Sistemas de Gestión de la Continuidad del Negocio.

Requisitos
ISO 22301
Términos y definiciones

Área de Riesgos y Seguridad

Área de Riesgos y Seguridad

Sistemas de Gestión de la Continuidad de

Negocio. Requisitos ISO 22301

TÉRMINOS Y DEFINICIONES

Área de Riesgos y Seguridad

AUTORA: Ana Rosa Morán Zapico
Responsable del área de Riesgos y Seguridad
Fecha: Enero 2017
Versión 00

1 I ISO 22301:2012
 Sistemas de Gestión de la Continuidad del Negocio. Requisitos
ISO 22301
Términos y definiciones

OBJETO

Detallar los términos y definiciones que aparecen en la Norma ISO 22301

ÍNDICE

1 Términos y definiciones ................................................................................................3

HISTORIAL DEL DOCUMENTO

Fecha Revisión Observaciones
Enero 2017 00 Elaboración del documento

El presente documento, incluyendo a título enunciativo pero no limitativo su contenido, edición, compilación, diseños,
logotipos, texto y/o gráficos, son propiedad de INTEDYA, encontrándose protegidos por la normativa nacional e internacional
sobre propiedad intelectual e industrial. El acceso por parte del usuario/alumno a los mismos no le otorga ningún derecho de
propiedad sobre los mismos.

El uso de denominaciones o contenidos de terceros se encuentra autorizado expresamente por sus propietarios, por lo que el
prestador no se responsabiliza de las controversias que sobre ellas pudieran suscitarse al respecto, procediendo a su retirada
inmediata tan pronto tenga constancia fehaciente de las mismas. Si observa en el documento cualquier contenido que pudiera
vulnerar derechos de propiedad intelectual e industrial, rogamos lo pongan en conocimiento del prestador con la mayor
brevedad posible, remitiendo un correo electrónico a la dirección [email protected]. Cualquier reproducción, uso total o parcial
no autorizado del mismo podrá ser susceptible de ser perseguido por las autoridades competentes.

2 I ISO 22301:2012
 Sistemas de Gestión de la Continuidad del Negocio. Requisitos
ISO 22301
Términos y definiciones

1 Términos y definiciones

ISO 22301 contiene un punto dedicado a términos y definiciones a los que hará referencia
dicha norma. A continuación se detallan aquellas que son muy útiles de conocer para la
implementación de un Sistema de Gestión de Continuidad de Negocio.

1.1 Alta dirección

De conformidad con la Norma

ISO 22301, la alta dirección
debe ser comprendida como la
persona o grupo de personas
que dirigen y controlan una
organización al más alto nivel.

El liderazgo, compromiso y la
implicación de la alta dirección
son esenciales para la
implementación, el desarrollo y
el mantenimiento de un sistema de gestión efectivo y eficiente, con la finalidad de lograr
beneficios para la organización y para las partes interesadas.

La alta dirección tiene el poder para delegar autoridad y proporcionar recursos dentro de la
organización.

Si el alcance del sistema de gestión comprende sólo una parte de una organización, entonces
alta dirección se refiere a quienes dirigen y controlan esa parte de la organización.

1.2 Análisis del impacto al negocio (BIA)

El análisis de impacto al negocio (Business Impact Analysis o BIA por sus siglas en inglés) es
otro elemento utilizado para estimar la afectación que podría padecer una organización como
resultado de la ocurrencia de algún incidente o un desastre.

La Norma ISO 22301, lo define como el proceso de evaluación de las operaciones y del efecto
que una interrupción tendría en ellas. Incluye no sólo el análisis de impacto al negocio, que es
la identificación de los activos, funciones, procesos y recursos críticos, sino también la
evaluación de los posibles daños o pérdidas que pudieran afectar a la organización como
resultado de una interrupción o un cambio en el negocio. Este análisis identifica:

3 I ISO 22301:2012
 Sistemas de Gestión de la Continuidad del Negocio. Requisitos
ISO 22301
Términos y definiciones

 cómo se va a manifestar la pérdida o daño

 cómo aumenta el grado de daño o pérdida en función del tiempo transcurrido después
del incidente

 los servicios y recursos mínimos (humanos, físicos y financieros) necesarios para

restablecer los procesos de negocio y seguir operando en un nivel mínimo aceptable

 el tiempo y el nivel en el cual las actividades, funciones y servicios de la organización

deben ser recuperados

A diferencia de una evaluación de riesgos, que se enfoca en cómo podría verse afectada una
organización a través de la identificación, análisis y valoración de amenazas de seguridad con
base en su impacto sobre los activos críticos y la probabilidad de ocurrencia, el BIA es un
proceso más especializado en la identificación de los tipos de impacto, orientado en conocer
qué podría verse afectado y las consecuencias sobre los procesos de negocio.

1.3 Análisis de riesgos

Proceso de cuantificación de las amenazas a una organización y la probabilidad de que se

materialicen.

1.4 Continuidad del negocio

Capacidad de una organización para continuar con la entrega de sus productos o servicios
después de una interrupción a un nivel predefinido aceptable.

La continuidad del negocio y su gestión es un concepto ligado a la gestión de riesgos

empresariales cuya finalidad es analizar los riesgos a que están expuestos los negocios y las
operaciones, así como las consecuencias que provocarían dichos riesgos centrándose en el
impacto de la interrupción del negocio, y el análisis de impacto, identificando cuales son los
productos y servicios de los que la organización depende para su supervivencia.

4 I ISO 22301:2012
 Sistemas de Gestión de la Continuidad del Negocio. Requisitos
ISO 22301
Términos y definiciones

1.5 Organización

Cuando en la Norma ISO 22301 habla de organización lo hace refiriéndose a cualquier persona
o grupo de personas que tienen sus propias funciones con responsabilidades, autoridades y
relaciones, y que interactúan para cumplir sus objetivos.

El término organización incluye por tanto, entre otros, a un trabajador independiente, una
compañía, una corporación, una firma, una organización, a organizaciones benéficas,
instituciones, o una parte o combinación de éstas, ya estén constituidas o no, ya sean públicas
o privadas.

1.6 Parte interesada

En la Norma ISO 22301una Parte Interesada es una persona u organización que puede:

 Afectar
 Verse afectada

 Percibirse como afectada

por una decisión o actividad de una organización, obteniendo algún beneficio o algún perjuicio.

Cada organización dispone de sus partes interesadas, también denominadas grupos de interés,
públicos de interés, corresponsables u otros. La palabra inglesa apropiada para este término es
“stakeholder”, consiguiendo un cierto uso a nivel técnico.

Se hace uso de stakeholder cuando nos referimos a aquellas partes interesadas que son
consideradas legítimas por parte de la organización u organización de referencia, con las cuales
se suele establecer algún procedimiento de diálogo.

1.7 Plan de continuidad de negocio

Procedimientos documentados que guían orientan a las organizaciones para responder,

recuperar, reanudar y restaurar la operación a un nivel pre-definido de operación debido una

5 I ISO 22301:2012
 Sistemas de Gestión de la Continuidad del Negocio. Requisitos
ISO 22301
Términos y definiciones

vez presentada / tras la interrupción. Típicamente, esto incluye los recursos, servicios y
actividades necesarios para garantizar la continuidad de las funciones críticas del negocio.

[FUENTE: ISO 22301]

El propósito de un plan de continuidad para una organización es contar con un conjunto

específico de instrucciones en su lugar si ocurren ciertos eventos que pueden interrumpir las
operaciones comerciales normales. Por ejemplo, un negocio de consultoría podría estar
pensando en trasladar las operaciones a un lugar diferente si su ubicación principal está
dañada por un desastre natural.

Todo plan de continuidad de negocio debe responder a las preguntas ¿Qué recuperar? ¿Quién
lo recupera? ¿Cuando se hace cada cosa? ¿Cómo se ejecutan las actividades de recuperación?
¿Dónde podemos hacerlo? Para ello, es necesario valorar los parámetros MTD, RTO y RPO, que
a lo largo de este tema definiremos.

Otros estándares diferencian entre:

 Plan de continuidad del negocio (BCP por sus siglas en inglés). Documento que
contiene un conjunto de acciones y procedimientos definidos previamente, con
responsabilidades claramente establecidas, para ser ejecutados después de una
interrupción de las operaciones, con el objetivo de cumplir con la entrega de los
productos y servicios críticos a un nivel aceptable y dentro de los marcos de tiempo
predefinidos.
 Plan de recuperación ante desastres (DRP por sus siglas en inglés). Documento que
contiene un conjunto de acciones y procedimientos definidos previamente, con
responsabilidades claramente establecidas, para la recuperación del componente
tecnológico, sistemas y servicios de telecomunicaciones

 Plan de respuesta a emergencias. Documento que contiene un conjunto de acciones y

procedimientos definidos previamente, con responsabilidades claramente
establecidas, para estabilizar un incidente que ponga en riesgo las vidas y la propiedad.

1.8 Planificación de la prueba

Programación de las diversas actividades que serán llevadas a cabo antes, durante y después
de la prueba con el objetivo de evaluar los componentes del plan, por ejemplo, las tareas,
equipos y procedimientos.

6 I ISO 22301:2012
 Sistemas de Gestión de la Continuidad del Negocio. Requisitos
ISO 22301
Términos y definiciones

1.9 Política de continuidad del negocio

Marco de referencia que establece los objetivos, los principios y el enfoque de la gestión de
continuidad de una organización, los productos y servicios de la misma y cómo serán
entregados, y las funciones y responsabilidades principales de la gestión de continuidad y
cómo se reportará el estatus a la dirección ejecutiva.

1.10 Programa de continuidad del negocio

Proceso de gestión y gobierno en curso, que es apoyado por la alta dirección, con los recursos
adecuados para implementar y mantener la gestión de continuidad del negocio.

[FUENTE: ISO 22301]

1.11 Programa de gestión de continuidad del negocio

Proceso de gestión y gobierno continuo que cuenta con el apoyo de la alta dirección y con los
recursos apropiados para asegurar que se toman las medidas necesarias para identificar el
impacto de pérdidas potenciales, mantener planes y estrategias viables de recuperación y
asegurar la continuidad de productos y servicios a través de la capacitación, las pruebas y
ejercicios y la actualización. En general, en América Latina los términos "programa de gestión
de la continuidad del negocio" y "sistema de gestión de la continuidad del negocio" se usan
indistintamente.

1.12 Punto objetivo de recuperación (RPO)

El punto en que la información utilizada para desempeñar una actividad debe ser recuperada
para reanuda las operaciones. También puede referirse al máximo de pérdida de datos.

[FUENTE: ISO 22301]

Define la pérdida de datos máxima tolerable que se acepta ante una situación de desastre,
está íntimamente relacionado hacia la copia de seguridad de la información.

Cualquier organización se basa en gran medida en el procesamiento o custodia de la

información es muy vulnerable a la indisponibilidad de los mismos.

7 I ISO 22301:2012
 Sistemas de Gestión de la Continuidad del Negocio. Requisitos
ISO 22301
Términos y definiciones

Consideremos, por ejemplo, una organización que mantiene una base de datos que sirve de
consulta para la validación de datos por parte de sus clientes. Si ocurre un desastre en el
centro de datos, la base de datos puede desaparecer o volverse obsoleta e inservible. Como
parte del plan de continuidad del negocio, la organización debe averiguar cuánto tiempo
pueden permitirse de no tener disponible estos datos antes de que falle el negocio, se pierda
la reputación o los clientes migren a la competencia.

Si esta empresa tiene una organización muy frecuente en sus bases de datos, la actualización
de la copia de seguridad debe realizarse a una frecuencia mayor (que otra empresa que no
tiene tales características de actualización) esto mejora las probabilidades de recuperación
después de la caída del sistema.

Veamos otro ejemplo, imaginemos que el Responsable del Departamento de Administración

nos indica que podrían tolerar una pérdida de información siempre y cuando no se perdieran
los datos generados en más de un día completo. Por lo tanto, estableceríamos que el RPO es
de 24h.

1.13 Punto tiempo objetivo de tiempo de recuperación (RTO)

Periodo inmediatamente posterior a la ocurrencia de un incidente dentro del cual deben

reanudarse o recuperarse:

 la entrega de productos o servicios

 las actividades críticas
 los recursos

NOTA: El RTO debe ser menor al tiempo en el que los impactos financieros y operacionales
identificados en el BIA sean inaceptables.

8 I ISO 22301:2012
 Sistemas de Gestión de la Continuidad del Negocio. Requisitos
ISO 22301
Términos y definiciones

[FUENTE: ISO 22301]

Periodo de tiempo en el cual los mínimos niveles de productos y/o servicios y los sistemas,
aplicaciones, o funciones que los soportan deben ser recuperados después de que una
interrupción ocurra.

Es un tiempo objetivo para la reanudación de sus servicios, actividades después de un

desastre, que hemos identificado bajo unas condiciones mínimas aceptables. Por ejemplo,
supongamos que el Responsable del Departamento de Administración nos indica que, en caso
de que fallara la plataforma que soporta las aplicaciones para la generación y emisión de la
nómina, se deberían recuperar el servicio en un plazo máximo de 24h. En este caso,
estableceríamos que el RTO asociado a dicho proceso es de 24h.

1.14 Riesgo

La norma ISO 22301 define riesgo como una exposición a la incertidumbre que la organización
debe entender y saber gestionar para alcanzar sus objetivos.

Todo riesgo conlleva un resultado o efecto, esto es, una desviación de lo esperado, ya sea
positiva o negativa.

El riesgo se puede definir como la combinación de la probabilidad de un suceso y sus

consecuencias. En todos los tipos de organizaciones existe un potencial de sucesos y
consecuencias que constituyen oportunidades para conseguir beneficios (lado positivo) o
amenazas para el éxito (lado negativo).

La incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la

comprensión o conocimiento de un evento, su consecuencia o su probabilidad.

Frecuentemente el riesgo se caracteriza la combinación entre:

 Los eventos potenciales que pueden llegar a suceder

9 I ISO 22301:2012
 Sistemas de Gestión de la Continuidad del Negocio. Requisitos
ISO 22301
Términos y definiciones

 Las consecuencias potenciales que puede acarrear, así como a una combinación de
ambos.

1.15 Información documentada

Es la Información que una organización tiene que controlar y mantener, así como el medio en
el que está contenida.

La información documentada puede estar en:

 Cualquier formato se refiere al idioma, versión de software, utilización de gráficos, etc.

 Cualquier medio, es decir, soporte papel, formato electrónico,…

 Puede provenir de cualquier fuente, se refiere al lugar de origen de la información,

conocimiento propio de la organización, juicio de expertos, cálculo o estimación,
referencias documentales u otras.

La información documentada puede hacer referencia a:

 El sistema de gestión, incluidos los procesos relacionados

 La información creada para que la organización opere (documentación)

 La evidencia de los resultados alcanzados (registros)

1.16 Interrupción

Evento que detiene las funciones, operaciones o procedimientos habituales de la organización,

sea éste previsto (por ejemplo, huracanes, disturbios políticos) o imprevisto (por ejemplo, un
apagón, un ataque terrorista o una falla de la tecnología).

1.17 Interrupción máxima aceptable (MAO).

Se trata de la máxima proporción de tiempo que puede estar suspendida una actividad. Si se
sobrepasa este tiempo, producirá un deterioro inadmisible. También Período máximo
tolerable de interrupción (MTPD).

10 I ISO 22301:2012
 Sistemas de Gestión de la Continuidad del Negocio. Requisitos
ISO 22301
Términos y definiciones

1.18 Tiempo Máximo Tolerable de Indisponibilidad (MTPD)

El Tiempo Máximo Tolerable de Indisponibilidad (MTPD, Maximum Tolerable Period of

Disruption) se define el tiempo máximo tolerable de la indisponibilidad debido a una
interrupción (por lo general desde la perspectiva del negocio o del equipo estratégico). Según
la norma ese concepto implica la determinación del MTPD antes de definir el RTO.

La indisponibilidad de un producto/servicio o proceso de una organización tiene un límite de

tolerancia y es lo que define el MTPD.

Tiempo máximo tolerable de caída el cual nos determina el tiempo que puede estar caído un
proceso antes de que se produzcan efectos desastrosos en la compañía y repercuta en el
negocio.

Supongamos que el proceso de gestión de nóminas no debe estar interrumpido por un periodo
superior a 48h. En este caso, estableceríamos que el MTPD asociado a dicho proceso es de
48h.

Interrupción Máxima Aceptable (MAO)

Cantidad máxima de tiempo que puede estar interrumpida una actividad sin incurrir en un
daño inaceptable

1.19 WRT (Work Recovery Time)

Tiempo de recuperación del trabajo.Es el tiempo invertido en buscar datos perdidos y la

realización de reparaciones. Se calcula como el tiempo entre la recuperación del sistema y la
normalización de los procesos.

1.20 Desempeño

Cuando la Norma ISO 22301 se refiere a desempeño, se refiere a un resultado medible.

Se denomina desempeño al grado de desenvoltura que una organización tiene con respecto a
un fin esperado. Así, por ejemplo, un trabajador puede tener buen o mal desempeño en
función de su laboriosidad, una organización puede tener buen o mal desempeño según la
calidad de servicios que brinda en función de sus costes, una máquina tendrá un nivel de
desempeño según los resultados obtenidos para la que fue creada, un estado tendrá un

11 I ISO 22301:2012
 Sistemas de Gestión de la Continuidad del Negocio. Requisitos
ISO 22301
Términos y definiciones

desempeño determinado según la concreción de las políticas que haya establecido quien esté
en el gobierno, etc.

El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos.

1.21 Mejora continua

La mejora continua es la actividad o proceso recurrente para mejorar el desempeño que

intenta optimizar y aumentar la calidad de un producto, proceso o servicio.

Sistema establecido y conocido por todos los miembros de la organización donde se está
aplicando.

La mejora continua cuenta con las siguientes características:

 Un proceso documentado, que permite que todas las personas que son partícipes de
dicho proceso lo conozcan y todos lo apliquen de la misma manera cada vez

 Un sistema de medición que permita determinar si los resultados esperados de cierto

proceso se están logrando (indicadores de gestión)

 La participación de todas o algunas personas relacionadas directamente con el proceso

ya que son estas personas las que día a día tienen que lidiar con las virtudes y defectos
del mismo.

1.22 Otros conceptos

Otros conceptos igualmente interesantes a la hora de abordar la gestión de la continuidad del

negocio son:

 Acuerdo de ayuda mutua. Un acuerdo pre-establecido entre dos partes o más, para
dar asistencia a las partes del acuerdo.

 Actividades priorizadas. Actividades a las cuales se les debe dar prioridad tras la
aparición de un incidente para poder mitigar los impactos. Una clasificación posible es
CRÍTICAS, ESENCIALES, VITALES, URGENTES y CLAVES.

 Apetito al riesgo. Cantidad y tipo de riesgo que la organización está dispuesta a buscar,
tolerar y aceptar.

 Apreciación del riesgo. Proceso de identificación, análisis y posterior evaluación del

riesgo.

12 I ISO 22301:2012
 Sistemas de Gestión de la Continuidad del Negocio. Requisitos
ISO 22301
Términos y definiciones

 Gestión del riesgo. Actividades coordinadas y planificadas dirigidas a controlar una

organización en relación al riesgo.

13 I ISO 22301:2012