Continuidad de Negocios y Operaciones Frente A Situaciones de Desastre

La continuidad de negocios y operaciones frente
a situaciones de desastre en Amrica Latina

y el Caribe. Balance y recomendaciones
Cooperacin Econmica y Tcnica

II Seminario Regional Alianzas entre el sector pblico y privado para la gestin del riesgo de desastres:
continuidad de gobierno y continuidad de negocios y operaciones ante situaciones de desastre
Cartagena de Indias, Colombia
01 y 02 de agosto de 2013
SP/II-SR-ASPPGRD/DT N 2-13
Copyright SELA, Agosto de 2013. Todos los derechos reservados.

Impreso en la Secretara Permanente del SELA, Caracas,
Venezuela.
La autorizacin para reproducir total o parcialmente este
documento debe solicitarse a la oficina de Prensa y Difusin de la
Secretara Permanente del SELA (sela@sela.org). Los Estados
Miembros y sus instituciones gubernamentales pueden reproducir
este documento sin autorizacin previa. Slo se les solicita que
mencionen la fuente e informen a esta Secretara de tal
reproduccin.
La continuidad de negocios y operaciones frente a situaciones

de desastre en ALC. Balance y recomendaciones
PRESENTACIN
RESUMEN EJECUTIVO
I.
INTRODUCCIN
II.
DEFINICIONES PRELIMINARES
III.
POR QU ES IMPORTANTE LA CONTINUIDAD DE NEGOCIOS

Y OPERACIONES EN AMRICA LATINA Y EL CARIBE?
1. Amenazas naturales
2. Amenazas causadas por el hombre
3. Amenazas causadas por fallo de la tecnologa por razones no atribuibles
a la naturaleza o al hombre
IV.
NORMATIVAS Y ESTNDARES METODOLGICOS APLICABLES

1. DRII (Disaster Recovery Institute International)
2. BCI (Business Continuity Institute)
3. ANSI/ASIS SPC.1
4. NFPA 1600
5. ISO 22301
9
9
10
10
11
12
V.
METODOLOGA APLICADA A LOS SECTORES PRIVADO Y PBLICO

1. Empoderamiento y Gobierno de la Continuidad del Negocio
y Operaciones
2. Identificar actividades prioritarias y urgentes de recuperar
3. Proteger las actividades ms urgentes
4. Establecer estrategias de continuidad y recuperacin de las actividades
5. Documentar los planes de accin para aplicarse en el momento del evento
6. Ejercitar y probar los planes de accin
7. Creacin de conciencia y competencias en la organizacin
8. Mantenimiento de la continuidad de negocios y de las operaciones
9. Indicador de madurez y planeamiento estratgico en continuidad
del negocio y de las operaciones
12
VI.
VII.
6
6
7
13
15
19
21
25
27
30
30
31
CASOS EXITOSOS
1. Aplicacin de las prcticas profesionales para la continuidad
del negocio y operaciones
2. Integracin entre el sector pblico y privado
33
36
CONCLUSIONES Y RECOMENDACIONES
37
BIBLIOGRAFA
33
41

El presente documento se enmarca en el Programa

de Trabajo de la Secretara Permanente del Sistema
Econmico Latinoamericano y del Caribe (SELA),
correspondiente al ao 2013, relativo al Proyecto II.1
Fortalecimiento de la Cooperacin Econmica y
Tcnica en Amrica Latina y el Caribe, en
consonancia con los mandatos de la CELAC en el
cual se contempla la Actividad II.1.3. Alianza sector
pblico y privado para la reduccin del riesgo de
desastres en Amrica Latina y el Caribe. Alentar
asociaciones estratgicas con el sector privado.
En este marco y junto con el estudio sobre
continuidad de gobierno y operaciones, representa
la contribucin de la Secretara Permanente para
motivar la discusin y las deliberaciones que se
desarrollarn en el II Seminario Regional Alianza entre
el sector pblico y privado para la gestin del riesgo
de desastres: continuidad de gobierno y continuidad
de negocios y operaciones ante situaciones de
desastre a realizarse en Cartagena, Colombia, los
das 1 y 2 de agosto.
El documento consta de una introduccin y seis
captulos en los que se abordan los siguientes temas: i)
algunas definiciones preliminares para utilizar un
lenguaje comn; ii) las amenazas ms frecuentes en
Latinoamrica y El Caribe de ndole natural,
ocasionadas por el hombre y tecnolgicas; iii) las
normativas y estndares de clase mundial ms
recientes y reconocidas para implementar los
programas de continuidad del negocio y de las
operaciones; iv) la metodologa recomendada que
las organizaciones tanto pblicas como privadas
pudieran aplicar para implementar y mantener sus
programas de continuidad del negocio y de las
operaciones; v) algunos casos de ejemplo de cmo
algunas organizaciones de Latinoamrica y El Caribe
estn aplicando actualmente las buenas prcticas,
tanto a nivel de la propia empresa como de
coordinacin entre el sector pblico y privado; y vi)
conclusiones y recomendaciones.
Este estudio ha sido elaborado por el consultor Yves
Dvila Cainero, a quien la Secretara Permanente
reconoce su esfuerzo y expresa su agradecimiento.

RESUMEN EJECUTIVO
Amrica Latina y el Caribe es una regin donde eventos mayores han ocurrido:
terremotos, tsunamis, huracanes, tormentas tropicales, incendios, inundaciones,
deslizamientos de tierra, lluvia de cenizas a partir de erupciones volcnicas, fro extremo,
entre otros; y tanto como las poblaciones se ven afectadas, tambin las propias
organizaciones se ven impactadas por estos incidentes que las obligan a paralizar sus
operaciones.
El Sistema Econmico Latinoamericano y del Caribe (SELA), la Estrategia Internacional de
las Naciones Unidas para la Reduccin de Desastres (UNISDR) de las Naciones Unidas y la
Oficina de los Estados Unidos de Asistencia ante Desastres en el Extranjero (OFDA-USAID)
estn trabajando en iniciativas que buscan promover la participacin del sector privado
en la respuesta liderada por el sector pblico; pero tambin, las propias organizaciones
de ambos sectores pueden verse afectadas producto del desastre, con lo cual no
podrn continuar brindado los servicios claves que son la razn de ser de dichas
organizaciones pblicas y privadas. Los sistemas de servicios de energa, agua, telefona,
gas, el sector financiero, las empresas de consumo masivo, entre otros, deben continuar
operando para que tambin la sociedad contine su vida normal, a pesar del desastre
ocurrido.
La continuidad del negocio y de las operaciones tiene como objetivo la sobrevivencia
de las organizaciones durante el desastre. Sobrevivir significa que las organizaciones
debern haber priorizado de ante mano cules actividades de las que realiza
diariamente deben recuperarse o continuar operando.
Al igual que para la
sobrevivencia de una persona estn ya definidos los rganos vitales; lo mismo debe
ocurrir para las organizaciones, y debern estar definidas las actividades vitales.
Por ser actividades vitales, adems de las medidas de seguridad ya existentes en la
organizacin, deber brindrseles medidas adicionales de proteccin para minimizar el
riesgo de que el desastre las interrumpa. Pero como no hay garanta de que las medidas
preventivas sean suficientes, porque el evento impensado podr pasar, entonces las
actividades vitales debern tener ya definidas estrategias alternas de operacin que
debern estar ubicadas a distancias prudentes del sitio afectado, para que pueda la
organizacin seguir operando las actividades vitales cuanto antes.
Los incidentes severos no necesariamente avisan; por ello, la organizacin deber tener
sus protocolos o planes de continuidad debidamente documentados y actualizados
para que el personal conozca cmo actuar y utilizar las estrategias alternas durante el
incidente. Dichos protocolos sern letra muerta si no se ejercitan y practican. Los
ejercicios sern los que aseguren una respuesta y eficiente rpida de la organizacin
ante el desastre.
Sin embargo, a una misma organizacin no le pasan frecuentemente eventos tan
grandes que afecten sus operaciones; por lo cual, es necesario recordar permanente, a
sus autoridades y a todo el personal en general, la importancia de estar preparados y
que estos eventos pueden pasar.
La preparacin constante implica la definicin y el cumplimiento de unos roles que sern
asignados a las autoridades, al coordinador de la continuidad, a las jefaturas, a los
equipos de recuperacin de las actividades vitales y a todo el personal en s. Las
autoridades de la organizacin debern exigir y supervisar a travs del coordinador de
continuidad que los roles se estn cumpliendo y mejorando ao a ao.
Secretara Permanente
Todo lo expuesto anteriormente, es recogido de mejores prcticas y normativas

internacionales como el reciente ISO 22301 del aos 2012 sobre continuidad del negocio
y de las operaciones; y que algunas organizaciones de nuestra regin vienen aplicando
desde ya hace algunos aos en distintos grados de madurez.
Varios ejemplos de empresas del sector pblico o privado de Latinoamrica y El Caribe y
que estn aplicando estas mejores prcticas, se han dado a conocer en los eventos y
foros organizados en la regin por DRJ en Espaol. El sector financiero y asegurador por
estar regulado es de los que estn ms avanzados en la implementacin de programas
de continuidad del negocio y de las operaciones; tambin, aunque en menor grado, el
sector de telecomunicaciones, electricidad y gas. Las industrias petroleras y extractivas
en general, por lo riesgoso de su operacin, tambin lo tienen implementado. Otras
organizaciones por exigencias de sus corporativos tambin lo hacen.
Estos conceptos son aplicables a cualquier organizacin, inclusive la propia sociedad
que debe ser capaz de identificar sus actividades clave para protegerse ante eventos
disruptivos a ella; buscar asegurar la vida de la poblacin, vivienda, servicios bsicos,
salud, finanzas, entre otros; con los cuales los municipios, gobiernos locales regionales y
nacionales debieran conocer y aplicar de ellas.
La colaboracin entre el sector pblico y privado no slo es a travs de la colaboracin
voluntaria del sector privado con el sector pblico, sino tambin a travs de la
responsabilidad de la recuperacin y continuidad de las operaciones de las empresas
del sector privado que brindan un servicio pblico vital para la poblacin, bajo el
liderazgo del sector pblico.
I.
INTRODUCCION
El siguiente documento recoge los resultados de un estudio desarrollado por la

Secretara Permanente del Sistema Econmico Latinoamericano y del Caribe (SELA), con
el fin de elaborar recomendaciones concretas a las empresas privadas e instituciones
pblicas sobre las decisiones, polticas, estrategias y planes de contingencia que deben
contemplarse antes, durante y despus de la ocurrencia de un desastre para asegurar la
continuidad de sus negocios y operaciones.
Antes de entrar en mayor detalle del estudio, es importante entender por qu una
organizacin necesitara disear, implementar y mantener una serie de iniciativas,
procedimientos y crear toda una cultura organizacional exclusivamente para cuando
ocurra un evento mayor que interrumpa sus operaciones. Y es que justamente vivimos en
una regin donde los desastres naturales son frecuentes; no somos ajenos a los
terremotos, maremotos, inundaciones, deslizamientos, pandemias, incendios, slo por
mencionar algunos; adems de otros tipos de eventos, que aunque no de ndole natural,
tambin podran paralizar las operaciones, como los eventos ocasionados por el
hombre: atentados terroristas, sabotajes, explosin, robo de informacin, por mencionar
algunos eventos especficos a los sectores o industrias como: cada de sistemas,
obsolescencia de equipos, y dems segn el sector.
Adems de la continuidad de las operaciones, existen diferentes formas de proteger una
organizacin ante la ocurrencia de un evento mayor, o incidente disruptivo que obligue
a paralizar sus actividades. Una de las medidas de proteccin ms comunes es contar
con seguros apropiados para los bienes que resulten afectados y en algunos sectores
inclusive asegurar el lucro cesante. Aunque parecieran ser medidas casi absolutas, no
contemplan la prdida masiva de clientes clave por dejar de atenderlos, en el caso
sector privado; como tampoco la afectacin de la imagen o costo poltico si fuera una

entidad pblica. Es all donde la continuidad del negocio y de las operaciones va un

paso ms all de la sola proteccin de activos o de los ingresos de la organizacin,
buscando lograr la sobrevivencia de la organizacin a pesar de las situaciones adversas
que pudieran presentarse.
No hay que perder el sentido de que la continuidad del negocio y de las operaciones se
utilizar slo en casos extremos, muy raros y muy poco frecuentes; por lo que debemos
cuidar que el costo de implementar y mantener la continuidad sea el menor posible
para la organizacin, pero sin ponerla en riesgo por no protegerla adecuadamente.
Para entender mejor este balance entre gasto y riesgo, utilicemos el siguiente ejemplo: s
una persona resulte herida por un incidente, la persona no podr seguir viviendo si la
herida se da en los rganos vitales, cualquier otra herida permitir un tiempo de vida
mayor y entonces podr recibir ayuda y lograr recuperarse en el caso de una
organizacin, el ejemplo es similar, habrn actividades tan claves que no pueden
afectarse porque van a comprometer la vida de la organizacin, mientras otras
actividades pueden esperar hasta que llegue la ayuda y se recuperen las operaciones
hasta lograr la normalidad. La inversin de la empresa en continuidad deber
considerar principalmente dichas actividades crticas a las que se le conoce como
urgentes.
II.
DEFINICIONES PRELIMINARES
La continuidad del negocio y de las operaciones es una disciplina algo reciente por
lo que an su terminologa no est del todo uniformizada y se hace necesario recurrir a
estndares internacionales que permitan crear un lenguaje comn1.
Continuidad del negocio y de las operaciones. Es la capacidad de la organizacin para
continuar brindando sus servicios y realizando sus actividades a niveles aceptables
despus de una interrupcin.
Plan de continuidad. Son los procedimientos documentados que guan a una
organizacin durante y despus de la interrupcin en las fases de respuesta,
recuperacin, continuacin y restauracin. Pueden ser uno o varios documentos y
pueden recibir diferentes nombres (entre ellos Plan de contingencia) segn el tamao,
sector o tipo de organizacin.
Programa de continuidad. Es un proceso permanente en la organizacin soportado y
gobernado por la Alta Direccin y que cuenta con los adecuados recursos para
implementar y mantener la continuidad del negocio y de las operaciones.
Sistema de gestin de continuidad.- Es parte del sistema completo de sistemas de gestin
de una organizacin que se encarga de establecer, implementar, operar, monitorear,
mantener y mejorar la continuidad del negocio y de las operaciones.
Incidente (de continuidad). Situacin que podra ser o podra
interrupcin, prdida, emergencia o crisis. Es importante precisar que
incidente debe ser entendida desde la perspectiva de continuidad
operaciones, y podra ser diferente a los incidentes bajo el contexto
informacin, riesgo o seguridad.
conducir a una
esta definicin de
del negocio y de
de tecnologa de
Crisis. Situacin de un alto nivel de incertidumbre que interrumpe actividades clave del
negocio y/o la credibilidad de la organizacin, y que requiere de acciones inmediatas.
1
Todas las definiciones toman como base el estndar internacional ISO 22301-2012
III.
POR QU ES IMPORTANTE LA CONTINUIDAD DE NEGOCIOS Y OPERACIONES EN

AMRICA LATINA Y EL CARIBE?
Los estudios realizados por diferentes organizaciones sobre los Riesgos de Desastre
para Amrica Latina y el Caribe, muestran que nuestra regin es vulnerable a diferentes
amenazas.
Tal como se menciona en el Documento Tcnico elaborado el ao 2012 por el Programa
de las Naciones para el Desarrollo (PNUD) luego de la VI Cumbre de la Amricas2, "Un
total de 98 desastres mayores, climticos y geofsicos han ocurrido en Amrica Latina y el
Caribe en el ao 2010 con daos superiores a los USD 49,188 millones de dlares. Este
registro hace parte de una tendencia regional y global que refleja el incremento
preocupante de eventos desastrosos que ha hecho que el nmero de los desastres se
haya multiplicado por cinco entre los aos 1975 y 2005".
Aunque los estudios sobre Reduccin de Riesgos de Desastres estn focalizados en
evidenciar vulnerabilidades de las poblaciones, las amenazas identificadas y estudiadas
se pueden tomar como referentes para aplicarlas a las organizaciones privadas o
pblicas.
Una amenaza est definida como la causa potencial de un incidente no deseado y que
de ocurrir puede resultar en daos a las personas, a una organizacin o a un sistema3.
Una empresa u organizacin no puede tener control sobre la amenaza, sta existe por s
sola. Lo que s puede hacer la organizacin es establecer medidas de proteccin para
que en caso ocurrir la amenaza cause la mnima afectacin posible.
La continuidad del negocio y de las operaciones tiene como objetivo proteger las
actividades crticas o urgentes de recuperar, y aunque pudieran resultar interrumpidas
debido al incidente disruptivo, la organizacin ser capaz de continuar brindando
dichas actividades; de all la importancia de la continuidad.
1. Amenazas naturales
Podemos entenderlas como aquellas que ocurren sin la intervencin del ser
humano y atribuible a un fenmeno fsico de origen natural. La National Fire Protection
Association (NFPA) lista estas posibles amenazas en su estndar 1600 del ao 2010 4 de la
siguiente manera:
a) Geolgicas: terremoto, sismo; tsunami; erupcin volcnica; deslizamiento de
tierras, avalanchas de lodo, hundimientos; glaciares y icebergs.
b) Meteorolgicas: inundacin, mareas altas; sequas, hambrunas; incendios;
nevadas, heladas, granizadas y avalanchas; huracanes, tormentas tropicales,
tornados, tormentas de arena; temperaturas extremas (calor o fro); rayos;
tormentas geomagnticas.
3
4
Documento Tcnico elaborado el ao 2012 por el Programa de las Naciones Unidad para el Desarrollo
(PNUD) luego de la VI CUMBRE DE LAS AMERICAS "Conectando las Amricas: Socios para la Prosperidad Reduciendo los Riesgos y Atendiendo los Desastres
Definicin tomada del ISO22300:2012
NFPA 1600 - Estndar en Gestin de Desastres / Emergencias y Programas de Continuidad del Negocio.
Edicin 2010.

c) Biolgicas: enfermedades con impacto en los seres humanos o animales (peste,

viruela, ntrax, virus del Nilo Occidental, fiebre aftosa, sndrome respiratorio agudo
severo, enfermedades pandmicas, enfermedad de las vacas locas); infestacin o
dao por insectos o animales (como el dengue)
Dependiendo de la ubicacin geogrfica de la organizacin, alguna de estas
amenazas ser ms probable de ocurrir. Nuestra geografa regional muestra que
tenemos muy al sur, tanto en Argentina como en Chile zonas de mucha nieve y hielo por
lo que las avalanchas son posibles, en Chile y Per existe una extensa franja desrtica y
las lluvias torrenciales son un incidente severo. La gran mayora de los pases de
Latinoamrica y el Caribe tienen mares por lo que los tsunamis pueden ocurrir.
En Centroamrica y el Caribe se tienen temporadas ciclnicas. La Cordillera de los
Andes tiene an volcanes activos; la extensa selva sudamericana y el clima tropical de
muchos pases de Centroamrica y El Caribe hacen propensas las lluvias, inundaciones y
deslizamientos de tierra al igual que los fenmenos del nio o de la nia. Hemos sufrido
contagios masivos por la gripe aviar H1N1 llegando inclusive a declarar cuarentena
general como ocurri en el Distrito Federal de Mxico. En la regin existen zonas remotas
con enfermedades endmicas; el dengue an es un problema no controlado.
Otro factor que hace que la ocurrencia de estas amenazas aumente en nuestra regin y
por ende aumente la vulnerabilidad de las organizaciones existentes en ella, es la poca
madurez en la prevencin, muestra de ello es que el Documento Tcnico elaborado
luego de la VI Cumbre de las Amricas menciona: "mientras a nivel mundial disminuyen
los riesgos de mortalidad y prdidas econmicas por inundaciones y huracanes, en las
Amricas continan aumentando. Las principales oportunidades para reducir el riesgo
de desastres se encuentra en reducir la vulnerabilidad de las personas y las economas
ante las diferentes amenazas, para ello es preciso abordar los factores causantes del
riesgo, como el desarrollo urbano mal gestionado, la degradacin ambiental y la
pobreza, que son precisamente los factores que generan esa vulnerabilidad".
Los estudios para conocer las zonas de riesgos y los potenciales desastres en la regin son
variados y resulta algo complejo conseguir informacin confiable. Algunas fuentes de
informacin son en primer orden las propias instituciones en cada pas responsable de la
prevencin de riesgos de desastres, tambin existe el Centro Regional de Informacin
sobre Desastres (CRID), iniciativa creada para unir esfuerzos y asegurar de manera
confiable la recopilacin y diseminacin de informacin disponible sobre el tema de
desastres en Amrica Latina y el Caribe5; otra fuente de informacin son las
universidades de cada pas.
2. Amenazas causadas por el hombre
La National Fire Protection Association (NFPA) cataloga estas posibles amenazas en
su estndar 1600 del ao 2010 de la siguiente manera:
a) Riesgos accidentales: derrame o escape de materiales peligrosos; explosin,
incendio; accidente de transporte; colapso de edificio o estructura; falla en la red
del servicio pblico de electricidad, gas, agua u otro similar; escasez de
combustibles o de recursos; contaminacin de agua o aire; falla en la estructura de
contencin de un dique o una presa; depresin econmica, inflacin, crisis
financiera; interrupcin en los sistemas de comunicacin (voz y datos);
desinformacin.
Centro Regional de Informacin sobre Desastres (CRID) - http://www.cridlac.org/
b) Riesgos intencionales: terrorismo (en sus diferentes modalidades: explosin, por

sustancias qumicas, biolgico, radiolgico, nuclear, ciberntico); sabotaje;
disturbio social, protestas, histeria colectiva, amotinamiento; guerra; insurreccin;
desinformacin o rumor; actividad criminal (vandalismo, robo, incendio, fraude,
malversacin, robo de datos); pulso electromagntico; violacin de la seguridad
fsica o de informacin; violencia en el lugar de trabajo, universidad, colegio;
contaminacin o producto defectuoso; acoso; discriminacin.
En el caso de los riesgos accidentales, estas amenazas sern ms probables segn el tipo
de sector, industria o actividad econmica de las organizaciones, inclusive podra ser
que alguna nueva amenaza para una actividad econmica especfica no se encuentre
catalogada an. De acuerdo con el Anuario Estadstico 2012 de CEPAL6 las siguientes
son las actividades econmicas consideradas para Latinoamrica y El Caribe:
agricultura, ganadera, caza, silvicultura y pesca; explotacin de minas y canteras;
industrias manufactureras; suministro de electricidad, gas y agua; construccin; comercio
al por mayor y al por menor, reparacin de bienes, y hoteles y restaurantes; transporte,
almacenamiento y comunicaciones; intermediacin financiera, actividades inmobiliarias,
empresariales y de alquiler; administracin pblica, defensa, seguridad social obligatoria,
enseanza, servicios sociales y de salud, y otros servicios comunitarios, sociales y
personales.
En muchos de los pases de la regin an tenemos contaminacin por actividades
extractivas ilegales; accidentes de contaminacin en mares y ros, cada e interrupcin
de los sistemas pblicos de telefona e Internet, apagones con cierta frecuencia,
problemas serios de inflacin, rumores de quiebras de bancos o entidades financieras. Sin
embargo, a pesar de que el estudio se centra en Latinoamrica y El Caribe, estos tipos
de amenazas no deben ser vistas nicamente desde el contexto geogrfico regional,
sino tambin desde el aspecto global del propio sector o actividad econmica al cual
pertenece la organizacin, para poder entonces identificar otras amenazas que
posiblemente hoy se estn desarrollando en alguna otra parte del mundo y que en poco
tiempo podran tener ya un alcance local.
En el caso de los riesgos intencionales, estas amenazas tiene una relacin ms directa
con los problemas sociales y nuestra regin tiene mucho de ellos. En el Informe sobre
Seguridad en las Amricas del Observatorio Hemisfrico de Seguridad de la OEA Alertamerica.org 7 se dan estadsticas por pas sobre los principales factores de violencia
social, entre ellos: homicidios y muertes violentas, trfico de armas, consumo y
comercializacin de drogas, delitos de ndole sexual y trata de personas, muchos de ellos
asociados a una cada vez creciente red de crimen organizado.
3. Amenazas causadas por fallo de la tecnologa por razones no atribuibles a la
naturaleza o al hombre
La National Fire Protection Association (NFPA) clasifica estas posibles amenazas en
su estndar 1600 del ao 2010 de la siguiente manera: Fallos en los computadores
centrales, servidores, software o aplicaciones, fallos en los equipos auxiliares de apoyo;
daos en las telecomunicaciones, fallos en la energa, electricidad o servicios pblicos.
Aunque no existen estadsticas oficiales sobre las fallas en el uso de la tecnologa en las
empresas de nuestra regin, si resultara interesante mirar las estadsticas asociadas al uso
6
Anuario Estadstico de Amrica Latina y el Caribe 2012 producido por la Comisin Econmica para Amrica
Latina y el Caribe (CEPAL) de las Naciones Unidas
Informe sobre Seguridad Ciudadana en las Amricas 2012 - elaborado por Alertamerica.org, El Observatorio
Hemisfrico de Seguridad de la OEA.

del internet en los pases de la regin para darnos cuenta de cules son los pases con
mayor uso de la tecnologa. De acuerdo con las estadsticas de la UIT8, el acceso de
internet en los hogares para Latinoamrica y el Caribe muestra a Brasil en primer orden,
seguido por Chile, Argentina, Costa Rica, Uruguay, Colombia, Mxico, y Panam por
encima del promedio de la regin.
IV.
NORMATIVAS Y ESTNDARES METODOLGICOS APLICABLES
La disciplina de continuidad del negocio y operaciones se ha ido formando a partir

del uso de la tecnologa por parte de las organizaciones. Cuando an la operacin de
las empresas era de forma manual, los procesos eran ms lentos y no exista una alta
demanda de los servicios; conforme se empezaron a incorporar las tecnologas de
informacin a las operaciones, entonces se aument la productividad y se aceleraron los
procesos. Esto, por la dcada de los 70, empez a crear en las empresas la necesidad
de "recuperarse" despus de la cada de los sistemas, asunto que hoy en da todava es
muy difundido en cuanto a pensar que la continuidad del negocio y las operaciones
tiene un alcance nicamente asociado a los sistemas de informacin.
En las dcadas de los 80 y 90, se identific que no solamente la ausencia de los sistemas
de informacin haca que se interrumpieran las operaciones, sino que adems otros
factores como la ausencia del personal, de la infraestructura fsica o de los proveedores,
tambin podran interrumpir las operaciones con lo que otras disciplinas como la
seguridad fsica del personal, el manejo de incidentes y las evaluaciones de riesgos y
seguros se hicieron necesarias dentro de la continuidad del negocio y las operaciones.
Tambin en la dcada del 90, la reputacin se consider como un aspecto importante a
proteger y que podra tambin interrumpir o afectar seriamente las operaciones, por lo
que la disciplina de manejo de crisis de imagen se incorpor dentro de la continuidad
del negocio y las operaciones.
Con los aos, la continuidad del negocio y las operaciones fue madurando y tomando
forma de un proceso permanente. El trmino programa de continuidad del negocio se
hizo ms frecuente para denotar la necesidad de algo constante de mantener y
actualizar en el tiempo y esto llev a que la creacin de conciencia y mejoramiento de
habilidades se consideraran como un elemento clave del xito de la continuidad del
negocio y operaciones.
Desde la segunda mitad de la dcada del 2000 se fueron formalizando estndares
nacionales e internacionales sobre el tema. Se empez interpretar la continuidad del
negocio y de las operaciones como un sistema de gestin (similar al sistema de calidad)
y se posibilit a las organizaciones certificarse en el cumplimiento de stos estndares.
1. DRII (Disaster Recovery Institute International)
El DRII 9 fue fundado en 1988 en Los Estados Unidos de Amrica, provee mejores
prcticas, educacin y certificacin de profesionales en continuidad del negocio. Sus
mejores prcticas inicialmente fueron ocho y posteriormente se completaron a diez. En
su ltima actualizacin a mayo 2013, considera a manera de resumen:
Unin Internacional de Telecomunicaciones - http://www.itu.int/en/ITUD/Statistics/Documents/statistics/2012/Individuals_Internet_2000-2011.xls

https://drii.org/index.php
10
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)
Inicio y administracin del programa

Evaluacin y control de riesgos
Anlisis de impacto al negocio
Estrategias de continuidad del negocio
Respuesta y operaciones de emergencia
Planes de continuidad del negocio
Programas de creacin de conciencia y entrenamiento
Ejercicios, auditora y mantenimiento del plan de continuidad del negocio
Comunicacin en crisis
Coordinacin con agencias pblicas externas
2. BCI (Business Continuity Institute)

El BCI 10 fue fundado en 1994 en Inglaterra, provee mejores prcticas, educacin y
certificacin de profesionales en continuidad del negocio. Sus guas de buenas
prcticas se organizaron en seis. Un resumen de lo que considera su ltima actualizacin
a mayo 2013 es:
PP1: Poltica y Administracin del Programa
PP2: Incorporando la Continuidad del Negocio (cultura)
PP3: Anlisis
Anlisis de Impacto al Negocio
Anlisis de Amenazas
PP4: Diseo
Estrategias y Tcticas de Continuidad y Recuperacin
Medidas de Mitigacin de Amenazas
Estructura de Respuesta a Incidentes
PP5: Implementacin
El Plan de Continuidad del Negocio
Desarrollo y Gestin de Planes
PP6: Validacin
Desarrollo de un Programa de Ejercicios
Mantenimiento
Revisin
3. ANSI/ASIS SPC.1
ASIS Internacional 11 fue fundado en 1955, cuenta con ms de 230 captulos a nivel
mundial y est integrado por profesionales de la seguridad con roles relacionados a la
proteccin de activos - gente, propiedades y/o informacin. El ao 2009 public el
estndar SPC.1 reconocido por ANSI para certificar organizaciones en continuidad del
negocio. Un resumen de las secciones y partes ms importantes del estndar es:
Seccin 1: Alcance del estndar
Seccin 2: Referencias de la normativa
Seccin 3: Trminos y Definiciones
10
11
http://www.thebci.org/
American Society for Industrial Security - Organisational Resilience: Security, Preparedness and Continuity
Management Systems - https://www.asisonline.org

11
Seccin 4: Requerimientos para la Resiliencia Organizacional o Gestin del

Sistema
Planeamiento
Evaluacin de Riesgos y Anlisis de Impacto

Implementacin y Operacin
Recursos, roles, responsabilidades y autoridades
Competencia, entrenamiento y conciencia
Documentacin y control
Prevencin, preparacin y respuesta a incidentes

Evaluacin
Evaluacin, medicin y monitoreo
Ejercicios y pruebas
No conformidades, y acciones correctivas y preventivas
Control de registros
Auditoras Internas
Revisin de la gerencia
Insumos y salidas de la revisin
Mantenimiento
Mejora continua
4. NFPA 1600
NFPA 12 fue fundado en 1896 y tiene como principal objetivo la prevencin de
incendios y otros riesgos que afecten la seguridad y calidad de vida. Ha desarrollado,
publicado y distribuido ms de 300 cdigos consensuados y estndares. Desde el ao
1995 se han publicado 6 ediciones de su estndar 1600 siendo la ltima la revisin del
ao 2013. El nombre del estndar es: Estndar en Gestin de Desastres / Emergencias y
Programas de Continuidad del Negocio.
Un resumen de las secciones y partes ms importantes del estndar es:
Captulo 1:
Captulo 2:
Captulo 3:
Captulo 4:
Captulo 5:
Captulo 6:
Captulo 7:
Captulo 8:
12
Administracin (alcance, propsito y aplicacin)

Publicaciones de referencia
Definiciones
Gestin del Programa
Liderazgo y compromiso, roles importantes, gestin de registros
Planeamiento
Evaluacin de riesgos
Anlisis de Impacto al Negocio
Implementacin
Comunicacin en crisis e informacin pblica
Comunicaciones de alerta y notificacin
Respuesta a incidentes
Respuesta y operaciones de emergencia
Continuidad y recuperacin del negocio
Apoyo y asistencia a los empleados
Entrenamiento y Educacin
NFPA - National Fire Protection Association - http://www.nfpa.org/
12
Captulo 9: Mejora y Mantenimiento del programa

5. ISO 223O1
ISO (Organizacin Internacional de Normalizacin) es una federacin mundial de
organismos nacionales de normalizacin (organismos miembros de ISO). El trabajo de
preparacin de las normas internacionales normalmente se realiza a travs de los
comits tcnicos de ISO. En mayo del ao 2012 se public la normativa ISO 22301 Seguridad de la Sociedad - Sistemas de gestin de continuidad del negocio. Un resumen
de las secciones del estndar son:
0.
1.
2.
3.
4.
Introduccin
Alcance
Referencia a Normativas
Trminos y Definiciones
Contexto de la Organizacin
Partes interesadas
Alcance de la continuidad del negocio
5. Liderazgo
Compromiso de la Alta Gerencia
Poltica de Continuidad del Negocio
Roles y responsabilidades en la Continuidad del Negocio
6. Planeamiento
Objetivos de la continuidad del negocio y planes para alcanzarlos
7. Soporte
Recursos
Competencias
Creacin de conciencia
Comunicacin
Documentacin
8. Operacin
Planeamiento y control operacional
Anlisis de Impacto al Negocio (BIA) y Evaluacin de Riesgos
Estrategia de Continuidad del Negocio
Establecer e Implementar Procedimientos en Continuidad del Negocio
9. Evaluacin de Desempeo
Monitoreo, medicin, anlisis y evaluacin
Auditora Interna
Revisin de la Gerencia
10. Mejora continua
No conformidades y acciones correctivas
Mejora continua
V.
METODOLOGA APLICADA A LOS SECTORES PRIVADO Y PBLICO
Tomando en consideracin los estndares antes mencionados y la experiencia de

su aplicacin en diversos tipos de organizaciones tanto privadas como pblicas, se
presentan a continuacin pautas de la aplicacin de la metodologa para lograr
implementar y mantener un programa de continuidad del negocio y de las operaciones,

13
muchas de las cuales actualmente estn siendo implementadas por organizaciones de

nuestra regin.
1. Empoderamiento y Gobierno de la Continuidad del Negocio y Operaciones
Continuidad del negocio y de las operaciones representa un reto grande para las
organizaciones privadas y pblicas de nuestra regin. La presin por realizar las
actividades diarias y cumplir con los objetivos de la organizacin es la preocupacin de
las autoridades 13. A pesar de ser conscientes de la importancia de tener implementada
la continuidad de las operaciones, muchas veces no se hace nada al respecto o en
todo caso las iniciativas lideradas por las autoridades son muy pobres.
De otro lado, muchas veces se confunde la continuidad del negocio y de las
operaciones con tener el documento del plan de contingencia y ese es otro error muy
comn de las autoridades. El plan de contingencia o plan de continuidad debiera ser
un entregable ms de un proceso permanente existente en la organizacin llamado
Gestin de Continuidad del Negocio y de las Operaciones.
Lograr el empoderamiento apropiado segn el nivel de jerarqua: (junta directiva,
autoridad, jefaturas y expertos del conocimiento en las actividades de la organizacin)
es uno de los primeros objetivos a lograr para darle gobierno al proceso permanente de
continuidad del negocio y de las operaciones. Estos roles se definen de la siguiente
forma:
GRFICO 1
Roles participantes en la continuidad del negocio
Junta Directiva. Responsable de la continuidad del negocio y de las operaciones de la

organizacin, encarga esta responsabilidad a la autoridad de mayor rango jerrquico
en la organizacin, entindase un gerente general y le exige rendimiento de cuentas en
el tema al final de cada periodo que ha estimado conveniente. La Junta Directiva
tambin es responsable de aprobar, segn le corresponda, las inversiones en recursos
necesarios para lograr implementar la continuidad del negocio y de las operaciones. Es
13
La palabra Autoridad debe ser entendida tanto para el sector pblico como para el sector privado, donde
tambin puede denominarse Alta Direccin o Alta Gerencia.
14
tambin la Junta Directiva quien debe evidenciar que la continuidad del negocio y de
las operaciones soporte la continuidad y sobrevivencia de los objetivos estratgicos de la
organizacin aprobando el alcance de su aplicacin dentro de la organizacin.
Gerencia General (o autoridad equivalente). Responsable de implementar la
continuidad del negocio y de las operaciones en la organizacin. Para ello, debe
implementar y revisar de manera constante el proceso de gestin de continuidad del
negocio y de las operaciones asignndoselo a un nico responsable con la jerarqua
poltica adecuada y las competencias necesarias para llevar a cabo su labor. La
Gerencia General tambin es responsable de aprobar, segn le corresponda, las
inversiones en recursos necesarios para lograr implementar la continuidad del negocio y
de las operaciones.
Las autoridades de la organizacin, bajo el liderazgo de la gerencia general, deben
establecer, mantener y practicar un esquema de respuesta a los incidentes y crisis que
puedan presentarse tanto a nivel operativo, de emergencias o de afectacin de la
reputacin; para ello debern definir un equipo de respuesta y asignar roles de gobierno
del incidente y de la crisis y brindarle lo necesario para crear las competencias
necesarias.
Coordinador general de la continuidad de las operaciones. Responsable de implementar
y mantener el programa de continuidad del negocio y de las operaciones y reportar los
avances a la Gerencia General (o autoridad equivalente). De acuerdo con el tamao
de la organizacin, esta funcin podra ser compartida (para organizaciones medianas o
pequeas) o exclusiva (para organizaciones grandes). La implementacin del programa
de continuidad debe seguir un orden metodolgico de acuerdo con uno o un conjunto
de los estndares internacionales antes mencionados y deber involucrar a las jefaturas
de las reas o lderes de procesos.
El coordinador general de la continuidad de las operaciones deber tener las
competencias necesarias, credenciales de formacin especializada y tendr que
participar de los foros y conferencias de continuidad del negocio a nivel local, regional e
internacional.
Jefaturas de reas o Lderes de procesos. Responsables de implementar y mantener la
continuidad del negocio y de las operaciones en su mbito y responsabilidad de
operaciones. Para ello debern designar un responsable de la continuidad operativa de
su rea o proceso con la autoridad necesaria para articular los esfuerzos internos, en
coordinacin y bajo el liderazgo del coordinador general de la continuidad del negocio
y de las operaciones de la organizacin.
En el caso de las Jefaturas de apoyo o soporte a las operaciones, como Seguridad,
Recursos Humanos, Servicios Generales, Tecnologa de Informacin, u otras, debern
participar liderando la respuesta al incidente de los eventos ms comunes dentro de su
mbito (pandemia, incendio, sismo o terremoto, cada del centro de cmputo, etc.) as
como apoyo a la respuesta a incidentes que interrumpen las operaciones de las
actividades ms crticas de la organizacin.
Las jefaturas y lderes de procesos debern tener las competencias necesarias,
credenciales de formacin especializada en temas de liderazgo, continuidad del
negocio y de las operaciones.
Miembros de los equipos de planificacin y/o respuesta. Usualmente conformado por
personal operativo debajo de las jefaturas, que durante el proceso de implementacin y

15
mantenimiento de la continuidad del negocio y operaciones brindan conocimiento

experto sobre las prioridades y necesidades de recuperacin. Durante un ejercicio o un
incidente real participan en la respuesta al incidente aplicando los planes y estrategias
de continuidad elaborados durante la etapa de planificacin.
Los miembros de los equipos de planificacin y/o respuesta debern tener las
competencias necesarias, credenciales de formacin especializada en temas de
continuidad del negocio y de las operaciones, debern tambin conocer sus planes y
debern tener experiencia en la respuesta a los incidentes aplicando sus planes.
Personal en general. Usualmente conformado por personal operativo debajo de las
jefaturas durante el proceso de implementacin y mantenimiento de la continuidad del
negocio y operaciones brindan conocimiento experto sobre las prioridades y
necesidades de recuperacin y durante un ejercicio o un incidente real participan en la
respuesta al incidente aplicando los planes y estrategias de continuidad elaborados
durante la etapa de planificacin.
Adems de las responsabilidades antes descritas en la estructura organizacional tambin
las organizaciones necesitan definir una poltica de continuidad del negocio y de las
operaciones. Esta poltica hace mencin al alcance a nivel de servicios, reas o
localidades que se consideran dentro del alcance del programa de continuidad, por
ende, todo aquello que no est en el alcance, es porque no es urgente de recuperar y
con lo cual se tendr el suficiente tiempo para restablecer dichas actividades no
urgentes en cuanto ocurra el incidente sin necesidad de planificar algo de ante mano.
El gobierno tambin se implementa con las reuniones de seguimiento y de revisin por
parte de la autoridad, es recomendable una vez cada dos o tres meses. Si las reuniones
son ms espaciadas una de otra, entonces es muy probable que no se alcancen a
remediar los problemas que pudieran presentarse durante la implementacin o
mantenimiento del programa de continuidad.
La auditora interna tambin tiene un rol importante en el gobierno de la continuidad del
negocio y de las operaciones. La auditora debe asegurar que el proceso de
continuidad se ejecute segn las instrucciones dadas por la Junta Directiva y de acuerdo
con las mejores prcticas profesionales al respecto. El auditor debe ser alguien
independiente y debe tener las competencias adecuadas para aportar oportunidades
de mejora alineadas a los objetivos del proceso de la continuidad y no identifique
observaciones que se desven de los objetivos de continuidad.
2. Identificar actividades prioritarias y urgentes de recuperar
La identificacin de actividades prioritarias tiene los objetivos de establecer el
alcance de la preparacin para cuando pase un incidente disruptivo; identificar el
orden y tiempos de recuperacin de las actividades y sus dependencias entre ellas;
identificar los recursos mnimos necesarios en el momento del incidente disruptivo; y servir
de base para proponer opciones estratgicas de continuidad o recuperacin que sean
costo efectivas.
El alcance de la continuidad del negocio y de las operaciones es importante para limitar
los esfuerzos de la organizacin a aquello que es realmente urgente de recuperar. Un
incidente disruptivo y severo no ocurre con frecuencia y muy seguramente a muchas
organizaciones nunca les ha pasado.
Lo anterior no debe entenderse como que debe hacerse nada para proteger aquello
que est fuera del alcance de la continuidad, pero la gestin integral de riesgos, cuyo
alcance no slo es para eventos de gran impacto, s identificar e implementar las
16
medidas de seguridad y proteccin adecuadas para todas las actividades de la

organizacin. Esto refuerza la definicin de que continuidad es un control adicional a
todos los que la gestin de riesgos identifique para proteger a la organizacin; sin
embargo, desde la perspectiva de continuidad, no todas las actividades debern
considerarse en su alcance; y para aquellos que estn implementando continuidad del
negocio o de las operaciones es muy importante mantenerse dentro del alcance de la
continuidad.
El alcance de la continuidad del negocio se puede establecer de varias formas, y ello
depender del tipo de organizacin o la industria o sector a la que pertenece. La forma
ms recomendada es establecer el alcance por servicios 14 que la organizacin brinda,
es decir, en caso de un incidente disruptivo, cules servicios se continuarn brindando
como mnimo y cules no tienen la garanta de seguir brindndose?.
Una vez establecido el alcance a nivel de servicios, es ms fcil identificar el alcance
geogrfico a considerar, en caso de que la organizacin posea varias sedes o plantas
donde opera los servicios dentro del alcance; y tambin es ms fcil establecer el
alcance a nivel de procesos o actividades con las que brindar los servicios priorizados y
por ende el alcance a nivel de los departamentos o unidades funcionales de la
organizacin.
Un error comn que suele pasar mucho entre los responsables de implementar la
continuidad del negocio y de las operaciones es considerar un alcance muy amplio
para la continuidad del negocio, haciendo que la organizacin dedique un esfuerzo
grande, tanto en personal entrenado, tiempo del propio personal, e inversiones en
opciones alternas de operacin muy costosas para ser usadas en incidentes disruptivos,
que aunque podran ocurrir con cierta frecuencia, raramente afectan a la organizacin.
Para identificar los tiempos de recuperacin de las actividades es necesario primero
establecer los umbrales de no tolerancia para la organizacin. Esto quiere decir daos
que no soportara la organizacin en cada una de las categoras de posibles impactos:
econmico o financiero (cunto dinero comprometido es intolerable para la
organizacin?), afectacin de usuarios o clientes (cuntos clientes o usuarios afectados
es intolerable para la organizacin?), legal o regulatorio (qu nivel de sanciones o
juicios por incumplimiento es intolerable para la organizacin?), ambiental (qu dao
ambiental es intolerable para la organizacin?), seguridad de las personas (qu nivel de
afectacin en las personas es intolerable para la organizacin?).
Las respuestas a las preguntas antes realizadas debern ser dadas por las autoridades
considerando la visin o percepcin, que como partes interesadas de la organizacin
tendran durante un evento disruptivo. Ejemplos de estas partes interesadas son: usuarios
o clientes, dueos o accionistas, autoridades pblicas y organismos reguladores, socios
de negocio, personal de la organizacin, comunidad o poblado donde se opera, entre
otros. Las respuestas darn como resultado la definicin de los umbrales no tolerables 15
de la organizacin.
El siguiente paso es estimar el Periodo Mximo de Tiempo de Interrupcin (MTPD por sus
siglas en Ingls), el cual es resultado de plantear la siguiente pregunta: En caso de
interrupcin: del servicio / de la localidad / del departamento / del proceso / de la
14
15
Tambin puede mencionar de manera indistinta la palabra producto o servicio

Los umbrales no tolerables no necesariamente son valores nicos, pueden ser considerados de diferentes
formas; a manera de ejemplo: "es intolerable no brindar el servicio a mil clientes o no brindar el servicio a
ABC S.A.C. o no brindar el servicio a diez clientes del tipo estratgico"

17
actividad (puede ser cualquiera de ellos, segn el tipo de priorizacin que se est
realizando) en cunto tiempo se alcanzan los umbrales no tolerables?. Las posibles
respuestas pueden ser muy variadas: no aplica, minutos, horas, das, semanas, o meses.
Para responder a la pregunta tambin es necesario tomar el supuesto de qu escenario
estresa ms al elemento analizado, y en qu momento se estresa ms. Esto busca
identificar si la respuesta ms apremiante es cuando el incidente disruptivo afect
nicamente a la organizacin o afect masivamente a otras organizaciones; y tambin
si la mayor afectacin ocurre en alguna fecha especfica de la semana, mes o ao.
El MTPD ser definido por el tiempo ms pequeo de todas las respuestas dadas para los
diferentes tipos de impacto de los umbrales no tolerables y siempre ser estimado
considerando el "peor escenario" que en realidad es el ms estresante para lo
organizacin y no necesariamente el de mayor dao a la comunidad. Lo que busca la
continuidad es proteger a la organizacin ante el peor escenario, no contra el ms
probable.
GRFICO 2
Matriz de estimacin de MTPDs
Servicio o Actividad
Descripcin
Estacionalidad
crtica
Escenario ms
estresante
En cunto tiempo se alcanzan los umbrales

no tolerables?
Econmico
Clientes
o
usuarios
Legal o
regulatorio
Ambiental
Seguridad de
personas
Servicio 1
...
Actividad 1
...
Con el MTPD definido, se estima entonces un Tiempo Deseado de Recuperacin (RTO

por sus siglas en ingls), el cual es un valor expresado en tiempo, entre cero y el MTPD.
Cuanto ms cerca de cero est, la opcin estratgica para continuar operando ser
muy costosa; en cambio, cuanto ms cerca del MTPD est, ser sumamente riesgosa. El
mejor balance entre el costo y el riesgo ser el RTO ms apropiado.
Las dependencias entre servicios / instalaciones / unidades de negocio / procesos /
actividades debe tambin analizarse para identificar o corregir MTPDs y RTOs de aquellos
de los que se dependen considerando que deben ser menores que los MTPDs y RTOs de
los dependientes.
Este proceso de estimar MTPDs y RTOs se puede realizar a diferentes niveles, en un nivel
estratgico podr ser por servicio (o planta, o unidad funcional) y en un nivel operativo
ser por actividad (o proceso). Estimar MTPDs y RTOs deber ser una labor permanente
en la organizacin debido a los cambios que sta pueda tener, la aparicin de nuevos
servicios (o nuevas instalaciones o plantas, o nuevas unidades funcionales) y nuevas
actividades (o procesos) har necesario que las prioridades de urgencias de
recuperacin sean revaluadas; lo mismo podra pasar si un servicio (o planta o unidad
funcional) toma mayor relevancia que otro. Si no se actualizan las prioridades de
recuperacin en un tiempo prudente puede pasar un incidente disruptivo donde la
18
toma de decisiones ser incorrecta debido a la informacin desactualizada con la que

se cuenta.
Una vez definidos los RTOs, los servicios (o plantas o unidades funcionales) o las
actividades (o procesos) se agrupan segn los RTOs, creando ventanas de recuperacin
en el tiempo, es decir servicios o actividades que se recuperan en tiempo cero (si
existen), los que se recuperan en horas (si existen), los que se recuperan en das (puede
ser un da, dos das, tres das o simplemente das), los que se recuperan en semanas
(puede ser una semana, dos semanas o simplemente semanas) y los que se recuperan
en un mes o ms.
Una vez consolidadas las ventanas de recuperacin, se necesitan identificar los recursos
mnimos necesarios a considerar durante el incidente disruptivo. Los tipos de recursos
sern16: Gente: personas, transporte, comunicaciones; Infraestructura: edificios, servicios
pblicos; Equipamiento: ambientes de trabajo, equipamiento, insumos o consumibles;
Tecnologa de Informacin: servicios
informticos, informacin y datos; Finanzas:
viabilidad financiera, Regulacin: aspectos regulatorios a cumplir; Proveedores: socios y
proveedores; Partes interesadas: clientes a contactar, autoridades pblicas a contactar
y comunidad en general a contactar.
Los recursos del tipo Personal se identifican tomando en cuenta los perfiles
mnimos necesarios para continuar operando los servicios / actividades para
cada una de las ventanas de recuperacin, e inclusive si el personal que tiene la
organizacin cumple con los perfiles de manera adecuada.
Los recursos del tipo Transporte se identifican considerando las facilidades de

movilidad con las que la organizacin cuenta para ser brindadas al personal
durante el incidente disruptivo.
Los recursos del tipo Comunicaciones se identifican considerando las

capacidades de comunicacin entre el personal con las que cuenta la
organizacin y que podran estar disponibles durante el incidente disruptivo.
Los recursos del tipo Instalaciones o edificaciones se identifican considerando las

alternativas de lugares de trabajo u otras sedes o plantas desde donde se podra
continuar operando durante el incidente disruptivo.
Los recursos del tipo Servicios Pblicos se identifican considerando las alternativas
de la provisin de energa elctrica, agua y desage, gas y telefona que puedan
utilizarse durante el incidente disruptivo.
Los recursos del tipo Ambientes de trabajo y equipamiento se identifica

considerando las alternativas de operacin en otros ambientes de trabajo o con
un equipamiento alternativo ubicado en otro lugar y que puede utilizarse durante
el incidente disruptivo.
Los recursos del tipo Insumos y consumibles se identifican considerando las
alternativas de material (o materia prima), insumos u otros consumibles perecibles
o no que son necesarios considerar en el momento del incidente disruptivo y las
ubicaciones donde actualmente se encuentran.
16
Los recursos de Tecnologa de Informacin (sistemas, informacin y datos) se

identifican considerando los servicios de TI que se debern utilizar en el momento
De acuerdo con la normativa ISO 22301

19
del incidente disruptivo as como la informacin u otros datos necesarios para el

servicio o actividad analizado.
Los recursos de Viabilidad Financiera se identifican considerando las necesidades

de disponibilidad de recursos financieros en efectivo o no para afrontar el
incidente disruptivo.
Los recursos de Regulacin se identifican considerando las obligaciones legales o

regulatorias que deben continuarse durante el incidente disruptivo y si existen
alternativas en caso no se puedan cumplir.
Los proveedores y socios de negocio se identifican considerando a los que

soportan los servicios crticos, sus contactos y otras alternativas de proveedores en
caso stos tambin se afecten producto del incidente disruptivo.
Las otras partes interesadas como clientes, autoridades pblicas y comunidad se

identifican considerando los contactos necesarios a realizar en caso de un evento
disruptivo.
Esta informacin obtenida a nivel de recursos es la base para la identificacin de
opciones de estrategias de continuidad y recuperacin y su correspondiente estimacin
de presupuesto de implementacin.
3. Proteger las actividades ms urgentes
La continuidad de las operaciones de las actividades ms urgentes debe
asegurarse no slo con la identificacin de opciones de estrategias post incidente
disruptivo, sino tambin con opciones preventivas al incidente disruptivo, con lo cual la
continuidad busca valorar si las medidas de proteccin y seguridad existentes
actualmente, en las partes donde operan las actividades urgentes de la organizacin,
son suficientes o si requieren ser mejoradas o inclusive si se requieren nuevas medidas de
proteccin y seguridad.
Para poder valorar si las medidas de proteccin son suficientes se pueden utilizar
diferentes mtodos, siendo el ms recomendado el anlisis de riesgos propuesto en el
ISO 31000, el cual valora el riesgo como la combinacin de la probabilidad y el impacto
de un evento de riesgo.
Para acotar los eventos de riesgo que pueden resultar de inters de la continuidad, es
necesario concentrarse en las consecuencias de las amenazas que pudiera crear un
evento disruptivo debido a la ausencia de los recursos necesarios para operar. Ejemplos
de eventos de riesgo a ser considerados por la continuidad seran: afectacin del
personal ante la ocurrencia de un terremoto; afectacin de la edificacin ante la
ocurrencia de un terremoto; afectacin de los proveedores ante la ocurrencia de una
pandemia.
Tambin es necesario acotar las amenazas a las que la organizacin est expuesta y
que podran ocurrir, a las cuales se llaman peligros. Estos peligros se deben identificar a
partir de las amenazas ms globales a las ms especficas aplicables a la organizacin.
Por ejemplo, si la organizacin est establecida en el Caribe, la temporada ciclnica y
de huracanes es una amenaza aplicable, es decir un peligro, pero en el caso de
Sudamrica, los huracanes no sern una amenaza aplicable. Pero una pandemia,
aunque haya ocurrido en China, debido a su expansin mundial, entonces si es una
amenaza aplicable tanto para el Caribe como Sudamrica. Si reducimos el alcance de
las amenazas a temas ms locales, muy seguramente la delincuencia, las protestas
20
civiles, y otros ejemplos de amenazas sern consideradas como peligros en algunas

ciudades de nuestra regin ms que en otras.
El objetivo del anlisis de riesgo en la continuidad del negocio y de las operaciones es
identificar nuevas opciones de prevencin o mejorar las medidas de seguridad ya
existentes para cada uno de los eventos de riesgo considerados. El primer paso ser
identificar aquellas medidas de prevencin y seguridad ya existentes en la organizacin,
las medidas de seguridad sern relacionadas a aspectos de seguridad del personal, de
la infraestructura fsica, de los ambientes de trabajo, de los insumos y consumibles, de los
sistemas de informacin, de los proveedores, y de cada uno de los otros recursos
asociados a la continuidad y que resulten relevantes para la organizacin.
Como se indic antes, el riesgo se estima combinando probabilidad e impacto,
pudiendo ser por mtodos cualitativos o cuantitativos. El problema de los mtodos
cuantitativos es que necesitan data histrica adems de complejas formulas estadsticas
de proyeccin de la ocurrencia de incidentes disruptivos producto de las amenazas. Y
en muchos casos se confunde que el objetivo de la continuidad es proponer medidas
preventivas y no necesariamente la estimacin de la probabilidad de manera exacta y
por ende el riesgo de manera matemticamente exacta. Debido a esto, es que las
organizaciones deciden estimar el nivel de riesgo cualitativo, siendo un ejemplo del
mismo el siguiente:
Se define la matriz de riesgo identificando las escalas de probabilidad y las escalas

de impacto. Si existe un departamento de gestin de riesgos en la organizacin es
ms recomendable alinearse al tamao de la matriz que ya utilizan, aunque el
significado de las escalas sean diferentes en el caso de la continuidad (asunto que
ser tratado un poco ms adelante). Si la organizacin no cuenta con una matriz de
riesgos deber definirse una.
GRFICO 3
Matriz de riesgos ejemplo de cinco por cinco
Impacto
Probabilidad
Muy
bajo
Bajo
Medio
Alto
Muy alta
Extremo
Alta
Alto
Media
Baja
Muy baja
Muy
alto
Medio
Bajo

21
Las escalas de la matriz de riesgos podrn ser tres por tres, o cuatro por cuatro, o
cinco por cinco, o una combinacin diferente dependiendo de la mejor forma que
la organizacin entienda puede valorar los riesgos.
El nivel de riesgo se estima identificando la combinacin probabilidad e impacto, en

la ilustracin 3 se pueden apreciar cuatro niveles de riesgo: extremo, representado
de fondo rojo y el tratamiento debe ser inmediato; alto y el tratamiento debe en el
corto plazo, representado de fondo anaranjado y el tratamiento debe ser en el
mediano plazo; medio, representado de fondo amarillo y el tratamiento debe ser en
el largo plazo; y bajo, representado de fondo verde y no es necesario brindar
tratamiento al riesgo.
La escala de probabilidad est definida en base a la incidencia del evento de riesgo
en el tiempo, considerando el contexto aplicable para la organizacin. Ejemplo de
escalas de probabilidad son: Muy Alta, ocurre el incidente al menos una vez al ao
en los ltimos cinco aos; Alta, ocurre al menos una vez cada cinco aos en los
ltimos 25 aos; Media, ocurre al menos una vez cada 10 aos en los ltimos 50 aos;
Baja, ocurre al menos una vez cada 25 aos; y Muy baja, ocurre en espacios de
tiempos mayores de 25 aos.
La escala de impacto est definida en base al nivel de dao que podra causar en la
organizacin. En continuidad se entiende el dao como el tiempo de indisponibilidad
o interrupcin del incidente. Donde se realizan actividades ms urgentes el impacto
ms alto ser en cuestin de horas; donde se realizan actividades menos urgentes el
impacto ms alto ser en cuestin de das o semanas segn corresponda.
Habiendo definido el evento de riesgo, la matriz de riesgo con sus respectivas escalas de
probabilidad, impacto y riesgo, y tambin los controles existentes, se procede a estimar
la probabilidad de ocurrencia del evento de riesgo y su impacto, convocando a los
expertos en la organizacin que conocen sobre las amenazas y la efectividad de los
controles implementados, los cuales considerando su juicio experto, determinan el nivel
de riesgo resultante.
Donde resulten riesgos extremos, altos o medios, se hace necesario implementar nuevas
medidas preventivas o controles, o en todo caso mejorarlos, para ayudar a reducir el
nivel de riesgo, todo a sugerencia de los expertos antes mencionados. La prioridad de
implementacin de las medidas nuevas o por mejorar se dar en funcin al nivel de
riesgo que buscan proteger, es decir en primer orden no deben permitirse riesgos
extremos, resueltos stos no debern permitirse riesgos altos, y as tambin luego con los
riesgos medios.
4. Establecer estrategias de continuidad y recuperacin de las actividades
Las opciones de estrategias pueden ser preventivas o reactivas. Las opciones
preventivas se identificaron utilizando el anlisis de riesgos realizado a los eventos de
riesgo que la organizacin ha evaluado y tienen como principal objetivo mitigar o
reducir la vulnerabilidad de los servicios y/o actividades ms urgentes de la organizacin.
Las opciones reactivas se identificarn a partir de los resultados de las priorizaciones de
los servicios y/o actividades de acuerdo con los MTPDs y RTOs y sobre todo, tomando en
cuenta los recursos mnimos necesarios identificados.
22
Las opciones estratgicas deben tambin considerar el costo de su implementacin y

debern satisfacer el RTO establecido. Si fuera necesario ajustar el valor del RTO por
consideraciones de factibilidad tcnica o costos muy elevados, entonces deber
hacerse, sin antes tener presente revisar las dependencias de dicha actividad y volver a
definir con estas dependencias sus nuevos RTOs.
Las opciones pueden ir desde las ms exigentes y costosas a las menos exigentes y ms
econmicas, definiendo con ello cun "caliente" o "fra" debe ser la alternativa elegida.
Las alternativas ms "calientes" pasan por dividir las operaciones en dos o ms partes y
ubicar dichas partes a buen recaudo, fuera del alcance de los escenarios de riesgos de
mayor cobertura geogrfica tener infraestructura vaca esperando ser ocupada de
inmediato en cuanto pase un evento. Las alternativas "tibias" pasan por tener esquemas
trasportables a los lugares de operacin donde se ha afectado el servicio o un espacio en
uso que ser desocupado para ser usado por las actividades ms urgentes que las all
operan. Las alternativas ms "fras" pasan por tener casi nada pre montado esperando que
pase el evento e inclusive no hacer nada en el momento actual y dejar todo para cuando
pase el incidente de continuidad y buscar reaccionar en dicho momento.
Todas las alternativas pueden ser implementadas de manera propia, es decir mantenidas y
operadas por la propia organizacin, o buscar un tercero que se encargue de brindar dichas
alternativas.
Lo importante de seleccionar la estrategia adecuada o conjunto de estrategias es no
arriesgar la recuperacin del negocio, es decir cumplir con el RTO establecido y por nada
arriesgar el MTPD, por buscar ahorros en la opcin elegida. La organizacin podra utilizar una
combinacin de opciones, por ejemplo para servicios o actividades que no pueden parar
nunca ni siquiera ante un incidente disruptivo la alternativa de separar las operaciones ser la
adecuada, a pesar del costo; para la que puede esperar horas solamente, la alternativa de
tener algo listo para que el personal acuda ser la adecuada; si la actividad puede esperar
das entonces un esquema transportable puede ser el apropiado; sin embargo, no se puede
por ejemplo utilizar la estrategia de entrega inmediata si se tienen solo horas como deseado
de recuperacin.

23
GRFICO 4
Costo - beneficio de opciones de estrategias de continuidad
(Min)
Opcin de duplicacin o replicacin de la operacin primaria

manteniendo las operaciones primaria y alterna operativas al
mismo tiempo
Opcin de mantener una operacin alterna sin uso y en espera
para ser utilizada en caso ocurra el incidente disruptivo
Opcin de mantener una operacin alterna lista para operar y
que ser traslada al lugar del incidente para reemplazar la
infraestructura afectada
Opcin de mantener un esquema de entrega inmediata con
un proveedor que repondr lo afectado
Opcin de mantener un acuerdo recproco con otra
organizacin afn
Opcin de tener una operacin alterna y lista
para montar en caso del incidente
"Temperatura de la opcin estratgica"
Nivel de inversin en la estrategia de recuperacin de manera

anticipada al incidente disruptivo
Max)
Opcin de reparar el dao ms

rpidamente
No hacer
nada
ahora
Tiempo deseado de recuperacin en caso de un incidente
disruptivo
(Max)
Las opciones de continuidad y recuperacin deben aplicarse a nivel de los recursos

involucrados en la paralizacin de un servicio o actividad. Es decir que para reactivar el
servicio o la actividad interrumpida, en verdad hay que restablecer los recursos que se
necesitan para operar, esto es: personal, transporte y comunicaciones; infraestructura
fsica, instalaciones y servicios pblicos; materiales, consumibles e insumos; equipamiento;
sistemas informticos, datos e informacin; viabilidad financiera; proveedores; la relacin
con los clientes; las exigencias regulatorias; mecanismos de comunicacin interna y
externa; y opciones de relacin con las autoridades pblicas y la comunidad en general.
Algunos ejemplos de opciones de recuperacin a nivel de personal es la

definicin de un plan de sucesin o primario y alterno o alternos; polticas de
prohibicin de viajes de personal primario y alterno en el mismo momento y
usando el mismo medio; prohibicin de tomar vacaciones al mismo tiempo;
implementacin de programas de salud y control emocional del personal
identificado como crtico.
24
17
Ejemplos de opciones de recuperacin a nivel de infraestructura fsica es la

definicin de lugares alternos de operacin con las garantas del suministros de
los servicios pblicos de fuentes diferentes; convenios con hoteles; salas de
capacitacin; reutilizar el espacio de la fuerza de ventas (si no fuera urgente de
recuperar).
Ejemplos de opciones de recuperacin a nivel de materiales, insumos o

consumibles son crear inventarios pequeos en lugares estratgicos; establecer
acuerdos de provisin de inventarios con varios proveedores; establecer
acuerdos recprocos con organizaciones similares para brindarse ayuda mutua en
caso de un evento disruptivo.
Ejemplos de opciones de recuperacin a nivel de equipamiento son renovacin

de equipos y mantener los viejos para repuestos, mantener operativos servicios
obsoletos a un mnimo nivel de operacin; montar maquetas o maquinaria
transportable (si es posible) para llevarla al lugar afectado; o tener identificado
equipamiento de servicios no tan crticos para desmontar, llevar al lugar afectado
y montar en el mismo.
Ejemplos de opciones de recuperacin a nivel de sistemas informticos es replicar

el centro de cmputo en un lugar alterno ya sea totalmente o una parte de
acuerdo con lo que se haya identificado como ms crtico; tercerizar el servicio
informtico y llevarlo a la "nube"; efectuar copias de respaldo y restaurarlas en
cuanto se necesiten.
Ejemplos de opciones de recuperacin a nivel de viabilidad financiera es

mantener lneas de crdito contingentes para asumir necesidades en el
momento del incidente; mantener efectivo disponible para acceder al mismo y
poder cumplir con las necesidades de dinero efectivo durante el incidente;
establecer procedimientos para el registro y control de los daos y gastos
asociados al incidente para posteriores reclamaciones al asegurador; tener
acuerdos de pago diferido con los proveedores en caso de incidentes mayores.
Ejemplos de opciones de recuperacin a nivel de proveedores es tener ms de

un proveedor para la provisin del bien o servicio y si no se puede, establecer
procedimientos conjuntos de respuesta a un incidente disruptivo; medir el nivel de
madurez de acuerdo con el BCMM 17 del proveedor para exigir en el tiempo el
adecuado nivel de preparacin ante eventos disruptivos. Un ejemplo de
opciones de recuperacin a nivel de relacin con los clientes es contar con
procedimientos de comunicacin en crisis considerando posibles escenarios de
afectacin de la imagen y priorizando las audiencias afectadas.
Ejemplos de opciones de comunicacin al interior y exterior es mantener adquirir

y montar un sistema de notificacin masiva y plataforma de colaboracin para
ser usados durante el incidente disruptivo; adquirir telfonos celulares de
diferentes proveedores; adquirir telfonos satelitales; tener acuerdos pre
establecidos con medios y emisoras para difundir mensajes claves en caso no
haber otro medio disponible.
El BCMM (Modelo de Madurez en Continuidad del Negocio por sus siglas en ingls) es un modelo
desarrollado por la compaa Virtual Corporation para calificar la madurez del programa de continuidad
de una organizacin y tambin puede ser utilizado para evaluar la madurez de un corporativo y sus
respectivas filiales como tambin de un proveedor. Puede ser utilizado como evaluacin o tambin como
lineamientos de auditora de cumplimiento.

25
Finalmente, un ejemplo de opcin de relaciones con el regulador y con la

autoridad pblica es establecer de antemano canales para notificarse y
ayudarse mutuamente en cuanto ocurra el incidente disruptivo.
5. Documentar los planes de accin para aplicarse en el momento del evento

Los planes de continuidad formalizan las estrategias en un documento que busca
ser consultado y utilizado durante el incidente disruptivo. Es importante entonces que
sea de fcil lectura y hecho como ayuda de memoria para recordar lo que hay que
hacer; no es un procedimiento al mnimo nivel de detalle de pasos a seguir por cualquier
persona que est disponible en el momento del incidente disruptivo, peor an si es
inexperta en el servicio o actividad a recuperar.
Antes de documentar el protocolo de actuacin es importante crear un modelo o
plantilla de documento, que no necesariamente seguir los mismos lineamientos que se
siguen con los procedimientos de consulta, gua o de capacitacin en las actividades
diarias de la organizacin y que se utilizan en situaciones normales; con lo cual es
necesario crear el espacio para conversar y hacer entender de las diferencias entre un
procedimiento de continuidad y un procedimiento del da-da. Un procedimiento de
continuidad no busca documentar nuevos procedimientos de operacin inventados
para la contingencia; en verdad la premisa es que se seguirn haciendo los mismos
procesos diarios pero en distinta prioridad, llegando inclusive a prescindirse de alguna
actividad no urgente sino hasta meses.
Tampoco se trata de documentar
procedimientos manuales que se utilizarn cuando los sistemas no estn disponibles. Los
procedimientos manuales son una forma ms de operar las actividades del da a da sin
sistemas informticos, y en la actualidad es muy probable pensar que procesar
manualmente ya no sea una opcin por la necesidad de operar grandes volmenes de
transacciones o pedidos, adems de los riesgos de seguridad y fraude a los que se
expone la organizacin.
La estructura general de cualquier plan de continuidad ser: a) objetivos y alcance;
prioridades de recuperacin segn MTPDs y RTOs; b) equipo de respuesta o continuidad
o recuperacin; c) actividades del equipo, de preferencia por rol; d) estrategia a utilizar
a nivel de personal, es decir, personal asignado a los roles (ms de uno por rol); e)
estrategia a utilizar a nivel de infraestructura fsica, es decir alternativas de sitios de
operacin; f) estrategia a utilizar a nivel materiales, consumibles e insumos, es decir
dnde se encuentran los recursos necesarios; y as para cada uno de tipos de recursos
que se las ha considerado en las estrategias de recuperacin. Podrn complementarse
con anexos como datos de contactos, planos de ubicacin, plantillas a utilizarse en el
momento del incidente.
26
GRFICO 5
Tipos de planes segn su tipo de objetivo
El plan de continuidad, desde una perspectiva general se puede clasificar en cinco

categoras segn el objetivo de lo que busquen proteger: a) planes de continuidad del
tipo de respuesta a incidentes de seguridad del personal y de los activos fsicos de la
organizacin; b) planes de continuidad del tipo de respuesta a incidentes de afectacin
de la imagen de la organizacin; c) planes de continuidad del tipo de respuesta a
incidentes de interrupcin de los sistemas informticos; d) planes de continuidad del tipo
de respuesta a incidentes de interrupcin de las operaciones; e) y el plan de continuidad
que gobierna el manejo de cualquiera de los incidentes a travs de con Comit de
Crisis.
1. En el caso de los planes de continuidad del tipo de respuesta a los incidentes de
seguridad del personal y de los activos de la organizacin, el principal objetivo es
tratar de salvaguardar la operacin del servicio o actividad en el lugar fsico
donde ha sido afectada ante escenarios especficos, por ejemplo: qu hacer
para minimizar la afectacin del personal en caso de una pandemia, qu hacer
para minimizar la afectacin del personal y de los activos de la organizacin en
caso de un incendio o sismo / terremoto, qu hacer para minimizar los daos del
personal y de los activos de la organizacin en caso de un derrame peligroso.
Los tipos de incidentes guardarn relacin con la evaluacin de riesgos de las
amenazas ms probables o de mayor impacto.
En este caso, los equipos sern ms orientados a brigadas de primera respuesta,
como por ejemplo: evacuacin, incendio, entre otros, y priorizarn la proteccin
de los activos fsicos segn el nivel de urgencia de los procesos que los utilizan, y
esta informacin se identific junto con los MTPDs y RTOs.
2. En el caso de los planes de continuidad del tipo de respuesta a incidentes de
afectacin de la imagen de la organizacin, el principal objetivo es salvaguardar
la reputacin de la organizacin estableciendo qu posibles riesgos de
afectacin de imagen existen, qu audiencias son las afectadas y en qu
prioridad, qu medios de comunicacin son los apropiados para cada audiencia
y qu voceros se tienen establecidos para comunicar el mensaje. El equipo en
este caso estar liderado por el responsable de imagen institucional y su personal
de apoyo as como los propios voceros.
interrupcin de los sistemas informticos, el principal objetivo es continuar

27
brindando los servicios de tecnologa de informacin y comunicaciones y con

ellos los datos y la informacin de la organizacin. Las prioridades de
recuperacin sern dadas en funcin a los RTOs que se hayan definido para los
servicios de tecnologa de informacin y en relacin a los servicios o actividades
que soportan; esto es, el RTO de un servicio de tecnologa de informacin
debiera ser el mnimo de todos los RTOs de los servicios o actividades que usan
dicho servicio de tecnologa de informacin. El equipo de recuperacin de los
servicios de tecnologa de informacin estar conformada por la autoridad de la
tecnologa de informacin y participar de las decisiones ms importantes en la
recuperacin, adems de mantener informadas a las autoridades de la
organizacin. Tambin forma parte del equipo el personal tcnico a nivel de
servidores, bases de datos, telecomunicaciones y aplicaciones responsables de la
recuperacin a nivel operativo de los servicios de tecnologa de informacin.
interrupcin de las operaciones, el principal objetivo es continuar brindando los
servicios y actividades de la organizacin. Las prioridades de recuperacin sern
dadas en funcin a los RTOs que se hayan definido para los servicios o
actividades. El equipo de recuperacin de continuidad de las operaciones
estar liderado por los jefes de las unidades funcionales o lderes de procesos
(segn como mejor la organizacin se estructure para responder a un incidente
disruptivo, siendo la parte clave la capacidad de liderazgo que pueda tener la
organizacin durante el incidente). Forman parte del equipo el personal de los
puestos clave para realizar las actividades mnimas segn los RTOs establecidos.
5. En el caso de los planes de continuidad que gobierna el manejo de cualquier
incidente, el principal objetivo es la toma de decisiones de cualquiera de los tipos
de planes antes mencionados, a travs de la conformacin de un Comit de
Manejo del Incidente o de la Crisis. Este comit de crisis conformado por las
autoridades de la organizacin, ser el equipo que deber convocarse para
apoyar en las decisiones del equipo que est respondiendo al incidente de
seguridad del personal, o del equipo que est protegiendo la reputacin, o del
que est recuperando los servicios de tecnologa de informacin, o del que est
recuperando las unidades funcionales de negocio.
Como el incidente disruptivo podra ocurrir cuando la organizacin no termin de
implementar sus opciones de estrategias de recuperacin (por ejemplo, un sitio alterno
an no implementado), entonces es labor del Comit de Manejo del Incidente o de la
Crisis improvisar y conseguir implementar la estrategia faltante para que los otros equipos
de continuidad y recuperacin que dependen de dicha opcin estratgica puedan
lograr el objetivo de responder al incidente disruptivo.
6. Ejercitar y probar los planes de accin
Los planes de accin sern slo papel y no pasarn de all sino se ejercitan, y en
verdad el xito del plan en el momento de un evento disruptivo no est en cun bien
documentado se encuentra sino cun bien practicado e interiorizado est, por lo tanto,
el principal objetivo de un ejercicio, es practicar el plan y exponerlo progresivamente al
mayor estrs posible para identificar las oportunidades de mejora que pueda tener y/o
determinar las habilidades adicionales que hay que formar en el personal participante
de tal manera que el objetivo de ejercitar el plan no es ver si el plan funciona o no, sino
ante el escenario probado, determinar qu le falta al plan y a las personas para poder
responder mejor. Cuando el escenario de prueba ya est dominado, ste deber
incrementarse en complejidad o en todo caso cambiarlo pero siempre de acuerdo la
maduracin de la continuidad en la organizacin.
28
Un ejemplo de la vida real que ayuda a entender lo antes mencionado es "salir a correr";
puedo tomar el escenario objetivo "salir a correr en una semana una vuelta a la
manzana" como tambin "salir a correr en una semana un maratn de cuarenta y dos
kilmetros esperando lograr un tiempo clasificatorio para las prximas olimpiadas"; de
qu depende escoger un escenario de menos estrs u otro escenario de total estrs?
depende del nivel de preparacin de la persona.
Sera imprudente obligar a una persona aficionada, que nunca se ha preparado para
correr profesionalmente. A que participe en la maratn y clasifique para las olimpiadas
porque probablemente podra hasta causarle un dao mayor en su salud; de otro lado,
tampoco es razonable a una persona que diariamente sale a correr cuatro kilmetros,
pedirle que se ejercite corriendo una vuelta a la manzana, ya que no estoy forzando a
que aparezcan oportunidades de mejora en la tcnica de correr de la persona o en los
implementos que utiliza. Lo ideal ser identificar qu preparacin tiene la persona y
segn eso se pondr el escenario objetivo, si nunca ha salido a correr, claramente el
pedirle que corra una vuelta a la manzana ser un objetivo adecuado; pero una vez
domine ese objetivo, habr que incrementar el objetivo, quizs ahora es pedirle que sea
un kilmetro, y as sucesivamente. Pero para no ser juez y parte en la preparacin de la
persona, sta deber proponerse en el tiempo, por ejemplo tres meses, qu espera
lograr, siendo el primer mes correr la vuelta a la manzana, el segundo mes correr un
kilmetro y el tercer mes cuatro kilmetros.
Ejemplificando lo anterior, una organizacin que recin est iniciando su programa de
continuidad del negocio no puede tener la prueba sper compleja que implique apagar
sus operaciones y operar con las opciones alternativas que las estrategias definieron y en
menor tiempo que los RTOs exigidos. Posiblemente inicie slo con un escenario general
de incendio con ejercicios de escritorio y validando el funcionamiento de cierto
equipamiento crtico y haciendo nfasis en la evacuacin del personal. Posteriormente
podr ser el mismo escenario de incendio con heridos, con lo cual despus de la
evacuacin parte del personal est indispuesto, por lo que en los ejercicios de escritorio
participarn los alternos; as progresivamente ser ir creando complejidad del ejercicio.
Claro est que tampoco hay que esperar diez aos para que por ejemplo la
infraestructura alterna de tecnologa de informacin funcione adecuadamente; es muy
probable que los primeros escenarios buscarn el objetivo de asegurar que la tecnologa
de informacin alterna este lista y operando en dos o tres aos.
Tambin la organizacin debe planificar sus objetivos de prueba en el tiempo, es decir
qu espera lograr en un ao, en dos, en tres, quizs hasta en cinco aos, y as entonces
la propia organizacin se pone sus propios objetivos los cuales ir validando ao a ao.
Es bueno tener presente que a diferencia del ejemplo del corredor donde seguramente
ste sale a practicar diariamente, en continuidad la organizacin no realizar ejercicios
diariamente; la frecuencia de los ejercicios deber ser prudente para dar espacio a la
organizacin en cumplir sus objetivos de operacin; con lo cual los niveles de
complejidad en continuidad del negocio sern progresivos al propio ritmo que la
organizacin establezca, claro est sin dejar pasar mucho tiempo para que el personal
olvide o ante los cambios de la organizacin los planes ya no sirvan.

29
GRFICO 6
Ejercicios segn su complejidad
No avisado
Escala completa
Ejercicios de coordinacin, comando e integracin
(Min)
Complejidad del ejercicio o prueba
Simulaciones complejas
Ejercicios de desplazamiento
Pruebas de funcionamiento
Ejercicios de repaso, escritorio y juegos
Complejidad acumulativa
Avisado
Nivel de inversin en tiempo

y recursos
(Max)
(Max)
Los tipos de ejercicios van de los menos complejos y a su vez menos costosos a los ms
complejos y costosos. Los menos complejos son los ejercicios de repaso, escritorio y
juegos, cuyo objetivo es principalmente difundir y crear conocimiento en el uso del plan
y de las opciones de estrategias que se encuentran disponibles en la organizacin; luego
estn las pruebas de funcionamiento de la infraestructura y del equipamiento para
asegurar que se encuentren operativas y funcionando y que el personal que opera
dicho equipamiento conoce su operacin y lo hace rpidamente dentro los objetivos de
tiempo establecidos. Luego estn los ejercicios de desplazamiento que buscan brindar
conocimiento de los lugares a dnde desplazarse, cmo o con qu medios desplazarse
y se logran desplazar dentro de los objetivos de tiempo establecidos. Despues estn los
ejercicios de coordinacin, comando e integracin donde ms de un equipo de
respuesta o continuidad o recuperacin participan integrados bajo la coordinacin del
comit de manejo de incidentes o crisis; luego se encuentran las simulaciones ms
complejas, que pueden ser una combinacin de los anteriores y por lo general es el
ejercicio objetivo del ao, para el cual, la organizacin se ha venido preparando con
ejercicios previos pero siempre sin afectar o paralizar algn servicio crtico y finalmente
est el ejercicio de escala completa donde adicionalmente a lo que se simula se busca
paralizar algn servicio crtico y recuperarlo dentro de los tiempos esperados con los
riesgos que ello representa y en la medida de lo posible en entornos controlados.
El hecho de realizar un ejercicio no avisado no busca "ver si el plan funciona", si no se
avisa es porque se busca crear en el personal las competencias de manejo de estrs y
niveles de alerta adecuados para un evento disruptivo; aunque no se avise a los
participantes, siempre se deber participar a la autoridad correspondiente para que
pueda prever cualquier riesgo de indisponibilidad del servicio. Los ejercicios no avisados
pueden ser en cualquiera de los tipos de ejercicios, por ejemplo podra no avisarse del
ejercicio de escritorio y con ello evaluar el nivel de compromiso e importancia de la
gente respecto a la continuidad del negocio y las operaciones.
30
7. Creacin de conciencia y competencias en la organizacin

El personal de la organizacin tiene la responsabilidad de realizar las actividades
para las cuales ha sido nombrado, aunque el tema de continuidad pudiera reconocerse
como importante, el da-da har que dentro de sus prioridades el tema de continuidad
cada vez en el tiempo baje de importancia. Por ello crear una cultura de continuidad
del negocio y de las operaciones al interior de la organizacin es una labor que debe ser
constante.
Si el tema de continuidad an no ha sido implementado en la organizacin el tipo de
sensibilizacin ser diferente y buscar vender o justificar la necesidad de establecer un
programa de continuidad del negocio, ya sea a partir de incidentes pasados, de
incidentes ocurridos en otras organizaciones, de obligaciones regulatorias o legales, o de
requerimientos de auditora. Si la continuidad ya est implementada, entonces el
objetivo ser recordarle al personal que es un tema importante el estar preparados
porque "podra pasar".
Se hace necesario el trabajo con el rea de comunicaciones internas de la organizacin
para estructurar las mejores formas de dar el mensaje al personal y los medios
apropiados para hacerlo. Pueden usarse boletines, portales web, afiches, charlas, juegos
y una vez al ao el da, la jornada o la semana de la continuidad.
La sensibilizacin debe estar enfocada por tipo de pblico objetivo y siempre deber
tener indicadores que midan si los resultados deseados se estn logrando, sino no hay
forma de saber si el mtodo utilizado est siendo efectivo y no hay forma de entrar en el
ciclo de mejora continua.
La creacin de competencias tiene un objetivo diferente al de la sensibilizacin y es
principalmente crear conocimiento y experiencia en diferentes temas o disciplinas de la
continuidad. Los temas podrn ser en conceptos de continuidad del negocio y de las
operaciones, considerando las especialidades, respuesta a incidentes de seguridad del
personal y activos crticos, respuesta a incidentes de afectacin de imagen, respuesta a
incidentes de interrupcin de la tecnologa de informacin, respuesta a incidentes de
interrupcin de las operaciones, o gobierno y manejo de incidentes o crisis pospuesta en
el uso y aplicacin de las alternativas de estrategias de recuperacin y de los planes de
continuidad, donde los ejercicios sern muy exitosos como herramienta de creacin de
conocimiento y experiencia; y tambin en la realizacin de las actividades del da a da
por parte de los alternos tal cual lo hara el designado como primario.
La capacitacin deber tambin ser focalizada al tipo de personal y segn las
capacidades que se necesiten crear. Al igual que la sensibilizacin, los resultados deben
medirse para establecer si est siendo efectiva y est cumpliendo con los objetivos de la
creacin de capacidades.
8. Mantenimiento de la continuidad de negocios y de las operaciones
La organizacin siempre es cambiante, cambian las personas, cambian las
responsabilidades, cambian los servicios, cambian los edificios e instalaciones, cambian
los sistemas, cambian los proveedores y otras partes de la organizacin. Es por ello que
uno de los retos ms importantes de la continuidad es lograr que a pesar de los cambios
en la organizacin, la continuidad no se desactualice.
El xito de la gestin de cambios es identificar el cambio y para ello es necesario
conocer quin puede informar del mismo y con qu frecuencia debe preguntarse a la
fuente del cambio. Por ejemplo, la fuente para cambios del personal puede ser Recursos
Humanos y la frecuencia a consultarles es cada quince das, el medio es a travs de un

31
formato de altas, bajas y modificaciones del personal enviado por correo; otro ejemplo
es para los cambios a nivel de los sistemas informticos, la fuente es el departamento de
TI y especficamente el comit de cambios de TI y la frecuencia a consultares es una vez
al mes participando de las reuniones a invitacin de dicho comit.
Como la organizacin tienen muchos cambios, en verdad interesarn aquellos que
impacten directamente a la continuidad y son: cambios en servicios; procesos o
actividades; personas, transporte y comunicaciones; infraestructura fsica, servicios
pblicos y ambientes de trabajo; equipamiento, materiales e insumos; servicios de
tecnologa de informacin; proveedores; viabilidad financiera; entre otros.
Una vez identificado un cambio de inters para la continuidad del negocio, deber
registrarse en una bitcora de eventos de cambio y analizar el impacto en la
desactualizacin del programa de continuidad del negocio y de las operaciones; si el
impacto es bajo o moderado, podr esperarse al ciclo de actualizacin del siguiente
ao; si el impacto es alto o muy alto, deber modificarse el plan de trabajo operativo del
ao en curso (de continuidad) y contemplar la actualizacin de los componentes de la
continuidad que sean necesarios.
Una vez realizado el cambio en uno o ms documentos del programa de continuidad,
deber llevarse un registro de qu cambi, quin cambi y quin aprob lo cambiado y
cul es la nueva versin del documento modificado. En caso el documento (por
ejemplo un plan) necesite volverse a distribuir, ser necesario solicitar las versiones viejas
del documento y almacenarlas o destruirlas y entregar las nuevas versiones; inclusive
haciendo firmar la recepcin de las nuevas copias.
El documento del plan es un documento controlado. El contenido es responsabilidad
del dueo del departamento o proceso del plan y el coordinador de continuidad es
responsable del acceso al documento y de distribuirlo nicamente a los que el plan
necesite ser entregado.
9. Indicador de madurez y planeamiento estratgico en continuidad del negocio y
de las operaciones
Una organizacin sin indicadores que midan su progreso o sin un plan estratgico
no tendr cmo medir si est progresando. Lo mismo ocurre con el programa de
continuidad del negocio y de las operaciones; si no se mide su maduracin y no se
plantean objetivos estratgicos en el tiempo no podr mostrar a las autoridades si est
mejorando o no. Una continuidad del negocio y de las operaciones exitosa no slo se
mide por los planes de continuidad generados, sino tambin por otros factores que
debern darse para decir que el programa de continuidad del negocio y de las
operaciones est bien enrumbado.
El Modelo BCMM (Modelo de Madurez en Continuidad del Negocio por sus siglas en
ingls) es el ms antiguo y difundido en el medio y permite comparar que tan maduro
est el programa de continuidad del negocio y de las operaciones en la organizacin.
Establece ocho competencias que la organizacin debe lograr: (1) liderazgo por parte
de las autoridades; (2) conciencia e inters del personal en general; (3) estructura, roles y
responsabilidades; (4) interiorizacin e integracin con las partes internas y externas; (5)
medicin de indicadores ms finos de continuidad; (6) contar con recursos competentes
y efectuar inversiones acorde con los escenarios deseados a ser protegidos; (7)
aseguramiento de la cadena de suministro y del manejo de las expectativas de terceros;
y (8) orden metodolgico acorde con mejores prcticas.
32
GRFICO 7
Variables estratgicas de la continuidad segn el BCMM
Liderazgo
Contenido
Externos
Conciencia
1 2
Recursos
6 Estructura
Integracin
Mtricas
El BCMM evala cada competencia corporativa en una escala de seis niveles, el nivel
uno, el ms bajo, donde no se realizan esfuerzos de la continuidad; el nivel dos, donde al
menos un departamento funcional est realizando algn esfuerzo a iniciativa propia; el
nivel tres, donde varios departamentos funcionales tratan de coordinar esfuerzos a travs
de alguna comisin de trabajo; el nivel cuatro, donde la organizacin est aplicando
una mejor prctica y una funcin de continuidad del negocio y de las operaciones ha
sido establecida; el nivel cinco donde la organizacin ha pasado de la teora a la
prctica en la aplicacin de las mejores prcticas y est implementando un programa
de continuidad de la organizacin en toda la organizacin (dentro del alcance de la
continuidad) aunque no con todo xito en algunos departamentos; y el nivel seis donde
la organizacin lleva una prctica regular y constante de excelencia y todos los
departamentos funcionales dentro del alcance de la continuidad estn altamente
comprometidos, existen las opciones de estrategias y ponen en prctica sus planes con
frecuencia.
Si el resultado de la evaluacin de madurez califica entre uno y dos, entonces el modelo
indica que la organizacin est en riesgo; si califica tres o cuatro, entonces el modelo
indica que la organizacin est siendo competente; si califica cinco o seis significa que
est logrando la excelencia.
Con base al resultado del modelo BCMM se pueden estimar objetivos progresivos en el
tiempo, por ejemplo: el primer ao alcanzar el nivel tres; el segundo ao mantener el
nivel; el tercer ao alcanzar el nivel tres. Otro ejemplo podra ser: el primer ao alcanzar
el nivel cuatro en las competencias de liderazgo y conciencia y en el resto al menos el
nivel tres para los departamentos con RTO menor a cuatro horas; el segundo ao
alcanzar el nivel cuatro en todas las competencias para los departamentos con RTO

33
cero, y para los departamentos de RTO veinticuatro alcanzar el nivel tres en las
competencias de liderazgo y conciencia.
As como los ejemplos anteriores podran plantearse objetivos a tres, cuatro o cinco aos
y anualmente revisar su cumplimiento y su comparacin con respecto al ao anterior; si
no se logran habr que reevaluar cada cierto tiempo los objetivos estratgicos de la
continuidad para ir sincerndolos conforme la organizacin madura.
VI.
CASOS EXITOSOS
Son muchas las organizaciones tanto privadas como pblicas que estn realizando
esfuerzos de continuidad del negocio y de sus operaciones. La fuente de informacin
presentada a continuacin son casos hechos pblicos a travs de las conferencias y
eventos organizados por la revista especializada en continuidad del negocio y
recuperacin ante desastres DRJ en Espaol. 18
1. Aplicacin de las prcticas profesionales para la continuidad del negocio y
operaciones
Los tipos de organizaciones en Latinoamrica y el Caribe que estn aplicando
buenas prcticas de continuidad del negocio son: las empresas reguladas,
principalmente banca y, aunque en menor grado, el sector asegurador; luego estn las
empresas con gran impacto ambiental como petroleras y mineras; luego estn las
empresas de servicios pblicos como son telecomunicaciones, electricidad y gas,
tambin estn las empresas que son grandes corporativos tanto en consumo masivo
como manufactura; y finalmente los grandes proveedores de servicios tecnolgicos o de
servicios tercerizados que por exigencia de sus clientes estn implementando estas
buenas prcticas.
18
Un ejemplo de la prioridad de recuperacin para el caso de banco comercial es

permitir a sus usuarios continuar retirando su dinero cuando lo necesiten y
realizando sus transacciones financieras usando los canales que disponen como
tarjeta de dbito y crdito, cajeros y banca electrnica; de estas actividades
prioritarias se desprenden por dependencia otras como procesos backoffice,
liquidez en todos su canales, bloqueo de tarjetas de crdito o dbito; y por
supuesto la tecnologa de informacin que soporta todas las actividades
mencionadas.
Un ejemplo de la prioridad de recuperacin para el caso de una aseguradora es

atender un siniestro, ms an si ste tiene que ver con la afectacin de la salud o
la vida del asegurado, con lo cual la central de atencin de llamadas por
emergencia y la emisin de las garantas para que el asegurado reciba atencin
de emergencia en una clnica u hospital afiliado ser de la ms alta urgencia de
recuperacin; luego en menor prioridad estar la atencin de los otros tipos de
siniestros.
Un ejemplo de la prioridad de recuperacin para las empresas petroleras y

mineras est en la respuesta a los incidentes que afecten la operacin; en estas
industrias no es vlido pensar en usar edificios o instalaciones alternas para
Disaster Recovery Journal en Espaol - DRJ en Espaol es el medio ms importante de difusin de

conocimiento en temas de continuidad y de operacin as como de recuperacin de desastres en la
regin. Organiza seminarios virtuales una vez al mes; eventos presenciales de un da en los pases de habla
hispana; y una conferencia internacional anual de tres das de duracin. La informacin presentada en
esta seccin ha sido tomada de dichos eventos.
34
continuar operando, con lo cual la prioridad pasar por tratar de proteger y

contener el dao ocasionado y cunto antes recurrir al asegurador para iniciar la
reparacin del activo daado.
Un ejemplo de la prioridad de recuperacin para las empresas de servicios

pblicos est en identificar los nodos, estaciones, centrales, (u otro nombre
tcnico especfico a la industria que se le pudiera dar) que son ms urgentes que
otros y a esos nodos crearles alternativas de continuidad; tambin la prioridad se
da en la redundancia del tramo, que puede ser enmallado o anillado para crear
tramos alternos en caso falle uno de los tramos o a pesar de la salida de un nodo,
el servicio se siga dando en el resto de nodos.
As como estos ejemplos hay otros especficos al resto de sectores; sin embargo, las
mismas empresas de un sector no tienen porqu necesariamente tener las mismas
prioridades de recuperacin.
Banco Supervielle es uno de los bancos lderes de Argentina y ya tienen algunos aos
con su programa de continuidad, como la gran mayora de organizaciones inici con un
alcance de tecnologa de informacin, tambin llamado DRP (Plan de Recuperacin
ante Desastres, por sus siglas en ingls), para luego incorporarle aspectos de continuidad
operativa, y a la fecha ya establecer un proceso permanente de gestin de la
continuidad del negocio y de sus operaciones. En el gobierno de la continuidad est
liderado por el propio gerente general y administrado por la gestin de riesgos;
implementaron campaas multimedia de sensibilizacin y creacin de conciencia. Es
muy interesante la colaboracin estrecha entre el departamento de tecnologa de
informacin y el de gestin de riesgos para sustentar y lograr la aceptacin de un
presupuesto para optimizar la infraestructura tecnolgica del banco no slo por
aspectos tcnicos propios del rea de sistemas, sino tambin por aspectos de riesgos de
interrupcin.
Grupo Bancolombia, es una de las organizaciones lderes en el sector financiero con
presencia en Colombia y en Centroamrica con ms de ocho millones de clientes. Su
programa de continuidad del negocio est fundamentado en estrategias concebidas e
implementadas en cuatro frentes: Personas, infraestructura, procesos y tecnologa. El
proceso de continuidad est liderado por una Gerencia Estratgica de Continuidad del
Negocio, la que coordina con Gestin Humana, Tecnologa de Informacin,
Administracin y Servicios para Clientes para mantener el programa.
Banco de Costa Rica, tiene 250 oficinas en todo el pas y es parte del Conglomerado
Financiero BCR que est compuesto por el banco, un puesto de bolsa, una sociedad
administradora de fondos de inversin, una operadora de pensiones y un corredor de
seguros. El banco tiene un programa de continuidad del negocio donde participa la
Junta Directiva y el Gerente General. Existe una Oficina de Continuidad de Negocio
responsable de liderar un Sistema de Gestin de Continuidad del Negocio que integra
los esfuerzo de operaciones, sistemas y riesgos del banco.
Banco Popular Dominicano, es uno de los bancos ms grandes de Repblica
Dominicana fundado en el ao 1963 y actualmente con 1.16 millones de clientes, posee
reconocimientos nacionales e internacionales de prestigiosas instituciones calificadoras.
El Banco tiene un programa de continuidad que, como la mayora de las organizaciones,
empez con un alcance principalmente focalizado en la tecnologa de informacin o
DRP, y a la fecha considera a todos los procesos del banco que en el anlisis de impacto
se han considera como crticos.

35
Toyota Financial Services de Mxico provee programas de financiamiento, seguros y

servicios en la rama automotriz. Su programa de continuidad del negocio y de las
operaciones considera los escenarios de no acceder a sus instalaciones, no acceder a la
infraestructura de tecnologa de informacin, ambos escenarios anteriores a la vez, y el
escenario de indisponibilidad del personal crtico. Con el apoyo de una empresa
consultora y especialista en el tema, lograron mejorar su programa de continuidad,
aumentando la cultura de de continuidad, con un programa escalonado de pruebas y
ejercicios, adems del uso de un centro alterno de clase mundial.
Pacfico Seguros, es una de las empresas ms importantes del rubro de seguros de Per, y
tanto por su corporativo como por exigencias regulatorias han implementado su
programa de continuidad del negocio, el cual se compone por una poltica de
continuidad del negocio, indicadores de madurez, procesos y funciones de negocio
priorizadas, evaluaciones de riesgos de continuidad, planes y protocolos de actuacin
para gestin de crisis, comunicacin en crisis, respuesta a la emergencia, recuperacin
de los sistemas informticos y la recuperacin de los procesos de negocio, un programa
de prueba y ejercicios y la realizacin de ejercicios.
Zurich es una de las empresas aseguradoras ms importantes en nuestra regin, tiene
implementado un programa de continuidad del negocio en sus diferentes filiales y ha
aplicado sus planes de continuidad y recuperacin tecnolgica en diferentes eventos
como la pandemia que afect principalmente a Mxico y en el ltimo terremoto de
Chile.
Sistema Nacional de Comunicaciones Financieras de Chile SINACOFI, es una empresa
que brinda servicios de bur de crdito, cmara de compensacin y mensajera
electrnica para todo el sector financiero en Chile: bancos, reguladores, empresas de
leasing, cooperativas y empresas de factoring. Tienen implementado un programa de
continuidad del negocio que toma como pilares principales: la importancia de
seleccionar apropiadamente las urgencias de recuperacin de las actividades de la
organizacin; integrar los procesos de operacin con los sistemas de informacin; tener
claramente los roles definidos, las responsabilidades asignadas, las competencias
adquiridas y que sean parte de las evaluaciones de desempeo; y reconocer la
importancia e integrar a los proveedores crticos en la capacidad de resiliencia de la
organizacin.
Unipago es la Empresa Procesadora de la Base de Datos del Sistema Dominicano de
Seguridad Social cuyos accionistas son las Administradoras de Fondos de Pensiones (AFP)
y las Administradoras de Riesgos de Salud (ARS), y es encargada de la tesorera y de la
administracin del sistema nico de registro, as como el procesamiento de la
informacin. Unipago tiene establecido su programa de continuidad del negocio en
base a su sistema de gestin de seguridad de la informacin y a partir de all se tienen los
planes de continuidad del negocio y de la recuperacin tecnolgica, respuesta a
emergencia y el establecimiento de un comit de crisis.
Telefnica Movistar de Colombia, es una de las empresas operadoras del servicio de
telecomunicaciones del pas y que tambin tiene presencia en casi la mayora de pases
de nuestra regin. Telefnica Movistar Colombia tiene implementado un programa de
continuidad del negocio considerando la priorizacin de procesos urgentes de
recuperar, una evaluacin de riesgos de las principales sedes del pas, la
implementacin de estrategias de recuperacin, establecimiento de la gestin de crisis y
sus planes de continuidad operativos, la realizacin de pruebas y ejercicios adems de
programas de sensibilizacin y capacitacin. Telefnica Movistar Colombia puso en
36
prctica sus planes de continuidad del negocio debido a los incidentes disruptivos
presentados por la ola invernal que afect Colombia en los ltimos aos.
El Instituto Costarricense de Electricidad (ICE) es responsable de las telecomunicaciones y
de la energa elctrica en el pas.
A nivel de telecomunicaciones el ICE ha
implementado su programa de continuidad del negocio con nfasis en las redes e
infraestructura de telecomunicaciones del pas; ha priorizado los nodos urgentes de la
red; ha efectuado evaluaciones de riesgo en todos los nodos y estaciones crticas del
pas, ha diseado e implementado estrategias de recuperacin, ha documentado sus
planes de gestin de crisis y continuidad operativa y los ha probado progresivamente. Y
ha activado sus mecanismos de continuidad en incidentes ocurridos como son: el
terremoto en Costa Rica del ao 2012, un incendio en la estacin de El Limn (en la
costa atlntica del pas) el ao 2010, y ese mismo ao la ocurrencia de muchas
emergencia por la tormenta Thomas.
Grupo Nutresa es una de las organizaciones ms grandes de Latinoamrica en el rubro
de consumo masivo. Sus negocios consideran Galletas, Pastas, Chocolates, Helados,
Caf y Crnicos y tienen un alcance a nivel regional con plantas productivas en Estados
Unidos, Mxico, Costa Rica, Venezuela, Ecuador, Per, Colombia, Panam y Repblica
Dominicana. Nutresa tiene implementado su programa de continuidad del negocio
dentro del marco de la gestin integral del riesgo y tiene implementado planes de
gestin de riesgo y crisis; plan de respuestas a incidentes; plan de recuperacin de
desastres a nivel de sistemas de informacin, plan de emergencias, plan de sucesin,
plan de recuperacin de negocio y continuidad de operaciones, plan de soporte de
continuidad, plan de contingencia de TI y plan de coordinacin con las autoridades
pblicas.
Existen muchos otros ejemplos de empresas de Latinoamrica y El Caribe que estn
aplicando mejores prcticas de continuidad del negocio en otros sectores como es el
caso de Ecopetrol de Colombia, Minera Xstrata de Chile, Explosivos SA en Per, Grupo
ISA de Colombia y con presencia en otros pases de la regin, entre otras organizaciones.
2. Integracin entre el sector pblico y privado
La integracin entre el sector pblico y privado se da en nuestra regin de dos
formas: la primera es a travs del voluntariado del sector privado que colabora con el
sector pblico para responder a eventos catastrficos de gran magnitud geogrfica; y la
segunda es la colaboracin integral, casi regulada u obligada, entre la autoridad, el
regulador y las empresas del sector con la finalidad de continuar con el sistema que
proveen y por lo general son para los servicios pblicos como telecomunicaciones,
electricidad y bancario.
DHL con sede en Panam es un ejemplo de integracin del primer tipo. DHL a nivel
mundial ha establecido el Equipo de Ayuda en Desastres Naturales - DRT por sus siglas en
ingls, que brinda apoyo logstico sin costo para el pas donde ocurre el desastre natural,
pero en cooperacin con las Naciones Unidas y/o con acuerdos Gubernamentales
firmados con las organizaciones del rea.
DHL tiene una alianza estratgica con Naciones Unidas para la Coordinacin de Asuntos
Humanitarios (UN OCHA) desde 2005 y tiene acuerdos firmados con los gobiernos o
entidades del Estado en Panam, Guatemala, El Salvador, Honduras, Nicaragua, Costa
Rica, Per y Chile.
EL DRT para las Amricas tiene su sede en Panam y desde all coordina el
desplazamiento del personal para brindar el apoyo logstico en el lugar afectado;

37
ejemplos de su activacin en nuestra regin son: en octubre 2005 en Cancn, Mxico

con el huracn Wilma; el terremoto de Pisco en Per en agosto 2007; las inundaciones en
Honduras y Panam en octubre y noviembre de 2008; el terremoto de enero 2010 en
Hait; el terremoto de marzo 2010 en Chile; las inundaciones en Guatemala en junio de
2010.
Los bancos centrales de cada pas son un ejemplo del segundo tipo de integracin entre
el sector pblico y privado; puesto que existen algunas iniciativas en pases de la regin
para que en caso de un evento mayor de gran magnitud, los bancos continen
brindando sus servicios y se logren articular respuestas comunes y coordinadas desde el
banco central.
Algo similar ocurre en el sector de telecomunicaciones donde el organismo supervisor y
por lo general el ministerio de telecomunicaciones (o equivalente segn el pas) necesita
se establezca algn tipo de coordinacin entre todas la empresas que proveen el
servicio para articular respuestas integrales a grandes eventos, por ejemplo un terremoto.
En el sector elctrico tambin bajo el liderazgo del ministerio correspondiente, o muchas
veces bajo la coordinacin del centro nacional de control y despacho del sistema
interconectado (o su equivalente en cada pas), se coordinan los esfuerzos para la
recuperacin del servicio elctrico en las partes afectadas debido a un incidente mayor
que produjo la afectacin masiva del servicio.
En el caso de Costa Rica donde el Instituto Costarricense de Electricidad (ICE) es el
operador principal de las telecomunicaciones y nico en el caso de la electricidad, ste
forma parte de la Comisin Nacional de Emergencias y los centros de monitoreo de las
redes y de atencin de averas y emergencias se interconectan con los sistemas
nacionales de respuesta a incidentes para articular la respuesta al incidente severo que
ocurri en el pas.
VII.
CONCLUSIONES Y RECOMENDACIONES
Latinoamrica y el Caribe es una regin propensa a grandes desastres naturales,

pero tambin a otros incidentes que pudieran causar la paralizacin de las operaciones
de las empresas pblicas o privadas, como son los disturbios sociales, la inseguridad, el
crimen organizado, entre otros.
Independientemente de la causa u origen de las amenazas, una organizacin pudiera
resultar impactada y como consecuencia ver paralizadas sus actividades y por ende los
servicios que brinda; con lo cual debe implementar lo necesario para continuar
operando a pesar del incidente ocurrido.
Aunque los incidentes ocurren, a una misma organizacin no le va a afectar frecuente,
por lo que la continuidad del negocio y de las operaciones deber ser muy cauta en su
alcance y en la inversin que har que la organizacin realice para estar protegida ante
un evento mayor que a lo mejor nunca pasar.
Para definir qu actividades de la organizacin se protegen y cules no, es necesario
primero determinar cules son vitales para la sobrevivencia de la organizacin. As como
un ser humano ya tiene definido los rganos vitales, as tambin la organizacin debe
tener definidas las actividades vitales.
Para identificar las actividades vitales, primero deber identificarse qu significa
intolerable para la organizacin llegando al lmite de lo que es supervivencia. Se pueden
38
considerar aspectos econmicos, imagen, regulatorio, contractual, ambiental o social

(por ejemplo, es intolerable afectar el servicio de mil clientes o usuarios). La urgencia de
las actividades se determina considerando en cunto tiempo se alcanzan estos
impactos no tolerables debido a la interrupcin de cada actividad de la organizacin.
Las actividades que alcancen los impactos no tolerables en cuestin de horas o das
sern las vitales.
Las actividades vitales debern protegerse adicionalmente a como estn siendo
protegidas todas las actividades de la organizacin como parte de sus propios
mecanismos de seguridad existentes (seguridad fsica, seguridad informtica, seguridad
ocupacional, riesgo operativo, riesgo de mercado, entre otros). La identificacin de
cules medidas adicionales de seguridad se necesitan pueden seguir lineamientos de
gestin de riesgos establecidos en el ISO 31000.
Para estas actividades vitales, adicional a las medidas preventivas, que podran fallar
ante un evento jams pensado previamente; es necesario contar con esquemas alternos
de operacin, a distancias seguras, que se puedan activar rpidamente y as continuar
brindando los servicios clave de la organizacin a travs de las actividades vitales.
Dada las necesidades de coordinacin y de contar con personal organizado, es
necesario documentar los protocolos de actuacin durante el incidente disruptivo. Estos
planes de continuidad y de manejo de incidentes debern ser fciles de obtener y usar
en el momento del incidente. Debern estructurarse planes de manejo de incidentes y
crisis para la toma de decisiones en el momento del incidente, de respuesta a
emergencias para proteger al personal, de respuesta a la afectacin de la imagen, de
recuperacin de los servicios informticos y para la recuperacin de las actividades
clave.
El papel escrito no es garanta de la continuidad de la organizacin en el momento del
incidente, por lo que la prctica se hace necesaria. Los ejercicios y simulacros debern
crear las habilidades, experiencia y confianza en el personal participante y en la
organizacin para aplicar los planes durante el incidente. Los ejercicios deben ser
siempre algo ms complejos para asegurar la mejora permanente en la preparacin.
Debido a que estar preparados a incidentes disruptivos no es el da-da de las
operaciones, y adems de que no le pasa a la misma organizacin muy frecuente; es
necesario establecer un programa permanente de creacin de conciencia y de
formacin para crear y mantener un estado de alerta de la organizacin. Las
autoridades deben ser las que demuestren en primer lugar este estado de alerta,
conciencia y formacin para que el resto de la organizacin siga su ejemplo.
Para que la continuidad del negocio y de las operaciones se mantenga en el tiempo es
necesario institucionalizarla en la organizacin a travs de una poltica, de la integracin
de los roles de la preparacin y respuesta en el manual de funciones de la organizacin,
y de su seguimiento por parte de las autoridades, ya sea en reuniones cada dos o tres
meses as como con los reportes de la auditora interna (o externa) sobre su adecuada
implementacin y mantenimiento.
Para implementar la continuidad del negocio y de las operaciones, una organizacin
debe tomar como lineamiento las buenas prcticas y normativas internacionales sobre el
tema: BCI, DRII, ISO 22301, NFPA 1600 y ASIS SPC 1. Muchas organizaciones en nuestra
regin aplican los conceptos segn su propio entendimiento y experiencia con lo que
confunden los objetivos de la continuidad y retrasan la correcta aplicacin
metodolgica; poniendo en riesgo sus propias organizaciones.

39
Una organizacin que recin empieza o quiere mejorar, puede consultar experiencias de
otras organizaciones que en nuestra regin ya estn aplicando estas buenas prcticas.
Una buena fuente de informacin es DRJ en Espaol, donde las empresas como Banco
Supervielle de Argentina, Grupo Bancolombia, Banco Popular Dominicano, Banco de
Costa Rica, Toyota Financial Services de Mxico, Pacfico Seguros de Per, Zurich a nivel
regional, SINCOFI de Chile, Telefnica Movistar de Colombia, El Instituto Costarricense de
Electricidad (ICE), Nutresa de Colombia, entre otras, han compartido su experiencia de
implementacin de su programa de continuidad del negocio y de las operaciones.
La integracin de los sectores pblico y privado no slo se da a travs de la
colaboracin voluntaria del privado liderada por el pblico, sino tambin cuando un
sector industrial vital para la sociedad, la mayora de veces de participacin privada,
debe recuperarse bajo el liderazgo del sector pblico para continuar con la vida de la
sociedad. Los sectores que la sociedad demanda no deban paralizar y continuar son
servicio de energa elctrica, de telecomunicaciones, de gas, de agua y desage,
bancario y financiero, consumo masivo y productos de primera necesidad, asegurador,
principalmente.
Queda el reto entonces en las sociedades, gobiernos nacionales, regionales, locales e
instituciones regionales que trabajan para la respuesta ante desastres naturales, ampliar
sus esfuerzos para no slo focalizarse en la mejora de la proteccin y repuesta de la
poblacin y sus viviendas, claramente prioritario; sino tambin en otros aspectos
industriales y empresariales que la sociedad y la poblacin demanda para continuar con
su vida.
De otro lado, tambin es necesario hacer un llamado de atencin tanto a instituciones
pblicas y privadas que poco o nada han hecho para protegerse ante incidentes
disruptivos a pesar de contar con los medios econmicos para poder hacerlo; eso
demuestra la dejadez y poca diligencia de sus autoridades respecto a la viabilidad de
sus organizaciones.
Otra conclusin, ya final, es que este concepto de continuidad del negocio y de las
operaciones, tambin puede aplicarse a "continuidad de la sociedad" y tanto los
gobiernos centrales, regionales o locales pueden aplicar. Haciendo un paralelo, una
poblacin es una organizacin que tiene servicios o actividades clave o vitales que son
vivienda, servicios bsicos, salud, alimentacin, transporte, finanzas, entre otros, los cuales
debe recuperar y ante la ocurrencia de un incidente disruptivo, este municipio debe
tener ya implementadas opciones para continuar brindando vivienda alterna; con
servicios bsicos alternos, como plantas generadoras alternas, cisternas de agua potable
alternas; centros de acopio y distribucin de alimentos y preparacin de comidas
alternos; centros de salud temporales alternos; medios de trasporte temporal masivo
alternos; viabilidad financiera para la reconstruccin de lo afectado y para facilitar
disponibilidad de efectivo en la poblacin ms pobre; medios de comunicacin alternos
con la poblacin; entre otros aspectos que se podrn considerar.
Tambin entonces, extender una invitacin a las autoridades locales, regionales y
pblicas para aplicar estos conceptos en la implementacin de los planes de
contingencia o continuidad de sus poblaciones ms vulnerables en un primer momento
e incorporar progresivamente al resto de la poblacin.

41
BIBLIOGRAFA
International Organization for Standardization. ISO 22301: Seguridad de la Sociedad Sistemas de Gestin de la Continuidad del Negocio. Ginebra, Suiza, 2012.
(disponible en http://www.iso.org)
International Organization for Standardization. ISO 31000: Gestin de Riesgos. Ginebra,
Suiza, 2012. (disponible en http://www.iso.org)
The Business Continuity Institute. GBP 2013: Guas de Buenas Prcticas. Inglaterra, Londres,
2013. (disponible en http://www.thebci.org/)
ASIS International. ASIS SPC.1: Resiliencia Organizacional: Sistemas de Gestin de la
Seguridad, Preparacin y Continuidad. Estados Unidos de Amrica, 2009.
(disponible
en
http://www.ndsu.edu/fileadmin/emgt/ASIS_SPC.12009_Item_No._1842.pdf)
Disaster Recovery Institute International. Diez prcticas profesionales. Nueva York,
Estados Unidos de Amrica, 2013. (disponible en http://www.drii.org/)
Omar Daro Cardona, Juan Carlos Bertoni, Tony Gibbs, Michel Hermelin, Allan Lavell.
Ciencia para una vida mejor: entendimiento y gestin del riesgo asociado a las
amenazas naturales: un enfoque cientfico integral para Amrica Latina y el
Caribe: Desarrollando Programas Cientficos Regionales En reas Prioritarias Para
Amrica Latina Y el Caribe. Volumen 2. Ro de Janeiro y Ciudad de Mxico: ICSU LAC,
2010.
(disponible
en
http://www.icsu.org/icsu-latinamerica/publications/reports-and-reviews/natural-hazards/disasters_spanish.pdf)
Comisin Econmica para Amrica Latina y el Caribe (CEPAL) de las Naciones Unidas.
Anuario Estadstico de Amrica Latina y el Caribe 2012, Santiago de Chile, 2012.
(disponible en http://www.eclac.org/)
Alertamerica.org, El Observatorio Hemisfrico de Seguridad de la OEA. Informe sobre
Seguridad
Ciudadana
en
las
Amricas
2012,
(disponible
en
http://www.oas.org/dsp/espanol/cpo_observatorio.asp)
Unin Internacional de Telecomunicaciones. Estadsticas de la UIT respecto al uso de la
tecnologa de informacin a nivel mundial - "Core indicators on access to, and
use of, ICT by households and individuals, latest available data", (disponible en
http://www.itu.int)
Virtual Corporation. Modelo de Madurez en Continuidad del Negocio versin 2, 2012
(disponible en http://www.virtual-corp.net/)
DRJ en Espaol. Conferencia anual Punta Cana 2012, DRJ Day 2013 de Per, Colombia,
Chile, Mxico, Costa Rica y Repblica Dominicana (disponible en
http://www.drjenespanol.com/)

Continuidad de Negocios y Operaciones Frente A Situaciones de Desastre

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Continuidad de Negocios y Operaciones Frente A Situaciones de Desastre

Uploaded by

Copyright:

Available Formats

La continuidad de negocios y operaciones frente

a situaciones de desastre en Amrica Latina

Cooperacin Econmica y Tcnica

Copyright SELA, Agosto de 2013. Todos los derechos reservados.

La continuidad de negocios y operaciones frente a situaciones

POR QU ES IMPORTANTE LA CONTINUIDAD DE NEGOCIOS

NORMATIVAS Y ESTNDARES METODOLGICOS APLICABLES

METODOLOGA APLICADA A LOS SECTORES PRIVADO Y PBLICO

La continuidad de negocios y operaciones frente a situaciones

El presente documento se enmarca en el Programa

La continuidad de negocios y operaciones frente a situaciones

Cooperacin Econmica y Tcnica

Todo lo expuesto anteriormente, es recogido de mejores prcticas y normativas

El siguiente documento recoge los resultados de un estudio desarrollado por la

La continuidad de negocios y operaciones frente a situaciones

entidad pblica. Es all donde la continuidad del negocio y de las operaciones va un

Cooperacin Econmica y Tcnica

POR QU ES IMPORTANTE LA CONTINUIDAD DE NEGOCIOS Y OPERACIONES EN

La continuidad de negocios y operaciones frente a situaciones

c) Biolgicas: enfermedades con impacto en los seres humanos o animales (peste,

Centro Regional de Informacin sobre Desastres (CRID) - http://www.cridlac.org/

Cooperacin Econmica y Tcnica

b) Riesgos intencionales: terrorismo (en sus diferentes modalidades: explosin, por

La continuidad de negocios y operaciones frente a situaciones

NORMATIVAS Y ESTNDARES METODOLGICOS APLICABLES

La disciplina de continuidad del negocio y operaciones se ha ido formando a partir

Unin Internacional de Telecomunicaciones - http://www.itu.int/en/ITUD/Statistics/Documents/statistics/2012/Individuals_Internet_2000-2011.xls

Cooperacin Econmica y Tcnica

Inicio y administracin del programa

2. BCI (Business Continuity Institute)

La continuidad de negocios y operaciones frente a situaciones

Seccin 4: Requerimientos para la Resiliencia Organizacional o Gestin del

Evaluacin de Riesgos y Anlisis de Impacto

Recursos, roles, responsabilidades y autoridades

Competencia, entrenamiento y conciencia

Prevencin, preparacin y respuesta a incidentes

Evaluacin, medicin y monitoreo

No conformidades, y acciones correctivas y preventivas

Insumos y salidas de la revisin

Administracin (alcance, propsito y aplicacin)

NFPA - National Fire Protection Association - http://www.nfpa.org/

Cooperacin Econmica y Tcnica

Captulo 9: Mejora y Mantenimiento del programa

METODOLOGA APLICADA A LOS SECTORES PRIVADO Y PBLICO

Tomando en consideracin los estndares antes mencionados y la experiencia de

La continuidad de negocios y operaciones frente a situaciones

muchas de las cuales actualmente estn siendo implementadas por organizaciones de

Junta Directiva. Responsable de la continuidad del negocio y de las operaciones de la

Cooperacin Econmica y Tcnica

La continuidad de negocios y operaciones frente a situaciones

mantenimiento de la continuidad del negocio y operaciones brindan conocimiento

Cooperacin Econmica y Tcnica

medidas de seguridad y proteccin adecuadas para todas las actividades de la

Tambin puede mencionar de manera indistinta la palabra producto o servicio

La continuidad de negocios y operaciones frente a situaciones

En cunto tiempo se alcanzan los umbrales

Con el MTPD definido, se estima entonces un Tiempo Deseado de Recuperacin (RTO

Cooperacin Econmica y Tcnica

toma de decisiones ser incorrecta debido a la informacin desactualizada con la que

Los recursos del tipo Transporte se identifican considerando las facilidades de

Los recursos del tipo Comunicaciones se identifican considerando las

Los recursos del tipo Instalaciones o edificaciones se identifican considerando las

Los recursos del tipo Ambientes de trabajo y equipamiento se identifica