Tema 5

Tema 5.
Sistema de Gestión de
Continuidad del Negocio
[5.1] ¿Cómo estudiar este tema?
[5.2] Requisito conforme a ISO 22301:2018
[5.3] Plan - Planificación
[5.4] Do - Operación
[5.5] BIA y Evaluación de Riegos
[5.6] Estrategias de Continuidad
[5.7] Planes y procedimientos de Continuidad
[5.8] Ejercicios y pruebas de Continuidad
[5.9] Check – Evaluación del desempeño
[5.10] Act – Mejora

5TEMA
[5.11.] Referencias bibliográficas
Sistemas de Gestión de Continuidad del Negocio
Esquema
TEMA 5 – Esquema
Ideas clave
5.1. ¿Cómo estudiar este tema?
Para estudiar este tema lee las Ideas clave disponibles a continuación y para
introducirte al tema lee el siguiente artículo:
Ureña,García. (26 de abril de 2019). Sectores estratégicos de gobierno e industria bajo

amenaza. TyN Magazine.
Accede al artículo a través del aula virtual o de la siguiente dirección web:

https://tynmagazine.com/sectores-estrategicos-de-gobierno-e-industria-bajo-
amenaza/
En este tema analizaremos la estructura fundamental de los Sistemas de

Gestión de la Continuidad del Negocio (SGCN), comprendiendo la importancia de
que las organizaciones puedan no solo proteger lo más valioso y sobrevivir, sino de
emplear estrategias de supervivencia o prosperidad con miras a la Resiliencia
Organizacional.
El objetivo fundamental de esta unidad es el de comprender los elementos de la gestión

de la continuidad del negocio.
Concretamente se espera que al finalizar el tema seas capaz de:
Dar ejemplos y describir los principales componentes de un ciclo de vida de gestión

de la continuidad del negocio.
Explicar por qué la continuidad debe considerarse como un proceso y no como un
producto.
La continuidad del negocio
Se refiere a la capacidad de una organización para continuar proporcionando productos

o prestando servicios dentro de unos niveles predefinidos tras una disrupción.
TEMA 5 – Ideas clave

La gestión de la continuidad del negocio es un proceso que consiste en implantar y

mantener la continuidad del negocio con el fin de evitar las perdidas y prepararse para
las disrupciones, mitigarlas y gestionarlas.
Establecer un SGCN permite a la organización establecer, controlar, evaluar y mejorar

de manera continua su continuidad del negocio.
El término «negocio» se utiliza de forma general para describir las operaciones y

servicios que una organización lleva a cabo con el fin de lograr su misión, sus
objetivos o sus metas. Por consiguiente, se aplica por igual a organizaciones grandes,
medianas o pequeñas y de los sectores industriales, comerciales, públicos o sin ánimo de
lucro.
Las disrupciones pueden interrumpir las operaciones de toda la organización y mermar

su capacidad para entregar productos y servicios.
Implementar un SGCN antes de que se produzca la disrupción, en lugar de responder sin

planificación alguna después del incidente, permitirá a la organización reanudar las
operaciones antes de que se generen niveles de impacto inaceptables.
La gestión de la continuidad del negocio requiere:
Identificar los productos y servicios de la organización y las actividades que

permiten entregarlos;
Analizar los impactos en caso de que no se reanuden las actividades y los recursos
de los que dependen;
Entender el riesgo de disrupciones;
Determinar las prioridades, los plazos, las capacidades y las estrategias precisos para
reanudar la entrega de los productos y servicios;
Disponer de soluciones y planes implantados para reanudar las actividades
dentro de los plazos precisos tras una disrupción;
Asegurarse de que todas estas disposiciones se sometan a revisiones y
actualizaciones periódicas para que sean eficaces en todas las circunstancias.
El enfoque de la organización respecto a la gestión de la continuidad del negocio y su

información documentada debería ser apropiada para su contexto (por ejemplo, entorno
operativo, complejidad, necesidades o recursos).

Existen muchos tipos de incidentes que pueden perturbar las actividades, muchos de los
cuales son difíciles de predecir o analizar. Al centrarse en el impacto de la disrupción, en
lugar de en su causa, la continuidad del negocio permite a la organización identificar las
actividades que son esenciales para que esta pueda cumplir sus obligaciones. Al aplicar
la continuidad del negocio, la organización puede reconocer qué hay que hacer para
proteger sus recursos (por ejemplo, personas, instalaciones, tecnología o información),
la cadena de suministro, a las partes interesadas y su prestigio antes de que se produzca
la disrupción. Dotada de ese conocimiento, la organización puede implantar una
estructura de respuesta, para confiar en su capacidad de gestionar los impactos de una
disrupción.
En el diagrama siguiente, la continuidad del negocio eficaz en un caso de disrupción

gradual (por ejemplo, una pandemia que está avanzando)

Análisis del impacto sobre el negocio y evaluación del riesgo: el análisis del
impacto sobre el negocio permite a la organización evaluar el impacto que la

disrupción de las actividades tendría en la entrega de sus productos y servicios. Esto

permite a la organización priorizar la reanudación de las actividades.
o Entender los riesgos de la disrupción de estas actividades prioritarias permite a
la organización gestionarlas. El resultado del análisis del impacto sobre el negocio
y de la evaluación del riesgo permite a la organización determinar los parámetros
apropiados de sus estrategias y soluciones de continuidad del negocio.
Estrategias y soluciones de continuidad del negocio: La identificación y
evaluación de una serie de estrategias de continuidad del negocio permite a la
organización identificar soluciones para abordar las disrupciones que se produzcan,
así como reducir el riesgo y mitigar el impacto que estas puedan causar en sus
actividades prioritarias. Las soluciones de continuidad del negocio seleccionadas
facilitarán la reanudación de las entregas de productos y servicios en un nivel de
capacidad aceptable (ya sea de producción o de servicio) y dentro de los plazos
acordados.
Planes y procedimientos de continuidad del negocio: Los planes y
procedimientos de continuidad del negocio permiten a la organización gestionar la
disrupción y continuar con sus actividades de conformidad con sus requisitos de
continuidad del negocio. Debería haber una estructura de respuesta definida que
identifique a los equipos responsables de responder a las disrupciones. La
organización debería establecer e implantar planes y procedimientos de aviso y
comunicación , respuesta a incidentes y recuperación (vuelta a la normalidad).
Programa de ejercicios: Un programa de ejercicio permite a la organización
validar la eficacia de las soluciones, los planes y los procedimientos que se han
implantado. Un programa de ejercicio también proporciona oportunidades para que
la organización:
o promueva la toma de conciencia personal y el desarrollo de competencias;
o asegúrese de que sus planes y procedimientos de continuidad del negocio estén
completos y actualizados y sean apropiados;
o mejore su continuidad del negocio.
Evaluación de la documentación y las capacidades de continuidad del
negocio: La organización debería evaluar su gestión de la continuidad del negocio
con el fin de asegurarse de que sea eficaz y permita a la organización lograr sus
objetivos de continuidad del negocio.

El Sistema de Gestión de Continuidad del Negocio
La estructura fundamental de un SGCN, hace hincapié en la importancia de:
Establecer una política, así como sus objetivos de Continuidad del Negocio,
coordinados con los objetivos de la organización.
Utilizar y mantener procesos, capacidades y estructuras de respuesta que
permitan garantizar la supervivencia de la organización si se ve sometida a
interrupciones;
Realizar el seguimiento y revisar el desempeño y la eficacia del propio SGCN.
Contar con un proceso de mejora continua basado en medidas cuantitativas y
cualitativas.
5.2. Requisitos conforme a ISO 22301:2018
Un SGCN basado en la normativa internacional ISO 22301:2018, aumenta el nivel de

preparación de la organización para continuar funcionando durante una
disrupción.
También conocido como ciclo Deming, permite homologar el SGCN a cualquier otro
sistema de gestión. Plan – Do – Check – Act por sus siglas en inglés.
Permite comprender mejor las relaciones internas y externas de la organización,

optimiza la comunicación con las partes interesadas y favorece la creación de un entorno
de mejora continua.
El propósito de un SGCN es prepararse para proporcionar y mantener los controles y las

capacidades para gestionar la integral de una organización para seguir operando durante
las disrupciones.

Para lograrlo, se requiere de:
El ciclo PDCA
También conocido como ciclo Deming, permite homologar el SGCN a cualquier otro
sistema de gestión. Plan – Do – Check – Act por sus siglas en inglés.

Un SGCN mediante el ciclo PDCA de ISO 22301 considera las directrices y

recomendaciones se basan en las mejores prácticas internacionales.
Este documento es aplicable a organizaciones que:
Implantan, mantienen y mejoran un SGCN;

Desean asegurarse de la conformidad con la política de continuidad del negocio
establecida;
Tienen que seguir estando en situación de entregar productos y servicios con un nivel
de capacidad aceptable durante una disrupción;
Desean mejorar su resiliencia mediante una aplicación eficaz del SGCN.
Las directrices y recomendaciones son aplicables a organizaciones de todos los tamaños

y tipos, ya sean grandes, medianas o pequeñas y de los sectores industriales, comerciales,
públicos o sin ánimo de lucro. El enfoque adoptado depende del entorno operativo y la
complejidad de la organización.
De acuerdo con el modelo PDCA, los capítulos 4 a 10 cubren los siguientes componentes:

Ciclo PDCA aplicado a los procesos del negocio de un SGCN:
5.3. Plan – Planificación
Establecer
Cláusula 4 («contexto de la organización»). La organización debe determinar las

cuestiones externas e internas que son pertinentes para su propósito y que afectan a su
capacidad para lograr los resultados previstos de su SGCN.
Revisar sus objetivos estratégicos para asegurarse de que el SGCN los respalda.
Identificar las necesidades, las expectativas y los requisitos de las partes interesadas.
Ser consciente de sus obligaciones legales, reglamentarias y de otro tipo que sean de
aplicación.
Cláusula 5 («liderazgo»). La alta dirección debe mostrar liderazgo y compromiso con

respecto al SGCN
Plantearse las funciones y responsabilidades de la dirección.

Promover una cultura de mejora continua.

Asignar las responsabilidades de seguimiento del desempeño y elaboración de

informes al respecto.
Cláusula 6 («planificación») la organización requiere:
Examinar sus riesgos y oportunidades e identifique las medidas que debe adoptar
para abordarlos y beneficiarse de ellos.
Establecer una gestión del cambio eficaz.
Cláusula 7 («soporte») requiere que la organización provea los recursos para:
Establecer una gestión eficaz de sus recursos de SGCN, incluida la gestión de

competencias.
Mejorar la toma de conciencia de sus empleados respecto a los asuntos importantes
para la gestión.
Disponer de mecanismos eficaces para las comunicaciones tanto internas como
externas.
Gestionar su documentación con eficacia.
5.4. Do – Operación
Implantar y Operar
Cláusula 8 («operación») exige que la organización tenga en cuenta:
Las consecuencias imprevistas del cambio.

Las prioridades y los requisitos de la continuidad del negocio.
Las interdependencias.
Las vulnerabilidades desde el punto de vista del impacto.
Los riesgos de disrupciones y la identificación de la mejor manera de abordarlos.
Qué soluciones alternativas existen para gestionar el negocio con recursos limitados.
Cuáles son las estructuras y los procedimientos eficaces para abordar las
disrupciones.
Cuáles son sus responsabilidades ante la comunidad y otras partes interesadas.

5.5. BIA y Evaluación de Riegos
Una organización logra su propósito entregando productos y servicios a los clientes. Por
consiguiente, es importante comprender bien el impacto adverso que puede tener a lo
largo del tiempo una disrupción en la entrega de estos productos y servicios (y en las
actividades que lo hacen posible) en la organización y en las partes interesadas. También
es importante entender las interrelaciones y los requisitos de recursos de las actividades
que sustentan los productos y servicios y las amenazas que les atañen.
La organización debería implantar y mantener procesos que analicen de forma

sistemática los impactos sobre el negocio y evalúen los riesgos de
disrupción, cuyos resultados permitan a la organización identificar las estrategias y
soluciones de continuidad del negocio. El análisis del impacto sobre el negocio y la
evaluación del riesgo debería revisarse a intervalos planificados y siempre que se
produzca algún cambio significativo en la organización o en el contexto en el cual opera.
Corresponde a la organización determinar el orden en el que se llevan a cabo el
análisis del impacto sobre el negocio y la evaluación del riesgo, siempre y
cuando se evalúen los riesgos para sus actividades prioritarias
Un análisis del impacto sobre el negocio permite a la organización establecer

prioridades para reanudar las actividades interrumpidas. Su principal finalidad es
permitir a la organización identificar y clasificar como «prioritarias» aquellas actividades
que puedan requerir acciones urgentes cuando han sufrido una disrupción, porque si no
se consiguen reanudar con rapidez podrían generarse niveles inaceptables de impacto
adverso. Es posible que sea preciso priorizar otras actividades además de aquellas que
haya que recuperar con rapidez.

5.6. Estrategias de Continuidad
El objetivo de las estrategias es asegurar la continuidad de las actividades o

recursos, reaprovisionar, reparar, sustituir, o entregar recursos
alternativos conforme a los requisitos de la continuidad del negocio, considerando
principalmente las siguientes opciones estratégicas ante la planificación y preparación
ante incidentes:
Personas.
Información y datos.
Edificios, entorno de trabajo y servicios públicos asociados.
Instalaciones, equipos y consumibles.
Sistemas de Tecnología de Información y Comunicación.
Transportes.
Finanzas.
Socios y proveedores.
El proceso de determinación y selección de las estrategias de continuidad del negocio se

traduce en capacidades que la organización puede implementar y mejorar con
el tiempo para mitigar los efectos del riesgo asociado a las disrupciones y mejorar
la capacidad para responder y recuperarse ante un incidente disruptivo, conforme a los
requisitos de continuidad del negocio.
Las estrategias de continuidad del negocio son las maneras posibles de que la
organización cumpla sus requisitos de continuidad del negocio.
Consta de al menos una solución de continuidad del negocio, pero puede que
requieran más de una para cumplir los requisitos de continuidad del negocio.
Las soluciones de continuidad del negocio incluyen los enfoques, las disposiciones,
los métodos, los procedimientos, los abordajes y las acciones que pueden aplicarse
para implantar las estrategias de negocio. Las soluciones se pueden utilizar para más
de una estrategia.
Las estrategias y soluciones de continuidad del negocio:
o Permiten a la organización reanudar las operaciones de negocio dentro
de los plazos requeridos y con un nivel de capacidad aceptable;

o Identifican las capacidades que la organización puede implantar y mejorar a

lo largo del tiempo para mitigar los riesgos relacionados con las
disrupciones.
La identificación de las estrategias de continuidad del negocio y la selección de las
soluciones de continuidad del negocio deben basarse en el análisis del impacto sobre
el negocio y en la evaluación del riesgo, teniendo en cuenta los costes asociados.
La organización debería implantar procedimientos para identificar y seleccionar
estrategias y soluciones de continuidad del negocio, incluidas la revisión y
aprobación de soluciones recomendadas. La organización debería considerar las
opciones que se pueden implantar antes, durante y después de una disrupción.
Se requieren estrategias para:
Proteger las actividades priorizadas contra una disrupción;

Estabilizar, continuar, reanudar y recuperar las actividades priorizadas, las
dependencias y los recursos que han sufrido una disrupción.
La determinación y selección de las estrategias de continuidad del negocio debería
basarse en los resultados del análisis del impacto sobre el negocio y de la evaluación
del riesgo.
Las estrategias deberían cumplir los requisitos de continuidad del negocio necesarios
para lograr los objetivos de continuidad del negocio:
El tiempo objetivo de recuperación (RTO, por sus siglas en inglés) de un recurso
puede ser más largo que el RTO de una actividad debido a los requisitos del negocio,
que podrían incluir la disponibilidad de soluciones alternativas;
El RTO de un recurso podría ser más corto que el RTO de una actividad si el tiempo
de confi- guración de este fuera significativo o si se comparte con otras actividades
que tengan un RTO más exigente.
En general, cuanto mayor sea la prioridad (y menor el RTO) que se ha asignado a un
producto, servicio, proceso o actividad en el análisis del impacto sobre el negocio,
más compleja y cara resulta la estrategia para su recuperación.
No hacer nada:
Es una estrategia aceptable cuando hay tiempo suficiente tras una disrupción para
obtener los recursos requeridos y reanudar la actividad antes de que la imposibilidad
de entregar los productos o prestar los servicios genere impactos inaceptables para
la organización;

No es una estrategia aceptable si la dirección decide no implementar las capacidades

apropiadas y esta inacción impidiera la entrega de productos o la prestación de
servicios pasado su RTO; en tal caso, estos productos y servicios deberían excluirse
expresamente del alcance del SGCN.
El contexto de negocio en el que opera la organización puede determinar también la
aplicabilidad de las opciones de estrategias para sus productos y servicios.
Podría haber exigencias legales o reglamentarias que prohíban la contratación
externa a otras organizaciones cuando esta estrategia pueda reducir la resiliencia
global del sector o dar lugar a infracciones de la seguridad de la información.
Deberían tenerse en cuenta las disrupciones más graves que la organización está
preparada para afrontar con su programa de continuidad del negocio sin
comprometer sus objetivos actuales.
Cualquier recurso alternativo debería ubicarse a una distancia suficiente del recurso
principal. No existe una distancia específica ni prescrita para todas las organizaciones
y recursos. La distancia podría basarse en la probabilidad percibida de que se
produzcan eventos destructivos a gran escala contra los que la organización pretenda
protegerse. Algunos factores pueden ser:
o Fenómenos climáticos.
o Calidad medioambiental.
o Estabilidad geológica.
o Resiliencia de las infraestructuras.
o Estabilidad política.
La diversidad de recursos, incluidos los proveedores, puede aportar cierto grado de
protección.
Al evaluar las estrategias deberían tenerse en cuenta los aspectos siguientes:
Fiabilidad: ¿la estrategia funcionará? ¿Será posible ensayar la eficacia de la

estrategia antes de un incidente?
Agilidad: ¿cuán flexible o adaptable es la estrategia ante circunstancias cambiantes?
Riesgo: ¿cuál es el riesgo de que la estrategia no sea eficaz por falta de disponibilidad
de recursos?
Relación coste-beneficio: ¿la estrategia cumple los objetivos de continuidad del
negocio a un coste justificable?
Contexto: ¿la estrategia aborda los factores humanos, culturales, políticos y
técnicos?

Cuando las estrategias dependen de proveedores clave, debería evaluarse la continuidad

del negocio de esos proveedores.
Debería haber recursos suficientes para implementar las opciones de estrategia

elegidas.
La organización debería contar con un mecanismo para revisar y aprobar las
soluciones recomendadas.
Una vez finalizada la determinación, selección e implementación de la estrategia de

continuidad del negocio, la organización debería pasar al desarrollo de planes y
procedimientos para el uso de las capacidades de continuidad del negocio, definidas por
las estrategias, cuando se produzca un incidente disruptivo.
5.7. Planes y procedimientos de Continuidad
Una vez que la organización cuenta con una estructura de respuesta apoyada en planes y
procedimientos de continuidad del negocio está habilitado para:
Controlar la respuesta a la disrupción;

Comunicarse de manera eficaz con las partes interesadas;
Utilizar las soluciones de continuidad del negocio para reanudar las actividades
dentro del RTO.
Planes
Un plan consta de uno o varios procedimientos.
Los planes de continuidad del negocio establecen cómo responderán los

equipos a las disrupciones y reanudarán las actividades dentro del campo de
aplicación del SGCN.
Los planes y procedimientos deben mantener una estructura documental que

permita colectivamente:
Identificar los pasos inmediatos que deben darse y ayudar en la toma de

decisiones puntual;

Ser lo bastante flexibles para adaptarse a amenazas imprevistas y situaciones

cambiantes;
Centrarse en los impactos previstos de las disrupciones;
Estar alineados con las soluciones de continuidad del negocio seleccionadas
por la organización para minimizar los impactos;
Identificar con claridad los roles y asignar las responsabilidades para
todas las tareas que hay que realizar.
Cada plan de continuidad del negocio debería identificar su finalidad, campo de

aplicación y objetivos de un modo que resulte claro a los equipos que lo usen. Los enlaces
a otros procedimientos documentados requeridos o pertinentes deberían indicarse
claramente y se debería describir el método para obtener acceso a ellos. El plan de
continuidad del negocio debería incluir:
Roles responsabilidades y autoridades.

Criterios y procedimientos de activación.
Procedimientos de implantación.
Criterios de retirada de medidas.
Requisitos y procedimientos de coordinación y comunicación.
Interdependencias e interacciones internas y externas.
Requisitos de recursos.
Requisitos de informes.
Flujo de información y procesos de documentación.
5.8. Ejercicios y pruebas de Continuidad
Los procedimientos y disposiciones de continuidad del negocio de una organización no

se pueden considerar fiables hasta que se hayan ejercitado y a no ser que se mantengan
actualizados. Los ejercicios desarrollan el trabajo en equipo, las competencias, la
confianza y los conocimientos, y deberían incluir a quienes podrían tener que usar los
procedimientos.
Establecer un programa de ejercicio permite un enfoque coordinado del desarrollo, la

evolución y la madurez de las capacidades de la organización. El programa debería cubrir
los planes individuales, las personas (incluidas las de organizaciones externas), las

capacidades y los recursos que contribuyen a los objetivos estratégicos de la

organización.
La alta dirección debería asegurarse de que se establezcan los objetivos del programa de
ejercicio y de que se asigne a una persona competente para gestionar dicho programa. El
campo de aplicación de un programa de ejercicio debería basarse en el tamaño y la
naturaleza de la organización que va a llevar a cabo los ejercicios, así como en el campo
de aplicación, la funcionalidad, la complejidad y el nivel de madurez de los planes y
capacidades que se ejercitan. En las fases iniciales de la madurez, los ejercicios y los
ensayos pueden limitarse al uso de listas de verificación, simulaciones y ejercicios de
toma de conciencia. A medida que el programa madura, se puede ampliar para incluir
ejercicios de simulación teórica y simulacros en directo a escala natural.
Para asegurarse de que los ejercicios se lleven a cabo de manera eficiente y eficaz dentro
de los plazos especificados, el programa de ejercicio debería incluir lo siguiente:
Análisis de necesidades.
Respaldo de la alta dirección.
Objetivos claros.
Extensión, número, tipos, duración, ubicaciones y programaciones de los ejercicios;
Personal apropiado para apoyar el programa.
Recursos y presupuesto necesarios.
Procesos de gestión de la confidencialidad, la seguridad de la información, la salud,
la seguridad y otros asuntos semejantes.
Con el tiempo, el programa de ejercicio debería ofrecer la tranquilidad de saber que la

respuesta global de la organización será eficaz. El programa, una vez implantado,
debería:
Ejercitar los aspectos técnicos, logísticos, administrativos, procedimentales y

operativos de otro tipo de los procedimientos.
Ejercitar a todas las personas con responsabilidades en los procedimientos, incluidas
las pertenecientes a organizaciones externas.
Ejercitar las disposiciones y la infraestructura de continuidad del negocio (incluidos,
por ejemplo, los centros de mando y las áreas de trabajo).
Validar la recuperación de la tecnología y las telecomunicaciones, incluida la
disponibilidad y reubicación del personal.

Ejercitar a los equipos de respuesta en la gestión de los impactos derivados de la

disrupción de la cadena de suministro.
Los ejercicios deberían diseñarse y llevarse a cabo de tal forma que proporcionen uno o
más de los siguientes elementos:
Verificación de que el RTO de la actividad y el RTO de las interdependencias y los

recursos de apoyo de las actividades prioritarias sean alcanzables.
Confianza en que la información y los datos que se requieren para las actividades
están debidamente actualizados.
Comprensión mejorada de las interdependencias relativas a la continuidad del
negocio de los proveedores y otras partes interesadas.
Toma de conciencia mejorada respecto al contexto y a las prioridades de la
organización.
Comprensión mejorada del contenido y el uso de los procedimientos de continuidad
del negocio.
Confianza mejorada en la respuesta a incidentes.
Una oportunidad para mejorar las capacidades;
Evaluación de la utilidad y aplicabilidad de las soluciones de continuidad del negocio;
Evaluación de la idoneidad de las capacidades desarrolladas y las asignaciones de
recursos.
Identificación de los requisitos y de las prácticas empleadas en la gestión de
disrupciones que previamente no se habían documentado.
Una oportunidad de identificar otras deficiencias de los procedimientos escritos de
continuidad del negocio y su implantación.
La seguridad de que los procedimientos de continuidad del negocio se pueden
implantar cuando es preciso.
Confianza mejorada de las partes interesadas en relación con la preparación de la
organización.
Un modo de cumplir los requisitos reglamentarios, contractuales o de gobernanza
organizativa.

Métodos de ejercicios
Categoría: Debate / Simulación
Métodos:
Revisión del plan.

Simulación teórica.
Simulación teórica fuera del emplazamiento.
Taller (uno o varios planes).
Taller (una o varias ubicaciones).
Taller para toda la organización a gran escala.
Los beneficios de los ejercicios y los ensayos son, entre otros:
Validación de los supuestos, de las soluciones de continuidad del negocio y del campo
de aplicación de los planes de continuidad del negocio;
Aseguramiento del funcionamiento correcto de las instalaciones y los recursos
técnicos;
Aseguramiento de la capacidad de las instalaciones alternativas;
Aumento de la eficacia y reducción del tiempo necesario para completar los procesos
(por ejemplo, mediante el uso de simulacros repetidos para acortar los tiempos de
respuesta);
Mejora de la toma de conciencia de las partes interesadas;
Desarrollo de las competencias y la toma de conciencia de los participantes.
La Norma Internacional ISO 22398 proporciona directrices más precisas sobre el tipo de
ejercicio, así como sobre la planificación, realización y mejora de un programa de
ejercicio.

5.9. Check - Evaluación del desempeño
Dar seguimiento y revisar
Cláusula 9 («evaluación del desempeño») requiere que la organización:
Disponga de mecanismos eficaces para hacer seguimiento, medir y evaluar el

desempeño;
Se asegure de que la dirección tome parte en el seguimiento del desempeño y
contribuya a la eficacia del SGCN.
Los procedimientos para el seguimiento, la medición, el análisis y la evaluación del

desempeño y la eficacia del SGCN deberían incluir:
Determinar los métodos de seguimiento, medición, análisis y evaluación, lo que

incluye:
o Especificar qué hay que someter a seguimiento y medir.
o Identificar cómo, cuándo y quién debe hacer el seguimiento y la medición.
o Establecer métricas de desempeño que incluyan mediciones cualitativas y
cuantitativas que sean apropiadas para la organización y garanticen resultados
válidos.
o Registrar los datos y los resultados para facilitar el análisis posterior de las
acciones correctoras.
Examinar las pruebas históricas.
Hacer el seguimiento de en qué medida se cumplen la política y los objetivos de
continuidad del negocio de la organización.
Medir el cumplimiento del SGCN de los requisitos legales y reglamentarios
aplicables.
Hacer el seguimiento de las no conformidades y de otras pruebas de un desempeño
deficiente del SGCN.
La organización debería llevar a cabo auditorías internas a intervalos programados

para evaluar el desempeño del SGCN.
La alta dirección debería revisar el SGCN de la organización, a intervalos

programados, para garantizar su idoneidad, adecuación y eficacias continuas, incluido el
funcionamiento eficaz de sus procedimientos y capacidades de continuidad.

5.10. Act – Mejora
Mantener y mejorar
Cláusula 10 («mejora») requiere que la organización:
Disponga de procedimientos para hacer seguimiento del desempeño y mejorar

la eficacia.
Se beneficie de la mejora continua de sus sistemas de gestión.
La organización debería determinar las oportunidades de mejora del SGCN e implantar

las acciones necesarias para alcanzar los resultados esperados.
La mejora continua, en lo que se refiere a la idoneidad, adecuación y eficacia del SGCN,

funciona en todos los niveles dentro del ciclo PDCA y debería basarse en la política y los
objetivos de continuidad del negocio, los resultados de la auditoría, el análisis de las
disrupciones, la revisión por la dirección, las ambiciones y el nivel de madurez deseado.
La mejora continua requiere un proceso que identifique las oportunidades y un proceso
para gestionarlas. El proceso de mejora continua debería seguir el mismo proceso básico
que el empleado para las acciones correctoras y debería incluir lo siguiente:
Identificar qué abordar y la situación presente (un espacio para la mejora);

Identificar el proceso y controles presentes;
Determinar qué cambios implantar (mejora).
5.11. Referencias bibliográficas
ISO 22301:2012, Societal security. Business continuity management systems.

Requirements.
ISO 22313, Societal security. Business continuity management systems. Guidance.
ISO/TS 22317, Societal security. Business continuity management systems. Guidelines

for business impact analysis (BIA).

ISO/IEC 27031, Information technology. Security techniques. Guidelines for

information and communication technology readiness for business continuity.
ISO 31000, Risk management. Guidelines.

Lo + recomendado
No dejes de leer…
El plan de continuidad de negocio: guía práctica para su elaboración
Gaspar Martínez, J. (2012). El plan de continuidad de negocio: guía práctica para su

elaboración. Ediciones Díaz de Santos.
El libro muestra la forma en la que se pueden convertir en una

realidad los planes de continuidad.
TEMA 5 – Lo + recomendado
No dejes de ver…
Título original: Los 33.

Año: 2016.
Duración: 127 min.
País: Chile
Director: Patricia Riggen
Reparto: Antonio Banderas, Rodrigo Santoro, Juliette Binoche,
Nahomi Scott, Cote de Pablo…
Continuidad del Negocio en las ciudades inteligentes
Este vídeo contiene una plática de como la continuidad del negocio permite dar el paso
a la resiliencia o prosperidad, sustentabilidad e inclusión como parte de los objetivos de
las ciudades inteligentes.
Accede al vídeo a través del aula virtual o desde la siguiente dirección web:
https://www.youtube.com/watch?v=hFJ4EZh90WM
TEMA 5 – Lo + recomendado
+ Información
A fondo
En esta presentación se describen cuáles son las definiciones, componentes, certificación

con el que cuenta un Sistema de Gestión de Continuidad del Negocio.
Accede a la presentación a través del aula virtual o desde la siguiente dirección web:
https://es.slideshare.net/besair/iso-22301-seguridad-de-las-sociedades-continuidad-
del-negocio
Emprender estrategias de ciber-resiliencia para enfrentar los nuevos

escenarios del ciber riesgo: BSI
En este artículo podrás leer acerca de la ciber-resiliencia, un nuevo escenario para

enfrentarse a los ciberataques.
Accede al artículo a través del aula virtual o desde la siguiente dirección web:
https://cio.com.mx/emprender-estrategias-de-ciber-resiliencia-para-enfrentar-los-
nuevos-escenarios-del-ciber-riesgo-bsi-beneficio-de-la-organizacion/
TEMA 5 – + Información
Sistemas de Gestión de Seguridad de la Información
Test
1. ¿Cuál de las siguientes opciones se refiere a la capacidad de una organización para

continuar proporcionando productos o prestando servicios dentro de unos niveles
predefinidos tras una disrupción?
A. Gestión de Continuidad del negocio.

B. Continuidad del Negocio.
C. Sistema de Gestión de Continuidad del Negocio.
D. Ninguna de las anteriores.
2. Implementar un SGCN después de que se produzca la disrupción, en lugar de

responder sin planificación alguna después del incidente, permitirá a la organización
reanudar las operaciones antes de que se generen niveles de impacto inaceptables.
A. Verdadero.
B. Falso.
3. Los elementos indispensables que integran la Gestión de la Continuidad del Negocio

son:
A. Planes de continuidad y programa de Pruebas y ejercicios.

B. Análisis de Impacto al Negocio y riesgos.
C. Estrategias y soluciones de continuidad del negocio.
D. Todas las anteriores.
4. Este programa permite a la organización validar la eficacia de las soluciones, los

planes y los procedimientos que se han implantado.
A. Programa de concientización.
B. Programa de mejora continua.
C. Programa de ejercicios y pruebas.
D. Todos los anteriores.
TEMA 5 – Test
5. Este tipo de análisis permite a la organización evaluar el impacto que la disrupción de

sus actividades tendría en la entrega de sus productos y servicios. Esto permite a la
organización priorizar la reanudación de las actividades.
A. Análisis de Impacto al Negocio.

B. Análisis de impacto a los aplicativos.
C. Análisis funcional del Plan de continuidad del negocio y de recuperación de
desastres.
6. Un SGCN basado en la normativa internacional ISO 27001, aumenta el nivel de

preparación de la organización para continuar funcionando durante una disrupción.
A. Verdadero.
B. Falso.
7. ¿Cuál es el estándar internacional ISO que define un modelo de Sistema de Gestión de

Continuidad del Negocio?
A. ISO 22301.
B. ISO 27001.
C. ISO 22313.
8. Considerando que las estrategias de continuidad del negocio son las maneras posibles
de que la organización cumpla sus requisitos de continuidad del negocio y su objetivo es
asegurar la continuidad de las actividades o recursos, reaprovisionar, reparar, sustituir,
o entregar recursos alternativos conforme a los requisitos de la continuidad del negocio,
que elementos considerarías principalmente:
A. Solo a los intereses y objetivos de los dueños de las organizaciones.

B. A las personas, la información y datos, edificios, transportes finanzas, socios y
proveedores, instalaciones, equipos y consumibles.
C. A los familiares de los empleados.
D. A la sociedad.
TEMA 5 – Test
9. El RTO de un recurso podría ser más corto que el RTO de una actividad si el tiempo
de configuración de este fuera significativo o si se comparte con otras actividades que
tengan un RTO más exigente.
A. Verdadero.
B. Falso.
10. La Norma Internacional _____ proporciona directrices más precisas sobre el tipo
de ejercicio, así como sobre la planificación, realización y mejora de un programa de
ejercicio.
A.ISO 22301.
B. ISO 22398.
C.ISO 27001.
D. Todas las anteriores.
TEMA 5 – Test

Tema 5

Cargado por

Copyright:

Formatos disponibles

Tema 5

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 5

Cargado por

Copyright:

Formatos disponibles

Tema 5.

[5.2] Requisito conforme a ISO 22301:2018

[5.3] Plan - Planificación

[5.5] BIA y Evaluación de Riegos

[5.6] Estrategias de Continuidad

[5.7] Planes y procedimientos de Continuidad

[5.8] Ejercicios y pruebas de Continuidad

[5.9] Check – Evaluación del desempeño

[5.10] Act – Mejora

5.1. ¿Cómo estudiar este tema?

Ureña,García. (26 de abril de 2019). Sectores estratégicos de gobierno e industria bajo

Accede al artículo a través del aula virtual o de la siguiente dirección web:

En este tema analizaremos la estructura fundamental de los Sistemas de

El objetivo fundamental de esta unidad es el de comprender los elementos de la gestión

Concretamente se espera que al finalizar el tema seas capaz de:

Dar ejemplos y describir los principales componentes de un ciclo de vida de gestión

La continuidad del negocio

Se refiere a la capacidad de una organización para continuar proporcionando productos

TEMA 5 – Ideas clave

La gestión de la continuidad del negocio es un proceso que consiste en implantar y

Establecer un SGCN permite a la organización establecer, controlar, evaluar y mejorar

El término «negocio» se utiliza de forma general para describir las operaciones y

Las disrupciones pueden interrumpir las operaciones de toda la organización y mermar

Implementar un SGCN antes de que se produzca la disrupción, en lugar de responder sin

La gestión de la continuidad del negocio requiere:

Identificar los productos y servicios de la organización y las actividades que

El enfoque de la organización respecto a la gestión de la continuidad del negocio y su

TEMA 5 – Ideas clave

En el diagrama siguiente, la continuidad del negocio eficaz en un caso de disrupción

TEMA 5 – Ideas clave

TEMA 5 – Ideas clave

disrupción de las actividades tendría en la entrega de sus productos y servicios. Esto

TEMA 5 – Ideas clave

El Sistema de Gestión de Continuidad del Negocio

La estructura fundamental de un SGCN, hace hincapié en la importancia de:

5.2. Requisitos conforme a ISO 22301:2018

Un SGCN basado en la normativa internacional ISO 22301:2018, aumenta el nivel de

Permite comprender mejor las relaciones internas y externas de la organización,

El propósito de un SGCN es prepararse para proporcionar y mantener los controles y las

TEMA 5 – Ideas clave

Para lograrlo, se requiere de:

TEMA 5 – Ideas clave

Un SGCN mediante el ciclo PDCA de ISO 22301 considera las directrices y

Este documento es aplicable a organizaciones que:

Implantan, mantienen y mejoran un SGCN;

Las directrices y recomendaciones son aplicables a organizaciones de todos los tamaños

TEMA 5 – Ideas clave

Ciclo PDCA aplicado a los procesos del negocio de un SGCN:

5.3. Plan – Planificación

Cláusula 4 («contexto de la organización»). La organización debe determinar las

Cláusula 5 («liderazgo»). La alta dirección debe mostrar liderazgo y compromiso con

Plantearse las funciones y responsabilidades de la dirección.

TEMA 5 – Ideas clave

Asignar las responsabilidades de seguimiento del desempeño y elaboración de

Cláusula 6 («planificación») la organización requiere:

Cláusula 7 («soporte») requiere que la organización provea los recursos para:

Establecer una gestión eficaz de sus recursos de SGCN, incluida la gestión de

Cláusula 8 («operación») exige que la organización tenga en cuenta: