PLAN DE CONTINUIDAD DE

NEGOCIO
VICTOR BALAGUER FERNANDEZ
2CI2G

ndice

1.
2.
3.
4.

A quin va dirigida?
Por qu es importante la continuidad?
Cul es la utilidad de esta gua?
Por qu es necesario adoptar un plan de Continuidad
de Negocio?
5. Por dnde empezar?
6. Estructura de la gua
7. Fase I: Diseo del plan y establecimiento de la poltica
de Continuidad de Negocio
8. Fase II: Conocimiento de los procesos de negocio de la
organizacin y anlisis de riesgos
9. Fase III: Medidas preventivas
10.
Fase IV: Estrategias de recuperacin
11.
Fase V: Desarrollo e implantacin del plan
12.
Fase VI: Mantenimiento del plan
13.
Qu debo recordar?
14.
Ms informacin

1. A quin va dirigida?

Los principios de esta gua, si bien estn dirigidos especialmente a la pequea

y mediana empresa espaola, as como a los profesionales autnomos, son
aplicables a cualquier empresa espaola. La intencin de esta gua es que sea
explotada por aquel al que le ha sido encomendada la responsabilidad de
ejecutar las medidas orientadas a garantizar la continuidad de sus actividades
de negocio

2. Por qu es importante la continuidad?

Es necesario que las organizaciones establezcan una serie de medidas
tcnicas, organizativas y procedimentales que garanticen la continuidad de las
actividades o procesos de negocio en caso de tener que afrontar una
contingencia grave.

3. Cul es la utilidad de esta gua?

Esta gua tiene el objetivo de identificar y explicar de forma desglosada las
actividades necesarias para disear, implantar y mantener un Plan de
Continuidad de Negocio.
Que la organizacin asimile y entienda cada una de las fases y tareas que
componen dicho Plan.
Resaltar y concienciar a las organizacio-nes acerca de la importancia crtica
que tiene asegurar la continuidad de sus operaciones, as como la necesidad
de hacer frente de forma proactiva a incidentes graves de seguridad.

4. Por qu es necesario adoptar un plan de Continuidad de

Negocio?
Toda organizacin depende de sus recursos, del personal y de las tareas que
da a da son ejecutadas con el fin de mantener los beneficios y la estabilidad.
La mayora posee bienes tangibles, empleados, sistemas y tecnolo-gas de
informacin, etc. Si alguno de estos componentes es daado o deja de estar
accesible por la razn que sea, la organizacin puede paralizarse. Cuanto
mayor sea el tiempo de inactividad, mayor es la probabilidad de que tenga que
comenzar de nuevo desde cero. Incluso muchas organizaciones no son capaces
de recuperarse despus de ser vctima de algn desastre.
Adems puede aportar otros beneficios:
Ventaja competitiva frente a otras organizaciones
Gestin preventiva de los riesgos
Previene o minimiza las prdidas
Asegura la resiliencia de las actividades de negocio ante interrup-ciones
Menor riesgo de sufrir sanciones econmicas al adaptarse a reque-rimientos regulatorios
Asignacin ms eficiente de las inversiones en materia de seguri-dad

5. Por dnde empezar?

Toda organizacin debe tener en consideracin 6 aspectos claves:
-Un Plan de Continuidad de Negocio requiere de tiempo y recursos
-La direccin, como ente que toma las decisiones y proporciona los
fondos necesarios, debe
ser concienciada y debe estar convencida de la
necesidad de este tipo de planes.
-Conocer la organizacin es necesario y crtico. Toda organizacin debe conocer
cul es su mbito de negocio y los procesos que le permiten desarrollar su
actividad.
-Un paso clave que una organizacin debe abordar cuando decide
impulsar un plan de
continuidad de negocio es decidir acerca del alcance
del mismo.
-Colaboracin de las reas que componen la empresa
-Plantearse la necesidad de asesoramiento externo

6. Estructura de la gua

Fase I. Diseo del Plan y establecimiento de la Poltica de Continuidad de Negocio

Fase II. Conocimiento de los procesos de negocio de la organizacin y anlisis de riesgos
que impactan en las actividades de negocio
Fase III. Medidas preventivas
Fase IV. Estrategia de recuperacin
Fase V. Desarrollo e implantacin del Plan
Fase VI. Mantenimiento del Plan

7. Fase I: Diseo del plan y establecimiento de la poltica de

Continuidad de Negocio

7.1. Objetivos:
Qu se va a hacer y por qu.
7.2.Tareas:
Designar un coordinador de continuidad de negocio:
que se encargar de gestionar y supervisar el proceso de elaboracin e
implantacin del plan de continuidad de negocio.
Elaborar la poltica de continuidad de negocio:
Un documento sencillo, claro y conciso que establece a alto nivel
(estratgico) los objetivos, el alcance y las responsabilidades en la gestin
de la continuidad de negocio en la organizacin.
Establecer la planificacin del proyecto:
El coordinador o equipo de continuidad debe aplicar sus habilidades de
gestin de proyectos para programar y desarrollar los componentes del plan
de trabajo.
7.3.Riesgos asociados al diseo del plan y estableci-miento de la poltica de continuidad de negocio:
Con ms frecuencia de la deseada, las organizaciones no disponen de un
perfil con las
capacidades y aptitudes necesarias para afrontar con
garantas la adopcin de un plan de
continuidad de negocio. Este hecho se
acenta ms cuanto menor es el tamao de la
organizacin.
7.4.Recomendaciones:
Es importante que el coordinador disponga de las siguientes capacidades
o conocimientos: liderazgo, conocimiento de la organizacin y de sus
actividades de negocio, habilidades
sociales de comunicacin y capacidad
para gestionar proyectos.
Para un equipo de continuidad de negocio, es aconsejable que est
formado por personal que
pertenezca o conozca las diferentes actividades
de negocio.
El contenido de la poltica de continuidad de negocio debe ser claro,
sencillo y conciso, con el fin de evitar interpretaciones o expectativas
errneas.

8. Fase II: Conocimiento de los procesos de negocio de la

organizacin y anlisis de riesgos
8.1.Objetivos:
Entender la organizacin mediante la identificacin de productos y
servicios clave, as como
las actividades y recursos crticos que los
soportan
Estimar el impacto y las consecuencias de los posibles fallos en esas
actividades y recursos crticos
Identificar y valorar los riesgos que podran interrumpir la entrega de los
productos y
servicios de la empresa, as como de los recursos sobre los
que estn soportados.
Adicionalmente, la externalizacin de determinados servicios u operaciones abre un nuevo
mbito de gestin

8.2.Tareas:
8.2.1.Estudiar los procesos y actividades de negocio:
tanto las actividades de negocio que se encargan del desarrollo de productos y servicios de la
organizacin, como los recursos/activos3 que dan soporte a dichas actividades deben ser
identificados y analizados describiendo las personas implicadas, la informacin y las
aplicaciones empleadas, los proveedores utilizados, etc.
8.2.2.Identificar y valorar el impacto asociado a las interrupciones de los procesos de
negocio:

El impacto total asociado a la para-lizacin de alguna actividad de la

organizacin depende de varios factores:

8.2.3.Identificar actividades, recursos crticos y prioridades de recuperacin asociadas:

A la hora de identificar y priorizar las actividades y recursos crticos, debe tener en cuenta
aquellos que, en caso de prdida, tendran el mayor impacto sobre la actividad empresarial
en el menor tiempo posible
Existen dos parmetros muy especficos que estn estrechamente relacio-nados con la
recuperacin:
Tiempo de Recuperacin Objetivo (RTO) establece la urgencia que las diferentes
unidades de negocio precisan para volver a su funcionamiento habitual. Por tanto,
determina los plazos en los que deben volver a funcionar con normalidad.
Punto de Recuperacin Objetivo (RPO) se refiere al punto ms reciente en el tiempo
en el que los sistemas pueden ser recuperados, reflejando por tanto cunta es la
cantidad de informacin que una organizacin puede permitirse perder sin que le
afecte negativamente.
Ubicacin en el tiempo del RTO y el MTD antes de que una empresa sufra prdidas graves

8.2.4.Anlisis de riesgos:
consiste en identificar las amenazas sobre estos activos y su probabilidad de ocurrencia, las
vulnerabilidades asociadas a cada activo y el impacto que las citadas amenazas pueden
provocar sobre la dis-ponibilidad de los mismos.
Interrelaciones entre las variables que componen el riesgo (activo, amenaza, vulnerabilidad)

todas las metodologas siguen la siguiente secuencia de accin:

Identificar activos
Identificar y evaluar las amenazas sobre los activos identificados previamente y su
probabilidad de que sucedan.
Identificar y valorar las vulnerabilidades o debilidades asociadas a los activos, las
cuales pueden ser explotadas por las amenazas.
Valorar el impacto resultante de que una amenaza se aproveche de una vulnerabilidad
del activo y provoque dao sobre el mismo.
Calcular el riesgo como la probabilidad de que se produzca un impacto determinado
en la organizacin.
Descripcin de tipos de anlisis de riesgos

Existen diferentes opciones para hacer frente a los riesgos: aceptarlo, transferirlo, reducirlo o
evitarlo.
8.3.Riesgos asociados al conocimiento de los procesos de negocio y anlisis de riesgos:
Si no interpretan correctamente los riesgos a los se expone y cmo impacta la paralizacin
de sus actividades de negocio, son varios los problemas que pueden surgir:
Dificultad para preparar la respuesta ante incidentes de seguridad.
Identificacin y priorizacin errnea de los impactos en el negocio y de los riesgos.
Derivado del punto anterior, deficiencias para seleccionar las prioridades y los
procedimientos de recuperacin ms adecuados.
8.4.Recomendaciones:
Los analisis deben ser abordados con la estrecha colaboracin de aquellas figuras que
conocen en detalle las actividades de la organizacin. Es preferible que la organizacin
adopte un enfoque cualitativo.

9.Fase III: Medidas preventivas

9.1.Objetivos :
El propsito de esta fase consiste en aplicar medidas de seguridad queeviten en la medida de
lo posible que se produzcan incidentes de seguridad que, al no ser gestionados
adecuadamente, hagan necesaria la activacindel plan de continuidad de negocio.
9.2.Tareas:
9.2.1.Identificacin y aplicacin de medidas de seguridad.
la organizacin debe identificar y aplicar controles o medidas de seguridad que:
Reduzcan la probabilidad de que las actividades crticas sufran interrupciones.
Disminuyan el tiempo de una eventual interrupcin.
Limiten el impacto que una paralizacin de las actividades crticas pueda provocar en
la organizacin.
Incrementen la fortaleza del negocio mediante la eliminacin de puntos de fallo
nicos
9.3.Riesgos asociados al establecimiento de medidas preventivas
Cabe la posibilidad de que la organizacin adopte un modelo de gestin ambicioso al
abordar la implantacin de medidas de seguridad costosas de aplicar, engorrosas de
mantener y que hacen frente a riesgos que no son crticos.
La seleccin de medidas de seguridad inadecuadas que no atajan debidamente los riesgos a
los que est expuesta la organizacin puede conllevar un gasto econmico intil.
9.4.Recomendaciones:
El proceso de identificar e implantar medidas de seguridad debe estar basado en un

equilibrio entre los siguientes factores:

Riesgo que est siendo mitigado o impacto que estara siendo reducido.
Coste de implantar la/s medida/s de seguridad (econmico y humano).
Beneficios que la implantacin de la/s medida/s de seguridad aporta a la empresa.

10. Fase IV: Estrategias de recuperacin

10.1.Objetivos :
El objetivo perseguido en esta fase consiste en identificar las alternativas de recuperacin de
las actividades crticas de la organizacin en los marcos de tiempo definidos y aceptados.
10.2.Tareas:
10.2.1.Seleccin de alternativas de recuperacin.
factores:
La cuanta econmica
Los beneficios
El Tiempo Mximo Permitido de Interrupcin
El Tiempo de Recuperacin Objetivo
La perdida mxima de informacin que una empresa se puede permitir
es importante destacar los siguientes aspectos con respecto a la seleccin de las estrategias
de recuperacin:
La eleccin de las diferentes alternativas de recuperacin depende de las necesidades
de la organizacin
Lo ms comn y recomendable es adoptar una combinacin de las estrategias de
recuperacin para los distintos recursos crticos.
El tiempo de recuperacin objetivo (RTO) definido por la organizacin para sus
actividades crticas siempre debe ser menor al tiempo mximo permitido de
interrupcin (MTD).
El coste de las estrategias de recuperacin ser generalmente mayor cuanto menor
sea el tiempo de recuperacin objetivo (RTO).
10.3.Riesgos asociados a la implementacin de estrategias de recuperacin
una estimacin errnea sobre las consecuencias de una paralizacin de las actividades
crticas de la organizacin puede derivar en una seleccin desacertada sobre las estrategias
de recuperacin a desarrollar.
10.4.Recomendaciones:
se recomienda una seleccin de las estrategias de continuidad debidamente documentada
para cada actividad crtica. Dicha seleccin debe ser acordada y ratificada con el director o
el nivel directivo de la empresa.
las estrategias de recuperacin seleccionadas para cada actividad deben ser acordes a los
Tiempos de Recuperacin Objetivo (RTO)
disear una planificacin para la puesta en marcha de la estrategia acordada para determinar
el aprovisionamiento de los recursos.
se hace necesario establecer la diferencia entre medidas preventivas y estrategias de
recuperacin;
Los mecanismos preventivos explicados en la Fase III
Las estrategias de recuperacin son procesos focalizados en cmo rescatar a la
organizacin en caso de que un desastre tenga lugar

11. Fase V: Desarrollo e implantacin del plan

11.1.Objetivos :
se pretende gestionar la respuesta a incidentes y asegurar la continuidad de actividades
crticas
11.2.Tareas:
11.2.1.Definir las figuras o los equipos necesarios para la activacin y ejecucin del plan de
continuidad de negocio
Funciones clave de la activacin y ejecucin del plan: respuesta a incidentes, comit
de crisis, servicios civiles de emergencia necesariamente localizables en caso de
catstrofe, logstica, recuperacin y relaciones pblicas.
11.2.2.Desarrollar los procedimientos de alerta y actuacin
Los objetivos y el alcance de cada uno de ellos deben ser documentados y fciles de
leer y entender por todos los miembros implicados, considerando:
Las actividades y recursos crticos que deben ser recuperados
Los tiempos de recuperacin de dichas actividades y recursos.
En qu situacin o situaciones debe ser utilizado cada plan.
Informacin til para la gestin de la contingencia

Etapas transcurridas desde la deteccin de un incidente/desastre hasta la recuperacin de la normalidad en el centro de trabajo habitual

Respuesta a incidentes:
-Confirmar el tipo de incidente y su criticidad.
-Tomar el control de la situacin problemtica generada por el incidente.
-Acotar o limitar el impacto que dicho incidente pueda provocar.
Procedimientos de recuperacin
-Quin, cmo y bajo qu circunstancias debe ser activado.
-Persona/s que deben ser informadas de la activacin del plan de continuidad en
primer lugar
-Localizacin fsica de las personas que intervienen en el plan.
-Qu servicios estn disponibles, cundo y dnde
-En qu momento y de qu forma la informacin que se genera en la ejecucin del
plan de continuidad es transmitida a responsables, empleados, unidades de direccin,
etc.
Plan de vuelta a la normalidad
11.2.3.Disponer de los medios y recursos necesarios para ejecutar el plan de continuidad de
negocio
Servicios generales, medios materiales, transporte, medios de almacenamiento, etc.
Tecnologa (servidores, ordenadores de mesa, dispositivos mviles) y
comunicaciones.
Recursos humanos y puestos de trabajo alternativos.
Informacin crtica redundante y necesaria para el desarrollo de las actividades de
negocio.
11.3Riesgos asociados al desarrollo e implantacin del plan
la organizacin debe tener preparada para los mismos una estrategia de respaldo y

disponibilidad.
11.4Recomendaciones:
Para evitar prdidas de los planes de continuidad de negocio deben mantenerse copias de los
mismos en diferentes localizaciones y est disponible para las personas que participan en el
mismo en diferentes formatos

12. Fase VI: Mantenimiento del plan

12.1.Objetivos
Inculcar y promocionar una cultura de continuidad de negocio en la organizacin de forma
que paulatinamente se convierta en un proceso crtico a gestionar bajo un ciclo de mejora
continua.
Bajo el citado ciclo, mejorar la eficiencia y la solidez del plan o planes de continuidad de
negocio.
Transmitir fiabilidad a empleados, clientes, accionistas sobre la capacidad de la
organizacin para superar posibles interrupciones de sus operaciones.
Minimizar la probabilidad y el impacto de las interrupciones.
Adaptar el plan de continuidad a los cambios organizativos y de negocio que sufren las
empresas, revisando peridicamente los anlisis de riesgos, los Anlisis de Impacto en el
Negocio (BIA) y los contactos y responsabilidades asignados que deben mantenerse
actualizados en las estrategias y los procedimientos.
12.2.Tareas
12.2.1Difusin y formacin
Se desarrollar la programacin de acciones formativas concretas en diversos
entornos
En el de direccin y supervisin.
En el de ejecucin y operacin.
12.2.2.Ejecucin de pruebas
Desarrollado e implantado el plan de continuidad de negocio, es recomendable que
sea probado peridicamente debido a los siguientes motivos:
Cada vez se descubren nuevas mejoras y eficiencias que, de ser aplicadas,
perfeccionan el plan.
Los procesos de negocio, las ya mencionadas interdependencias, el entorno
tecnolgico y multitud de componentes adicionales pueden cambiar con el
paso del tiempo provocando que los planes de continuidad de negocio dejen
de estar actualizados.
Evaluar de forma ms veraz la capacidad de respuesta de una compaa ante
un desastre (tiempos de respuesta, capacidad de los responsables implicados e
idoneidad de los procedimientos desarrollados).

Tipos de pruebas del Plan de Continuidad de Negocio

11.2.3.Actualizacin (ciclo de mejora continua)

Los planes de continuidad de negocio deben ser mantenidos a travs de un ciclo de
mejora continua. Cualquier cambio a nivel organizativo (estratgico), operacional o
tcnico puede impactar en el negocio y por tanto en el plan de continuidad.
12.3.Riesgos asociados al mantenimiento del plan
Formacin/concienciacin: es frecuente que las organizaciones que han implantado
un plan de continuidad de negocio carezcan de ideas y estrategias precisas acerca de
posibles programas de formacin
Falta de criterio a la hora de definir la periodicidad en la cual los planes de
continuidad de negocio deben ser probados y el tipo de pruebas a realizar.
12.4.Recomendaciones
desarrollo de programas educativos
sean testados al menos una vez al ao a travs de la realizacin peridica de simulacros que
reproduzcan de forma ficticia situaciones de emergencia o contingencia.

13. Qu debo recordar?

14. Ms informacin

ESTNDARES INTERNACIONALES
gestin de

BS 25999:2006 ( British Standard en ingls) primera norma britnica para la

continuidad de negocio.

ISO/IEC 27002:2005 cdigo de buenas prcticas para la Gestin de la

Seguridad de la
Informacin.
PAS 77:2006 (Publicly Available Specification en ingls) gua de buenas
prcticas de la
continuidad de los servicios de tecnologas de la informacin (TI)
emitida por British
Standards Institute (BSI).
informacin.

ISO/IEC 20000 gestin de los servicios relacionados con las tecnologas de la

GUAS DE AYUDA
Globales en

Manual de buenas prcticas 2007 Gua para instaurar Buenas Prcticas

Gestin de Continuidad de Negocio.

SP 800-34.
para realizar

Contingency Planning Guide for Information Technology Systems: NIST

Publicacin del Network Information Security and Technology (NIST). Gua
planes de contingencia sobre tecnologas y sistemas de informacin.

ENLACES DE INTERS
Http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/
www.bsigroup.es
http://www.thebci.org y www.bcispain.com
http://www.drii.org
http://www.ismsforum.es
http://www.nist.org
http://pmi.org