Líder en soluciones educativas

ISO 22301
Gestión de la continuidad de Negocio
ISO 22301/22313
BCMS
Seguridad Societaria - Sistemas de Gestión de la
Continuidad del Negocio
Requerimientos - Guía

Raúl Borges
Agosto 2018
 Agenda

• Introducción
• El ciclo de Deming y su aplicación al estándar
• Alcance
• Definiciones relevantes
• Contexto organizacional
• Liderazgo
• Planificación
• Soporte
• Operación
• Evaluación de desempeño

ISO 22301 /22313 BCMS 2

 Introduccion

• Este curso está basado en el estándar ISO 22313,

complementado por los estándares ISO 22301 e ISO 22300.
• Su objetivo es proporcionar recomendaciones sobre aspectos
relevantes de la implementación de un Plan de Continuidad de
Negocios.
• Un sistema de gestión de la continuidad del negocio (BCMS)
enfatiza la importancia de:
• Entender las necesidades de la organización y la necesidad de
establecer continuidad comercial política y objetivos;
• Implementar y operar controles y medidas para administrar la
organización en general
• Generar la capacidad para gestionar incidentes disruptivos;
• Monitorear y revisar el desempeño y efectividad del BCMS (Business
Continuity Management System)
• Desarrollar la mejora continua basada en la mediciones objetivas.

ISO 22301 /22313 BCMS 3

Sistema de Gestión de la Continuidad del Negocio
(BCMS)
Un BCMS, como cualquier otro sistema de gestión, incluye los siguientes
componentes clave:
a) Una política.
b) Personas con responsabilidades definidas.
c) Procesos de gestión relacionados con:
1) Política.
2) Planificación.
3) Implementación y operación.
4) Evaluación del desempeño.
5) Revisión de la gestión.
6) Mejora.
d) Documentos que proporcionen evidencia auditable.
e) Cualquier proceso de BCMS relevante para la organización.

ISO 22301 /22313 BCMS 4

El Ciclo de Deming y su aplicación al estándar

ISO 22301 /22313 BCMS 5

 Relación entre el ciclo PDCA y las clausulas del
estándar
Componente PDCA Clausula relacionada
Plan (Establecer) Clausula 4 (Contexto de la Organización)
-Necesidades de los Interesados
-Obligaciones Legales y regulatorias
-Alcance requerido del BCMS
Clausula 5 (Liderazgo)
Clausula 6 (Planificación)
Clausula 7 (Soporte)
Do (implementar y Operar) Clausula 8 (Operación)
Check (Monitorear y Revisar) Clausula 9 (Evaluación de Desempeño)
Act (Mantener y Mejorar) Clausula 10 (Mejora)

ISO 22301 /22313 BCMS 6

 Continuidad del Negocio

• La Continuidad del Negocio:

Capacidad de la organización para continuar entregando productos o
servicios a un nivel aceptable predefinido luego de un incidente
disruptivo.
• Gestión de la Continuidad del Negocio:
Proceso para lograr la Continuidad del Negocio, preparando a la
organización para manejar incidentes disruptivos.

ISO 22301 /22313 BCMS 7

 Gestión de la Continuidad del Negocio
Elementos Fundamentales
• Productos y/o servicios Clave entregados por la organización y las
actividades para su realización.
• Prioridades para reasumir las actividades y los recursos necesarios para
hacerlo.
• Conocimiento de las amenazas sobre las actividades y el impacto de no
realizarlas.
• Acciones probadas y confiables para reasumir actividades luego de un
incidente.
• Revisión periódica de los arreglos para reasumir las actividades luego de
un incidente disruptivo.

ISO 22301 /22313 BCMS 8

 Gestión de la Continuidad del Negocio
Características
• Establecer la continuidad del negocio puede ser efectiva en dos tipos de
interrupciones de un servicio:
• Interrupción progresiva ( p.e. una epidemia).
• Interrupción súbita (p.e. un incendio o un derrumbe).
• Las actividades pueden interrumpirse por cualquier tipo de incidentes la
mayoría de los cuales son de difícil predictibilidad.
• La Continuidad del Negocio debe enfocarse en las consecuencias del
incidente más que en su naturaleza.
• A través de la Continuidad del Negocio una organización puede conocer
que necesita hacer para proteger sus recursos.
• La Continuidad de negocios también puede generar oportunidades a
través del conocimiento de la gestión de los impactos.

ISO 22301 /22313 BCMS 9

 Gestión de la Continuidad del Negocio
Aparición gradual de una causa disruptiva

ISO 22301 /22313 BCMS 10

 Gestión de la Continuidad del
Negocio
Aparición repentina de una causa
disruptiva

ISO 22301 /22313 BCMS 11

 Alcance ISO 22301
• El estándar ISO 22301 relativo a la Seguridad
Societaria, específicamente Sistemas de Gestión de
Continuidad del Negocio (BCMS) especifica los
requerimientos para su:
• Planificación
• Establecimiento
• Implementación
• Operación
• Monitoreo
• Revisión
• Mantenimiento
• Mejora continua
ISO 22301 /22313 BCMS 12
 Alcance ISO 22313
• El estándar ISO 22313 relativo a la Seguridad
Societaria, específicamente Sistemas de Gestión de
Continuidad del Negocio (BCMS) provee una guía
basado en mejores prácticas internacionales para su:
• Planificación
• Establecimiento
• Implementación
• Operación
• Monitoreo
• Revisión
• Mantenimiento
• Mejora continua
ISO 22301 /22313 BCMS 13
 Alcance (Aplicación)
• Ambos estándares ISO 22301 y 22313, son aplicables a
organizaciones de todo tamaño y naturaleza que buscan:
• Establecer, implementar, mantener y mejorar un BCMS
• Garantizar la conformidad con la política de continuidad del
negocio de la organización
• Hacer una auto-determinación y una auto-declaración de
conformidad con este Estándar International.
• El estándar ISO 22301 se aplica exclusivamente para
aquellas organizaciones que pretenden:
• Demostrar a otros, su conformidad con el Estándar.
• Certificar / Registrar su BCMS por una tercera parte acreditada

ISO 22301 /22313 BCMS 14

Definiciones relevantes (1)
• Continuidad del Negocio
• Capacidad de la organización para entregar en forma continua,
productos o servicios, luego de un incidente disruptivo, a un nivel
predefinido y aceptable
• Sistema de Gestión de Continuidad del Negocio (BCMS)
• Parte de un sistema de gestión que establece, implementa, opera,
monitorea, revisa, mantiene y mejora la Continuidad del Negocio.
• Plan de Continuidad del Negocio (BCP)
• Procedimientos documentados que guían la organización para
responder, recuperar, retomar y restaurar un nivel predefinido de
operación luego de un incidente disruptivo
• Análisis del Impacto en los Negocios (BIA)
• Proceso de análisis de las actividades y del efecto que en ellas
produce una interrupción

ISO 22301 /22313 BCMS 15

Definiciones relevantes (2)
• Interrupción máxima aceptable (MAO)
• Tiempo máximo durante el cual no será provisto el servicio o realizada una
actividad, mas allá del cual se calificará inaceptable a la interrupción.
• Máxima interrupción tolerable (MTPD)
• Tiempo máximo durante el cual no será provisto el servicio o realizada una actividad, mas
allá del cual se calificará inaceptable a la interrupción.
• Acuerdo de Ayuda Mutua
• Entendimiento pre-acordado entre dos o más entidades para la prestación de
asistencia entre ellas.
• Punto Objetivo de Recuperación (RPO)
• Punto al cual la información utilizada por una actividad será restaurada, para
permitir la recuperación de la misma
• Tiempo Objetivo de Recuperación (RTO)
• Período de tiempo que sigue a un incidente dentro del cual:
• Productos, servicios o actividades deben ser recuperados .
• Recursos deben ser recuperados

ISO 22301 /22313 BCMS 16

 Contexto Organizacional
Contexto Externo
• Entorno político, legal y regulatorio ya sea internacional,
nacional, regional o local.
• Entorno social y cultural, financiero, tecnológico,
económico, natural y competitivo, ya sea internacional,
nacional, regional o local.
• Compromisos y relaciones de la cadena de suministro.
• Consideración de estudios internos sobre los riesgos.
• Información de gestión del conocimiento.
• impulsores clave y tendencias que tienen impacto en los
objetivos y el funcionamiento de la organización.
• Percepciones, valores y relaciones con interesados fuera de
la organización.
ISO 22301 /22313 BCMS 17
 Contexto Organizacional
Contexto Interno
• Productos y servicios, actividades, recursos, cadenas de suministro y
relaciones con los interesados.
• Capacidades, recursos y conocimiento (por ejemplo, capital, tiempo,
gente, procesos, sistemas y tecnologías).
• Sistemas de información, fases de información y procesos de toma
de decisiones (tanto formales como informales.
• Interesados internos.
• Políticas y objetivos, y las estrategias que existen para alcanzarlos.
• Oportunidades futuras y prioridades comerciales.
• Percepciones, valores y cultura.
• Estándares y modelos de referencia y estructuras de la organización
(por ejemplo, gobierno, roles y responsabilidades).

ISO 22301 /22313 BCMS 18

Interesados

ISO 22301 /22313 BCMS 19

 Requisitos Legales y Regulatorios
• Cuando se establece se implementa y mantiene un
BCMS la organización debe tener en cuenta y
documentar especialmente los requisitos legales y
regulatorios aplicables a la actividad de la organización.
• La organización debería revisar todos los requisitos legales y
regulatorios en sus varias ubicaciones (en caso de tener mas
de una) que incluyen:
• Respuesta a Incidentes: incluye gestión de emergencias de
salud, seguridad y bienestar.
• Continuidad: Alcance del programa, velocidad de respuesta,
etc.
• Riesgo: requerimientos definiendo el riesgo o método
utilizado para la gestión de riesgos.
• Peligros: Requisitos operativos relacionados con sustancias
peligrosas almacenadas en alguna de las ubicaciones de la
organización.
ISO 22301 /22313 BCMS 20
 Alcance del BCMS
• La organización debería definir y documentar
el alcance del BCMS, adecuado a su tamaño,
complejidad y naturaleza. El documento de
Alcance debería contener:
• Lista de sectores de la organización incluidos en el
BCP.
• Intereses y necesidades de los interesados.
• Productos, servicios y las actividades, recursos y
cadenas de suministro relacionadas.
• Requerimientos del BCMS, tomando en
consideración la misión, metas, responsabilidades
legales y obligaciones internas y externas.

ISO 22301 /22313 BCMS 21

Responsabilidades de la Dirección
Liderazgo y Compromiso
• Todos los niveles relevantes de dirección de la
organización deben demostrar compromiso y
liderazgo en la implementación de las políticas y
objetivos de la Continuidad del Negocio.
• Para lograr el objetivo los directivos podrán utilizar
la motivación, el involucramiento y el
empoderamiento.

ISO 22301 /22313 BCMS 22

 Responsabilidades de la Dirección
Compromiso
• Cumplir con los requisitos legales aplicables y con otros requisitos a los cuales la organización suscribe.
• Integrar los procesos de BCMS en los procedimientos de mantenimiento y revisión establecidos por la
organización.
• Establecer políticas y objetivos de continuidad comercial acordes con los objetivos, obligaciones y
dirección estratégica de la organización.
• Designar a una o más personas con la autoridad y las competencias apropiadas para ser responsables
para el BCMS y responsable de su operación efectiva.
• Garantizar que se establezcan las funciones, responsabilidades y competencias del BCMS.
• Garantizar la disponibilidad de recursos suficientes, incluyendo niveles adecuados de financiación.
• Comunicar a la organización la importancia de cumplir con la política de continuidad del negocio y
objetivos.
• Participar activamente en el ejercicio y las pruebas.
• Asegurar que se realicen auditorías internas de BCMS.
• Realizar revisiones efectivas de gestión del BCMS .
• Dirigir y apoyar la mejora del BCMS.
ISO 22301 /22313 BCMS 23
 Responsabilidades de la Dirección
Políticas
• La alta dirección debe definir la política de continuidad del negocio en términos de los
objetivos de la organización y sus obligaciones y asegurarse de que:
• Es apropiada para el propósito de la organización.
• Incluye compromisos en relación con los requisitos aplicables, incluidas las obligaciones legales y regulatorios y
mejora continua del BCMS;
• Es comunicada y comprendida por toda la organización.
• Es complementaria a otras políticas relevantes
• Está disponible para las partes interesadas según lo aprobado por la administración.

• La política también debería:

• Proporcionar dirección sobre el alcance y los límites de la continuidad del negocio de la organización incluyendo:
• Limitaciones y excepciones
• Establecer los criterios de tipo y escala de incidentes a abordar
• Incluir referencias a estándares, lineamientos, regulaciones o políticas que el BCMS debería considerar

• La política de continuidad del negocio puede contener lo siguiente:

• Términos clave
• Compromiso de financiación
• Referencias a otras políticas relacionadas
• Requisitos para implementar la continuidad del negocio
ISO 22301 /22313 BCMS 24
 Responsabilidades de la Dirección
Roles, Responsabilidades y Autoridad
• La alta gerencia debe asegurar la asignación y comunicación de
responsabilidades y autoridad dentro del BCMS.
• Un miembro de la alta dirección debería tener responsabilidad total
sobre el BCMS.
• La alta dirección de la organización debería designar a uno o más
responsables para gestionar el BCMS que deberían tener roles
definidos, responsabilidades y autoridad para:
• Asegurar que BCM se establezca, implemente y mantenga de acuerdo con la política
de continuidad del negocio.
• Informar sobre el desempeño de BCM a la alta dirección para su revisión y como
base para la mejora.
• Garantizar la efectividad de los procedimientos desarrollados para la respuesta al
incidente.

ISO 22301 /22313 BCMS 25

Responsabilidades de la Dirección
Roles, Responsabilidades y Autoridad
• Al representante de la alta dirección se lo podría designar como
“gerente de continuidad del negocio”, este rol no necesariamente
debe ser exclusivo.
• En cada sector o ubicación de la organización deberían designarse
responsables para la implementación de BCM.
• Los integrantes del equipo de implementación de BCM deberían
ser reconocidos formalmente y las reglas, responsabilidades y
autoridades de su función deberían integrarse en las
descripciones de los puestos de trabajo.
• La alta dirección podría asimismo designar otros organismos, por
ejemplo, un comité de dirección para supervisar la
implementación y monitoreo continuo de BCM.
• Todos los roles, responsabilidades y autoridades del personal
afectado al BCM deben definirse y documentarse, y estar sujetos
a auditoría.

ISO 22301 /22313 BCMS 26

Consideraciones sobre liderazgo

ISO 22301 /22313 BCMS 27

 Planificacion
La planificación ( Clausula 6 del estándar 22301) incluye dos
aspectos:
• Acciones para abordar riesgos y oportunidades.
Basados en el contexto y los requerimientos de los interesados se
debería desarrollar un plan para:
• Prevenir resultados no deseados.
• Aprovechar toda oportunidad de mejora del BCMS.
• Integrar e implementar estas acciones en el proceso de BCMS
• Asegurar que la información documentada estará disponible para
evaluar si las acciones han sido en efectivo.
• Objetivos de continuidad del negocio y planes para alcanzarlos
Se debería elaborar un plan para configurar y administrar BCM (como se
establece en la cláusula 8 del estándar 22301), que debe incluir:
• Roles y responsabilidades
• Objetivos específicos, medibles y alcanzables.

ISO 22301 /22313 BCMS 28

 Soporte
La Organización debe determinar y proveer los
recursos necesarios para el BCMS que le permita:
• Alcanzar los objetivos y alinearse con la política del
establecida para el BCMS.
• Conformar los cambiantes requerimientos de la
organización.
• Establecer una comunicación efectiva entre el BCMS y el
interior y exterior de la organización.
• Realizar la operación día a día del BCMS y su mejora
continua.

ISO 22301 /22313 BCMS 29

 Soporte (tipos y características)
• Recursos específicos para el BCMS.
• Personal asignado a la respuesta de Incidentes.
• Competencia de los recursos humanos.
• Conocimiento.
• Comunicación.
• Documentación.
• Creación y Modificación
• Control de la documentación

ISO 22301 /22313 BCMS 30

Recursos específicos para el BCMS
• Personal y recursos relacionados.
• Instalaciones e infraestructura.
• Tecnología de Información y Comunicaciones (TIC).
• Gestión y Control de la información.
• Recursos de Comunicación.
• Financiamiento.

ISO 22301 /22313 BCMS 31

 Competencia de los RR.HH.
La organización debería establecer un sistema
apropiado y efectivo para gestionar la competencia
de las personas afectadas al BCMS que:
• Determine la competencia del personal necesario.
• Asegure que las personas asignadas tienen la
competencia requerida.
• Accionar para que los recursos asignados adquieran la
competencia requerida.
• Mantener documentación especifica que sea una
evidencia de la competencia de los recursos humanos
involucrados.

ISO 22301 /22313 BCMS 32

 Conocimiento
Las personas realizando tareas en la organización que
deberían tener un conocimiento apropiado del BCMS son:
• Personal propio de la organización.
• Proveedores y contratistas.
La información sobre la que debieran conocimiento es como
mínimo:
• La política de Continuidad del Negocio de la Organización.
• Su rol y responsabilidad con relación a la prevención de incidentes,
su detección, mitigación, auto-protección evacuación, respuesta,
continuidad y recuperación.
• La implicancia de los cambios en la operación de la organización.
• La importancia de la conformidad con la política y procedimientos
de la Continuidad del Negocio.

ISO 22301 /22313 BCMS 33

 Comunicación
La organización debería determinar la necesidad de
comunicación interna y externa del BCMS que incluye:
• Que se va a comunicar.
• Cuando se va a producir la comunicación.
• A quien se va a comunicar.
La organización debería establecer procedimientos para:
• Realizar comunicaciones dentro de la organización
• Realizar comunicaciones hacia agentes externos como
clientes, entidades asociadas, comunidad, etc.
• Asegurar la disponibilidad de los medios de comunicación
durante una interrupción.

ISO 22301 /22313 BCMS 34

 Documentación
La información documentada provee evidencia de la conformidad con
los requisitos y la operación efectiva del sistema de gestión. La
documentación requerida por este estándar incluye:
• El contexto de la organización.
• Requisitos legales y regulatorios y evidencia de conformidad.
• Alcance del BCMS y eventuales exclusiones.
• Política de Continuidad del Negocio.
• Objetivos de Continuidad del Negocio.
• Competencia de los RR.HH.
• BIA y procedimiento de evaluación de riesgos.
• Estrategia de continuidad del Negocio.
• Informes posteriores a pruebas o ejercicios.
• Monitoreo del BCMS.
• Auditorías internas.
• No conformidades y acciones correctivas.
• Revisiones de la gestión.

ISO 22301 /22313 BCMS 35

 Documentación
Creación, actualización y control
Creación y actualización
Aspectos a tener en cuenta:
• Formato e identificación estándar.
• Revisión y aprobación.
Control de la Documentación
Aspectos a tener en cuenta:
• Distribución, acceso, recuperación y uso.
• Control de cambios.
• Retención y eliminación.
• Seguridad

ISO 22301 /22313 BCMS 36

 Operacion
• Planificación Operativa y Control
• Análisis del Impacto en el Negocio (BIA) y
Evaluación del Riesgo.
• Estrategia para la Continuidad del Negocio.
• Establecimiento e Implementación de los
procedimientos de Continuidad del Negocio.
• Ejercitación y Prueba

ISO 22301 /22313 BCMS 37

 Operación
Elementos del BCM

ISO 22301 /22313 BCMS 38

 Operación
Planificación Operativa y Control
• Gestión del entorno del BCM.
• Mantener la Continuidad del Negocio.
• Medir la efectividad
• Resultados

ISO 22301 /22313 BCMS 39

 Operación
BIA y Evaluación del Riesgo
Permiten que la organización:
• Limite el impacto de la interrupción.
• Acorte el período de interrupción.
• Reduzca la probabilidad de la interrupción.

ISO 22301 /22313 BCMS 40

 Operación
BIA y Evaluación del Riesgo
La organización

ISO 22301 /22313 BCMS 41

 Operación
BIA y Evaluación del Riesgo
• Análisis de Impacto en el Negocio (BIA)
El propósito del BIA es:
• Tener un conocimiento de los productos y servicios de la
organización y las actividades para obtenerlos.
• Determinar las prioridades y los tiempos para reasumir
las actividades.
• Identificar los recursos clave que probablemente sean
necesarios para la continuidad y la recuperación.
• Identificar dependencias (tanto internas como externas).

ISO 22301 /22313 BCMS 42

 Operación
BIA y Evaluación del Riesgo
Análisis de Impacto en el Negocio (BIA)
Adicionalmente el BIA puede incluir :
• Actividades de soporte para la entrega de productos o
servicios clave.
• Evaluación de los impactos de las interrupciones (p.e):
• Daño ambiental.
• Deterioro de la calidad del producto o servicio.
• Daño a la reputación de la organización.
• Consecuencias de quebrantar regulaciones o deberes estatutarios.
• Reducción de la viabilidad económica de la organización.
• Estimación del período después del cual una interrupción de
una actividad se hace intolerable para el negocio.

ISO 22301 /22313 BCMS 43

 Operación
BIA y Evaluación del Riesgo
Evaluación del Riesgo
Proceso estructurado para analizar el riesgo, según
sus características:
• Identificación (qué puede ocurrir).
• Impacto (cuáles pueden ser las consecuencias).
• Probabilidad de ocurrencia (estimación numérica).
• Posibles Respuestas (estrategias para reducir la
posibilidad de ocurrencia o el impacto).
El estándar ISO 31000 es un marco adecuado para el
análisis de los riesgos de la organización.

ISO 22301 /22313 BCMS 44

 Operación
Estrategia de Continuidad del Negocio

Determinación y selección
Actividad basada en los resultados del BIA y de la evaluación
del riesgo.
La organización determinará la estrategia de Continuidad
para:
• Proteger las actividades prioritarias.
• Estabilizar, continuar, reasumir y recuperar actividades prioritarias,
sus recursos dependientes y de soporte
• Mitigar, responder y gestionar los impactos.

ISO 22301 /22313 BCMS 45

 Operación
Estrategia de Continuidad del Negocio

Establecimiento de requerimientos de recursos

La organización determinará los recursos necesarios para
implementar las estrategias seleccionadas, son algunos de esos
recursos:
• Gente.
• Información y datos.
• Edificios, entorno laboral y servicios asociados.
• Instalaciones, equipamiento y consumibles.
• Sistemas TIC (Tecnología de Información y Comunicaciones)
• Transporte
• Financieros
• Proveedores, contratistas
• Socios estratégicos

ISO 22301 /22313 BCMS 46

 Operación
Estrategia de Continuidad del Negocio

• Protección y Mitigación
Para los riesgos identificados que requieren respuesta
(tratamiento) la organización debe considerar medidas que:
• Reduzcan la posibilidad de interrupción.
• Acorten el período de interrupción
• Limiten el impacto de la disrupción en los productos y servicios
claves de la organización.

ISO 22301 /22313 BCMS 47

 Operación
Establecer e Implementar procedimientos
de Continuidad del Negocio
• Procedimientos en General
• Estructura de Respuesta a Incidentes
• Advertencias y Comunicación
• Plan de Continuidad del Negocio
• Recuperación

ISO 22301 /22313 BCMS 48

 Operación
Establecer e Implementar procedimientos
de Continuidad del Negocio
Procedimientos en General
La organización debería implementar y documentar
procedimientos para obtener el control total de la respuesta a
incidentes disruptivos, reasumiendo las actividad se dentro del
tiempo objetivo de recuperación (RTO). Los procedimientos
deberían ser:
• Específicos
• Flexibles
• Enfocados (dirigidos al tipo de incidente específico)
• Efectivos

ISO 22301 /22313 BCMS 49

 Operación
Establecer e Implementar procedimientos
de Continuidad del Negocio
Estructura de respuesta a Incidentes
La organización debe establecer procedimientos y una
estructura de gestión que le permita prepararse para, mitigar
y responder de manera efectiva a los incidentes disruptivos.
La estructura de respuesta debe prever:
• Identificar los umbrales de impacto que justifican el inicio de una
respuesta formal.
• Evaluar la naturaleza y el alcance de un identificador perturbador o
el impacto potencial;
• Iniciar una respuesta apropiada a un incidente disruptivo.
• Tener procesos y procedimientos para la activación, operación,
coordinación y comunicación de la respuesta
• Disponer recursos para respaldar los procesos y procedimientos
necesarios para gestionar incidentes y minimizar impactos.
• Comunicación con las partes interesadas.

ISO 22301 /22313 BCMS 50

 Operación
Establecer e Implementar procedimientos
de Continuidad del Negocio
Advertencias y Comunicación
La organización debe establecer, implementar y mantener
procedimientos de advertencia y comunicación.
Estos deberían incluir:
• Detectar un incidente y alertar al personal de respuesta.
• Monitoreo continuo de un incidente.
• Comunicación interna dentro de la organización.
• Comunicaciones externas con las partes interesadas.
• Recibir, documentar y responder a la comunicación de otras partes
interesadas.
• Alertar a las partes interesadas potencialmente impactadas por un
incidente real o inminente.
• Garantizar la disponibilidad de medios de comunicación durante un
incidente perturbador.
• Registro de información vital sobre el incidente, acciones tomadas y
decisiones tomadas.
• Operaciones de una instalación de comunicaciones.
ISO 22301 /22313 BCMS 51
 Operación
Establecer e Implementar procedimientos
de Continuidad del Negocio
Plan de Continuidad del Negocio.
Los tiempos y los niveles de desempeño deben basarse en la
información recopilada durante el análisis de impacto en el negocio
y la estrategia de continuidad del negocio seleccionada. Dentro de
cada plan se debe identificar claramente:
• Propósito y alcance.
• Objetivos y medidas de éxito en términos de actividades prioritarias.
• Criterios y procedimientos de activación.
• Procedimientos de implementación.
• Roles, responsabilidades y autoridad.
• Requisitos y procedimientos de comunicación.
• Interdependencias e interacciones internas y externas.
• Requerimientos de recursos.
• Flujo de información y procesos de documentación.

ISO 22301 /22313 BCMS 52

 Operación
Establecer e Implementar procedimientos
de Continuidad del Negocio
Contenido del Plan de Continuidad del Negocio
Dentro de los planes de continuidad del negocio, los
siguientes items deben ser claramente identificables:
• Roles y responsabilidades.
• Invocación y abandono.
• Gestión de incidentes.
• Información de contacto.
• Comunicación.

ISO 22301 /22313 BCMS 53

 Operación
Ejercicios y Pruebas
La organización realizará ejercicios y simulaciones para probar
que los procedimientos están alineados con los objetivos de
Continuidad del Negocio.
Se deberá probar que los procedimientos:
• Son consistentes con el Alcance y los objetivos del BCMS.
• Están basados en los escenarios apropiados.
• Minimizan el riesgo de interrupción de las operaciones.
• Son revisados en el contexto de la Mejora Continua.
• Generan informes post-prueba.
• Son probado periódicamente y cuando se producen cambios
significativos en la organización, o en el contexto donde esta opera.
• Limiten el impacto de la disrupción en los productos y servicios
claves de la organización

ISO 22301 /22313 BCMS 54

 Evaluación de desempeño
• Monitoreo, medida, análisis y evaluación
• Auditoría Interna
• Revisión de la Gestión

ISO 22301 /22313 BCMS 55

 Evaluación de desempeño
Monitoreo, medida, análisis y
evaluación
Aspectos Generales
Los procedimientos para supervisar el rendimiento deben incluir lo siguiente:
• Establecimiento de métricas de desempeño que incluyen mediciones
cualitativas y cuantitativas que son apropiado a las necesidades de la
organización
• Monitorear la medida en que se cumplen los objetivos y la política de
continuidad del negocio de la organización
• Identificar cuándo debería tener lugar el monitoreo y la medición
• Evaluar el desempeño de los procesos, procedimientos y funciones que
protegen las actividades prioritarias.
• Medidas proactivas de desempeño que monitoreen el cumplimiento del BCMS
con la legislación aplicable, requisitos legales y reglamentarios
• Medidas reactivas de rendimiento para monitorear fallas, incidentes, no
conformidades y otra evidencia histórica de un desempeño deficiente del BCMS
• g) registrar datos y resultados de monitoreo y medición suficientes para facilitar
la subsiguiente

ISO 22301 /22313 BCMS 56

 Evaluación de desempeño
Monitoreo, medida, análisis y evaluación
Evaluación de procedimientos de Continuidad del Negocio.
• Una evaluación de los procedimientos de continuidad del negocio de la organización debe
verificar que:
• Todos los productos y servicios clave y sus actividades y recursos de apoyo han sido
identificados e incluido en la estrategia de continuidad del negocio de la organización.
• La política de continuidad del negocio, las estrategias, el marco y la continuidad del
negocio de la organización los procedimientos reflejan con precisión sus prioridades y
requisitos (los objetivos de la organización).
• La competencia de las personas y la continuidad del negocio de la organización son
efectivas y aptas para el fin y permitirá la administración, comando, control y coordinación
de la organización en respuesta a un incidente disruptivo.
• Las soluciones de continuidad empresarial de la organización son efectivas, actualizadas y
adecuadas para su propósito, y apropiado al nivel de riesgo que enfrenta la organización
• Los programas de mantenimiento y ejercicio de la continuidad del negocio de la
organización han sido efectivamente implementado.
• La organización tiene un programa en curso para capacitación y concientización sobre la
continuidad del negocio;
• Los procedimientos de continuidad del negocio se han comunicado efectivamente al
personal pertinente.
• Los procesos de control de cambios están en su lugar y funcionan de manera efectiva.
ISO 22301 /22313 BCMS 57
 Evaluación de desempeño
Monitoreo, medida, análisis y evaluación
Auditoría Interna.
• La organización debiera realizar auditorías internas del
BCMS, para asegurarse que está conforme a sus propios
requerimientos y del estándar involucrado (ISO 22301).
• Las auditorías internas debieran ser realizadas en fechas
planeadas con una frecuencia fija.
• La organización debiera establecer un programa de
auditoría basado en ISO 19011, para planificar y conducir las
mismas.

ISO 22301 /22313 BCMS 58

 Evaluación de desempeño
Monitoreo, medida, análisis y evaluación
Revisión de la Gestión.
• La alta gerencia debe revisar el BCMS de la organización, en intervalos planificados, para
garantizar su continuidad, idoneidad, adecuación y eficacia.
• La revisión de la gerencia debe incluir la evaluación de:
• El estado de las acciones de revisiones anteriores.
• El desempeño del sistema de gestión que incluye las tendencias aparentes de las NO
conformidades.
• Acciones correctivas, los resultados de monitoreo y medición, y hallazgos de auditoría.
• Cambios en la organización y su contexto que podrían afectar el sistema de gestión.
• Oportunidades para la mejora continua.
• La revisión de la implementación y los resultados del BCMS debe ser regularmente
programado y evaluado por parte de la alta gerencia.
• Además de las revisiones del sistema de gestión programadas regularmente, los siguientes
factores pueden desencadenar una revisión:
• Tendencias y mejores prácticas en el sector de la industria y en la planificación de la
continuidad operativa de los negocios.
• Requisitos reglamentarios: los nuevos requisitos reglamentarios pueden requerir una
revisión del BCMS
• Experiencia de Incidentes.

ISO 22301 /22313 BCMS 59

 Mejora
No conformidades y acciones correctivas
La organización debe:
• Identificar las no conformidades
• Tomar medidas para controlarlas
• Contenerlas y corregirlas,
• Tratar con sus consecuencias y evaluar la necesidad de acción para eliminar sus causas.
• Los procedimientos deberían permitir la detección continua, los análisis y la
eliminación de causas de no conformidades tanto reales como potenciales.
• Cuando se identifica una no conformidad, debe realizarse una investigación
sobre su causa raíz y un plan de acción correctiva desarrollado para abordar
el problema de inmediato. El plan de acción debería estar diseñado para
mitigar cualquier consecuencia e identificar cambios que se realicen para
correlacionar la situación.

ISO 22301 /22313 BCMS 60

 Mejora
Mejora Continua
La organización debería:
• Mejorar continuamente la efectividad del BCMS.
• La mejora continua opera a todos los niveles dentro del ciclo PDCA y debe ser
conducida por la Política de Continuidad de Negocios y los objetivos, así
como los resultados de las auditorías, el análisis del monitoreo, las acciones
correctivas y la revisión de la gestión.
• Todos los cambios que surgen de acciones correctivas debieran ser reflejados
en la documentación del BCMS.
• La Mejora Continua requiere un proceso que identifique adecuadamente el
problema y la No conformidad y la solucione.
• Cada paso debería apoyarse y mejorar lo realizado en el paso anterior, no
basta resolver del problema hay que evitar que ocurra nuevamente.
ISO 22301 /22313 BCMS 61
Bibliografía
• ISO 22300, Societal security - Terminology
• ISO 22301, Societal security - Business continuity management systems – Requirements
• ISO 22313, Societal security - Business continuity management systems – Guidance
• ISO 19011:2011, Guidelines for auditing management systems
• ISO 20000 (all parts)Information technology - Service management
• ISO 223981 Societal security - Guidelines for exercises
• ISO/PAS 22399:2007 Societal security - Guideline for incident preparedness and
operational continuity management
• ISO 27002:2005 Information technology - Security techniques - Code of practice for
information security management
• ISO 27031:2011 Information technology - Security techniques - Guidelines for information
and communication technology readiness for business continuity
• ISO 31000:2009 Risk management - Principles and guidelines

ISO 22301 /22313 BCMS 62

Dudas Preguntas

ISO 22301 /22313 BCMS 63

Muchas Gracias
[email protected]

ISO 22301 /22313 BCMS 64