riesgos; el 57%,
que es flojo; el 73%, que no acepta crticas, y el 59%, que al trabajador chileno le gusta que le digan lo
que hay que hacer. Pero hay que reconocer que, si es que la gerencia quiere que al trabajador le guste
que le digan lo que hay que hacer, posiblemente a ste no le queda ms remedio que gustarle, o
pretender que le gusta (HOJMAN, 2005).

22

Finalmente gracias a la informacin anteriormente mencionada, se pueden conseguir bastantes datos

que logren favorecer la implementacin y mantenimiento de un Plan de Continuidad de Negocio en Chile,
como por ejemplo la forma en la que se debe entregar las tareas y obligaciones a los dems, las cuales
deben ser de una forma impersonal y formal, tambin la importancia de la delegacin de autoridad y toma
de decisiones, con lo cual se busca obtener que los colaboradores se sientan parte de la empresa y
como un recurso valioso para la misma.
2.2.6

Liderazgo

Debido a que el Plan de Continuidad de Negocio (BCP) es un proceso que se trabaja en gran parte de
forma terica y que se basa principalmente en la concientizacin que se logre entre los empleados, ya
que durante su trabajo diario deben elaborar ciertas tareas que apoyen al BCP, es fundamental que el
responsable posea liderazgo frente al grupo que participa en el Plan (BASS, 1997).
Existe un modelo para evaluar el comportamiento del liderazgo en las organizaciones, llamado Inventario
de las prcticas de Liderazgo elaborado por James Kouzes y Barry Posner (2007), el anlisis del
liderazgo se lleva a cabo por medio de la evaluacin de cinco comportamientos (KOUZES, 2007):

Desafiar los procesos: El lder se hace responsable de los riesgos que conllevan los procesos
administrativos y operativos, adems de la dinmica interna y externa que juegan los procesos
(KOUZES, 2007).

Inspirar una visin compartida: Se refiere a la imaginacin apasionante del lder sobre
escenarios futuros (KOUZES, 2007).

Habilitar a los dems a que acten: Esta caracterstica se refiere a la facultad del lder para
desarrollar un ambiente participativo y cooperativo, haciendo del equipo de trabajo, compaeros
pro-activos (KOUZES, 2007).

Modelar el camino: Se refiere a una alta jerarqua de valores y de igual forma una alta
moralidad. Coloquialmente podra decirse: El lder predica con el ejemplo (KOUZES, 2007).

Dar aliento con el corazn: Es un comportamiento transaccional integrado en el Inventario de

las prcticas de liderazgo. Este comportamiento se refiere a la retroalimentacin positiva que el
lder da a los seguidores, reconociendo pblicamente las contribuciones individuales y
celebrando los logros del equipo (KOUZES, 2007).

De acuerdo a los puntos citados anteriormente, se puede hacer una seleccin de la persona ms idnea
para el cargo de Coordinador del Plan de Continuidad de Negocio.

El liderazgo como funcin dentro de la Organizacin

Operacionalmente, un grupo tiende a actuar o hablar a travs de uno de sus miembros, cuando todos
tratan de hacerlo simultneamente el resultado por lo general es confuso o ambiguo. La necesidad de un

23

lder es evidente y real, y esta aumenta conforme los objetivos del grupo son ms complejos y amplios
(DAFT, 2006).
Por ello, para organizarse y actuar como una unidad, los miembros de un grupo eligen a un lder. Este
individuo es un instrumento del grupo para lograr sus objetivos y, sus habilidades personales son
valoradas en la medida que le son tiles al grupo (GIL, 1990).
Como el liderazgo est en funcin del grupo, es importante analizar no solo las caractersticas de este
sino tambin el contexto en el que el grupo se desenvuelve. Pues se considera que estas caractersticas
determinan quien se convertir en el lder del grupo (GIL, 1990).
Dependiendo si la situacin requiere accin rpida e inmediata o permite deliberacin y planeacin, los
liderazgos pueden caer en personas diferentes (GIL, 1990).
En sntesis, " el lder es un producto no de sus caractersticas, sino de sus relaciones funcionales con
individuos especficos en una situacin especfica" (DAFT, 2006).

Caractersticas de un lder

En la direccin de las organizaciones se encuentran las elites formada por lderes.

Se identifica al lder por las siguientes caractersticas (DAFT, 2006):
o

El lder debe tener el carcter de miembro del grupo, es decir, debe pertenecer al grupo que
encabeza, compartiendo con los dems miembros los patrones culturales y significados que ah
existen (DAFT, 2006).

La primera significacin del lder no resulta por sus rasgos individuales nicos, universales
(estatura alta o baja, aspecto, voz, etc.) (DAFT, 2006).

Sino que cada grupo considera lder al que sobresalga en algo que le interesa, o ms brillante, o
mejor organizador, el que posee ms tacto, el que sea ms agresivo, ms santo o ms
bondadoso. Cada grupo elabora su prototipo ideal y por lo tanto no puede haber un ideal nico
para todos los grupos (DAFT, 2006).

En cuarto lugar. El lder debe organizar, vigilar, dirigir o simplemente motivar al grupo a
determinadas acciones o inacciones segn sea la necesidad que se tenga (DAFT, 2006).

Estas cuatro cualidades del lder, son llamadas tambin carisma.

o

Por ltimo, otra exigencia que se presenta al lder es la de tener la oportunidad de ocupar ese rol
en el grupo, si no se presenta dicha posibilidad, nunca podr demostrar su capacidad de lder
(DAFT, 2006).

24

2.3

Metodologas y estndares para la elaboracin de un Plan de Continuidad de Negocio

En este punto se presentan algunas de las Metodologas que existen actualmente sobre Continuidad del
Negocio desde diferentes enfoques y entre los documentos que pueden servir de apoyo en la elaboracin
del Plan de Continuidad de Negocio, se tienen estndares que son reconocidos a nivel mundial. Los
estndares son avalados por instituciones especializadas en el tema de Continuidad de Negocio. En las
pginas siguientes se analizan cada una de las metodologas.
A continuacin en la Tabla N 2.4, se pueden observar los datos generales de las metodologas utilizadas
a nivel mundial de continuidad de negocio, las cuales se explican en los puntos siguientes.
Tabla N 2.4: Datos Generales de las metodologas de BCP.

Organizacin

Estndar y/o
Metodologa

Alcance

Ao de
Actualizacin

Origen

BSI

BS 25999-1
BS 25999-2

BCM (Business Continuity

Management)

2007

Inglaterra

BSI

BS 25777

ITDR (Information
Technology Disaster
Recovery)

2008

Inglaterra

BCI

Gua de las Buenas

Prcticas

BCM identificando el ITDR

como estrategia

2008

USA

ITIL

Gestin de la
continuidad del
servicio

Gestin de Servicios
Informticos

2007

Inglaterra

DRJ

Emergency
Operation Center
(EOC)

Centro alterno de
operaciones para BCM
como para ITDR

2012

USA

DRI
DRJ

Prcticas
Generalmente
Aceptadas

BCM

2007

USA

National Fire
Protection
Association

NFPA 1600

BCM

2013

USA

ISO

ISO 27002

Seguridad de la
informacin

2005

Ginebra (Suiza)

ISO

ISO 22301

BCM

2012

Ginebra (Suiza)

Fuente: Elaboracin propia.

25

Como muestra la Tabla N 2.4, las metodologas han surgido en diferentes zonas geogrficas, por lo cual
es importante analizarlas en detalle para identificar los puntos de cada una que pueden aplicarse en
Chile. Las diferentes metodologas fueron escritas cada una enfocada a diferentes situaciones, como
comunicacin de crisis, tecnologa, procesos de negocio y sitio alterno entre otras, debido a esto es
importante estudiar cada una de ellas, con la finalidad de identificar el tema en el que cada una se
especializa y de esta forma, fortalecer la metodologa que se disear para ser aplicada en Chile.
2.3.1

BS 25999

La norma britnica BS 25999 de la Institucin Britnica de Normas, toma la idea de un plan de

continuidad de negocios y ampla su alcance para abarcar en su totalidad a la compaa. BS 25999 est
dividida en dos partes: BS 25999-1 y BS 25999-2. La BS 25999-1, o Cdigo de Prctica fue publicado en
diciembre de 2006 y es un documento general que explica el propsito de la norma, es bsicamente un
documento orientativo que proporciona las recomendaciones prcticas para las el BCP. BS 25999-2, o la
especificacin, fue liberada en noviembre de 2007 y establece los requisitos para un Sistema de Gestin
de la Continuidad (BCM). Esta es la parte de la norma que se certifica a travs de una etapa de
implementacin, de auditora y posterior certificacin (PJR, 2013).
El estndar proporciona una breve introduccin de lo que es la Continuidad de Negocio, explica porque
las organizaciones deben contar con un Plan de Continuidad de Negocio detallando los beneficios que se
adquieren con la implantacin de ste. Adems explica la importancia de contar con un Anlisis de
riesgos y como ayuda ste al Plan de Continuidad de Negocio. Las etapas que el estndar maneja, son
conocidas como el ciclo de vida del BCP, el cual se puede observar en la Figura N 2.1.

Figura N 2.1: Ciclo de vida del Plan de Continuidad de Negocio.

Fuente: BS 25999-1, 2006.

26

A continuacin se explican brevemente las etapas de este ciclo de vida (BS 25999-1: 2006):

Plan de Administracin de Continuidad de Negocio: Establece la importancia de contar con

una administracin del Plan de Continuidad de Negocio, en el que se lleve el monitoreo de todas
las actividades que integran el Plan y que permita identificar desde una forma general los puntos
que falta especializar (BS 25999-1: 2006).

Entendiendo la organizacin: Uno de los puntos iniciales y ms importantes para realizar el

BCP es conocer y entender de forma detallada el negocio al que se dedica la organizacin, para
as obtener como resultado un plan de continuidad ptimo .Es en esta fase dnde se aplica el
Anlisis de Impacto al Negocio (Business Impact Analysis, BIA por sus siglas en ingls), se
determina el Tiempo Objetivo de Recuperacin (RTO por sus siglas en ingls) y el Punto Objetivo
de Recuperacin (RPO por sus siglas en ingls) (BS 25999-1: 2006).

Determinando la estrategia de Continuidad de Negocio: Plan de Recuperacin de Tecnologa

en caso de Desastre, sitios alternos para la recuperacin de tecnologa y para la continuidad de
las operaciones, estrategias para el trabajo desde casa, un Plan de Comunicacin interna y
externa durante y despus del incidente, respaldo de informacin en otro sitio, etc. (BS 25999-1:
2006).

Implementacin de un programa de responsabilidades para la Continuidad de Negocio:

Identificar el equipo para la Continuidad de Negocio y cules son las actividades que deben
realizar frecuentemente, para estar preparados en cualquier momento ante una crisis. As, como
las tareas que se deben realizar cuando el incidente sea declarado. En esta etapa se identifica el
equipo de Administracin de Crisis y el equipo de Administracin de Incidentes (BS 25999-1:
2006).

Pruebas y mantenimiento del Plan de Continuidad de Negocio: Es de vital importancia

realizar pruebas para determinar la eficacia con la que puede continuar el negocio ante la
presencia de una posible interrupcin, adems el proceso de mantenimiento del plan es
trascendental, para obtener un Plan de continuidad de negocio actualizado y vigente,
considerando que el negocio contina y est en constante cambio. En esta fase se detalla la
importancia de probar los planes que se han desarrollado para verificar la capacidad que tiene y
encontrar mejoras que puedan ayudar a aumentar el nivel de madurez del Plan de Continuidad
de Negocio (BS 25999-1: 2006).

Desarrollando una cultura de Continuidad de Negocio: Esta fase busca desarrollar en todos
los empleados de la organizacin, la concienciacin de que la organizacin puede tener en
cualquier momento algn incidente que interrumpa la operacin normal de la empresa, ante lo
cual se debe estar preparados psicolgica, tecnolgica y tcnicamente para poder dar
continuidad al negocio con los recursos que cuenta la empresa, (BS 25999-1: 2006).

27

Cada una de las fases que se han descrito de forma breve, sirven para formar la base de la metodologa
propuesta para el presente trabajo de grado, esto debido a la forma tan completa del Estndar BS-25999.
2.3.2

BS 25777

En muchas organizaciones, la ejecucin de los procesos crticos depende de los servicios de informacin
y tecnologa de comunicaciones, definido en el BS 25777 como ICT (Information and Communications
Technology) (BS 25777: 2008).
La finalidad del BS 25777 es apoyar a las organizaciones a implementar una correcta estrategia para los
servicios de informacin y tecnologa de comunicaciones. Los principios que componen el estndar son
(BS 25777: 2008):

Proteccin: El anlisis de los servicios de informacin y comunicacin permiten conocer las

amenazas y vulnerabilidades, identificando con ello, los riesgos que pueden aminorarse (BS
25777: 2008).

Deteccin: Este principio se refiere a identificar los servicios que soportan los procesos claves
del negocio, para tenerlos como prioridad para su recuperacin (BS 25777: 2008).

Reaccin: Mediante la planeacin de un programa de continuidad como el ICT, se logra la

reaccin de la organizacin ante los incidentes, minimizando as, el Downtime (BS 25777: 2008).

Recuperacin: Sobre los requerimientos del negocio de las tecnologas de informacin

y los

tiempos en que se requieren, se puede definir un plan de accin sobre las tecnologas que se
recuperan primero y las que se recuperarn despus (BS 25777: 2008).

Operacin: Este principio se refiere a dar soporte a la operacin contingente que la empresa
desarrolle despus de la ocurrencia del incidente (BS 25777: 2008).

Regreso: El ICT hace nfasis a lograr la operacin del negocio despus de un incidente, pero es
necesario disear la mejor estrategia para migrar la operacin de la organizacin de regreso al
Edificio principal (BS 25777: 2008).

El ICT debe contar con algunos elementos que le permitan desarrollarse de la mejor manera, estos son
(BS 25777: 2008):

Personal: Adems de apoyar en la operacin diaria, el personal de Tecnologas de Informacin y

Comunicaciones debe empezar a desarrollar las habilidades para apoyar en caso de un
escenario de contingencia. Esto se logra a travs de la capacitacin y prctica del ICT (BS
25777: 2008).

Localidades: Se debe identificar el equipo necesario para llevar a cabo la restauracin de las
tecnologas de informacin as como los lugares alternos que se utilizaran en un escenario de
contingencia (BS 25777: 2008).

28

Tecnologa: Dentro de la tecnologa pueden identificarse algunos rubros como (BS 25777:
2008):

Servidores, forma de respaldos de la informacin, medios de almacenamiento de

informacin que se utilizan y cualquier otro hardware necesario para la recuperacin.

Redes, servicios de voz, switches y routers.

Software, incluyendo las aplicaciones de terceros utilizados en la operacin normal, en

este punto se debe tener claramente identificadas las relaciones lgicas entre
aplicaciones.

Informacin, este punto cuida que cualquier tipo de informacin necesaria para la
recuperacin se tenga lista, siempre cuidando la confidencialidad, integridad y
disponibilidad.

Procesos, se refiere a tener bien definido y detallado un programa que permita recuperar
los servicios de informacin con tan slo tener servidores y equipos de cmputo en
blanco. Empezando desde la instalacin del Sistema Operativo.

Proveedores, otro componente para que los servicios que ofrece el rea de Tecnologas
de Informacin y Comunicaciones se puedan mantener continuos an despus de
ocurrido un incidente, son los proveedores especializados en el rea como el carrier de
internet, proveedores de telefona, entre otros (BS 25777: 2008).

El BS 25777: 2008, resulta ser un estndar altamente efectivo en el rea de IT, pues est completamente
detallado para no perder de vista ningn punto. Adems tiene la ventaja que est alineado al BS 25999-1:
2007 de la misma institucin, y el cual, est enfocado a los procesos del negocio, es por esto que este
estndar, juega un papel crucial al momento de desarrollar los planes de contingencias tecnolgicos,
pertenecientes al Plan de Continuidad Operacional.
2.3.3

ITIL

La Biblioteca Infraestructuras de Tecnologas de la Informacin (ITIL), contiene un punto que es muy

interesante para la formulacin del Modelo de Plan de Continuidad de Negocio y se encuentra en el
apartado llamado Gestin de Continuidad de servicios de TI (ITSCM por sus siglas en ingles), que tiene
los siguientes objetivos (OSIATIS, 2013):

Garantizar la pronta recuperacin de los servicios (crticos) de TI tras un desastre.

Establecer polticas y procedimientos que eviten, en la medida de lo posible, las perniciosas

consecuencias de un desastre o causa de fuerza mayor.

ITSCM est dirigido al rea responsable de la informacin, buscando garantizar una rpida recuperacin
de los servicios crticos de TI (Tecnologas de Informacin) despus de un incidente.

29

Dentro de la Continuidad de Negocio es indispensable elaborar un estudio de Riesgos. ITIL con la

Gestin de Continuidad del Servicio tiene una forma de llevar a cabo una Gestin y Anlisis de Riesgos,
para lo cual se basa en la siguiente Figura N 2.2 (OSIATIS, 2013):

Figura N 2.2: Gestin y Anlisis de Riesgos.

Fuente: OSIATIS, 2013.

Actividades propuestas por ITIL (OSIATIS, 2013):

Establecer las estrategias de continuidad del servicio TI.

Adoptar medidas proactivas de prevencin del riesgo.

Desarrollar los planes de contingencia.

Poner a prueba dichos planes.

Formar al personal sobre los procedimientos necesarios para la pronta recuperacin del servicio.

Revisar peridicamente los planes para adaptarlos a las necesidades reales del negocio.

De acuerdo con ITIL cuanto mayor sea el impacto asociado a la interrupcin de un servicio, mayor debe
ser el esfuerzo para la prevencin.
Estudiando a detalle cada uno de los puntos que marca ITIL se pueden obtener beneficios para el Plan
de Recuperacin de Tecnologa en caso de Desastre, siempre que puedan implementarse con los
recursos existentes.
2.3.4

NFPA 1600

The North American Business Continuity Standard publica la Norma NFPA 1600, que es otro punto de
vista sobre cmo puede llevarse a cabo el tema de Continuidad de Negocio y cada una de sus fases
(NFPA, 2013).

30

La norma NFPA 1600, presenta los siguientes puntos indispensables para la efectiva Administracin de
Continuidad de Negocio (NFPA, 2013):

Programa de Administracin. Documentar cul es la visin y misin del Plan de continuidad de

Negocio. Establecer un formato para registrar los objetivos del personal que participa en el
programa y hacer revisiones peridicas que permitan monitorear el avance, cumplimiento y
evaluacin de los objetivos (NFPA, 2013).

Leyes y autoridades. En esta fase se identifican las leyes y regulaciones a las cules se debe
alinear el Programa de Continuidad del Negocio (NFPA, 2013).

Evaluacin de Riesgos. El estndar enfatiza en esta fase la correcta identificacin de riesgos,

es decir, naturales, humanos y tecnolgicos (NFPA, 2013).

Prevencin de Incidentes. Esta fase se indica el desarrollo de una estrategia para prevenir
incidentes de acuerdo a los recursos humanos, infraestructura y presupuesto que se tenga
asignado al proyecto (NFPA, 2013).

Mitigacin. Se deben identificar los riesgos que pueden ser eliminados e implementar la mejor
estrategia que permita terminar con ellos (NFPA, 2013).

Administracin de recursos y logstica. En esta fase se definen los procedimientos para la

traslacin al sitio alterno, en caso de requerirse, en que tiempos se debe ir trasladando cada
equipo de recuperacin de tecnologa o continuidad de operaciones. Se establece con el
proveedor de recursos de papelera sobre el lugar y horario de atencin (NFPA, 2013).

Asistencia y ayuda mutua. Se debe especificar el nivel de servicio y atencin de los

proveedores en caso de contingencia (NFPA, 2013).

Planeacin. Para cada contacto que se identifique, que deba realizar alguna actividad en un
escenario de contingencia, se debe tener bien definida una lnea de comunicacin con el
proveedor o dependencia, con nombres, nmeros de telfono y correo electrnico (NFPA, 2013).

Administracin de incidentes. Contar con una poltica en el que se identifiquen las

responsabilidades, los procedimientos para realizar la recuperacin de tecnologas de
informacin y dar continuidad a la operacin del negocio (NFPA, 2013).

Comunicados y alertas. Establece la implementacin de protocolos, software, procesos y

pruebas peridicas de los mismos protocolos. En este punto, la organizacin determina las
necesidades de comunicacin (NFPA, 2013).

Instalaciones. Identificar y documentar la ubicacin de los sitios con los que cuenta la
organizacin, tanto de operacin normal, como sitio alterno y alguna otra ubicacin que se utilice
para que el personal reanude operaciones crticas en estado de contingencia (NFPA, 2013).

Entrenamiento y capacitacin. EL plan de capacitacin debe buscar en todo momento, el

desarrollo, implementacin, mantenimiento y ejecucin del plan. La frecuencia y alcance debe
quedar clara en el Programa (NFPA, 2013).

31

Ejercicios,

evaluacin

acciones

correctivas. Los ejercicios deben estar dirigidos a

ejercicios diferentes en cada prueba, esto, con la intencin de probar el plan ante diversas
situaciones que han sido definidas en las fases anteriores (NFPA, 2013).

Comunicacin de crisis e informacin pblica. El equipo de comunicacin corporativa debe

tener un plan para elaborar comunicados externa e internamente, que tipo de informacin puede
publicar, como deben estar escritos los mensajes que se publiquen, en que medios, en fin, toda
una campaa publicitaria que se active con el escenario de contingencia (NFPA, 2013).

Finanzas y Administracin. Para la Administracin y finanzas del Proceso de continuidad del

negocio es importante marcar un antes, un ahora y un despus del incidente. Es importante
hacer la planeacin para contar con una reserva destinada a este programa (NFPA, 2013).

Esta norma puede servir para reforzar algn punto del Plan de Continuidad de Negocio. Como se puede
observar, la Norma NFPA 1600 est enfocada al tema de la seguridad de los empleados y de la misma
organizacin. Algunas de las fases pueden ayudar a fortalecer las fases de comunicacin entre
empleados en un escenario de contingencia y administracin de incidentes principalmente.
2.3.5

ISO 27002

La norma ISO 27002 es un cdigo de prcticas para la seguridad de la informacin. La base de la norma
fue originalmente un documento publicado por el gobierno del Reino Unido, que se convirti en un
estndar "adecuado" en el ao 1995, cuando fue re-publicada por BSI segn BS 7799. En el ao 2000 de
nuevo se volvi a publicar, esta vez por la ISO, como ISO 17799. Una nueva versin de sta apareci en
el ao 2005, junto con una nueva publicacin, la norma ISO 27001 (DIRECTORIO ISO 27000, 2013).
La versin de 2005 del estndar incluye las siguientes 11 secciones principales (ISO 27002: 2005):
1) Poltica de Seguridad de la Informacin.
2) Organizacin de la Seguridad de la Informacin.
3) Gestin de Activos de Informacin.
4) Seguridad de los Recursos Humanos.
5) Seguridad Fsica y Ambiental.
6) Gestin de las Comunicaciones y Operaciones.
7) Control de Accesos.
8) Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin.
9) Gestin de Incidentes en la Seguridad de la Informacin.
10) Gestin de Continuidad del Negocio.
11) Cumplimiento.
La seccin ms interesante para el presente trabajo de grado se centra bsicamente en Gestin de la
Continuidad de Negocio, en el cual se integran aspectos de seguridad de la informacin de la Gestin de

32

la Continuidad de Negocio. Este dominio tiene la finalidad de contrarrestar la operacin del negocio y
proteger los procesos crticos ante desastres y fallas menores en los sistemas de informacin. Con esto
se asegura el restablecimiento oportuno.
Dentro del Dominio Gestin de la Continuidad del Negocio se solicitan algunos puntos como:

Incluir la seguridad de la informacin en el proceso de Gestin de Continuidad del

Negocio. Las actividades relacionadas a esta fase son (ISO 27002: 2005):

Comprender los riesgos de la organizacin, identificar y priorizar, los procesos crticos.

Identificar los activos implicados en los procesos crticos.

Comprender el impacto que tendran las interrupciones del Negocio.

Considerar la contratacin de seguros adecuados.

Considerar la implementacin de controles adicionales a la prevencin.

Identificar recursos financieros, organizacionales y tcnicos.

Asegurar la seguridad de los empleados en las instalaciones.

Formular y documentar los planes.

Probar y actualizar los planes.

Asegurar la incorporacin del BCM a los procesos de la organizacin. Asignar a un

responsable.

Elaboracin del anlisis de riesgo. Basa su principio en identificar los eventos que pueden
ocasionar una interrupcin en los procesos del negocio, igual que su probabilidad de impacto.
Para cumplir con el objetivo de esta seccin se deben realizar las siguientes tareas (ISO 27002:
2005):

Identificar los Eventos.

Evaluar el riesgo determinando la probabilidad e impacto del evento.

Desarrollar un plan basndose en los resultados del Anlisis de Riesgos.

Crear una estrategia slida.

Desarrollar planes de continuidad del negocio incluyendo aspectos de seguridad de la

informacin. En esta fase se identifican procedimientos de emergencia y acuerdos sobre las
responsabilidades. Algunos otros puntos que se consideran en esta fase son (ISO 27002: 2005):

Identificacin de prdidas aceptables de informacin y servicios.

Implementacin de procedimientos que permitan la recuperacin y restauracin de las

operaciones del negocio, dependencias internas y externas.

Documentacin de procedimientos.

Formacin del personal del rea de tecnologas de informacin para desarrollar la

capacidad de implementar los procedimientos.

33

Desarrollar en el personal la prueba y mantenimiento de los planes.

Alinearse al marco referencial para la planeacin de continuidad del negocio. El marco

referencial indica tener identificadas ciertas tareas (ISO 27002: 2005):

Condiciones para activar los planes y las tareas a realizar antes de la activacin.

Descripcin de tareas que deben realizarse tras la ocurrencia de un incidente.

Procedimiento para realizar un respaldo de informacin.

Calendario de mantenimiento.

Actividades para efectuar la capacitacin.

Responsabilidades de las personas.

Recursos crticos necesarios.

Prueba, mantenimiento y actualizacin de los Planes de Continuidad del Negocio. La

prueba de los Planes de continuidad se lleva a cabo con la finalidad de verificar su vigencia y
eficiencia. Para este punto deben considerarse algunas actividades importantes (ISO 27002:
2005):

Identificacin y prueba de varios escenarios.

Desarrollar simulacros para entrenar al personal.

Desarrollar pruebas de Recuperacin en un lugar alterativo.

Pruebas de servicios de proveedores en el lugar alterno.

El estndar est enfocado mayormente a la informacin, por lo que puede ser de gran ayuda para el Plan
de Continuidad de Negocio al momento de tomar en cuenta la continuidad de la seguridad que la
informacin debe tener.
2.3.6

ISO 22301

La norma ISO 22301 es, a nivel mundial, la primera norma internacional para la gestin de la continuidad
de negocio (GCN) y ha sido desarrollada para ayudar a las organizaciones a minimizar el riesgo de sufrir
interrupciones. La estandarizacin de la continuidad de negocio evoluciona con ISO 22301, tomando
como base la norma BS 25999-2 y agregando (BSI GROUP, 2013):

Mayor nfasis en el establecimiento de objetivos, seguimiento del desempeo y de los

indicadores.

Expectativas ms claras sobre la Direccin.

Planificacin y preparacin ms cuidadosas de recursos requeridos para el aseguramiento de la

continuidad de negocio.

Las clausulas claves de la norma son las siguientes (ISO 22301: 2012):

34

Contexto de la organizacin: Determinar temas internos y externos que son relevantes para el
propsito de la organizacin y que afectan su habilidad de alcanzar los resultados esperados de
su SGCN. Identificar el alcance del SGCN, tomando en cuenta los objetivos estratgicos de la
organizacin, sus productos y servicios claves, su tolerancia al riesgo y cualquier obligacin
reglamentaria, contractual o de sus partes interesadas, tambin forma parte de esta clusula
(ISO 22301: 2012).

Liderazgo: La alta direccin debe demostrar un compromiso continuo con el SGCN, a travs de
su liderazgo y acciones. La direccin puede crear un ambiente en el cual distintos miembros del
personal estn completamente involucrados y el sistema de gestin pueda funcionar de manera
eficaz en sinergia con los objetivos de la organizacin. Una tarea clave es designar un
coordinador/lder que se encargar de gestionar y supervisar el proceso de elaboracin e
implementacin del plan de continuidad de negocio, e incluso, si la inversin lo permite y en
funcin del tamao de la organizacin y el alcance del plan, es recomendable asignar personal
adicional y constituir un equipo de continuidad de negocio (ISO 22301: 2012).

Planificacin: Esta es una etapa crtica en la que se establecen objetivos estratgicos y

principios para la orientacin del SGCN en su totalidad. Los objetivos del SGCN son una
expresin del propsito de la organizacin para el tratamiento de los riesgos identificados y/o
para cumplir con los requisitos de las necesidades de la organizacin (ISO 22301: 2012).

Soporte: La gestin diaria de un sistema de gestin de la continuidad de negocio, se basa en el

uso de recursos apropiados para cada actividad. Estos recursos incluyen personal competente en
base a formaciones y servicios de soporte, toma de conciencia y comunicacin pertinentes (y
demostrables), esto debe ser apoyado por informacin documentada adecuadamente
gestionada. Las comunicaciones, tanto internas como externas, deben ser consideradas en esta
rea, incluyendo su formato, contenido y el momento oportuno de estas comunicaciones. Los
requisitos para la creacin, actualizacin y control de la informacin documentada, tambin se
especifican en esta clusula (ISO 22301: 2012).

Evaluacin del desempeo: Una vez que el SGCN se ha implementado, la norma ISO 22301
requiere un permanente seguimiento del sistema, as como revisiones peridicas para mejorar su
operacin (ISO 22301: 2012).

Mejora: La mejora continua puede ser definida como todas las acciones, realizadas a lo largo de
la organizacin, para aumentar la eficacia (cumplir objetivos) y la eficiencia (proporcin
costo/beneficio ptima) de los procesos y controles de seguridad para brindar ms beneficios a la
organizacin y a sus partes interesadas. Una organizacin puede mejorar continuamente la
eficacia de su sistema de gestin a travs del uso de la poltica de continuidad de negocio, los
objetivos, los resultados de auditoras, el anlisis de eventos controlados, los indicadores, las
acciones correctivas y preventivas y la revisin por la direccin (ISO 22301: 2012).

35

En conclusin ISO 22301 no es tan diferente de la BS 25999 en la mayora de los aspectos ms

importantes de la continuidad del negocio, como el anlisis del impacto y la estrategia o la planificacin.
Los principales cambios se encuentran en la parte de gestin de la norma ISO 22301, ya que esta sita
ms nfasis en la comprensin de los requisitos, el establecimiento de los objetivos y en la medicin del
desempeo. Por lo tanto, ser aceptada ms fcilmente por la alta gerencia que, al mismo tiempo,
contribuir con la aceptacin ms generalizada de esta norma, como ISO 27001, ISO 9001 o ISO 14001.
2.4

Buenas Prcticas para la elaboracin de un Plan de Continuidad de Negocio

Entre los documentos que existen en el mercado para apoyo a la elaboracin de un Plan de continuidad
del negocio, se cuenta con Buenas Prcticas elaboradas por instituciones con reconocimiento a nivel
mundial. Las buenas prcticas para la continuidad del negocio ms actuales se comentan a continuacin:
2.4.1

Gua de Buenas Prcticas (GPG)

La Gua de buenas prcticas de Continuidad de Negocio o conocido internacionalmente como Good

Practice Guidelines (GPG) del Business Continuity Institute (BCI), entrega entre otras cosas una
introduccin sobre lo que significa contar con un Plan de Continuidad de Negocio, cuales son los
beneficios de tener implementado un Plan de Continuidad de Negocio en la organizacin y la relacin que
hay entre el BCP y otras disciplinas especialistas (BCI, 2010).
Adems el BCI considera de gran importancia la analoga que existe entre Gestin de riesgos y la
Gestin de Continuidad de Negocio a travs de la siguiente Tabla N 2.5:
Tabla N 2.5: Cuadro comparativo de la Gestin de Riesgos v/s Gestin de Continuidad de Negocio.
Gestin de Riesgos

Gestin de Continuidad de Negocio

Mtodos Claves

Anlisis de Riesgo.

Anlisis de impacto en el Negocio.

Parmetros Claves

Impacto y probabilidad.

Impacto y tiempo.

Tipo de incidente

Todo tipo de eventos, aunque

por lo general segmentados.

Eventos que causan interrupciones significativas en el

Negocio.

Todos los tamaos de eventos,

aunque por lo general
segmentados.
Se centran principalmente en la
gestin de los riesgos para los
principales objetivos de negocio.

Las estrategias estn previstas para hacer frente a los

incidentes que amenazan la supervivencia, pero
puede manejar cualquier tamao de incidente.
Se centran principalmente en la gestin de incidencias
en su mayora fuera de las competencias bsicas de
la empresa
Eventos repentinos o de rpida respuesta (aunque
tambin puede ser apropiado si el incidente que se
arrastra es severo).

Tamao de los
eventos
Alcance

Intensidad

Todos, de gradual a repentino.

Fuente: BCI, 2010.

36

La Gestin de Riesgos es una administracin holstica de todos los riesgos importantes. Simplificando, es
la vista e identificacin de riesgos a travs de toda la organizacin y los pasos que son tomados para
manejar dichos riesgos (ESCALERA, 2011).
La Gestin de la Continuidad de Negocio por su parte es una iniciativa administrativa continua, que
incluye polticas y procesos ligados a los objetivos estratgicos de la organizacin, para prepararse
profesionalmente con el fin de sobrevivir a interrupciones y continuar o reanudar operaciones de negocio
diarias, especialmente en eventos considerados por la organizacin como desastres (ESCALERA, 2011).
La Gua de buenas prcticas menciona algunos componentes que forman una parte muy importante
dentro del Plan de Continuidad de Negocio, estos, se muestran en la siguiente Tabla N 2.6:
Tabla N 2.6: Componentes de la Gua de buenas prcticas
Gua de Componentes

Preguntas a contestar

Introduccin
Precursores
Propsito
Conceptos y supuestos

Qu hay que hacer antes de esto?

Por qu tenemos que hacer esto?
Qu se va a lograr?
Qu es lo que tenemos que entender?
Qu suposiciones estamos haciendo?

Procesos

Qu tenemos que hacer?

Mtodos y tcnicas

Cules son las herramientas que necesitamos para hacerlo?

Resultados y entregables

Qu debe producir?

Revisar

Cundo se debe hacer?

Fuente: BCI, 2010.

Como se puede observar en la Tabla N 2.6, la GPG est estructurada de forma consciente, cada una de
las secciones, responde a un cuestionamiento especfico, de esta forma, al integrar los componentes:
introduccin, precursores, alcance, conceptos, procesos, mtodos y tcnicas, entregables y revisiones, se
obtiene un documento completo en su contenido y fcil de entender.
La gua est formada por seis secciones identificadas como:
1) Poltica de BCP y Programa de Administracin. La Poltica de Continuidad de Negocio es un
instrumento general para cumplir los objetivos, son los mecanismos puntuales para que funcione
bien una actividad de la empresa, adems sin polticas no existe un rumbo claro en la
organizacin, es decir se navega sin gua y sin rumbo fijo, los puntos que toca principalmente van
enfocados a (BCI, 2010):

Asegurar que el programa de BCP est alineado a los objetivos y cultura de la organizacin.

Establecer el alcance del Plan de continuidad del negocio.

Identificar roles y responsabilidades.

37

2) Entendimiento de la organizacin. Est seccin responde a las preguntas: cules son los
objetivos de la organizacin? y cmo alcanza la organizacin sus objetivos? Las respuestas a
estas preguntas se obtienen mediante el BIA (Anlisis de Impacto al Negocio), el cual adems
ayuda a identificar (BCI, 2010):

Funciones operativas como servicio al cliente, ventas y produccin.

Funciones de soporte Tecnologas de informacin, Recursos humanos y servicios externos.

Estrategias como administracin, proyectos y planeacin.

3) Determinando la estrategia de continuidad del negocio. En vez de esperar a que un desastre

golpee a la organizacin para ver cmo esta se recupera, las medidas preventivas deben ser
aplicadas con el objetivo de incrementar la fortaleza de sus actividades frente a posibles impactos
previamente identificados en el BIA. En esta fase se habla de la importancia de contar con un
sitio alterno que se encuentre a una hora de distancia del edificio principal. Para comenzar con
esta seccin, se utiliza como entrada, el resultado del BIA, en el, se identifican los tiempos
objetivos de recuperacin (RTO por sus siglas en ingles) de las actividades crticas y se
determinan los recursos que posee la organizacin para poner en prctica el Plan de Continuidad
de Negocio (BCI, 2010).
4) Desarrollo e implementacin de responsabilidades. Es muy importante definir las
responsabilidades de cada participante, antes, durante y despus de la contingencia. Con esto se
logra que en un estado crtico dnde la situacin se torne difcil, los participantes tengan una idea
de lo que deben hacer para apoyar que la operacin se lleve de forma adecuada. Cmo
principales objetivos, esta fase busca obtener (BCI, 2010):

Procedimientos de clasificacin de incidentes dentro de la organizacin.

Comunicacin con socios del negocio.

Planes de trabajo para las actividades que fueron interrumpidas.

5) Probar, dar mantenimiento y revisin del programa de continuidad del negocio. Algunos de
los objetivos que persiguen las auditorias son: validar el cumplimiento de la organizacin sobre
los estndares y polticas existentes, verificar que los incidentes de las pruebas sean resueltas y
verificar que se le est dando mantenimiento continuo al Programa de Continuidad del Negocio.
Para las pruebas, debe formularse un plan de pruebas, en el cul se identifiquen cada uno de los
recursos necesarios para poder dar continuidad a los procesos crticos. Estos recursos pueden
ser: el personal designado a cada actividad, telefona, tecnologa, entre otros (BCI, 2010).

38

6) Desarrollando una cultura de continuidad del negocio en la organizacin. La finalidad de la

elaboracin de un Plan de Continuidad del Negocio se debe a la necesidad de que los empleados
estn sensibilizados a que la organizacin es vulnerable, como todas las dems, a sufrir algn
tipo de incidente que tenga como consecuencia, la interrupcin de la operacin normal (BCI,
2010).
2.4.2

Centro de Operaciones de Emergencia (EOC)

Adems de los estndares existentes, tambin se encuentra el Disaster Recovery Journal (DRJ), que es
una editorial dedicada totalmente al estudio de desastres, as como ayudar a determinar las estrategias
ms adecuadas para su prevencin o solucin. Por la importancia que tiene el Centro de Operaciones de
Emergencia, conocido internacionalmente como Emergency Operations Center (EOC) o denominado
tambin como sitio alterno, es necesario tomarlo en cuenta para la metodologa que propone este trabajo
de grado (DRJ, 2012).
En el caso de que una amenaza llegue a materializarse, el EOC apoya a la continuidad de las
operaciones de la empresa. El documento publicado por DRJ, marca los lineamientos que deben
cumplirse para activar un Centro de operaciones para la Continuidad del Negocio, las funciones que
tendr la organizacin en caso de declararse el estado de contingencia y de esta forma puede ser una
ayuda para el ITDR (Information Technology Disaster Recovery), pues se pueden tomar de l tips sobre
los requerimientos de tecnologa que pueda tener el negocio e identificar de que forma el rea de
Sistemas, en base a los recursos con los que cuenta, puede apoyar a las reas del negocio (DRJ, 2012).
Adicionalmente el EOC proporciona las siguientes funciones (DRJ, 2012):

Provee un punto central de contacto.

Ayuda a llevar un orden para hacer vlido el rbol de llamadas.

Registro de llamadas entrantes y salientes.

Recopilacin de informacin crtica.

Identificacin de recursos.

Informe a los directivos clave del estatus de la situacin.

Llevar un control sobre el contacto que se tenga con el Grupo de Recuperacin de Tecnologa.

Establecer una estrategia de comunicacin y notificacin del estatus de la contingencia en la

organizacin hacia todo el personal de la empresa, clientes, proveedores, entidades regulatorias,
medios de comunicacin, etc.

Como llevar adecuadamente un registro de las operaciones.

Preparacin para la recuperacin.

39

Emergency Operations Center, es un documento que puede ayudar en gran medida a fortalecer el ITDR
detallando cada una de las tareas realizadas en caso de una contingencia en el sitio alterno o
simplemente en las pruebas del ITDR.
2.4.3

Prcticas Generalmente Aceptadas (GAP)

Disaster Recovery Institute International (DRII) junto a Disaster Recovery Journal (DRJ), definen
lineamientos para la planeacin de las operaciones del negocio. Estos publican las Prcticas
Generalmente Aceptadas o conocidas internacionalmente como Generally Accepted Practices (GAP) que
define ciertos puntos para cada fase del ciclo de vida del BCP, los cuales se presentan a continuacin
(DRII, DRJ, 2007):

Iniciacin y Administracin del proyecto. En esta fase se definen las necesidades, el alcance
y las metas del Plan de continuidad de negocio, se define la Poltica de continuidad de negocio,
se identifica el comit que apoyar al equipo de continuidad de negocio, se determina el costo del
proyecto, se definen los requerimientos para la capacitacin del personal y se identifica a que
estndares internacionales se alinear el BCP (DRII, DRJ, 2007).

Evaluacin del riesgo y controles. Identificar todos los riesgos que pueden implicar una
interrupcin a las operaciones del negocio, sean naturales, humanos o tecnolgicos. Identificar la
probabilidad de que ocurra el evento (DRII, DRJ, 2007).

Anlisis de impacto al negocio. Se deben identificar las funciones y procesos crticos as como
el impacto financiero provocado por la interrupcin de las operaciones (DRII, DRJ, 2007).

Desarrollo de las estrategias de Continuidad. Estas estrategias son de vital importancia, pues
consisten en identificar las alternativas de recuperacin de las operaciones en los marcos de
tiempo definidos, realizando una analoga con el cuerpo humano ests son como el corazn del
BCP, puesto que permitirn salvar vidas y minimizar o evitar un impacto negativo en el negocio a
causa de una crisis o desastre. Identificar los recursos financieros y humanos con los que se
cuentan para el proyecto y en base a esto, determinar la estrategia que mejor apoye al Plan
(DRII, DRJ, 2007).

Respuesta de Emergencia y operaciones. Identificar a socios y colaboradores de la

organizacin con todos sus datos para poder localizarlos en cualquier momento. De esta fase se
deriva el rbol de llamadas que indica quin le notifica a quin sobre la situacin en un escenario
de contingencia (DRII, DRJ, 2007).

Desarrollo e implementacin de los planes de Continuidad de Negocio. De acuerdo con las

Prcticas generalmente aceptadas, se deben plasmar todas las soluciones y pasos a abordar en
un plan de contingencias, el cual contendr todas las actividades que permitirn el
restablecimiento de las actividades crticas en plazos razonables, en esta fase se documentan
todas las etapas para reanudar los procesos claves (DRII, DRJ, 2007).

40

Programas de Sensibilizacin y formacin. Desarrollar un plan de capacitacin del personal,

identificando para cada miembro la capacitacin necesaria segn el rol que desempea y
analizar las opciones corporativas con las que se cuenta para poder implementar la capacitacin
(DRII, DRJ, 2007).

Mantenimiento y pruebas de los Planes de Continuidad de Negocio. En esta fase se solicita

desarrollar un calendario de mantenimiento a los planes y definir los escenarios en los cuales se
debe actualizar (DRII, DRJ, 2007).

Coordinacin con las autoridades pblicas. Identificar las autoridades locales y regionales que
revisarn la documentacin que se desarrollarn e implementarn (DRII, DRJ, 2007).

Estos puntos son de gran apoyo ya que mencionan detalles especficos que los estndares BCI y
BS 25777 mencionan de forma superficial. Lo que contribuye a incrementar el nivel de efectividad del
Plan de Continuidad de Negocio.
2.5

Propuesta de anlisis financiero de ORACLE

Esta metodologa es de gran utilidad para identificar la ventaja o desventaja de implementar un plan. Para
el caso del Plan de Continuidad de Negocio es importante tomar en cuenta los nmeros que facilitan el
poder ver si es viable implementar el Plan o no. Oracle ha desarrollado una teora con referencia al
Anlisis Financiero para la Administracin de Continuidad del Negocio.
Miguel Palacios (2009) de Oracle comenta sobre la importancia que tiene conocer el costo del Downtime
(tiempo de inactividad), para definir la estrategia del BCP y que para comenzar el proceso de
cuantificacin del impacto financiero se debe hacer una clasificacin entre los impactos tangibles e
intangibles.
Clasificacin de los impactos (PALACIOS, 2009):

Tangibles:
o

Reduccin de la productividad.

Prdida en la produccin.

Prdida de ventas.

Prdida de clientes.

Frustracin de los empleados.

Penalidades de los organismos reguladores.

Intangibles:
o

Impacto negativo en la reputacin.

Prdida de oportunidades.

41

Moral de los empleados.

Impacto en el valor de las acciones.

A continuacin se explica en detalle la propuesta de Oracle para la elaboracin del Anlisis Financiero.
Costo de prdida de productividad (P)
A = Costo anual de empleados.
B = Nmero de empleados.
C = Promedio de das trabajados por ao.
D = Promedio de horas trabajadas por persona por da.
E = Nmero de horas de Downtime.
F = Nmero de empleados afectados.

( )

(2.2)

La Frmula anterior es una herramienta que puede apoyar a identificar el costo que genera para la
empresa el que la operacin normal se descontine. Este tema es de gran importancia para las
organizaciones y que muy pocas veces se estudia, debido a que se considera poco probable que ocurra
(PALACIOS, 2009).
Teniendo en cuenta que el Programa de Continuidad de Negocio es un tema proactivo, es necesario
estudiar a fondo las prdidas que se pueden generar en caso de con contar con este programa. Esto, con
la finalidad de conocer los nmeros y prevenir una prdida financiera grave.
Valor de prdida por ventas (S)
G = Ingreso por ventas anuales.
H = Nmero total de ventas por ao.
I = Nmero estimado de prdidas de ventas por ao.

( )

( )

(2.3)

En la primera frmula se analiz la prdida por horas de trabajo prdidas. En esta segunda frmula se
analiza la prdida por ventas, que tambin es importante tomar en cuenta para el anlisis financiero
(PALACIOS, 2009).

42

Costo de Recuperacin de Servicio (R)

J = Trabajo de horas de soporte de TI.
k = Costo hora de personal de soporte.

( )

(2.4)

Costo Estimado de Downtime (T)

( )

(2.5)

Para el caso del Plan de Continuidad de Negocios es importante elaborar un estimado de lo que costar
la recuperacin de la operacin. Esto, con la finalidad de identificar la viabilidad y/o conveniencia de
implementar el Plan de Continuidad de Negocio para la operacin analizada.

43

3.
3.1

DISEO METODOLGICO
Tipo de Investigacin

Segn el anlisis y alcance de los resultados, esta investigacin es de carcter exploratoria ya que el
objetivo es examinar un tema o problema poco conocido del cual se puede inferir la posibilidad de
continuar el estudio para profundizarlo o crear nuevas investigaciones a partir de la existente, en este
caso es la creacin de un nuevo Modelo de Plan de Continuidad de Negocio.
3.2

Mtodos y Tcnicas de Investigacin

El mtodo utilizado para esta investigacin fue el uso de los mtodos tericos, los cuales crean las
condiciones para ir ms all de las caractersticas superficiales de la realidad, explicar los hechos y
profundizar en las relaciones esenciales y cualidades fundamentales de los procesos no observables
directamente. La tcnica utilizada para la investigacin es la documental, puesto que sirve para consultar
diferentes libros u otras fuentes a fin de obtener informacin en torno a las problemticas que se plantean
en el presente trabajo de grado.
3.3

Metodologa para la elaboracin del Modelo Integral de BCP

Las siguientes actividades han sido elaboradas, basadas principalmente en el ciclo de vida del plan de
continuidad del negocio (Figura N 2.1) presentada en la norma BS 25999 y combinada adems con la
ISO 22301, debido a que esta norma es reconocida internacionalmente y puede ser certificable, se ha
escogido adoptar esta estructura, para que en el futuro las empresas que opten por realizar su
implementacin del Plan de Continuidad de Negocio basados en este trabajo de grado, puedan cumplir
con las auditorias de certificacin de estas instituciones. Adems se han incluido los puntos fuertes de
otros estndares y buenas prcticas para la continuidad del negocio, con esto se busca obtener una
mejor comprensin y una mejor adaptabilidad a la cultura organizacional chilena.
Para comprender de una forma ms clara la propuesta metodolgica, se presenta a continuacin en la
Figura N 3.1, el planteamiento de las actividades a seguir en la elaboracin de la propuesta
metodolgica que plantea este trabajo de grado, adems en las pginas siguientes se presenta cada uno
de sus pasos y tcnicas utilizadas para su creacin.

Anlisis de la situacin actual referente a modelos utilizados a nivel mundial.

A travs de una investigacin exploratoria, se consult diferentes fuentes bibliogrficas, como: textos,
revistas, libros e internet, para identificar las ventajas, desventajas y fortalezas que poseen las distintas
metodologas existentes a nivel mundial.

44

Actividades necesarias para disear, implementar y mantener un BCP en Chile.

Planificacin y Poltica de Continuidad de Negocio:

Determinar los compromisos que debe adoptar la Direccin: anlisis comparativo de ISO
22301, ITIL y GAP, ya que estos poseen informacin slida, de los cuales se han extrado los
puntos ms fuertes y que adems se adapten a la cultura organizacional chilena, en donde por
ejemplo las obligaciones se deben entregar de una forma impersonal y formal.
Fijar cmo designar a un coordinador de continuidad de negocio: se ha estudiado la cultura
organizacional chilena, para que el lder que sea designado est parametrizado bajo las
cualidades y/o caractersticas laborales de los trabajadores chilenos, adems se ha estudiado
sobre liderazgo.
Determinar la documentacin que debe considerarse como evidencia para el BCP: para
determinar la documentacin que debe considerarse como evidencia, se ha replicado en su
totalidad la documentacin exigida por la norma ISO 22301 y el estndar britnico B25999.
Precisar las principales caractersticas que debe poseer la Poltica de Continuidad de
Negocio: anlisis con las metodologas que presentan informacin de mayor calidad en cuanto
al tema tratado, estas son: Gua de buenas prcticas, Prcticas generalmente aceptadas, BS
25999 e ISO 22301, tomando como base las metodologas anteriormente mencionadas se
procedi a resumir y destacar los puntos ms importantes que debe contener un Poltica de
Continuidad de Negocio
Establecer cmo se debe planificar el BCP: para establecer el cmo se debe planificar el BCP
se realiz un estudio sobre Administracin de Proyectos para as determinar los componentes
ms relevantes del plan de trabajo que debe realizar el coordinador o equipo de continuidad al
momento de implementar un BCP.

Comprensin de la Organizacin y Anlisis de Riesgos:

Determinar cmo se debe realizar un estudio que permita conocer y comprender la

organizacin en su totalidad: anlisis de contenidos de las metodologas que presentan
informacin de mayor calidad: el estndar BS 25999 y la Gua de Buenas Prcticas tomando
como base las metodologas anteriormente mencionadas se procedi a resumir y destacar los
puntos ms importantes que debe contener el estudio.
Definir como se debe realizar un Anlisis de Impacto al Negocio (BIA): anlisis de las
diferentes metodologas expuestas en el marco terico, de las cuales se obtuvo lo mejor de cada
una referente al BIA, siendo las siguientes metodologas aquellas que posean informacin de
mayor calidad: Practicas Generalmente Aceptadas, estndar BS 25999, ISO 27002, anlisis
financiero de Oracle e ISO 22301.

Medidas Preventivas:

Explicar cmo se debe realizar un plan de accin, que contempla las tareas que la
compaa pretende adoptar para prevenir contingencias: anlisis de los estndares para
obtener lo mejor de cada uno, estas son: GPG, ITIL, GAP, NFPA 1600, ISO 27002 e ISO 22301.

Estrategias de Recuperacin:

Establecer cmo deben realizarse las estrategias de recuperacin para las actividades
crticas de la organizacin: profundo anlisis de las metodologas y buenas prcticas para un
BCP, de estas se obtuvieron las mejores estrategias y recomendaciones.

Definicin de responsabilidades y desarrollo de los Planes de Contingencia:

Establecer cmo se deben definir los cargos o los equipos necesarios para la activacin
del Plan de Contingencia: estudio principalmente de la Gua de las buenas practicas (GPG), ya
que esta posee un tem con bastante informacin referente a los roles que deben existir en la
activacin y ejecucin de los planes de contingencia ante situaciones crticas
Determinar cmo se deben documentar los planes de contingencia: anlisis comparativo de
BS 25999, BS 25777, ITIL, NFPA 1600, GAP, ISO 27002 y EOC, ya que estos poseen
informacin slida respecto a los planes de contingencia, de los cuales se han extrado los
puntos ms fuertes, para facilitar su comprensin y eficacia.

45

Pruebas, revisin y mantenimiento del BCP:

Precisar cmo se deben realizar las pruebas, revisiones y actualizaciones del BCP: se ha
estudiado principalmente la ISO 22301, el estndar BS 25999 y la Gua de las Buenas Practicas,
ya que estos poseen mayor informacin y de mejor calidad, referente a las pruebas y el
mantenimiento que debe tener un BCP.

Anlisis de la cultura de la organizacional chilena y la incorporacin de la cultura de BCP a sta.

Se analizaron y evaluaron las caractersticas principales de la cultura organizacional chilena con el fin de
identificar y aprovechar aquellas positivas y tratar de evitar las negativas, adems se realiz un anlisis
de contenidos de las diferentes metodologas expuestas en el marco terico, las metodologas que
presentan informacin de mayor calidad en cuanto al tema tratado son: Gua de buenas prcticas, el
estndar BS 25999 y la ISO 22301, tomando como base estas metodologas se procedi a resumir y
destacar los puntos ms importantes que debe contener un programa de cultura, que logre en el
personal una plena concientizacin sobre la importancia que posee el Plan de Continuidad de Negocio
para la Organizacin.

Propuesta metodolgica para la implementacin de un Plan de Continuad de Negocio en Chile.

Figura N 3.1: Metodologa para la elaboracin de un Modelo Integral de BCP.

Fuente: Elaboracin propia.

A continuacin se presenta en detalle la metodologa para desarrollar el Modelo Integral de BCP:

3.3.1

Anlisis de la situacin actual referente a modelos utilizados a nivel mundial.

A travs del anlisis, sntesis, induccin y deduccin, de acuerdo con la informacin recopilada en el
marco terico, se ha logrado proporcionar un conocimiento verdadero sobre la realidad en cuanto a lo
que es un Plan de continuidad de negocio y como se puede implementar y mantener, en donde se
analizaron las metodologas utilizadas a nivel mundial en la actualidad para implementar un BCP, con el
objetivo de extraer lo mejor de cada una e identificar cules son las actividades necesarias para
mantener e implementar un BCP.
3.3.2

Planificacin y Poltica de Continuidad de Negocio.

Compromiso de la Direccin

Para determinar los compromisos necesarios que debe adoptar la Direccin, con el fin de conseguir una
implementacin ptima y adecuada del Plan de continuidad de negocio, se realiz un anlisis
comparativo de ISO 22301, ITIL y GAP, ya que estos poseen informacin solida respecto al compromiso

46

de la Direccin, de los cuales se han extrado los puntos ms fuertes y que adems se adapten a la
cultura organizacional chilena, en donde por ejemplo para la cultura organizacional chilena las tareas y
obligaciones se deben entregar de una forma impersonal y formal.

Designar un Coordinador de Continuidad de Negocio

Con el fin de establecer cmo se debe designar a un coordinador de continuidad de negocio se ha

estudiado la cultura organizacional chilena, para que el lder que sea designado est parametrizado bajo
las cualidades y/o caractersticas laborales de los trabajadores chilenos, como por ejemplo la importancia
de la delegacin de autoridad y toma de decisiones, con lo cual se busca obtener que los colaboradores
se sientan parte de la empresa y como un recurso valioso para la misma, adems se ha estudiado sobre
liderazgo, para comprender que es el liderazgo y como se puede medir, con el fin de hacer una seleccin
de la persona ms idnea que ha de ocupar el cargo de Coordinador del Plan de Continuidad de
Negocio.

Documentacin del BCP

Para determinar la documentacin que debe considerarse como evidencia y que es un recurso altamente
valioso para cumplir con las auditorias, se ha replicado en su totalidad la documentacin exigida por la
norma ISO 22301 y el estndar britnico B25999.

Elaborar la Poltica de Continuidad de Negocio

Para determinar las principales caractersticas que debe poseer la Poltica de Continuidad de Negocio, se
realiz un anlisis de contenidos de las diferentes metodologas expuestas en el marco terico, en donde
se pudo obtener un filtro con las metodologas que presentan informacin de mayor calidad en cuanto al
tema tratado, estas son: Gua de buenas prcticas, Prcticas generalmente aceptadas, BS 25999 e ISO
22301, tomando como base las metodologas anteriormente mencionadas se procedi a resumir y
destacar los puntos ms importantes que debe contener un Poltica de Continuidad de Negocio.

Establecer la planificacin del BCP

Para establecer el cmo se debe planificar el BCP se realiz un estudio sobre Administracin de
Proyectos para as determinar los componentes ms relevantes del plan de trabajo que debe realizar el
coordinador o equipo de continuidad al momento de implementar un BCP.
3.3.3

Comprensin de la Organizacin y Anlisis de Riesgos

Comprensin de la Organizacin

47

Para determinar cmo se debe realizar un estudio que permita conocer y comprender la organizacin en
su totalidad, se realiz un anlisis de contenidos de las diferentes metodologas que presentan
informacin de mayor calidad en cuanto al tema tratado, estas son: el estndar BS 25999 y la Gua de
Buenas Prcticas tomando como base las metodologas anteriormente mencionadas se procedi a
resumir y destacar los puntos ms importantes que debe contener el estudio.

Anlisis de Impacto al Negocio (BIA por sus siglas en ingls)

Para la construccin de la propuesta de cmo se debe confeccionar un BIA, se realiz un anlisis de las
diferentes metodologas expuestas en el marco terico, de las cuales se obtuvo lo mejor de cada una
referente al BIA, siendo las siguientes metodologas aquellas que posean informacin de mayor calidad:
Practicas Generalmente Aceptadas, estndar BS 25999, ISO 27002, anlisis financiero de Oracle e ISO
22301.
3.3.4

Medidas Preventivas

Para explicar cmo se debe realizar un plan de accin, que contempla las tareas que la compaa
pretende adoptar para prevenir y evitar en la medida de lo posible los riesgos que impactan la
disponibilidad de las operaciones, se realiz un anlisis comparativo de las metodologas que poseen
informacin ms slida respecto a las medidas preventivas que puede ejecutar la organizacin, con el fin
de obtener lo mejor de cada una, estas son: GPG, ITIL, GAP, NFPA 1600, ISO 27002 e ISO 22301.
3.3.5

Estrategias de Recuperacin

Para establecer cmo deben realizarse las estrategias de recuperacin para las actividades crticas de la
organizacin, se ha hecho un profundo anlisis de las metodologas y buenas prcticas para un BCP, de
estas se obtuvieron las mejores estrategias y recomendaciones.
3.3.6

Definicin de responsabilidades y desarrollo de los Planes de Contingencia.

Definir los cargos o los equipos necesarios para la activacin del Plan de Contingencia

Para establecer cmo se deben definir los cargos o los equipos necesarios para la activacin del Plan de
Contingencia se hecho un estudio principalmente de la Gua de las buenas practicas (GPG), ya que esta
posee un tem con bastante informacin referente a los roles que deben existir en la activacin y
ejecucin de los planes de contingencia ante situaciones crticas.

Desarrollar Planes de Contingencia

Para determinar cmo se deben documentar los planes de contingencia, se realiz un anlisis
comparativo de BS 25999, BS 25777, ITIL, NFPA 1600, GAP, ISO 27002 y EOC, ya que estos poseen

48

informacin solida respecto a los planes de contingencia, de los cuales se han extrado los puntos ms
fuertes, para facilitar su comprensin y eficacia.
3.3.7

Pruebas, revisin y mantenimiento del BCP

Para establecer el cmo deben realizarse las pruebas, revisiones, actualizaciones y poder de este modo
prevenir que los documentos realizados queden obsoletos con el paso de los aos, se han estudiado las
metodologas y estndares presentes en el marco terico, basndose principalmente en la ISO 22301, el
estndar BS 25999 y la Gua de las Buenas Practicas, ya que estos poseen mayor informacin y de
mejor calidad, referente a las pruebas y mantenimientos que debe tener un BCP.
3.3.8

Anlisis de la cultura organizacional chilena y la incorporacin de la cultura de BCP a sta.

Para determinar cmo se debe incorporar el BCP la cultura de la organizacin, se analizaron y se

evaluaron las caractersticas principales de la cultura organizacional chilena con el fin de identificar y
aprovechar aquellas positivas y tratar de evitar las negativas, adems se realiz un anlisis de contenidos
de las diferentes metodologas expuestas en el marco terico, las metodologas que presentan
informacin de mayor calidad en cuanto al tema tratado son: Gua de buenas prcticas, el estndar BS
25999 y la ISO 22301, tomando como base estas metodologas se procedi a resumir y destacar los
puntos ms importantes que debe contener un programa de cultura, que logre en el personal una plena
concientizacin sobre la importancia que posee el Plan de Continuidad de Negocio para la Organizacin.

49

4.

RESULTADOS Y ANLISIS

De acuerdo al Marco metodolgico planteado en el captulo 3, se presenta a continuacin el Modelo para

la implementacin de un Plan de continuidad de Negocio en Chile, la cual se detalla a continuacin.
4.1

Anlisis de la situacin actual referente a modelos utilizados a nivel mundial.

A continuacin se presenta la Tabla N 4.1, que muestra el resultado del anlisis hecho sobre las
metodologas existentes a nivel mundial, en el cual se comparan los elementos ms importantes que
desarrollan y se identifican los puntos ms fuertes que tocan cada una de ellas, para implementarlas en
el Modelo de Plan Continuidad de Negocio, segn lo que se ha estudiado se puede observar lo siguiente:
Tabla N 4.1: Comparacin de los elementos utilizados por cada metodologa.

Elementos

Metodologa
BS
25999

Administracin
BCP.
Anlisis de
Riesgos.
Anlisis para
entender lo que
compone la
organizacin.
Estrategia para
la continuidad
de negocio.
Administracin
de Incidentes.
Plan
Recuperacin
T.I.
Plan de
Pruebas.
Plan de
Mantenimiento
del BCP.
Desarrollar la
cultura de BCP
Poltica BCP.
Programa de
Capacitacin.
Acuerdos de
Servicio con los
proveedores.
Poltica de
Seguridad de la
informacin.
Contratacin de
seguros.

BS
25777

x
x

GPG

ITIL

x
x

x
x

EOC

GAP

NFPA
1600

ISO
27002

ISO
22301

ORACLE

x
x

x
x

x
x

x
x

x
x

Fuente: Elaboracin propia.

50

Lo anterior facilita observar de una forma ms rpida el enfoque que poseen las distintas metodologas,
con el fin de obtener lo mejor de cada una y agregar lo que se considere pertinente. Adems en la Tabla
anterior N 4.1, se puede observar que el BS 25999 junto a la ISO 22301 cuentan con un enfoque ms
generalizado sobre lo que es un BCP, desarrolla ms puntos sobre lo que es necesario para llevar a cabo
una buena prctica, por lo cual pueden servir para formar la estructura general de la metodologa y de
acuerdo con esto obtener de cada uno de los otros estndares mencionados, el punto que tienen ms
fortalecido.
A continuacin se presenta la Tabla N 4.2, que contiene las ventajas y desventajas de los estndares,
metodologas y buenas prcticas para emprender un Modelo de Plan de Continuidad de Negocio.
Tabla N 4.2: Ventajas y desventajas de los estndares, metodologas y buenas prcticas.

Estndares,
Metodologas y
Buenas Prcticas
BS 25999

BS 25777

ITIL

Ventajas

Orientada a la Gestin de la Continuidad

del Negocio.
Establece un marco para crear y mejorar
un sistema de gestin de continuidad de
servicios en los Sistemas de TI.
Gua de buenas prcticas destinadas a
facilitar la entrega de servicios de TI de
alta calidad abarcando la infraestructura,
desarrollo y operaciones de TI.

NFPA 160

Manejo de Desastres/Emergencias y
Programas de Continuidad del Negocio.

ISO 27002

Orientada a la Gestin de la Seguridad de

la Informacin.

ISO 22301

GPG

EOC

GAP

Orientada a la Gestin de la Continuidad

del Negocio con ms ms nfasis en la
comprensin de los requisitos, el
establecimiento de los objetivos y en la
medicin del desempeo.
Promociona normas en materia de
competencias profesionales, tica de las
prestaciones, mantenimiento de servicios
y planificacin de la continuidad de
negocios.
Marca los lineamientos que deben
cumplirse para activar un Centro de
operaciones de emergencia para la
Continuidad del Negocio.
Desarrolla una base de conocimientos en
la planificacin de contingencias y el
manejo de riesgos. Administra los
principales programas de certificacin de la
industria.

Desventajas

Contempla parcialmente el tema de

Recuperacin ante desastres de TI
(Tecnologas de la Informacin).
Contempla parcialmente el tema de
Continuidad del Negocio, se usa el
estndar BS 25999 como complemento.
Contempla la mayora de los procesos
relacionados con la continuidad del
servicio, no tiene un enfoque integrado de
todo el proceso.
Dirigido a Tcnicos y profesionales
encargados del control y seguridad contra
incendios.
Contempla parcialmente el tema de
Recuperacin ante desastres de TI en la
Continuidad del Negocio.
Menos prescriptiva que la normas
britnicas, lo que deja una puerta abierta a
interpretaciones por parte de las
organizaciones que aplican la norma, as
como por parte de los auditores.
Comprende parcialmente el tema de
Recuperacin ante desastres de TI.
Contempla la mayora de los procesos
relacionados con la continuidad del
servicio, no tiene un enfoque integrado de
todo el proceso.
Estudia parcialmente el tema de
Recuperacin ante desastres de TI en la
Continuidad del Negocio.

Fuente: Elaboracin propia.

51

En conclusin, de ITIL por ser una biblioteca reconocida en los servicios de informacin, puede apoyar la
parte de servicios de IT para la propuesta ya que tiene varios apartados donde se contemplan la mayora
de los procesos relacionados con la garanta de la continuidad del servicio, pero no tiene un enfoque
integrado de todo el proceso. El EOC definitivamente toca un punto relevante en la Administracin de
Continuidad de Negocio, es decir, el centro de operacin. La norma BS 25777, contiene una gua que
establece cmo abordar la gestin de la continuidad de servicios de una organizacin, siguiendo el marco
de referencia de la norma BS 25999, sistema de gestin de continuidad del negocio.
4.2

Actividades necesarias para disear, implementar y mantener un Plan de Continuidad de

Negocio (BCP) en Chile.

4.2.1

Planificacin y Poltica de Continuidad de Negocios

En esta fase, y tras haber obtenido el soporte y las inversiones necesarias, la empresa que decide
abordar un plan de continuidad de negocio lo primero que debe hacer es averiguar qu se va a hacer y
por qu. A continuacin se presentaran las actividades a realizar para comenzar con la implementacin
de un Plan de Continuidad de Negocio.

Compromiso de la Direccin

El Compromiso de la Direccin se refiere a las obligaciones y responsabilidades que adquiere la alta

direccin en el desarrollo y la implementacin del Plan de Continuidad de Negocio.
Obligaciones o compromisos mnimos que debe adoptar la Direccin:

Asegurarse que las polticas y objetivos son establecidos.

Asegurar la integracin del BCP con los procesos de negocio.

Asegurar que los recursos necesarios para el BCM estn disponibles.

Comunicar la importancia del BCP.

Asegurar que se logre el resultado esperado.

Nombrar las personas competentes para ser responsables de la implementacin del BCP y
dotarlas de la autoridad apropiada.

Direccionar y dar soporte a las personas que contribuyen a la efectividad del BCP.

Promover la mejora continua.

Definir los criterios de aceptacin del riesgo y los niveles aceptables de riesgo.

Participar activamente en los ejercicios y pruebas.

Asegurar que las auditoras internas del BCP son realizadas.

Conducir las revisiones administrativas del BCP.

52

Designar un Coordinador de Continuidad de Negocio

El coordinador o el equipo deben trabajar con la direccin para identificar el alcance y los objetivos que
persigue el plan, as como las actividades de negocio que son crticas en la organizacin.
Adicionalmente, el perfil o perfiles de las figuras encargadas de la gestin de la continuidad de negocio
no tiene que estar forzosamente localizado en las reas de tecnologa y sistemas (derivado de la idea
generalizada de que los procesos de continuidad de negocio estn constituidos principalmente por
componentes tecnolgicos), lo ms importante es que posea una visin integral de la organizacin.
El coordinador de Continuidad de Negocio debe poseer:
o

Habilidades de Liderazgo, para desarrollar un ambiente participativo y cooperativo.

Buenas relaciones interpersonales.

Capacidad analtica.

Buena comunicacin verbal y escrita.

Orientacin al logro.

Trabajo en equipo.

Capacidad de delegar autoridad y toma de decisiones.

Capacidad de autogestin.

Adems se presenta a modo de recomendacin utilizar el modelo elaborado por James Kouzes y Barry
Posner (2007), para evaluar el comportamiento del liderazgo en las organizaciones y as identificar al
miembro del equipo que posea ms capacidades de liderazgo frente al grupo para ser designado luego
como Coordinador del Plan de Continuidad de Negocio. El anlisis del liderazgo se lleva a cabo por
medio de la evaluacin de cinco comportamientos:
o

Desafiar los procesos: El lder se hace responsable de los riesgos que conllevan los procesos
administrativos y operativos, adems de la dinmica interna y externa que juegan los procesos.

Inspirar una visin compartida: Se refiere a la imaginacin apasionante del lder sobre
escenarios futuros.

Habilitar a los dems a que acten: Esta caracterstica se refiere a la facultad del lder para
desarrollar un ambiente participativo y cooperativo, haciendo del equipo de trabajo, compaeros
pro-activos.

Modelar el camino: Se refiere a una alta jerarqua de valores y de igual forma una alta
moralidad. Coloquialmente podra decirse: El lder predica con el ejemplo.

Dar aliento con el corazn: Es un comportamiento transaccional integrado en el Inventario de

las prcticas de liderazgo. Este comportamiento se refiere a la retroalimentacin positiva que el
lder da a los seguidores, reconociendo pblicamente las contribuciones individuales y
celebrando los logros del equipo.

53

Sumado a lo anterior, se propone que para aquellas organizaciones que constituyen un equipo de
continuidad de negocio, se conforme principalmente por personal que pertenezca o conozca las
diferentes actividades del negocio (tecnologa y sistemas, financiero, comercial, recursos humanos, etc.),
ya que los riesgos y amenazas varan en funcin de dicha actividad y deben ser absolutamente
identificados y priorizados.

Documentacin del BCP

Documentos que debe considerarse como evidencia segn lo establecido por el estndar BS 25999 y el
estndar ISO 22301:
o

Poltica de Continuidad de Negocio.

Material que contenga los trminos de referencia para que el personal identifique los trminos
claves.

Anlisis de riesgos de la organizacin.

Anlisis de Impacto al Negocio (BIA) de cada una de las reas consideradas como rea clave.

Identificacin de los recursos con los que cuenta la organizacin para el programa de BCP.

Programa de Capacitacin para que cada persona tenga perfectamente definidas las tareas que
debe realizar una vez declarada la contingencia..

Programa de concientizacin. Al inicio del ao se define un plan de concientizacin para los

empleados referente al BCP. Con ello se busca que los colaboradores tengan conocimiento de
las acciones que la organizacin lleva a cabo para estar preparado y reaccionar en caso de una
contingencia, as como las acciones en las que se necesita de su participacin y que se tenga
claramente definida la importancia de las tareas de cada colaborador.

Plan de Administracin de Incidentes. El Plan debe tener los detalles sobre la forma en que los
equipos deben trasladarse al sitio alterno. Los nmeros de contacto de las instituciones que se
necesite contactar en un escenario de contingencia.

Contratos con terceras partes. Es necesario tener un Acuerdo de Nivel de Servicios (SLA) con
cada una de las empresas que brindan algn servicio, para as asegurar que en caso de
contingencia, sigan proporcionando el servicio.

Plan de Recuperacin de Tecnologa en caso de Desastre (DRP por sus siglas en ingls). Para la
Continuidad de Negocio es importante contar con un Plan para la recuperacin de tecnologa
actualizado al da, pues es el soporte principal del BCP.

Segn el alcance del Plan de Continuidad de Negocio en cada empresa, depender el nmero de
documentos del listado anterior que apliquen a cada caso, de cualquier forma es indispensable elaborar
todos los que convengan a la eficiencia del BCP, en los siguientes puntos se describe y se explica cmo
se deben realizar las tareas anteriormente mencionadas.

54

Elaborar la Poltica de Continuidad de Negocio

La poltica de continuidad de negocio debe ser apropiada para los propsitos de la organizacin adems
debe estar documentada, comunicada, disponible y se deben definir los tiempos para su revisin. Esta
poltica tiene que establecer las directrices generales del Plan de continuidad de negocio, como su
alcance, lineamientos y objetivos de la gestin, principales roles y responsabilidades.
A continuacin se muestran los puntos que debe contener una Poltica de Continuidad de Negocio, para
que permita conocer con ms exactitud el enfoque que con frecuencia es aplicado a la elaboracin de la
misma:
o

Introduccin: En la que se detalle de forma resumida la materia tratada (Plan de Continuidad de

Negocio), la estructura del documento y lo que se persigue a travs del mismo.

Objetivos: En este apartado se detallan los objetivos que sern satisfechos mediante la
aplicacin de la propia poltica, como garantizar la continuidad de las actividades y de los
servicios, aplicar los procedimientos de contingencia y planes de respuesta necesarios, etc.

Alcance: Indica los procesos u operaciones de negocio que son cubiertos por la poltica, as
como los recursos que soportan los citados procesos. Si aplica, tambin puede llegar a
considerarse la zona geogrfica sujeta a las instrucciones marcadas por la poltica.

Responsabilidades: Relacin de los diferentes responsables implicados de una forma u otra en

la gestin de la continuidad de negocio (gerencia, coordinador, equipo, reas de negocio,
proveedores de servicio, etc.) junto con una descripcin detallada de sus funciones y
obligaciones (gestin de riesgos, asignacin y distribucin de los recursos, desarrollo de
procedimientos de respuesta, realizacin de pruebas peridicas, formacin, etc.).

Establecer la planificacin del BCP

La organizacin debe planificar, implementar y controlar el proceso necesario para alcanzar los
requerimientos. Finalmente el coordinador o equipo de continuidad, debe aplicar sus habilidades en
gestin de proyectos, para programar y desarrollar los siguientes componentes del plan de trabajo: tareas
a llevar a cabo para satisfacer los objetivos descritos en la poltica de continuidad, responsables de
ejecutar tales tareas, tiempos de ejecucin, hitos, presupuestos, plazos e indicadores de xito.
4.2.2

Comprensin de la Organizacin y Anlisis de Riesgos

Comprensin de la Organizacin

Esta fase tiene el propsito de identificar los servicios y productos que la organizacin tiene
comprometido entregar a sus clientes, en esta fase, se definen tambin las actividades necesarias para

55

llevar a cabo ese objetivo. Los recursos necesarios disponibles en la organizacin que permitan entregar
los servicios y productos a los clientes correspondientes en tiempo y forma.
Como primer paso para llevar a cabo la implantacin del proceso de Continuidad de Negocio es
necesario realizar un estudio detallado de la organizacin, que muestre la situacin en la que se
encuentra en el momento anterior a la implantacin del BCP. El estudio debe mostrar:
o

Tamao de la organizacin.

Sector en el que se llevan a cabo las negociaciones.

Estructura funcional de la compaa.

Objetivos de la organizacin.

Procesos realizados en cada una de las reas que forman la organizacin.

Personal que trabaja en la organizacin y los que participaran en el BCP.

Activos y recursos con los que cuenta la organizacin para el cumplimiento de los objetivos.

Interdependencias con otras compaas, entre reas, procesos y actividades.

Despus del anlisis de la organizacin, en el cual se tengan plenos conocimientos de los puntos listados
anteriormente, se puede proceder a llevar a cabo el Anlisis de Impacto al Negocio, que se detalla en el
punto siguiente.

Anlisis de Impacto al Negocio (BIA por sus siglas en ingls)

El BIA identifica en cada rea, los procesos crticos que se realizan, as como los recursos tcnicos,
financieros y tecnolgicos necesarios para poder realizarlos y nmero de empleados que apoyan a cada
proceso. En el BIA se debe identificar el impacto que ocasionara, no realizar el proceso en x nmeros
de das o de horas.
Para la elaboracin del Anlisis de Impacto al Negocio puede utilizarse la herramienta o formato que ms
se adapte a las necesidades de la organizacin, a continuacin se muestra la propuesta de este
documento:
a) Identificacin de las actividades crticas
Luego de conocer en plenitud la organizacin y posterior a su anlisis se procede a la identificacin de
las actividades crticas, para ello es necesario que las empresas realicen el esfuerzo de identificar y
valorar el impacto que podra tener en la organizacin si una actividad se paralizase, as como el tiempo
de interrupcin que puede ser soportado por la organizacin hasta que las prdidas no sean asumibles
(tiempo mximo permitido de interrupcin o MTD por sus siglas en ingls).
Para definir el impacto que tendra la no ejecucin de cierta actividad, se puede asignar una escala de
valores a los siguientes factores:

56

Impacto en el bienestar de los empleados.

Dao o prdida de la informacin.

Incumplimiento de las normas legales.

Dao de la reputacin.

Daos a la viabilidad financiera.

Deterioro de la calidad del servicio o producto.

Dao ambiental.

Otorgndole valores ms altos a los factores que la organizacin considere ms importantes de

salvaguardar y viceversa. Para luego sumar los valores y poder as obtener informacin cuantitativa, que
resultar ser de ms fcil observacin y comparacin.
Una vez identificadas todas las actividades crticas se sugiere utilizar una Tabla como la del Anexo A, que
permita visualizar todas las actividades crticas de una forma rpida.
b) Tiempos de recuperacin
Ya identificadas las actividades crticas de la organizacin, debe elaborarse una priorizacin de las
mismas con la finalidad de identificar las que deben recuperarse primero en caso de una contingencia,
para lo cual es necesario estimar dos parmetros muy especficos que estn estrechamente relacionados
con la recuperacin: Tiempo de Recuperacin Objetivo (RTO) y Punto de Recuperacin Objetivo (RPO).
El RTO establece la urgencia que las diferentes unidades de negocio precisan para volver a su
funcionamiento habitual. Por tanto, determina los plazos en los que deben volver a funcionar con
normalidad. Estos pueden establecerse en perodos de tiempo en funcin de la criticidad de los procesos
y pueden ser cuestin de horas o semanas en aquellos procesos prescindibles. Por tanto, se trata de
identificar el orden en que hay que tratar de reconstruir la actividad, recuperando antes aquellos procesos
cuya paralizacin suponen un mayor impacto para la organizacin. En una situacin de crisis siempre hay
recursos limitados y es necesario elegir qu hacer primero atendiendo a un criterio de negocio.
El RPO se refiere al punto ms reciente en el tiempo en el que los sistemas pueden ser recuperados,
reflejando por tanto cunta es la cantidad de informacin que una organizacin puede permitirse perder
sin que le afecte negativamente. Por tanto, el RPO determina la periodicidad con la que deben
salvaguardarse los datos para todos aquellos procesos de negocio.
c) Costo de Downtime
Para calcular el costo de Downtime de cada actividad crtica que aporta como indicador en la priorizacin
de las mismas, se sugiere utilizar el modelo de anlisis financiero de ORACLE, que se presenta a
continuacin:

57

Costo de prdida de productividad (P)

A= Costo anual de empleados.
B= Nmero de empleados.
C = Promedio de das trabajados por ao.
D = Promedio de horas trabajadas por persona por da.
E = Nmero de horas de Downtime.
F = Nmero de empleados afectados.

( )

(4.1)

Valor de prdida por ventas (S)

G = Ingreso por ventas anuales.
H = Nmero total de ventas por ao.
I = Nmero estimado de prdidas de ventas por ao.

( )

(4.2)

( )

Costo de Recuperacin de Servicio (R)

J = Trabajo de horas de soporte de TI.
k = Costo hora de personal de soporte.

( )

(4.3)

Costo Estimado de Downtime (T)

( )

(4.4)

El nmero resultante indica la prdida financiera por materializarse el incidente analizado. Tomando en
cuenta el resultado, la organizacin determina si el impacto es tan alto como para implementar medidas
para evitarlo e integrarlo as al BCP.

58

d) Criticidad
En cuanto a la criticidad se puede clasificar de la siguiente manera:

Crticos:

Funciones que pueden realizarse slo si las capacidades se reemplazan por otras idnticas.

No pueden reemplazarse por mtodos manuales.

Muy baja tolerancia a interrupciones.

Vitales:
o

Pueden realizarse manualmente por un periodo breve.

Costo de interrupcin un poco ms bajos, slo si son restaurados dentro de un tiempo

determinado (5 o menos das, por ejemplo).

Sensitivos:
o

Funciones que pueden realizarse manualmente por un periodo prolongado a un costo

tolerable.

El proceso manual puede ser complicado y requerira de personal adicional.

No crticos:
o

Funciones que pueden interrumpirse por tiempos prolongados a un costo pequeo o nulo.

Finalmente se presenta una Tabla N 4.3, en cual se puede observar un ejemplo de cmo pueden ser
registradas las actividades de la organizacin en base a los parmetros anteriormente descritos.
Tabla N 4.3: Registros de las actividades.

Nombre de la
Actividad

Descripcin

MDT

RTO

RPO

Costo de
Downtime

Impacto

Criticidad

1
2
3
4
Fuente: Elaboracin propia.

Evaluacin de Riesgos

Se ha de elaborar un anlisis detallado de las situaciones que pueden ocasionar una interrupcin a las
operaciones del negocio, se estudia las amenazas a la organizacin, as como la evaluacin de los
impactos que pudiera provocar cada actividad y la probabilidad de que ocurra una situacin de este tipo.
Se sugiere utilizar un mapa como el que se muestra a continuacin en la Figura N 4.1, dnde se ubiquen
los riesgos encontrados con la finalidad de identificar visualmente la situacin de la organizacin.

59

Probabilidad de Ocurrencia

A
B

Severidad:

I Severo
II Mayor
III Moderado
IV Mnimo

D
E

Probabilidad:
A
B
C
D
E
F

Muy Alto
Alto
Ocasional
Bajo
Muy Bajo
Casi Imposible

F
IV

III

II

Severidad / Categora del efecto del Peligro

Figura N 4.1: Mapa para anlisis de riesgos y categoras para evaluar.
Fuente: Elaboracin propia.

El mapa para anlisis de riesgos representa la ubicacin en la que se encuentran los escenarios propios
de la organizacin que se est evaluando para la implantacin de un Plan de Continuidad de Negocio.
La evaluacin de los escenarios va relacionada a la severidad y probabilidad que se tenga sobre la
contingencia estudiada. Para el anlisis se debe realizar una categorizacin de los riesgos, para ello es
necesario estudiar las vulnerabilidades de que ocurran riesgos naturales, tecnolgicos y/o humanos. A
continuacin se presenta una Tabla N 4.4 con la categorizacin de los riesgos.
Tabla N 4.4: Categorizacin de los Riesgos

Categora de Riesgo

Descripcin

Subcategora de Riesgo

Riesgo Externo.

Los riesgos resultan de eventos

externos a la empresa, directa o
indirectamente a la compaa.

Proveedor, desastre natural.,

legislacin y regulacin, fraude
externo, actividad criminal.

Riesgo por empleados.

El riesgo resulta de los errores de

empleados.

Personal clave, habilidades,

capacidades, relaciones entre
empleados, discriminacin.

Riesgos por sistemas.

Los riesgos resultan del inadecuado

o falla de la infraestructura de
sistemas de la compaa.

Hardware, software, interfaces,

redes, comunicaciones,
seguridad.

Los riesgos que resultan de los

inadecuados procesos internos.

Transacciones, diseo de
procesos, procesos, datos
internos, datos externos, cambio
de proyectos, productos
defectuosos, servicio al cliente.

Riesgo por procesos.

Fuente: Elaboracin Propia.

60

En Tabla anterior N 4.4, se identifican las categoras de riesgos que pueden aparecer en el anlisis de
riesgos, el cual llevar a tomar medidas para prevenir los riesgos que as lo permitan y tomar medidas
correctivas para aquellos que no es posible evitar.
Con los resultados del Anlisis de Riesgos, se busca identificar medidas para implementar que:
o

Disminuyan la probabilidad de ocurrencia del incidente.

Acorten el perodo del incidente.

Limiten el impacto en caso de no poder evitar que ocurra el incidente.

Para llevar a cabo el Anlisis de Riesgos puede servir de apoyo una Tabla que permita depositar los
datos sobre las vulnerabilidades de la organizacin, cmo la Tabla N 4.5 que se muestra a continuacin.
Tabla N 4.5: Anlisis de Riesgos.

ID

Amenaza

Riesgo

Severidad

Probabilidad

Categora

Impacto

Escenario

N Consecutivo
Fuente: Elaboracin propia.

La tabal anterior N 4.5, sirve para mostrar los datos que deben registrarse en el anlisis de riesgos,
estos son: la amenaza que identifica la organizacin, los riesgos de que ocurra, la severidad que tendra
en la organizacin, probabilidad de que el evento suceda, categoras, impacto que tendra sobre la
operacin y/o seguridad de la informacin y el escenario que se desatara.
A continuacin se presenta una Tabla N 4.6 con la descripcin de los campos mencionados.
Tabla N 4.6: Descripcin de los Campos.

Campo
ID
Amenaza
Riesgo
Severidad

Descripcin
N de la vulnerabilidad
Vulnerabilidad o situacin que afecta a una aplicacin, servicio o servidor que se est
evaluando.
Descripcin del riesgo detectado en el anlisis. Todo evento, falla o bien que ponga en peligro
la integridad. Confidencialidad o disponibilidad de la informacin o los recursos activos.
Medida de severidad del Riesgo
I- Severo
II- Mayor
III- Moderado
IV- Mnimo

61

Probabilidad

Categora

Impacto

Es la probabilidad de ocurrencia del evento que se est tomando en cuenta para las amenazas
y vulnerabilidades predominantes. Se utiliza la siguiente escala:
A: Muy Alto
La situacin se presenta 1 vez o ms al ao.
B: Alto
La situacin se presenta 1 vez entre 1 y 3 aos.
C: Ocasional
La situacin se presenta 1 vez entre 3 y 5 aos.
D: Bajo
La situacin se presenta 1 vez entre 5 y 10 aos.
E: Muy Bajo
La situacin se presenta 1 vez entre 10 y 30 aos.
F: Casi imposible , la situacin se presenta 1 vez en ms de 30 aos.
Riesgo Externo.
Riesgo por empleados.
Riesgo de sistemas.
Riesgo por procesos.
Efecto potencial de una falla de seguridad, teniendo en cuanta sus consecuencias en el
negocio.
Fuente: Elaboracin propia.

Para completar la Tabla es recomendable lo siguiente:

Jerarquizar la probabilidad basada en las situaciones ocurridas en los aos pasados, para la severidad e
impacto, es necesario tomar en cuenta el dao a la marca, impacto por incumplimiento, adems de la
cantidad de prdida de ingresos.
Con la informacin almacenada en la Tabla 4.5, se procede a graficar y queda un mapa dnde se
visualiza la probabilidad que tiene la organizacin de sufrir algn riesgo, a modo de ejemplo este se
puede observar en la Figura N 4.2:
Vulnerabilidad
Probabilidad de Ocurrencia

A
2

5
C

F
IV

III

II

Severidad / Categora del efecto del Peligro

Figura N 4.2: Ejemplo de visualizacin de riesgos en la Organizacin.
Fuente: Elaboracin propia.

62

Finalmente lo que se debe obtener en esta fase una vez realizado todas las actividades anteriores es:
o

Entender la organizacin mediante la identificacin de productos y servicios claves, as como las

actividades y recursos crticos que los soportan.

Estimar el impacto y las consecuencias de los posibles fallos en esas actividades y recursos
crticos.

Y por ltimo, identificar y valorar los riesgos que podran interrumpir la entrega de los productos y
servicios de la empresa, as como de los recursos sobre los que estn soportados.

4.2.3

Medidas Preventivas

El propsito de esta fase consiste en aplicar medidas de seguridad que eviten en la medida de lo posible
que se produzcan incidentes que, al no ser gestionados adecuadamente, hagan necesaria la activacin
del Plan de Continuidad de Negocio.
Tomando como base los resultados del BIA y del anlisis de riesgos, la organizacin debe identificar y
aplicar controles o medidas de seguridad que:
o

Reduzcan la probabilidad de que las actividades crticas sufran interrupciones.

Disminuyan el tiempo de una eventual interrupcin.

Limiten el impacto que una paralizacin de las actividades crticas pueda provocar en la
organizacin.

Incrementen la fortaleza del negocio mediante la eliminacin de puntos de fallo nicos

(accesos, procesos, clientes, etc.)

De esta forma se elabora un plan de accin que contempla las tareas que la compaa pretende
adoptar para prevenir y evitar en la medida de lo posible los riesgos que impactan en la disponibilidad de
las operaciones. Finalmente el proceso de identificar e implantar medidas de seguridad debe estar
basado en un equilibrio entre los siguientes factores:
o

Riesgo que est siendo mitigado o impacto que estara siendo reducido.

Costo de implementar la/s medida/s de seguridad (econmico y humano).

Beneficios que la implementacin de la/s medida/s de seguridad que aporta a la empresa.

Por lo tanto, en vez de esperar a que un desastre golpee a la organizacin para ver cmo esta se
recupera, las medidas preventivas (en ocasiones denominadas contramedidas) deben ser aplicadas con
el objetivo de incrementar la fortaleza de sus actividades frente a posibles impactos previamente
identificados en el BIA. Algunos ejemplos de medidas preventivas ms comunes son:

63

Empleo de materiales de construccin robustos.

Redundancia de sistemas informticos y lneas de comunicacin.

Adquisicin de seguros con diferentes grados de cobertura.

Copias de seguridad de informacin que soporta una actividad crtica de la organizacin.

Sistemas de deteccin y extincin de incendios.

Sistemas de prevencin de intrusiones, control de accesos, alarma y vigilancia.

A continuacin se presenta una Tabla N 4.7 con algunos ejemplos de medidas preventivas, que
proporcionan una proteccin ante los riesgos que puede sufrir una organizacin, y que cuya
ocurrencia se puede atenuar instrumentando controles adecuados.
Tabla N 4.7: Ejemplos de medidas preventivas.

Riesgo
Interrupcin
elctrica.

Fallos en
Hardware.

Fallas en
Software.
Fallas en
Comunicaciones.
Desastres
naturales.

Incendio.

Fallas en
Respaldos.

Virus

Medidas Preventivas

Fuentes alternas de generacin elctrica: UPS y plantas elctricas.

Mantenimiento de las fuentes alternas de generacin elctrica.
Estado de la instalacin elctrica y capacidad elctrica instalada.
Lmparas de emergencia.
Equipo de cmputo utilizado y obsolescencia.
Capacidad de redundancia entre servidores.
Monitoreo de problemas en los servidores.
Contratos de mantenimiento preventivo y correctivo.
Condiciones fsicas y ambientales (limpieza, humedad, temperatura).
Desarrollo local de aplicaciones (metodologas/ estndares).
Cambios y configuracin en aplicaciones.
Trascendencia de los sistemas incluidos en el estudio.
Soporte tcnico de los equipos utilizados.
Mantenimiento preventivo y correctivo de los equipos de comunicacin.
Plizas de seguro vigentes.
Brigadas de atencin ante situaciones de emergencia.
Capacitacin al personal.
Rutas de evacuacin.
Iluminacin de pasillos, puertas y salidas de emergencia.
Plizas vigentes de seguro.
Sistemas automticos y manuales contra incendio (gabinetes, extintores, aspersores).
Uso de materiales retardantes del fuego.
Almacenamiento de material combustible.
Detectores de humo revisados regularmente.
Procedimientos para respaldo y recuperacin de informacin, fuentes, objetos,
documentacin, y configuracin de los sistemas.
Periodicidad de los respaldos.
Facilidades y proteccin para el almacenamiento dentro y fuera de sitio.
Configuracin de los discos duros de los servidores.
Documentacin actualizada sobre procedimientos de respaldo y recuperacin.
Programa antivirus instalado en computadoras y servidores.
Configuracin y actualizacin del software antivirus.
Consultas regulares de fuentes de informacin para actualizaciones sobre virus.
Capacitacin al personal para identificar potenciales fuentes de ataque de virus.
Polticas para el ataque de virus.

64

Violaciones a la
Seguridad fsica.

Intrusin
(Hackeo).

Recurso Humano.

Seguridad fsica para el ingreso al edificio, oficinas y cuartos de servidores y equipos

de comunicacin.
Capacitacin al personal para detectar situaciones que puedan representar riesgo o
cuestionar la presencia de personas desconocidas o sin identificacin.
Sistemas de seguridad: circuitos cerrados de televisin, sensores de movimiento,
alarmas.
Revisin y control de salida e ingreso de equipo de cmputo.
Utilizacin de bitcoras para el registro de ingresos.
Procedimientos establecidos para otorgamiento de acceso a las aplicaciones y
polticas de acceso lgico.
Procedimientos establecidos para el acceso a los recursos tecnolgicos (redes y
aplicaciones).
Administracin y configuracin de firewalls.
Monitoreo de los accesos tanto legtimos como ilegtimos.
Disponibilidad de herramientas para el monitoreo de la seguridad.
Dependencia en el personal.
Capacitacin.
Documentacin de las funciones del personal.
Fuente: Elaboracin Propia.

4.2.4

Estrategias de Recuperacin

Derivado de los resultados del BIA, el objetivo perseguido en esta fase consiste en identificar las
alternativas de recuperacin de las actividades crticas de la organizacin en los marcos de tiempo
definidos y aceptados. La organizacin debe tener en cuenta los posibles daos potenciales a la hora de
revisar y seleccionar las diferentes soluciones o alternativas de recuperacin de sus actividades crticas,
considerando adicionalmente los siguientes factores:
o

El costo asociado al establecimiento de la estrategia, la cual suele constituir uno de los

mayores inconvenientes a la hora de adquirir una solucin de recuperacin.

Los beneficios que proporciona la citada estrategia.

El Tiempo Mximo Permitido de Interrupcin (MTD) de la actividad crtica.

El Tiempo de Recuperacin Objetivo (RTO).

La prdida mxima de informacin que una empresa se puede permitir (RPO).

A continuacin se presenta la Tabla N 4.8, en la cual se pueden observar ejemplos de estrategias

de recuperacin.
Tabla N 4.8: Ejemplos de estrategias de recuperacin.

Recurso crtico

Objetivo

Personas que
participan en las
actividades de
negocio.

Mantener el conocimiento y las

capacidades del personal con
funciones y responsabilidades en
actividades crticas.

Instalaciones y
Puestos de trabajo.

Reducir el impacto que genera la falta

de disponibilidad de las instalaciones
de trabajo.

Estrategias de recuperacin
Documentar actividades crticas.
Formacin.
Conocimiento compartido y
multidisciplinario.
Separacin de tareas claves.
Instalaciones alternativas.
Acuerdos recprocos.
Teletrabajo.

65

Tecnologa.

Entender el entorno tecnolgico que

soporta las actividades crticas y
mantener la capacidad para replicarlo
en caso de desastre.

Informacin y
Documentacin.

Garantizar la proteccin y recuperacin

de la informacin vital para la
organizacin.

Proveedores.

Identificar y mantener un inventario de

proveedores de servicios claves que
soportan las actividades crticas.

Accionistas y
Socios.
Servicios civiles de
emergencia (trfico,
bomberos).

Proteger los intereses de socios y

accionistas afectados por un desastre.
Garantizar que la organizacin conoce
los procedimientos de los servicios de
emergencia.

Redundancia de equipos y comunicaciones.

Mantenimiento de la misma tecnologa en
diferentes ubicaciones.
Copias de software crtico.
Copias de seguridad.
Procedimientos de recuperacin.
Documentacin de activacin del Plan de
Continuidad.
Contacto con proveedores alternativos.
Acuerdos con terceros.
Envo y almacenamiento de recursos
crticos en ubicaciones alternativas.
Acuerdos que garantizan el bienestar de los
colectivos involucrados en el desastre.
Recomendaciones de rutas de evacuacin y
puntos de reunin.
Participacin en simulacros.

Fuente: Elaboracin propia.

En este sentido, es importante destacar los siguientes aspectos con respecto a la seleccin de las
estrategias de recuperacin:
o

La eleccin de las diferentes alternativas de recuperacin depende de las necesidades de

la organizacin: tiempos de recuperacin objetivo (RTO), costos, recursos humanos,
recursos tcnicos, etc.

Lo ms comn y recomendable es adoptar una combinacin de las estrategias de

recuperacin para los distintos recursos crticos.

El tiempo de recuperacin objetivo (RTO) definido por la organizacin para sus actividades
crticas siempre debe ser menor al tiempo mximo permitido de interrupcin (MTD).

El costo de las estrategias de recuperacin ser generalmente mayor cuanto menor sea el
tiempo de recuperacin objetivo (RTO).

Segn los criterios previamente detallados, y teniendo en cuenta la formalidad de los resultados del
proceso BIA, se recomienda una seleccin de las estrategias de continuidad debidamente documentada
para cada actividad crtica. Dicha seleccin debe ser acordada y ratificada con el director o el nivel
directivo de la empresa. Adems, es necesario destacar que las estrategias de recuperacin
seleccionadas para cada actividad deben ser acordes a los Tiempos de Recuperacin Objetivo (RTO)
previamente definidos y aprobados .En paralelo, es aconsejable disear una planificacin para la puesta
en marcha de la estrategia acordada para determinar el aprovisionamiento de los recursos.
Recomendaciones para la elaboracin de las estrategias de recuperacin
Las estrategias de recuperacin deben considerar los siguientes recursos:

66

Personal: Es necesario definir la mejor estrategia para mantener las principales habilidades y
conocimiento necesario para dar continuidad a las operaciones del negocio, informacin para
proveedores, administracin y retencin de conocimiento. Se sugiere tener un Plan de
capacitacin para el personal, el cual permite identificar visualmente cuales son las tareas que la
organizacin llevar a cabo con el personal a lo largo de un tiempo determinado. El Plan de
Capacitacin debe identificar capacitacin para empleados de nuevo ingreso, para las reas
tcnicas y para las reas comerciales.

Instalaciones: En esta seccin se debe verificar que las instalaciones alternas permitan llevar a
cabo las actividades que apoyen a las operaciones de la organizacin, estas instalaciones
alternas deben contar con la infraestructura necesaria que permita continuar con la operacin a
un nivel aceptable. Para otro tipo de escenario puede tomarse la medida para trabajar desde
casa o va remota. Las instalaciones alternas con las que cuente la organizacin van a depender
directamente del presupuesto que posea la organizacin para el Plan de Continuidad de Negocio.
Si se ha de contar con un proveedor para dar el servicio de Instalaciones de trabajo alterno este
debe cumplir al menos con los siguientes puntos:

Estar ubicado a 50 km de las instalaciones principales.

Ubicarse en una zona segura, de preferencia evitar que se encuentre cerca de fbricas o
industrializadoras.

Tener experiencia en el tema de Continuidad del Negocio.

Para elegir el proveedor que ms se acerque a los requerimientos de la organizacin es

conveniente llevar a cabo un concurso, en el que se entrevisten las diferentes opciones y se
compare la oferta de cada uno con la finalidad de elegir la propuesta que mejor se adecue a las
necesidades de la organizacin.
o

Informacin: Se debe verificar que se posea la informacin necesaria para dar continuidad a las
operaciones del negocio, esta informacin debe cumplir con las caractersticas de seguridad
indispensables, integridad, disponibilidad y confidencialidad aunque se est en las instalaciones
alternas. Como parte de las estrategias de informacin, y siendo este tema muy sensible, es
necesario tomar elaborar respaldos de la informacin. Tambin como medida se seguridad
adicional, los respaldos pueden resguardarse en una bveda especial para resguardo de
respaldos, actualmente existen proveedores que brindan este servicio, por lo que es
recomendable realizar un exhaustivo anlisis de los proveedores existentes para elegir el que
ms convenga a las necesidades de la organizacin.

Tecnologa: La tecnologa va a depender del tipo de operacin que realice normalmente la

organizacin, lo que se debe verificar es que la tecnologa que se tenga, sea suficiente para
poder llevar a cabo la operacin a un nivel aceptable en un escenario de contingencia. Para esta

67

estrategia se debe elegir la infraestructura segn las necesidades y el presupuesto de la

organizacin. Para una mejor implementacin de la estrategia de Tecnologa se sugiere elaborar
Inventarios de todo lo que tenga que ver con Tecnologa, en el inventario es necesario indicar la
criticidad que cada elemento represente para la operacin de la organizacin, Los inventarios que
se sugieren son sobre: Sistemas de Informacin Crticos, Hardware de Redes, servidores,
usuarios y comunicaciones, Software y relaciones entre cada uno de estos elementos, con la
finalidad de tener una visin de lo que se tiene en la organizacin como lo sugiere ITIL.
Adicionalmente se recomienda tener un inventario de lo mnimo necesario en materia de
tecnologa para Restaurar la Operacin a un nivel aceptable en un escenario de contingencia.
Este inventario debe estar contemplado en el anlisis financiero para el Programa de Continuidad
del Negocio.
o

Registros Vitales: Adems de la tecnologa, de la informacin y del personal que apoyar en la

continuidad de la operacin, es necesario tomar en cuenta algunos recursos necesarios para que
las tareas puedan realizarse, como:

Hojas membretadas.

Formatos necesarios para llevar a cabo alguna tarea.

Documentos que fueron entregados algn da y que se necesiten para el trabajo diario.

Documentos legales como contratos de los proveedores.

Todos estos ejemplos son identificados como registros vitales. Para contar con ellos en un
escenario de contingencia, dnde lo ms factible es continuar con la operacin en un sitio alterno,
se debe asegurar que los registros vitales estn disponibles. Algunas de las recomendaciones
para solucionar este requerimiento son:

Contratar los servicios de un proveedor especializado en este tema.

Tener instalaciones alternas que sirvan como bveda para el resguardo de este tipo de
recursos, actualmente existen en el mercado proveedores encargados de este tema.

Proteccin Civil: Esta estrategia presenta afinidad con la NFPA 1600. La organizacin debe
tener la capacidad de dar la seguridad necesaria a sus empleados an, en caso de contingencia,
para ello es necesario contar con capacitacin en tema de proteccin civil. Actualmente existen
organizaciones especializadas en preparar equipos de trabajo para proteccin civil dentro de las
organizaciones. Para este punto, se sugiere organizar un equipo que este encargado de esta
tarea dentro de la organizacin y que reciba capacitaciones de un proveedor especialista en el
tema.

68

4.2.5

Definicin de responsabilidades y desarrollo de los Planes de Contingencia

En esta fase, es necesario situar todas las soluciones, estrategias y pasos en un solo plan. Es decir, una
vez que las estrategias han sido definidas, deben ser documentadas y puestas en marcha por los
encargados de la continuidad de negocio de la organizacin. As los esfuerzos pasan de una fase de
planificacin a una fase de accin e implementacin en la que se pretende gestionar la respuesta a
incidentes y asegurar la continuidad de las actividades crticas.

Definir los cargos o los equipos necesarios para la activacin del Plan de Contingencia

La composicin y el nmero de cargos o equipos que intervienen en la ejecucin del plan pueden variar
en funcin del tamao de la organizacin y de su estrategia de recuperacin. Es posible destacar
funciones claves que sern llevadas a cabo por los responsables (personas o equipos, dependiendo del
tamao y de los recursos de la empresa) de la activacin y ejecucin del Plan de Continuidad de
Negocio:
o

Respuesta a incidentes: Responsables de analizar y acotar el impacto que una incidencia

puede provocar en la organizacin de forma que no se tenga que recurrir a la activacin del Plan
de Continuidad de Negocio.

Comit de crisis: Encargado de activar el Plan de Continuidad de Negocio y dirigir las acciones
durante la contingencia.

Equipo de alerta: Comunicacin rpida y efectiva con los servicios civiles de emergencia
necesariamente localizables en caso de catstrofe (como por ejemplo los bomberos) que
generalmente constituyen la primera figura de respuesta.

Logstica: Responsable de reunir todos los medios (lugar alternativo de trabajo, material,
herramientas, etc.) necesarios para contribuir a la reactivacin de la actividad.

Recuperacin: Asume la recuperacin en servicio de la infraestructura tecnolgica (sistemas,

aplicaciones y lneas de comunicacin).

Relaciones pblicas: Responsable de las comunicaciones con clientes, accionistas, medios de

comunicacin, etc.

Esta designacin de funciones es semejante a las que se establecen en los planes de emergencia
encuadrados en la Ley de Prevencin de Riesgos Laborales (y sus correspondientes desarrollos
reglamentarios), en las que intervienen personas encargadas de poner en prctica diferentes medidas
como: gestionar las alertas para la accin de los equipos de primera intervencin, dar la alarma para
facilitar la evacuacin de los empleados, gestionar la coordinacin y la cooperacin entre los integrantes
de los diferentes equipos de emergencia, etc. Una vez que se han definido los cargos o equipos, as
como las funciones a desempear por los mismos, se deben desarrollar los planes o procedimientos de
contingencia a seguir.

69

Desarrollar los Planes de Contingencias Tecnolgicos

En el caso de que la contingencia tenga que ver tecnologas de informacin, se ha de disear un Plan de
Contingencias Tecnolgico o Disaster Recovery Plan (DRP), que contemple las definiciones,
responsabilidades y actividades que debe ejecutar el rea de Tecnologa para recuperar las aplicaciones
o servicios crticos ante escenarios de fallas tecnolgicos, permitiendo as la continuidad de las
operaciones. A continuacin se explica cmo desarrollar un plan de estas caractersticas:
Definicin de roles y responsabilidades del DRP:
Director del DRP:
o

Responsable por la vigencia y mantencin del DRP, respecto de los alcances, estrategia y
actualizacin de los procedimientos relacionados con la recuperacin de los servicios y
continuidad de los procesos.

Debe proveer los recursos para la capacitacin del personal involucrado, con el fin de contar con
personal entrenado adecuadamente para el cumplimiento de cada rol asignado en el
procedimiento.

Coordinador Tcnico DRP:

o

Encargado de coordinar las actividades tcnicas de recuperacin tecnolgica.

Debe actuar como observador durante la realizacin de pruebas, con el fin de detectar y corregir
deficiencias del DRP y como supervisor en el caso de activarse.

Debe velar porque los integrantes del DRP, cuenten con el entrenamiento y especializacin
tcnica necesarios para llevar a cabo correctamente las tareas de recuperacin de los servicios.

Debe detectar las necesidades de capacitacin y solicitar el entrenamiento respectivo.

Debe velar por la actualizacin y vigencia de los procedimientos tcnicos asociados al DRP
exigiendo a cada encargado el cumplimiento de esta obligacin.

Es responsable de mantener actualizados los procedimientos, el hardware y el software

requeridos para la recuperacin de los sistemas.

En caso de emergencia es responsable de activar la recuperacin de los sistemas habilitando

tanto el hardware como el software asociado.

Coordinador de Comunicaciones externas, internas y con proveedores:

o

Asume su rol durante la contingencia y es el encargado de la relacin con la contraparte tcnica.

Es el encargado de recoger y canalizar las inquietudes, liberando al grupo de coordinacin
tcnica de la obligacin de atender consultas o requerimientos, de tal manera de orientar sus
esfuerzos a dar cumplimiento cabal a las actividades descritas en el plan.

70

Desarrollar los Planes de Contingencias Operacionales

Los Planes de Contingencias Operacionales deben ser concisos, factibles y accesibles a todos aquellos
miembros que tienen algn tipo de responsabilidad dentro del plan. Los objetivos y el alcance de cada
uno de ellos deben ser documentados, fciles de leer y entender por todos los miembros implicados,
considerando:
o

Las actividades y recursos crticos que deben ser recuperados.

Los tiempos de recuperacin de dichas actividades y recursos.

En qu situacin o situaciones debe ser utilizado cada plan.

Informacin til para la gestin de la contingencia (telfonos, inventarios de proveedores,

servicios, direcciones, check list, etc.).

Adicionalmente, se deben detallar claramente las funciones y responsabilidades de los miembros que
forman parte activa del Plan de Continuidad de Negocio, as como el mtodo para activar o invocar el
mismo (bajo qu circunstancias?; quines activan el plan?; cmo es activado el plan?).
Adems de esto, en el Anexo B, se puede observar a modo de ejemplo un Plan de Contingencia
Operacional para una actividad crtica de una Institucin Financiera.
Recomendaciones
Para evitar prdidas de los planes de contingencias deben mantenerse copias de los mismos en
diferentes locaciones. Al menos una de estas locaciones debe estar alejada del lugar fsico en el que
principalmente se desarrollan las actividades crticas de la organizacin (oficinas o domicilios
particulares). Tambin es importante que el BCP est disponible para las personas que participan en el
Plan de Contingencias en diferentes formatos (incluyendo el electrnico y el soporte en papel).

4.2.6

Pruebas, revisin y mantenimiento del BCP

En esta fase se especifican los ejercicios que ms a ayuden a verificar la efectividad del Plan de
Continuidad de Negocio. Por tal motivo se debe disear un Plan de Prueba para cada actividad crtica del
BCP, un ejemplo de esto se puede observar en el Anexo C.
Sin importar el tipo de prueba, la repeticin y conjunto de actividades que la fundamentan, estas permiten
identificar detalles o situaciones que requieren atencin.
Es necesario demostrar la efectividad del BCP probando mediante ejercicios: los roles del personal clave,
capacidad de recuperacin, conocimiento y toma de decisiones en situaciones de crisis.

71

Las Pruebas y ejercicios se llevan a cabo con la finalidad de cumplir los siguientes objetivos:
o

Garantizar que la documentacin prevista para ser usada durante eventos o situaciones de crisis,
sea validada por la prctica y la evaluacin.

Mantener vigente la documentacin de Administracin de la Continuidad de Negocio creada en

las etapas del ciclo de vida del proceso de BCP.

Asegurar que los planes se ajusten a los objetivos del negocio, mediante prcticas, auditoras y
procesos de auto-evaluacin.

Cumplir con los requerimientos de los procesos clave del negocio (RTO y RPO).

Familiarizar a los equipos con el proceso de Pruebas de BCP.

Satisfacer los requerimientos legales y de auditoria interna.

En las diferentes Pruebas que se pueden realizar, se tienen las siguientes:

o

Prueba de escritorio: Esta prueba permite evaluar un plan sin necesidad de realizar la prueba
fuera del edificio, la cual debe realizarse de manera de verificar la consistencia del plan con
respecto a algn escenario de interrupcin. Adems permite validar los datos de los planes.

Prueba funcional: En esta prueba se evala la efectividad de los planes que integran el BCP,
recreando los procesos de negocio y la participacin de los usuarios desde un sitio alterno.

Ejercicio Completo: Permite evaluar la continuidad de las operaciones para un escenario de

desastre mayor en el cual se simulara un procesamiento desde el sitio alterno definido en la
estrategia de recuperacin. Este tipo de prueba permite validar todos los planes de contingencia
de manera integrada.

Una vez realizado el ejercicio o prueba, se deben documentar los resultados basados en los
cuestionarios de revisin y bitcoras de los participantes. Para este proceso es necesario ordenar todas
las evidencias recolectadas despus de la prueba o ejercicio y definir planes de accin para administrar
los problemas surgidos durante la prueba o ejercicio.
Se sugiere elaborar una reunin con los participantes de la prueba, en la que sea de fcil visualizacin a
travs de grficas comparativas entre resultados anteriores contra los actuales, o un anlisis entre los
requerimientos y los resultados de la prueba. Estos servirn para identificar reas de oportunidad.

Documentos que deben ser actualizados constantemente

El BCP contiene puntos importantes que deben ser actualizados constantemente, debido a la innovacin
que la organizacin va experimentando, ellos son:
o

Alcance del Plan: Con el transcurso de los aos, el alcance del BCP puede ampliarse, segn el
crecimiento de la organizacin.

72

Puntos del BCP alineados a las buenas prcticas: El programa de Continuidad de Negocio
puede modificarse, dependiendo del cdigo de buenas prcticas al cual est alineado, ya sea por
cambio de versin o por cambio de un cdigo a otro.

Plan de Pruebas: Al inicio del ao, se elabora el plan de pruebas anual del BCP, en el que se
definen los ejercicios que se pretenden realizar, con el pasar de los meses es necesario verificar
si ser posible llevar a cabo dichos ejercicios, en caso contrario, se debe actualizar el Plan de
Pruebas que se elabor al inicio del ao.

Roles y responsabilidades: Para el BCP se tiene identificada cierta parte del personal de la
organizacin que participa en ste, dependiendo del cambio de rol de las personas en la
operacin normal, debe actualizarse el BCP.

Cada uno de los documentos que han sido mencionados, deben ser actualizados cada vez que se
identifique un cambio, para que el Plan de Continuidad de Negocio sea eficiente, debe estar al da.

Actualizacin (ciclo de mejora continua)

Los planes de continuidad de negocio deben ser mantenidos a travs de un ciclo de mejora continua.
Cualquier cambio a nivel estratgico, operacional o tcnico puede impactar en el negocio y por tanto en el
plan de continuidad. Consecuentemente, la empresa debe emprender un proceso para mantener al da la
capacidad, eficacia e idoneidad del Plan de Continuidad de Negocio. Algunas propuestas en ese sentido
son:
o

Revisin peridica en busca de cambios en la estructura de la organizacin, en los

productos/servicios que se desarrollan, en la plantilla, etc., los cuales pueden tener
consecuencias en el Plan de Continuidad de Negocio (poltica, BIA, procedimientos de
recuperacin, etc.).

Confirmacin de que el Plan de Continuidad de Negocio es acorde y contempla los citados

cambios en los diversos componentes de la organizacin.

Adecuacin de los planes de continuidad de negocio a requerimientos de socios, clientes,

accionistas u otro tipo de requerimientos regulatorios.

Revisin de los resultados de las pruebas realizadas y de que las mejoras identificadas en las
mismas han sido aplicadas.

Auditoras internas o externas de todos y cada uno de los componentes del Plan de Continuidad
de Negocio.

En el caso de que se evidencien cambios que afecten a la organizacin y que tengan impacto en los
procesos de negocio, puede ser necesario revisar los Anlisis de Impacto en el Negocio (BIA) y Anlisis
de Riesgos para ver en qu medida dichos cambios pueden provocar desajustes en las estrategias y los

73

procedimientos. De esta forma, la organizacin puede disponer de ciertas garantas sobre la efectividad
de su plan de continuidad de negocio.

Finalmente para asegurar el mantenimiento del Plan de Continuidad de Negocio es recomendable el

desarrollo de programas educativos que mezclen diferentes formas de comunicacin y aprendizaje de
forma que sea fcilmente asimilable por toda la organizacin. Por otro lado, y como medida general, se
recomienda que los planes de continuidad de negocio, aparte de ser flexibles, sean testados al menos
una vez al ao a travs de la realizacin peridica de simulacros que reproduzcan de forma ficticia
situaciones de emergencia o contingencia. Dicha periodicidad depende de las necesidades que
determine la organizacin y el entorno en el que opera.

4.3

Anlisis de la cultura organizacional chilena y la incorporacin de la cultura de BCP a sta.

En esta fase se desea obtener en el personal una concientizacin sobre los beneficios que se obtienen,
cuando se cuenta con una cultura de prevencin, adems de proporcionarles seguridad ante una
situacin que requiera el uso del BCP, para esto y de acuerdo con el anlisis de la informacin recopilada
en cuanto a la cultura organizacional chilena, la forma en la que se debe entregar las tareas y
obligaciones a los dems, deben ser de una forma impersonal y formal, tambin la gran importancia de la
delegacin de autoridad y toma de decisiones que han de tener los colaboradores debe ser significativa,
con lo cual se busca obtener que los colaboradores se sientan parte de la empresa y como un recurso
valioso para la misma.
Antes de impartir cualquier accin de formacin o concientizacin, es necesario que la organizacin
determine los colectivos y grupos objetivos, qu tipo de necesidades formativas son requeridas y qu
estrategia de comunicacin es la ms adecuada, un ejemplo de esto puede ser observado en el Anexo D,
para lograr la incorporacin del BCP a la organizacin, se pueden utilizar diversos medios en la difusin
efectiva de los paquetes formativos, como por ejemplo: la inclusin de mensajes y contenidos
relacionados con la continuidad de negocio en la Intranet de la organizacin, las plataformas online y/o
soportes semejantes, etc.
Los responsables deben ser adecuadamente formados y concientizados acerca de los diferentes
conceptos que contempla la continuidad de negocio (riesgos, medidas preventivas, deteccin temprana
de incidencias, etc.). Incluso cabe la posibilidad de extender estos programas de formacin a
proveedores o en general a terceros con los que la organizacin mantiene relaciones comerciales.
En esta fase se sugiere desarrollar un programa de cultura para el BCP que contenga los siguientes
puntos:

Definicin de responsabilidades.

74

Actividades que fortalezcan las habilidades del personal.

Organizacin de talleres para la concientizacin del personal.

Capacitacin para el desarrollo de habilidades necesarias para trabajar en una situacin de crisis.

Planes de ejercicios.

Involucrar al personal en la solucin de incidentes resultantes de la prueba.

Finalmente cabe destacar, que entre ms incorporada est la cultura de BCP en la operacin normal,
mayor capacidad de continuidad de negocio tendr la organizacin, ya que una cultura positiva lograda
con el desarrollo de un programa de cultura eficiente, puede ayudar a infundir confianza en los
trabajadores, socios del negocio y clientes de la organizacin.
A continuacin se presenta una Figura N 4.3 con las principales caractersticas de la cultura
organizacional chilena y la implicancia que esta tendra sobre el plan de continuidad de negocio.

Principales caractersticas de la cultura

organizacional chilena
Implicancias hacia el Plan de
Continuidad de Negocio (BCP)
El chileno es inseguro de asumir
responsabilidades y tomar decisiones por
si solo.
El chileno es adverso a la critica, solo es
tolerada cuando hay un grado mayor de
confianza con sus superiores.
El chileno hace solo lo que se le ordena,
necesita reglas y pasos a seguir.
El chileno espera que el jefe lo proteja en
otros mbitos adicionales al laboral, a
cambio de lo cual reciben lealtad.
El chileno requiere y demanda un trato
personalizado, exije un trato basado en el
respeto, las personas son vistas como
seres integrales.

El jefe y coordinador del BCP debe

ser una persona con amplias
capacidades de liderazgo, debe
proteger a sus subordinados y debe
ser respetuoso con los mismos.
Dentro del BCP, los cargos y las
instrucciones deben ser claras y con
los pasos a seguir bien definidos.
La cultura de continuidad de negocio
debe incorporarse firmemente a la
cultura de la organizacion,
especificamente en la conciencia de
los trabajadores.

El chileno siente temor al ridculo, al

fracaso, y por lo mismo, se traduce en un
alto nivel de autoexigencia.

Figura N 4.3: Relacin de la cultura organizacional chilena con el Plan de Continuidad de Negocio.
Fuente: Elaboracin propia.

75

4.4

Propuesta metodolgica para la implementacin de un Plan de Continuad de Negocio en Chile.

A continuacin a modo de resumen, se puede apreciar en la Figura N 4.4, los principales elementos de cada fase, pertenecientes al modelo
propuesto en este trabajo de grado.

FASE 1

FASE 2

FASE 3

FASE 4

FASE 5

FASE 6

FASE 7

Designar a un
Coordinador
para el BCP.

Estudiar y
conocer la
Organizacin.

Elaborar la
Politica de
continuidad de
negocio.

Desarrollar el
BIA.

Aplicar
medidas de
seguridad que
eviten en la
medida de lo
posible que se
produzcan
incidentes que,
al no ser
gestionados
correctamente,
hagan
necesaria la
activacin del
Plan de
contingencias.

Definir
estrategias de
recuperacin,
identificando
las alternativas
de
recuperacin
de las
actividades
crticas de la
organizacin
en los marcos
de tiempo
definidos y
aceptados.

Definir los
cargos o los
equipos
necesarios
para la
activacin del
Plan de
contingencias.

Definir el plan
de pruebas,
revision y
mantenimiento
o actualizacin
del BCP.

Desarrollar un
programa de
cultura para el
BCP, con el fin
de lograr en los
colaboradores
una
concientizacin
sobre los
beneficios que
se obtienen,
cuando se
cuenta con una
cultura de
prevencin.

Planificar el
BCP.

Analisis de
Riesgos.

Desarrollar los
procedimientos
de alerta,
contingencia y
recuperacin.

Figura N 4.4: Resumen del Modelo propuesto para el BCP.

Fuente: Elaboracin propia.

75

4.5

Anlisis de Resultados

Los resultados obtenidos se pueden medir de acuerdo al cumplimiento de los objetivos.

4.5.1

Acerca del Objetivo General de la Investigacin

Crear una propuesta metodolgica para la implementacin de un Plan de Continuad de

Negocio en Chile: se logr realizar una metodologa para la implementacin de un Plan de
Continuidad de Negocio expresada en el punto 4.1 de este trabajo de grado, todo gracias a un
extenso anlisis de la metodologas existentes a nivel mundial, para tomar los puntos ms fuertes de
cada uno.

4.5.2

Acerca de los Objetivos especficos de la investigacin

Analizar las metodologas existentes y estndares internacionales para la implementacin de

un Plan de Continuidad de Negocio y extraer sus principales fortalezas: esto se realiz en los
puntos 2.3 y 2.4, en donde se describen las principales metodologas existentes para la elaboracin
de un BCP y en el punto 4.1 se realiz un anlisis de estas para identificar sus fortalezas y as
aprovecharlas al mximo.

Identificar las actividades necesarias para disear, implementar y mantener un Plan de

Continuidad de Negocio (BCP) en Chile: se identificaron las actividades necesarias para disear,
implementar y mantener un BCP, principalmente a travs de los estndares internacionales como la
norma ISO 22301 y el BS 25999.

Analizar la cultura organizacional de las empresas chilenas, con el fin de detectar las
caractersticas ms importantes, para as aprovecharlas al momento de la implementacin y
gestin del BCP: esto se realiz en el punto 2.2.5, en donde se recopil informacin de varios
autores, adems de un estudio basado en una encuesta, todo esto con el fin de obtener una
percepcin clara de la cultura organizacional que est viviendo Chile, en donde se pudo apreciar que
esta ha ido cambiando bastante en estos ltimos aos, en la cual se acenta ms el individualismo
que el trabajo en grupo.

77

CONCLUSIONES Y RECOMENDACIONES
En conclusin se ha logrado concretar los objetivos, creando una propuesta metodolgica para la
implementacin de un Plan de Continuad de Negocio en Chile, en donde se analizaron y se evaluaron las
caractersticas principales de la cultura organizacional chilena con el fin de identificar y aprovechar
aquellas positivas y tratar de evitar las negativas, de acuerdo con esto se pudo apreciar que esta ha ido
cambiando bastante en estos ltimos aos, en la cual se acenta ms el individualismo que el trabajo en
grupo. Se analizaron tambin las metodologas utilizadas a nivel mundial en la actualidad para
implementar un BCP, con el objetivo de extraer lo mejor de cada una, en donde se pudo establecer como
base para este trabajo de grado el ciclo de vida del BCP expuesto por el estndar internacional BS 25999
y la norma ISO 22301. Adems la metodologa de este trabajo de grado comprendi un anlisis terico
sobre: administracin de proyectos, administracin de riesgos, comportamiento organizacional, cultura
corporativa, y liderazgo, ya que estos apoyan de forma directa los proyectos empresariales, ligados a la
influencia que tiene la cultura en la administracin, adems es importante mencionar que para realizar el
BCP, es importante analizar al negocio como un todo mas no como procesos, actividades o funciones
individuales, ya que ste es un sistema dinmico, constantemente en cambio y en adaptacin a las
presiones internas y externas, y est en un proceso continuo de evolucin.
La historia y el presente evidencian problemas de continuidad de negocios en las empresas chilenas; las
amenazas estn presentes en el pas. En este punto se detecta la oportunidad de desarrollar este tema,
incorporndolo en los planes de estudio de carreras relacionadas con esta rea, creacin de consultoras,
o la creacin de un organismo a nivel nacional para difundir, capacitar y certificar los estndares
relacionados con el BCP.
As como no hay dos organizaciones iguales, no hay dos planes de continuidad de negocio iguales. Es
decir, un mismo plan, desarrollado por dos equipos diferentes o en dos momentos diferentes, no tiene por
qu coincidir. Con ello se advierte que, si bien la propuesta metodolgica proporciona unas pautas a
seguir, el contenido que se d a cada fase, ser funcin no solamente de la organizacin en cuestin,
sino de una serie de parmetros que probablemente variarn de acuerdo con los objetivos individuales de
la organizacin en particular y de las premisas que se establezcan en los pasos iniciales.
Para comenzar con la implementacin de un Plan de Continuidad de Negocios es fundamental contar con
el apoyo de la alta direccin, a travs del convencimiento de la importancia del tema, las ventajas que se
obtendrn y el valor agregado que traer consigo su puesta en marcha. Luego, es importante avanzar
apoyndose en los marcos normativos existentes, comenzar por las reas ms crticas de la compaa y
certificar en funcin de los intereses de la organizacin.
Adems en la elaboracin del BCP las etapas iniciales de evaluacin de amenazas y riesgos y anlisis
de impacto en el negocio BIA, forman la base del Plan .Estas entregan la informacin con la cual se

78

trabaja en el Plan, si se realiza una deficiente evaluacin de riegos, el BIA as como los planes derivados
sern deficientes. Se debe tener presente que es imposible detectar todas las amenazas, as como que
tampoco van a desaparecer por el solo hecho de tener un BCP, si no que se debe convivir con ellas en
todos los procesos de la organizacin, con la diferencia de que el BCP permite mitigar su impacto cuando
ellas aparezcan.
Finalmente queda sealar que en la propuesta se han agregado puntos especficos en cada fase,
sugeridos sobre cmo aplicar el Plan de Continuidad de Negocio, reforzndolo con puntos que, por
investigaciones, van a funcionar de forma muy eficiente y eficaz. Con lo anterior se tiene como resultado
una Metodologa para la implementacin y desarrollo de un Plan de Continuidad de Negocio.

79

BIBLIOGRAFA

ABARCA N., MAJLUF N. y RODRGUEZ D., 1998. Identifying Management in Chile: A Behavioral
Approach. USA, M.E. Sharpe. pp. 18 - 37.

BASS B., 1997. Personal Selling and Transactional/ Transformational Leadership, Journal of Personal
Selling & Sales Management 17(3): 19-28.

BASSI E., 1999. Globalizacin de negocios: construyendo estrategias competitivas. Mxico, Editorial
Limusa. 175p.

BCI, 2010. Good Practice Guidelines. 108p.

BRETONES F. y GONZLEZ M., 2009. Well-being, values and responsibility among a sample of
Mexican workers. Mxico.

BSI GROUP, 2006. Business continuity management. Code of practice (BS 25999-1: 2006). Londres,
BSI. 50p.

BSI GROUP, 2007. Business Continuity Management. Specification (BS 25999-2: 2007). Londres,
BSI. 50p.

BSI GROUP, 2008. Information and communications technology continuity management. Code of
practice (BS 25777: 2008). Londres, BSI. 40p.

HOJMAN D. y PREZ G., 2005. Cultura nacional y cultura organizacional en tiempos de cambio: la
experiencia chilena. Revista latinoamericana de administracin (35): 87 105.

DAFT R., 2006. La experiencia del liderazgo. 3 ed. Mxico, Cengage Learning, 720p.

DVILA A. y ELVIRA M., 2005. Cultura y Administracin de Recursos Humanos en Amrica Latina.
Universia Business Review (5): 28 - 45.

DE LARA A., 2005. Medicin y control de riesgos financieros. 3 ed. Mxico, Limusa. 219p.

DRII y DRJ, 2007. Generally Accepted Practices. 163p.

80

DRJ, 2012. Emergency Operations Center (EOC). 23p.

FORSBERG K., MOOZ H. y COTTERMAN H., 2000. Visualizing Project Management: A Model for
Business and Technical Success. 2 ed. USA, John Wiley & Sons. 354p.

GALINDO L. 2008. Metodologa para la Creacin de la Tabla Metodolgica o Solucin Integral. En:
3er CONGRESO INTERNACIONAL de Metodologa de la Ciencia y la Investigacin para la Educacin
junio de 2008. Mxico, Asociacin Mexicana de Metodologa de la Ciencia y de la Investigacin, A.C.
y CFIE del IPN.

GASPAR J., 2004. Planes de contingencia: la continuidad del negocio en las organizaciones. Espaa,
Ediciones Daz de Santos. 220p.

GIL F., 1990. Liderazgo. Mxico, Instituto de Capacitacin Poltica.

GONZLEZ J., MONROY A. y KUPFERMAN E., 1994. Dinmica de Grupos: Tcnicas y Tcticas.
Mxico, Editorial Pax Mxico. 134p.

HILL C. y GARETH J. 2011. Administracin Estratgica, Un Enfoque Integrado. 9 ed. Mxico,

Cengage Learning. 250p.

HOFSTEDE G., HOFSTEDE G. y MINKOV M., 2010. Cultures and Organizations: Software of the
Mind, Third Edition. 3 ed. USA, McGraw Hill. 576p.

HUSE E. y BOWDITCH J. 1980. El comportamiento humano en la organizacin. Mxico, Fondo

Educativo Interamericano. 439p.

ISO, 2005. ISO 27002: 2005 Information technology - Security technique - Code of practice for
information security management. 115p.

ISO, 2012. ISO 22301:2012 Societal security - Business continuity management systems Requirements. 24p.

KOUZES J. y POSNER B. 2007. Inventario de Prcticas de Liderazgo. 3 ed. USA John Wiley &
Sons. 104p.

81

MARTNEZ J., 2001. Introduccin al anlisis de riesgos. Mxico, Editorial Limusa. 218p.

MOSTERN J., 2009. La Cultura Humana. Madrid, Espasa. 404p.

MUR A., 2013. El incendio del Edificio Windsor un caso real. En: CONFERENCIA UPM TASSI:
Planes de Contingencia, 20 de febrero 2013. Madrid, Universidad Politcnica de Madrid.

NFPA, 2013. NFPA-1600 Standard on Disaster/Emergency Management and Business Continuity

Programs. USA, NFPA. 58p.

OPS, Organizacin Panamericana de la Salud, 2010. El terremoto y tsunami del 27 de febrero en

Chile: Crnica y lecciones aprendidas en el sector salud. Santiago, 109p.

ROBBINS S., 2004. Comportamiento organizacional. 10 ed. Madrid, Pearson Educacin. 675p.

RODRGUEZ D. 2008. Gestin Organizacional: Elementos para su estudio. 4 ed. Chile, Ediciones
Universidad Catlica de Chile. 295p.

RODRGUEZ J. y GMEZ C. 2009. HRM in Chile: the impact of organizational culture. Employee
Relations 31 (3): 276 - 294.

WOODMAN P., 2007. Business continuity Management. Reino Unido, Chartered Management
Institute. 20p.

XXII CONGRESO Y FERIA IBEROAMERICANA de seguridad de la informacin: 22 de agosto de

2012. W Santiago Hotel, Chile. USUARIA.

82

LINKOGRAFA

BANCO

CENTRAL

DE

CHILE

[en

lnea]

<http://www.bcentral.cl/licitaciones/pdf/2008/L09002bases.pdf> [consulta: 16 mayo 2013].

BSI GROUP, 2012. Bankinter recibe el primer certificado ISO 22301 emitido por BSI [en lnea]
<http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-gestion/Novedades/Noticias2012/LD-News-Source-/Bankinter-recibe-el-primer-certificado-ISO-22301-emitido-por-BSI/> [consulta:
20 junio 2013].

BSI

GROUP,

2013.

Continuidad

de

Negocio

ISO

22301

[en

lnea]

<http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/estandaresesquemas/Continuidad-de-Negocio-BS25999/> [consulta: 24 febrero 2013].

CASO FARMACIAS: $ 255 millones a organizaciones benficas cierran arista penal. [en lnea] Diario
Financiero

en

Internet.

09

de

julio

2013.

<http://www.df.cl/caso-farmacias-255-millones-a-

organizaciones-beneficas-cierran-arista-penal/prontus_df/2013-07-08/211847.html> [consulta: 09 julio

2013].

CHILE POTENCIA ALIMENTARIA, 2008. Japn y Corea del Sur reactivan importaciones de carnes
de cerdo. [en lnea]. <http://www.chilepotenciaalimentaria.cl/content/view/397156/Japon-y-Corea-delSur-reactivan-importaciones-de-carnes-de-cerdo.html> [consulta: 05 junio 2013].

DACCACH JOS, 2007. Administracin de Proyectos. [en lnea] artculo en Delta Asesores
<http://www.deltaasesores.com/articulos/gestion-de-proyectos/349-administracion-de-proyectos-i->
[consulta: 20 octubre 2012].

DIRECTORIO ISO 27000, seccin ISO 27002 [en lnea] <http://www.27000.org/iso-27002.htm>

[consulta: 9 mayo 2013].

ESCALERA JORGE, 2011. Qu es Administracin de Riesgos Empresarial (ERM) y Administracin

de

la

Continuidad

del

Negocio

(BCM)?

[en

lnea]

artculo

<http://www.riskmexico.com/articulos/administracion-de-riesgos-empresarial/>

en

Risk

[consulta:

Mxico
15

abril

2013].

83

ITEAM consultora especializada en Planes de Continuidad de Negocio, Plan de Manejo de Crisis y

Riesgo

Empresarial

[en

lnea]

<http://www.iteam.com.co/index.php?option=com_content&view=article&id=10%3Ariesgos-quepueden-impactar-negativamente-las-operaciones-normales-de-unaempresa&catid=1%3Aiteam&Itemid=8> [consulta: 20 abril 2013].

ITEAM consultora especializada en Planes de Continuidad de Negocio, Plan de Manejo de Crisis y

Riesgo

Empresarial

[en

lnea]

<http://www.iteam.com.co/index.php?option=com_content&view=article&id=12%3Aique-es-un-plande-continuidad-de-negocio&catid=1%3Aiteam&Itemid=8> [consulta: 20 abril 2013].

LONG GIDEON, 2009. El Golpe de la Tormenta Perfecta. [en lnea] Revista Business Chile en
Internet. 01 de mayo, 2009. <http://www.businesschile.cl/es/noticia/salmon/el-golpe-de-la-tormentaperfecta> [consulta: 18 mayo 2013].

OSIATIS,

ITIL

V3

Gestin

de

la

Continuidad

de

Servicios

TI

[en

lnea]

<http://itilv3.osiatis.es/diseno_servicios_TI/gestion_continuidad_servicios_ti.php> [consulta: 02 mayo

2013].

PALACIOS MIGUEL, 2009. Arquitectura de Mxima Disponibilidad (MAA): Continuidad de Negocios

(CN)

[en

lnea].

Per.

<http://www.peoug.org/docs/18-03-

2009/EventoGB_Marriot_18Marzo2009_Continuidad_de_Negocio_withROI.pdf> [consulta: 15 abril

2013].

PJR, Perry Johnson Registrars [en lnea] <http://www.pjr.com/spanish/bs25999.htm> [consulta: 08

mayo 2013].

RAGA FERNANDO, 2009. El Sector Forestal Chileno y sus riesgos. [en lnea] Revista Trbol de
Mapfre

en

Internet.

07

de

diciembre,

<http://www.mapfre.com/mapfrere/docs/html/revistas/trebol/n51/docs/Articulo2.pdf>

2009.
[consulta:

19

junio 2013].

ROMERO ARTURO, 2008. La cultura, los valores empresariales y el cambio [en lnea] artculo en
Gestipolis <http://www.gestiopolis.com/administracion-estrategia/cultura-valores-empresariales-y-elcambio.htm> [consulta: 18 marzo 2013].

84

SQUIEBRAS,

Superintendencia

de

Quiebras

Chile

[en

lnea]

<http://www.squiebras.gob.cl/images/stories/documentos/informacion_estadisticas/generales/Cifras_3
1.12.2012.pdf> [consulta: 16 mayo 2013].

ZIMMERMAN ANN y BAUERLEIN VALERIE, 2005. Wal-Mart respondi a Katrina mejor que el
gobierno

de

USA.

[en

lnea]

Foro

de

Seguridad

en

Internet.

<http://www.forodeseguridad.com/artic/admin/5228.htm> [consulta: 20 junio 2013].

85

ANEXOS
Anexo A: Ejemplo de registro de las actividades crticas.

Sucursal

Sub-Proceso

Actividad crtica

Liquidacin Banco

Realizar Factibilidad Liquidez Intrada (FLI)

Pago de Obligaciones a la vista y a Plazo

Pagar por MDP

Visado comercial

Curse comercial

Visado Consumo

Curse Consumo

Visado Hipotecario

Curse Hipotecario (Desembolso)

Vencimiento cupones

10

Vencimiento derivados

11

Cuadratura carteras

12

Apertura Contable

13

Envo diario cartera para recaudacin (automtico)

14

Subir nmina de recaudacin hipotecario (Fisa)

El Bosque

Formalizar el Negocio Colocaciones y

Captaciones

Administrar y dar Seguimiento Productos

Financieros

Mac Iver

Recaudar Colocaciones Comerciales y de

Personas

86

Anexo B: Ejemplo de Plan de Contingencia Operacional para una actividad crtica.

Nombre Actividad Crtica

Curse Hipotecario (Desembolso)

Nombre del Sub-Proceso

Formalizar el Negocio Colocaciones y Captaciones

Vigencia

Versin

Fecha de Inicio
Fecha ltima Actualizacin

1.0

Frecuencia Prueba
Procedimiento

07-2013
07-2013

Anual

Redactado por

Fecha

Aprobado por

Fecha

Tiempo Mximo de Espera

para Activacin de Proceso
en Contingencia

Tiempo Requerido de
ejecucin Proceso en
contingencia

1 Da

Depende de la carga de
trabajo

Responsable de Activacin

Supervisor emisin hipotecario

Back up

Subgerente de Operaciones

Coordinador del
procedimiento

Supervisor emisin hipotecario

Back up

Subgerente de Operaciones

Usuario Crtico

Ejecutivo Revisor

reas a ser Notificadas

Back up 1

Administrativo de
Operaciones

Back up 2

Asistente
Administrativo

Tesorera
Gerencia de Operaciones y Control Financiero
Gerencia Comercial

Escenario 1: Indisponibilidad de Usuario Crtico.

Estrategia de Recuperacin

Se asigna la labor al Back Up 1, Administrativo de Operaciones, el cual posee las capacidades para realizar la
actividad crtica.
Condiciones Previas

Responsable

Disponer de los siguientes recursos:

SINACOFI
Microsoft Office
Office Banking
FISA
Motor de pago
Work-Flow Cibergestin
Planillas de mutuos por pagar
G.L.
Internet.
Procedimiento de Contingencia

1.

Busca los documentos: Pago de Mutuos (Detalle).pdf y Pago de Mutuos (Flujo).pdf

2.

Sigue las instrucciones contenidas en los documentos.

Transicin a la Normalidad

Una vez finalizada la contingencia, el Ejecutivo Revisor Back up 1, hace entrega de las
funciones al usuario crtico, Ejecutivo Revisor.

Supervisor
emisin
hipotecario

Ejecutor

Administrativo de
Operaciones
Back up 1
Responsable

Asistente
Administrativo
Back up 1

87

Escenario 2: Indisponibilidad de Instalaciones.

Escenario 2.1: Usuario Crtico se traslada a lugar de contingencia.
Estrategia de Recuperacin

El Usuario crtico se traslada al lugar de contingencia para realizar la actividad crtica.

Condiciones Previas

Responsable

El lugar de Contingencia debe disponer de los siguientes recursos:

SINACOFI
Microsoft Office
Office Banking
FISA
Motor de pago
Work-Flow Cibergestn
Planillas de mutuos por pagar
G.L.
Internet.
Procedimiento de Contingencia

1.

Enva al usuario crtico, Ejecutivo Revisor, al lugar de contingencia.

2.

Da a conocer a las reas interesadas, las que deben ser notificadas por medio de correo
electrnico, que se estar en contingencia operacional (envo de documentacin al lugar
de contingencia).
Transicin a la Normalidad

1.

Da a conocer a las reas interesadas, las que deben ser notificadas por medio de correo
electrnico, que se vuelve a la normalidad y se termina el proceso de contingencia.

Supervisor
emisin
hipotecario

Ejecutor

Supervisor
emisin
hipotecario
Responsable

Supervisor
emisin
hipotecario

88

Escenario 2.2: Usuario Back Up 2 realiza la operacin sin asistencia telefnica.

Estrategia de Recuperacin

El Back Up 2 ubicado en el lugar de contingencia, realiza la actividad crtica sin la necesidad de la asistencia
telefnica.
Condiciones Previas

Responsable

El lugar de trabajo del Usuario Back Up 2 debe disponer de los siguientes recursos:

SINACOFI
Microsoft Office
Office Banking
FISA
Motor de pago
Work-Flow Cibergestn
Planillas de mutuos por pagar
G.L.
Internet

1.

Se contacta con el usuario Back Up 2, Asistente Administrativo, para que realice las
operaciones.

Procedimiento de Contingencia

2.

Da a conocer a las reas interesadas, las que deben ser notificadas por medio de correo
electrnico, que se estar en contingencia operacional (envo de documentacin al lugar
de contingencia).

3.

Realiza las actividades definidas, en el procedimiento de contingencias del

escenario 1.

1.

Informa al Back Up 2 cuando las instalaciones estn disponibles, para que este finalice
sus actividades.

2.

Informa al Usuario crtico, la disponibilidad de las instalaciones.

3.

Da a conocer a las reas interesadas, las que deben ser notificadas por medio de correo
electrnico, que se vuelve a la normalidad y se termina el proceso de contingencia.

Transicin a la Normalidad

Supervisor
emisin
hipotecario

Ejecutor

Supervisor
emisin
hipotecario

Asistente
Administrativo
Back up 2
Responsable

Supervisor
emisin
hipotecario

89

Escenario 2.3: Usuario Back Up 2 realiza la operacin con asistencia telefnica.

Estrategia de Recuperacin

El Back Up 2 ubicado en el lugar de contingencia, realiza la actividad crtica con la necesidad de la asistencia
telefnica.
Condiciones Previas

Responsable

El lugar de trabajo del Usuario Back Up 2 debe disponer de los siguientes recursos:

SINACOFI
Microsoft Office
Office Banking
FISA
Motor de pago
Work-Flow Cibergestn
Planillas de mutuos por pagar
G.L.
Internet
Procedimiento de Contingencia

Supervisor
emisin
hipotecario

Ejecutor

1.

Da a conocer a las reas interesadas, las que deben ser notificadas por medio de correo
electrnico, que se estar en contingencia operacional (envo de documentacin al lugar
de contingencia).

Supervisor
emisin
hipotecario

2.

Se contacta con el usuario Back Up 2, Asistente Administrativo, para que realice las
operaciones y le brinda asistencia telefnica

Ejecutivo Revisor

3.

Realiza las actividades definidas, en el procedimiento de contingencias del

escenario 1.
Transicin a la Normalidad

1.

2.

Informa al Back Up 2 cuando las instalaciones estn disponibles, para que este finalice
sus actividades.
Da a conocer a las reas interesadas, las que deben ser notificadas por medio de correo
electrnico, que se vuelve a la normalidad y se termina el proceso de contingencia.

Asistente
Administrativo
Back up 2
Responsable

Supervisor
emisin
hipotecario

90

Escenario 3: Indisponibilidad de Sistema.

Estrategia de Recuperacin

Revisar inventario de Contabilidad para realizar las operaciones.

Condiciones Previas

Responsable

Disponer de los siguientes recursos:

SINACOFI
Microsoft Office
Office Banking
Work-Flow Cibergestn
Planillas de mutuos por pagar
Internet.
Procedimiento de Contingencia

Supervisor
emisin
hipotecario

Ejecutor

1.

Da a conocer a las reas interesadas, las que deben ser notificadas por medio de correo
electrnico, que se estar en contingencia operacional.

Supervisor
emisin
hipotecario

2.

Realiza las actividades contenidas en el procedimiento de contingencias del escenario 1

con la informacin contenida en el inventario de contabilidad.

Ejecutivo Revisor

Transicin a la Normalidad

1.

Una vez recuperado el sistema, se vuelve a la trabajar con normalidad y se informa a las
reas interesadas.

Responsable

Supervisor
emisin
hipotecario

91

Escenario 4: Indisponibilidad de Proveedor.

Estrategia de Recuperacin

Realizar las operaciones que eran realizadas por el proveedor de servicios con personal interno de la empresa
capacitado para realizar las labores requeridas.
Condiciones Previas

Responsable

Disponer de los siguientes recursos:

SINACOFI
Microsoft Office
Office Banking
FISA
Motor de pago
Planillas de mutuos por pagar
G.L.
Internet.
Procedimiento de Contingencia

Supervisor
emisin
hipotecario

Ejecutor

1.

Da a conocer a las reas interesadas, las que deben ser notificadas por medio de correo
electrnico, que se estar en contingencia operacional.

Supervisor
emisin
hipotecario

2.

Realiza las operaciones que eran ejecutadas por el proveedor de servicios.

Ejecutivo Revisor

Transicin a la Normalidad

1.

Una vez recuperado los servicios del proveedor, se vuelve a trabajar con normalidad y se
informa a las reas interesadas.

Responsable

Ejecutivo Revisor

92

Anexo C: Ejemplo de un Plan de Pruebas

PLAN DE PRUEBA PARA PLAN DE CONTINUIDAD OPERACIONAL

Curse Hipotecario (Desembolso)

Tamao de la muestra para realizar la prueba:

La actividad crtica se realizar en cada escenario, bajo el Procedimiento de Contingencia
definido en la Ficha de Continuidad Operacional correspondiente a la actividad crtica, y el
tamao de la muestra ser una operacin.
Descripcin:
Quien realiza la prueba debe actualizar planilla de Provisin de Pagos, enviar solicitud de
Fondos a Tesorera para provisionar, obtener fichas resumen de firmas de escrituras, verificar y
completar planilla de Pago de Mutuos desde el resumen de firmas de escrituras, ingresar datos
a planilla de Proveedores, ingresar a sistema Toolkit para importar nmina de proveedores,
finalmente cargar nmina de proveedores a sistema Office Banking y validar.
Ante la indisponibilidad de sistema FISA, revisar inventario de Contabilidad para realizar las
operaciones.
Ante la indisponibilidad de Proveedor, realizar las operaciones que eran realizadas por el
proveedor de servicios con personal interno de la empresa capacitado para realizar las labores
requeridas.
Resultado esperado:
Envo de memorndum a Subtesorero para su visacin.
Escenarios considerados en la prueba:
-Escenario 1
-Escenario 2.1
-Escenario 2.2
-Escenario 2.3
-Escenario 3
-Escenario 4
Participantes:
-Responsable y coordinador de la activacin del PCO:
-Usuario Crtico
:
-Back up 1
:
-Back up 2
:

93

Anexo D: Ejemplo de un Plan de Comunicacin interna

Plan de Comunicacin interna

1. Objetivo:
Informar y concientizar a todos los colaboradores del Banco sobre las gestiones llevadas a cabo
por el Departamento de Gestin de Calidad y Riesgo Operacional en cuanto al Plan de
Continuidad de Negocio que se est implementado, adems de apoyar la estrategia de la
empresa proporcionando coherencia e integracin entre los objetivos, los planes y las acciones
de la direccin.

2. Informacin que deber ser difundida:

A. Definiciones:

Actividad de negocio: proceso o conjunto de procesos establecidos por una

organizacin para producir o soportar sus productos o servicios.

Estrategia de recuperacin: conjunto de actividades predefinidas que sern

implementadas y llevadas a cabo en respuesta a un desastre.

Anlisis de Impacto en el Negocio o Business Impact Analysis (BIA): proceso de

anlisis de las actividades de negocio y las consecuencias que una interrupcin sobre
las mismas puede provocar en la organizacin.

Contingencia: suceso no deseado que afecta a la continuidad normal de las

operaciones de la organizacin.

Desastre: problema o evento no planificado, cuya consecuencia es la interrupcin de los

procesos de negocio durante un periodo de tiempo. Este tiempo de paralizacin de los
procesos es superior a lo que la organizacin puede soportar sin sufrir perjuicios
considerables para el negocio.

Indisponibilidad:

caracterstica,

cualidad

condicin

de

un

proceso

de

negocio/activo/recurso de encontrarse indisponible para la organizacin.

94

 Plan de continuidad de Negocio (PCN) o Business Continuity Plan (BCP por sus siglas
en ingls) es un conjunto de directrices, criterios, normas de actuacin y herramientas
organizativas que, ante la ocurrencia de una contingencia que provocase la interrupcin
de alguna o todas las reas de negocio de una organizacin, permiten la recuperacin
de la operatividad de las mismas en el menor tiempo posible, de modo que las prdidas
econmicas ocasionadas sean mnimas.

Plan de recuperacin ante desastres (PRD) o Disaster Recovery Plan (DRP por sus
siglas en ingls): constituye una parte del Plan de Continuidad de Negocio en aquellas
compaas que dispongan de infraestructura tecnolgica para soportar sus operaciones
y, de forma anloga al Plan de Continuidad de Negocio, consta de todas las prcticas
necesarias que, en caso de desastre, permiten recuperar en el menor tiempo posible el
entorno tecnolgico (sistemas, aplicaciones e infraestructuras) que soporta las
actividades de una organizacin.

Usuario crtico: persona designada para realizar la actividad crtica de forma regular.
Back up 1: persona designada dentro del mismo lugar de trabajo que debe reemplazar
al usuario critico en caso de contingencia.

Back up 2: persona designada que se encuentra en otra sucursal (lugar de

contingencia) y que debe realizar las labores del usuario crtico en caso de contingencia.

B. Por qu es importante la Continuidad del Negocio?

La competitividad creciente entre las organizaciones empresariales, las demandas cada vez
ms exigentes de clientes y stakeholders, o los requerimientos regulatorios cada vez ms
restrictivos, son factores que hoy en da fuerzan a las empresas a demostrar la resistencia de
las actividades de negocio a permanecer activas ante cualquier contingencia grave.
Una cada de la luz, una inundacin, un incendio, etc., han de considerarse amenazas reales
que deben ser tratadas de forma preventiva para evitar, en caso de que stas sucedan, que las
prdidas sean tan graves que afecten a la viabilidad del negocio. Son mltiples las
organizaciones que, independientemente de su tamao, fracasan o incluso desaparecen por la
falta de procesos, mecanismos y tcnicas que mitiguen los riesgos a los que estn expuestas y
garanticen una alta disponibilidad en las operaciones de su negocio.
De este modo, es necesario que las organizaciones establezcan una serie de medidas tcnicas,
organizativas y procedimentales que garanticen la continuidad de las actividades o procesos de
negocio en caso de tener que afrontar una contingencia grave.

95

C. Gestiones realizadas y en desarrollo:

Identificacin y registro de los procesos y actividades crticas a travs del BIA, con el fin
de identificar los recursos operativos, proveedores, aplicaciones tecnolgicas y recursos
tecnolgicos que soportan esas actividades.
Identificacin y registro de usuarios crticos, back up 1, back up 2 y responsables de la
activacin del plan de contingencia, para cada actividad critica definida.
Identificacin y registro de los escenarios de contingencia operativa y de los escenarios
de falla tecnolgica.
Levantamiento de informacin a travs de reuniones con los usuarios crticos para la
creacin de fichas con los planes de continuidad operativa y fichas de procedimientos
alternativos tecnolgicos para cada actividad crtica.
Programacin y realizacin de capacitaciones para los planes de continuidad operativa y
tecnolgicas, en las cuales participan el usuario crtico como capacitador, los back up 1
y 2, como asistentes, adems del Encargado de Riesgo Operacional y el Oficial de
Seguridad de la Informacin (para los planes de continuidad tecnolgica) como
coordinadores de la capacitacin.
Programacin y realizacin de pruebas de los planes de continuidad operativa y de los
procedimientos alternativos tecnolgicos, en las cuales participan,

el responsable y

coordinador de la activacin el procedimiento de contingencia, el usuario crtico, los back

up 1 y 2, adems del Encargado de Riesgo Operacional y el Oficial de Seguridad de la
Informacin (para los planes de continuidad tecnolgica) como coordinadores de la
prueba.

96

3. Estrategia de Comunicacin:
Informacin
a difundir1

Emisor

Receptor

Canal

Periodicidad

A, B y C.

Depto.
Gestin de
la Calidad y
Riesgo
Operacional

Colaboradores
del Banco

Intranet

Semestral

B y C.

Depto.
Gestin de
la Calidad y
Riesgo
Operacional

Colaboradores
del Banco

Sesiones
Informativas

Anual

A, B y C.

Depto.
Gestin de
la Calidad y
Riesgo
Operacional

Colaboradores
del Banco

Correo
electrnico

B y C.

Depto.
Gestin de
la Calidad y
Riesgo
Operacional

Colaboradores
del Banco

Revista
interna

B y C.

Depto.
Gestin de
la Calidad y
Riesgo
Operacional

Colaboradores
del Banco

Diario mural
o tablero
informativo

Procedimiento
Subir la informacin
a la pgina web del
Banco, por medio
de videos,
imgenes o
escritos.
Entrega de
informacin a travs
de una presentacin
con apoyo visual
efectuada por la
Jefa de Gestin de
Calidad y Riesgo
Operacional, el
Encargado de
Riesgo Operacional
y el Oficial de
Seguridad de la
Informacin. Sern
7 sesiones
distribuidas de
acuerdo a la
capacidad de la sala
o auditrium.

Semestral

Enviar correo
electrnico a todos
los colaboradores
con la informacin.

Semestral

Dentro de las
noticias de Contigo
al da (revista
interna) incluir la
informacin a
difundir.

Semestral

Incluir dentro del

diario mural la
informacin a
difundir.

Las letras corresponden a la informacin definida en el punto 2.

97

Informacin
a difundir

Emisor

Receptor

Canal

Periodicidad

C.

Depto.
Gestin de
la Calidad y
Riesgo
Operacional

Colaboradores
del Banco

Buzn de
sugerencias

------------

A y B.

Depto.
Gestin de
la Calidad y
Riesgo
Operacional

Participantes
de los PCO

Capacitacione
s

Anual

A, B y C.

Depto.
Gestin de
la Calidad y
Riesgo
Operacional

Colaboradores
del Banco

Intranet

------------

A, B y C.

Depto.
Gestin de
la Calidad y
Riesgo
Operacional

Nuevos
Colaboradores
que se
integran a la
Organizacin

Inducciones

------------

Procedimiento
Con el fin de lograr
una
retroalimentacin,
se puede habilitar
una direccin de
correo electrnico,
donde se consiga
dirigir las
sugerencias, en
cuanto a las
gestiones realizadas
que vayan
surgiendo por parte
de los
colaboradores.
Entregar la
informacin dentro
de las
capacitaciones de
definicin de roles y
responsabilidades, a
los participantes del
PCO.
Habilitar dentro de la
Pgina web del
Banco un segmento
en donde los
colaboradores
deban realizar
cursos e-learning,
con respecto a la
informacin a
difundir
Por medio de las
inducciones a los
nuevos
colaboradores que
ingresen al Banco,
se entregar la
informacin.

98

4. Anlisis de efectividad de la comunicacin:

Actividad

Colaboradores
presentes

Total de
citados

Sesiones
informativas

Concepto

Anual

Colaboradores que
conocen el plan de
continuidad de
negocios

Indicador
Total de
(Colaboradores que
Periodicidad
colaboradores
conocen el
plan/total) x100%

Plan de
Continuidad de
Negocios

Actividad

Anual

Colaboradores
presentes

Capacitaciones

Actividad

Inducciones

Total de
citados

Indicador
Periodicidad (presentes/cantidad
total) x100%
Anual

Realizaron el
curso
e-learning

Intranet

Concepto

Indicador
Periodicidad (presentes/cantidad
total) x100%

Indicador
Total de
(realizaron el curso
Periodicidad
colaboradores
e-learning /total)
x100%
Anual

Colaboradores
nuevos en la
Organizacin que
recibieron
induccin

Total de
colaboradores
Periodicidad
nuevos en la
Organizacin

Indicador
(Colaboradores
que conocen el
plan/total) x100%

Anual

99