une_71599-1=2010 (bs 25999 en español)

norma espaol

TTULO Gesti

Parte Business c Gestion d

CORRESPONDENCIA Esta nor

OBSERVACIONES Esta nor

autorizamodific

ANTECEDENTES Esta no

informa

Editada e impresa por AENOR Depsito legal: M 43392:2010

LAS OBSE

AENOR 2010 Reproduccin prohibida

Gnova, 628004 MADRID-Espa

la U

n de la continuidad del negocio

1: Cdigo de prctica

continuity management. Part 1: Code of practice.

de la continuit des entreprises. Partie 1: Code de bonne pratique.

rma es equivalente a la Norma Britnica BS 25999-1:20

rma es la adopcin en espaol de la Norma BS 25999-acin de BSI en virtud de la licencia nmero aciones indicadas en el prlogo de la norma.

rma ha sido elaborada por el comit tcnico AEN/CTacin cuya Secretara desempea AETIC.

ERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

[email protected]

a www.aenor.esTel.: 902 Fax: 913

UNE 71599-1

Octubre 2010

006.

-1:2006 realizada con la 2009JK0030 con las

TN 71 Tecnologa de la

44 Pginas

102 201 104 032

Grupo 22

AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A GESCAP LTDA

SAENOR AUTORIZA EL USO DE ESTE DOCUMENTO A GESCAP LTDA

- 3 - UNE 71599-1:2010

NDICE

Pgina PRLOGO .............................................................................................................................................. 4 1 OBJETO Y CAMPO DE APLICACIN ............................................................................. 4 2 TRMINOS Y DEFINICIONES .......................................................................................... 4 3 GENERALIDADES SOBRE GESTIN DE LA CONTINUIDAD

DEL NEGOCIO (GCN) ......................................................................................................... 8 4 LA POLTICA DE GCN ..................................................................................................... 12 5 GESTIN DEL PROGRAMA DE GCN ........................................................................... 13 6 ENTENDIMIENTO DE LA ORGANIZACIN ............................................................... 16 7 DETERMINACIN DE LA ESTRATEGIA DE CONTINUIDAD DEL NEGOCIO ... 21 8 DESARROLLO E IMPLANTACIN DE UNA RESPUESTA DE GCN ...................... 27 9 PRUEBA, MANTENIMIENTO Y REVISIN DE LAS DISPOSICIONES DE GCN.. 36 10 IMPLANTACIN DE GCN EN LA CULTURA DE LA ORGANIZACIN ................ 41 11 BIBLIOGRAFA .................................................................................................................. 43 ANEXO A (Informativo) TABLA DE CORRESPONDENCIA DE SIGLAS

ENTRE LAS NORMAS UNE 71599 Y BS 25999 ............................... 44

Figuras Figura 1 El ciclo de vida de GCN...................................................................................................... 11 Figura 2 Cronograma del incidente .................................................................................................. 28

Tablas

Tabla 1 Tipos y mtodos de prueba para estrategias de GCN ....................................................... 38


UNE 71599-1:2010 - 4 -

PRLOGO

Esta norma adopta la Norma Britnica BS 25999-1 que fue publicada por BSI (British Standards Institution) el 30 de noviembre de 2006. La Norma UNE 71599, Gestin de la continuidad del negocio, se publica en dos partes: Parte 1: Cdigo de prctica. Parte 2: Especificaciones. En la adopcin de las Normas BS 25999 como Normas UNE 71599 se han introducido modificaciones de carcter editorial sobre el texto de la normas britnicas que no afectan a los contenidos tcnicos del texto original, salvo en los captulos de la parte 1 en los que se hace referencia a la Ley Inglesa de Contingencias Civiles de 2004, cuyo contenido se ha adaptado a la situacin espaola. Se ha incluido un anexo de carcter informativo en ambas partes de la norma, que recoge una tabla comparativa con las siglas inglesas utilizadas en la Norma BS 25999 y las correspondientes en espaol recogidas en la Norma UNE 71599. 1 OBJETO Y CAMPO DE APLICACIN

Esta norma britnica establece los procesos, principios y la terminologa en el mbito de la Gestin de la Continuidad del Negocio (GCN). El propsito de esta norma es proporcionar una base para el entendimiento, desarrollo e implantacin de la continuidad del negocio en una organizacin as como proporcionar confianza en las relaciones de la organizacin con sus clientes y con otras organizaciones. Tambin permite a la organizacin medir su capacidad de GCN de una forma coherente y reconocida. Esta norma ofrece un sistema basado en buenas prcticas de GCN. Est norma est dirigida a ser utilizada por cualquier persona con responsabilidad en las operaciones del negocio o en la provisin de servicios, desde la alta direccin pasando por todos los niveles de la organizacin; desde las organizaciones que slo cuenten con una nica ubicacin hasta las que tengan presencia global; desde autnomos y empresas pequeas y medianas (PYMES) hasta grandes organizaciones con miles de empleados. Por lo tanto, afecta a toda persona que sea responsable de cualquier operacin, y por lo tanto de la continuidad de dicha operacin. Esta norma no cubre las actividades de planificacin de emergencias dado que ese tema se refiere a emergencias civiles. NOTA En cualquier caso, a pesar de que se invierta una gran cantidad de recursos y un gran esfuerzo, siempre existir la posibilidad de que una

organizacin se enfrente a un incidente o combinacin de incidentes que no haba previsto. 2 TRMINOS Y DEFINICIONES

Para los fines de este documento, se aplican los trminos y definiciones siguientes:

2.1 actividad: Proceso o conjunto de procesos acometidos por una organizacin (o en su nombre) que producen o dan apoyo a uno o ms productos o servicios. NOTA Ejemplos de dichos procesos incluyen contabilidad, tecnologas de la informacin, produccin y distribucin y el soporte a clientes.

2.2 continuidad del negocio: Capacidad estratgica y tctica de la organizacin para planificar y responder ante incidentes e interrupciones del negocio, a fin de que las operaciones del negocio continen en un nivel aceptable que ha sido previamente definido.


- 5 - UNE 71599-1:2010

2.3 Gestin de la Continuidad del Negocio (GCN): Proceso de gestin holstico que identifica amenazas potenciales para la organizacin as como el impacto en las operaciones del negocio que dichas amenazas, en caso de materializarse, puedan causar, y que proporciona un marco para aumentar la capacidad de resistencia o resiliencia de la organizacin para dar una respuesta eficaz que salvaguarde los intereses de sus principales partes interesadas, la reputacin, la marca y las actividades de creacin de valor. NOTA La gestin de la continuidad del negocio implica gestionar la recuperacin o continuacin de las actividades del negocio en el caso de

producirse una situacin de interrupcin del negocio, as como la gestin de un programa global a travs de formacin, pruebas y revisiones, para asegurarse que el o los planes de continuidad del negocio se mantengan actualizados y vigentes.

2.4 ciclo de vida de GCN: Serie de actividades de continuidad del negocio que en su conjunto cubren todos los aspectos y fases del programa de gestin de la continuidad del negocio. NOTA El ciclo de vida de gestin de la continuidad del negocio se muestra en la figura 1.

2.5 programa de GCN: Proceso continuo de gestin y gobierno apoyado por la alta direccin, adecuadamente dotado para que se tomen las medidas necesarias para identificar el impacto de las prdidas potenciales, para mantener estrategias y planes de recuperacin viables y para asegurar la continuidad de productos y servicios por medio de formacin, pruebas, mantenimiento y revisin.

2.6 Plan de Continuidad del Negocio (PCN): Conjunto documentado de procedimientos e informacin que se desarrolla, recopila y mantiene preparado para su uso en caso de producirse un incidente, con objeto de permitir a una organizacin seguir desempeando sus actividades crticas a un nivel aceptable previamente definido.

2.7 estrategia de continuidad del negocio: Planteamiento general de la organizacin que garantizar su recuperacin y su continuidad ante un desastre, un incidente importante o una interrupcin del negocio.

2.8 anlisis de impacto en el negocio: Proceso de anlisis de las funciones del negocio y del efecto que una interrupcin del negocio podra tener sobre dichas funciones.

2.9 emergencia civil: Acontecimiento o situacin que amenaza con serios daos al bienestar humano en un lugar, o entorno determinados, o bien a la seguridad nacional en dicho lugar o entorno.

2.10 consecuencia Resultado de un incidente que tenga un impacto en los objetivos de la organizacin. NOTA 1 Puede existir una serie de consecuencias provocadas por un nico incidente. NOTA 2 Una consecuencia puede ser cierta o incierta, y puede tener un impacto positivo o negativo en los objetivos.

2.11 anlisis de coste beneficio: Tcnica financiera que mide el coste que supone la puesta en prctica de una solucin en particular, y que lo compara con el beneficio derivado de la aplicacin de dicha solucin. NOTA El beneficio podr definirse en trminos financieros, o bien en trminos de reputacin, prestacin de servicio, reglamentarios o de otra ndole

segn sea ms apropiado para la organizacin.


UNE 71599-1:2010 - 6 -

2.12 actividades crticas: Aquellas actividades que tienen que llevarse a cabo para entregar los productos y prestar los servicios principales que permiten a una organizacin alcanzar sus objetivos ms importantes y sensibles, en un plazo de tiempo determinado.

2.13 interrupcin: Acontecimiento, ya sea previsto (por ejemplo: una huelga de trabajadores o un huracn) o imprevisto (por ejemplo un apagn o un terremoto), que cause una desviacin negativa no planificada con respecto a la entrega esperada de productos o servicios segn los objetivos de la organizacin.

2.14 planificacin de emergencias: Desarrollo y mantenimiento de los procedimientos acordados para prevenir, reducir, controlar, mitigar y realizar otras actuaciones en el caso de producirse una emergencia civil.

2.15 prueba: Actividad en la que el o los planes de continuidad del negocio se ensayan bien en parte o bien ntegramente, para procurar que el o los planes contengan la informacin apropiada y que produzcan el resultado deseado cuando sean activados. NOTA Una prueba puede implicar la activacin de procedimientos de continuidad del negocio, pero es ms probable que consista en la simulacin

de un incidente de continuidad del negocio, anunciado o no anunciado, donde los participantes asumen determinados papeles o roles con el fin de evaluar qu problemas podran surgir antes de producirse una activacin real.

2.16 ganancia: Consecuencia positiva.

2.17 impacto: Consecuencia valorada de un resultado en particular.

2.18 incidente: Situacin que pudiera constituir o pudiera redundar en una interrupcin del negocio, en una prdida, emergencia o crisis.

2.19 plan de gestin de incidentes: Plan de actuacin claramente definido y documentado para ser usado en el momento de producirse un incidente, y que tiene en cuenta el personal, los recursos, los servicios y las actuaciones que sean necesarios para poner en prctica el proceso de gestin de incidentes.

2.20 activacin: Acto de declarar que el plan de continuidad del negocio de la organizacin debe ponerse en marcha para poder seguir entregando los productos y prestando los servicios principales.

2.21 posibilidad: Probabilidad de que algo ocurra, ya sea definido, medido o estimado objetiva o subjetivamente, o en trminos de descriptores generales (como raro, improbable, probable, casi cierto), frecuencias o probabilidades matemticas. NOTA 1 La posibilidad puede expresarse cualitativa o cuantitativamente. NOTA 2 El trmino "probabilidad" puede usarse en lugar de "posibilidad", ya que probabilidad" a menudo se entiende ms formalmente como un

trmino matemtico. En esta norma se usa "posibilidad" con la intencin de que se le d la misma interpretacin que "probabilidad".

2.22 prdida: Consecuencia negativa.


- 7 - UNE 71599-1:2010

2.23 plazo mximo tolerable de interrupcin: Tiempo tras el cual la viabilidad de una organizacin estar irrevocablemente amenazada si no puede reanudarse la entrega de productos y la prestacin servicios.

2.24 organizacin: Conjunto de personas e instalaciones con una disposicin de responsabilidades, autoridades y relaciones. EJEMPLO Compaa, corporacin, firma, empresa, institucin, institucin de beneficencia, empresa unipersonal, asociacin, o parte o una

combinacin de las anteriores. NOTA 1 Dicha disposicin es generalmente ordenada. NOTA 2 Una organizacin puede ser pblica o privada. [UNE-EN ISO 9000:2005]

2.25 productos y servicios: Beneficios positivos proporcionados por la organizacin a sus clientes, destinatarios y partes interesadas, por ejemplo productos fabricados, seguros de automvil, cumplimiento regulatorio y servicios sanitarios.

2.26 Objetivo de Tiempo de Recuperacin (OTR): El plazo establecido para: la reanudacin de la entrega de productos y de la prestacin de servicios tras producirse un incidente; o la reanudacin de la realizacin de una actividad tras producirse un incidente; o la recuperacin de un sistema o aplicacin de Tecnologas de la Informacin (TI) tras producirse un incidente. NOTA El objetivo de tiempo de recuperacin tiene que ser inferior al plazo mximo tolerable de interrupcin.

2.27 capacidad de resistencia o resiliencia: Capacidad de una organizacin de resistir los efectos de un incidente.

2.28 riesgo: Algo que puede ocurrir y afectar a la consecucin de los objetivos. NOTA 1 La palabra "riesgo" se usa coloquialmente de varias formas, como sustantivo ("un riesgo" o, en plural, "riesgos"), como verbo (arriesgar

[algo], o exponer a riesgo) o como adjetivo ("arriesgado). Usado como un sustantivo, el trmino "un riesgo" podra referirse a un acontecimiento potencial, sus causas, la oportunidad (posibilidad) de que algo ocurra, o bien a los efectos de dicho acontecimiento. En el mbito de la gestin de riesgos (vase 6.5), es importante hacer una distincin clara entre los diferentes usos de la palabra "riesgo".

NOTA 2 Riesgo se define en relacin a un objetivo en particular; por lo tanto, la preocupacin por varios objetivos implica la posibilidad de ms de

una medida del riesgo con respecto a cualquier fuente de riesgo. NOTA 3 El riesgo con frecuencia se cuantifica como un efecto promedio sumando el efecto combinado de cada consecuencia posible ponderada por

la probabilidad asociada de cada consecuencia, para obtener un "valor esperado". Sin embargo, las distribuciones de probabilidades son necesarias para cuantificar las percepciones con respecto a la gama de consecuencias posibles. Alternativamente, podrn usarse estadsticas abreviadas como la desviacin tpica, adems del valor esperado.

2.29 apetito por el riesgo o riesgo tolerable: Cantidad total de riesgo que la organizacin est dispuesta a aceptar, tolerar o exponerse en un momento determinado.

2.30 anlisis de riesgos: Proceso general de identificacin, anlisis y evaluacin de riesgos.


UNE 71599-1:2010 - 8 -

2.31 gestin de riesgos: Desarrollo y aplicacin de una manera estructurada de la cultura, poltica, procedimientos y prcticas de gestin a las tareas de identificacin, anlisis, evaluacin y control de la respuesta ante el riesgo.

2.32 partes interesadas: Aquellos que tengan un inters especial en los objetivos y logros de una organizacin.

NOTA Se trata de un trmino muy amplio que incluye, pero no se limita a: empleados, internos y "subcontratados", clientes, proveedores, socios, distribuidores, inversores, aseguradoras, accionistas, propietarios, administracin pblica y reguladores.

2.33 alta direccin Persona o grupo de personas que dirigen y controlan al ms alto nivel una organizacin.

[UNE-EN ISO 9000:2005]

NOTA Puede que la alta direccin, especialmente en una organizacin multinacional grande, no est directamente involucrada; no obstante, queda establecida la responsabilidad de la alta direccin a travs de la cadena de mando. En una organizacin pequea, la alta direccin puede ser el propietario de la misma.

3 GENERALIDADES SOBRE GESTIN DE LA CONTINUIDAD DEL NEGOCIO (GCN) 3.1 Qu es GCN?

La Gestin de la Continuidad del Negocio (GCN) es un proceso propio del negocio, orientado al negocio que establece un marco estratgico y operativo adecuado a los objetivos y que: mejora proactivamente la capacidad de resistencia o resiliencia de la organizacin ante la interrupcin de su

capacidad para conseguir sus objetivos fundamentales; proporciona un mtodo probado para restaurar la capacidad de una organizacin para suministrar sus productos y

prestar sus servicios principales en un nivel y plazo acordados tras producirse una interrupcin; y proporciona una capacidad probada para gestionar una interrupcin del negocio y proteger la reputacin y la marca

de la organizacin. Mientras que los procesos individuales de continuidad del negocio pueden cambiar segn el tamao, la estructura y las responsabilidades de la organizacin, los principios bsicos siguen siendo idnticos para organizaciones de voluntariado, sector privado o sector pblico, sin tener en cuenta su tamao, alcance o complejidad.

3.2 GCN y la estrategia organizativa

Todas las organizaciones, tanto grandes como pequeas, tienen metas y objetivos, por ejemplo de crecimiento para prestar servicios y adquirir otros negocios. Estos objetivos y metas se alcanzan generalmente a travs de planes estratgicos para lograr los objetivos de la organizacin a corto, medio y largo plazo. El entendimiento de GCN en el nivel ms alto de la organizacin asegurar que estos objetivos y metas no se vean perjudicados por interrupciones inesperadas. Las consecuencias de cada incidente varan y pueden tener un alcance muy extenso. Estas consecuencias pueden entraar prdida de vidas, prdida de activos o de ingresos o la incapacidad de entregar productos y prestar servicios de los que podra depender la estrategia, la reputacin o incluso la supervivencia de la organizacin. GCN necesita reconocer la importancia estratgica de las partes interesadas identificadas. Adems, a medida que se revelan las consecuencias de una interrupcin, surgen nuevas partes interesadas y tienen un impacto directo en el alcance final del dao. Por ejemplo, las partes interesadas en una determinada cuestin podran intentar presionar a la organizacin que se est enfrentando a una interrupcin. Todas estas cuestiones son de importancia estratgica para la organizacin.


- 9 - UNE 71599-1:2010

3.3 GCN y su relacin con la gestin de riesgos

GCN es un elemento complementario con respecto al marco de gestin de riesgos que pretende entender los riesgos a que estn expuestos los negocios o las operaciones, as como las consecuencias de dichos riesgos. La gestin de riesgos pretende gestionar el riesgo con respecto a los productos y servicios principales que la organizacin entrega y presta. La entrega de productos y la prestacin de servicios puede verse alterada por una gran diversidad de incidentes, cuyas causas son difciles de predecir o analizar. Al centrarse en el impacto de la interrupcin, la GCN identifica aquellos productos y servicios de los que la organizacin depende para su supervivencia, y puede identificar aquellos necesarios para que la organizacin siga cumpliendo sus obligaciones. A travs de la GCN, la organizacin puede averiguar lo que debe hacerse antes de que se produzca un incidente para proteger a su personal, sus instalaciones, tecnologa, informacin, cadena de suministro, partes interesadas y reputacin. De esta manera, la organizacin puede abordar de una forma razonable y realista las respuestas que es probable sean necesarias segn y cuando se produzca una interrupcin, y as tener la confianza de que se actuar en cualquier circunstancia sin retrasos inaceptables en la entrega y prestacin de sus productos y servicios. La organizacin que cuente con medidas de GCN apropiadas puede beneficiarse de las ocasiones que entraen un riesgo elevado.

3.4 Por qu una organizacin debera acometer la GCN

La GCN constituye un elemento importante de la buena gestin del negocio, de la prestacin de servicios y de la prudencia empresarial. Los directores y propietarios tienen la responsabilidad de mantener la capacidad de la organizacin para funcionar sin interrupcin. Las organizaciones constantemente adquieren compromisos o tienen la obligacin de entregar productos y prestar servicios; por ejemplo, celebran contratos y de esta manera generan expectativas. Todas las organizaciones tienen responsabilidades morales y sociales, especialmente cuando proporcionan una respuesta en situaciones de emergencia o prestan un servicio pblico o voluntario. En algunos casos, las organizaciones tienen obligaciones legales o reglamentarias de acometer la GCN. Toda actividad mercantil est expuesta a interrupciones, como fallos tecnolgicos, inundaciones, interrupcin de servicios y actos terroristas. La GCN otorga a la organizacin la capacidad para reaccionar adecuadamente ante interrupciones operacionales mientras se protegen tanto el bienestar como la seguridad. La GCN debera considerarse en la actualidad no como un proceso de planificacin de elevado coste, sino como un proceso que aade valor a la organizacin.

3.5 Beneficios de un programa de GCN eficaz

Los beneficios de un programa de GCN eficaz son que la organizacin: es capaz de identificar proactivamente los impactos de una interrupcin, de sus operaciones; cuenta con una respuesta eficaz ante las interrupciones que minimiza el impacto en la organizacin; mantiene la capacidad de gestionar los riesgos que no se pueden asegurar; fomenta el trabajo entre equipos; es capaz de demostrar una respuesta creble a travs de un proceso de pruebas;


UNE 71599-1:2010 - 10 -

podra mejorar su reputacin; y podra obtener una ventaja competitiva, conferida por la capacidad demostrada de mantener la entrega de productos

y la prestacin de servicios.

3.6 Los resultados de un programa de GCN eficaz

Los resultados de un programa de GCN eficaz son los siguientes: se identifican y protegen los productos y servicios principales, asegurando su continuidad; se habilita una capacidad de gestin de incidentes para proporcionar una respuesta eficaz; el entendimiento de la organizacin y su relacin con otras organizaciones, con los organismos reguladores o de la

Administracin pblica, con las autoridades locales y con los servicios de emergencia, se desarrolla, documenta y entiende debidamente;

el personal est formado para responder de manera eficaz ante una interrupcin a travs de pruebas apropiadas; los requisitos de las partes interesadas se entienden y se pueden cumplir; el personal recibe el apoyo y la comunicacin adecuados en el caso de producirse una interrupcin; se asegura la cadena de suministro de la organizacin; se protege la reputacin de la organizacin; y la organizacin sigue cumpliendo sus obligaciones legales y reglamentarias.

3.7 Elementos del ciclo de vida de gestin de la continuidad del negocio

El ciclo de vida de GCN consta de seis elementos, segn se muestra grficamente en la figura 1. stos pueden implantarse por organizaciones de cualquier tamao, en todos los sectores: pblico, privado, sin nimo de lucro, educativo, de fabricacin, etc. El alcance y la estructura del programa de GCN puede variar, y el esfuerzo empleado estar ajustado a las necesidades de cada organizacin, aunque estos elementos esenciales tienen que seguir acometindose. a) Gestin del programa de GCN (vase el captulo 5) La gestin del programa posibilita tanto la capacidad de puesta en marcha de la continuidad del negocio como la

capacidad (si fuera necesario) para su mantenimiento de una forma adecuada al tamao y complejidad de la organizacin.

b) Entendimiento de la organizacin (vase el captulo 6) Las actividades asociadas con "Entendimiento de la organizacin" proporcionan informacin que permite priorizar

los productos y servicios de la organizacin y la urgencia de las actividades que sean necesarias para su entrega o prestacin. Esto define los requisitos que determinarn la seleccin de las estrategias de GCN apropiadas.


Fig

c) Determinacin de la estrategia de continu

El determinar la estrategia de continuidadque se pueda escoger una respuesta apcontinuar entregando y prestando dichos

a un nivel operativo aceptable; y en un plazo de tiempo aceptable du

tendr en cuenta la capacidad de reac d) Desarrollo e implantacin de una respues

Desarrollar e implantar la respuesta de gestin de incidentes, de continuidad deseguir durante y despus de un incidente

COMENTARIO SOBRE 3.7 d)

El trmino incidente se usa en esta norma pgrandes, que pueden afectar a una organiinterrupciones graves a la capacidad de la bien, podra no desarrollarse y convertirsinterrupcin grave en cuanto a los objetivos Un incidente puede superar el nivel de prrespuesta frente a un nivel de dao anticipadno se aferren innecesariamente a un plancontinuidad de negocio nunca es sustituto de

- 11 - UN

gura 1 El ciclo de vida de GCN

uidad del negocio (vase el captulo 7)

d del negocio permite la evaluacin de una serie de estrapropiada a cada producto o servicio, de forma que la

productos y servicios:

urante o despus de producirse una interrupcin. La ecin y las opciones de contramedidas ya presentes en la

sta de GCN (vase el captulo 8)

GCN redunda en la creacin de un marco de gestin l negocio y de planes de recuperacin del negocio quepara mantener o restaurar las operaciones.

para reflejar la escalabilidad de los acontecimientos, dizacin. Un solo incidente, o una serie de incidentesorganizacin de cumplir con sus obligaciones. Si el i

se en una crisis. Sin embargo, algunos acontecimien de la organizacin de forma que se consideran una cris

reparacin de la organizacin, incluso si se han contdo. Por lo tanto es imprescindible que la gestin y sus e

n existente, sino que emitan juicios segn las circunse toma de decisiones informadas y competentes por part

NE 71599-1:2010

ategias. Esto permite organizacin pueda

eleccin que se haga a organizacin.

y una estructura de e detallen los pasos a

desde pequeos hasta s pueden resultar en incidente se gestiona ntos provocarn una sis inmediatamente.

trastado medidas de estructuras de apoyo stancias. El plan de te de la direccin.


UNE 71599-1:2010 - 12 -

e) Prueba, mantenimiento y revisin de las disposiciones de GCN (vase el captulo 9)

Las pruebas, mantenimiento, revisin y auditora de GCN consigue que la organizacin sea capaz de: demostrar la medida en que sus estrategias y planes estn completos, actualizados y son correctos; e identificar las oportunidades de mejora.

f) Implantacin de GCN en la cultura de la organizacin (vase el captulo 10)

La implantacin de GCN en la cultura de la organizacin permite que la GCN se convierta en parte de los valores principales de la organizacin, e infunde confianza entre todas las partes interesadas respecto a la capacidad de la organizacin para hacer frente a las interrupciones

4 LA POLTICA DE GCN

4.1 Generalidades 4.1.1 La poltica de GCN define los siguientes procesos:

las actividades para establecer la capacidad para garantizar la continuidad del negocio; y

la gestin y el mantenimiento continuos de la capacidad de continuidad del negocio. 4.1.2 Las actividades para establecer la capacidad para garantizar la continuidad del negocio incorporan la especificacin, el diseo integral, la construccin, la implantacin y la prueba inicial de la capacidad de continuidad del negocio.

4.1.3 Las actividades de mantenimiento y gestin continuos incluyen la implantacin de la continuidad del negocio en la organizacin, la prueba de puesta en prctica regular de los planes y la actualizacin y comunicacin de los mismos, especialmente cuando exista un cambio importante en las instalaciones, el personal, los procesos, el mercado, la tecnologa o la estructura organizativa. COMENTARIO SOBRE 4.1

Los propsitos de establecer una poltica de continuidad de negocio son:

procurar que todas las actividades de GCN se implanten y se lleven a cabo en la forma acordada y de una manera controlada;

conseguir una capacidad de continuidad de negocio que cumple las necesidades cambiantes del negocio y que sea apropiada al tamao, la complejidad y la naturaleza de la organizacin; y

configurar un marco claramente definido para la capacidad continua de GCN.

4.2 Contexto

La organizacin debera asegurarse de que su poltica de GCN sea apropiada a la naturaleza, escala, complejidad, geografa y grado de importancia de sus actividades mercantiles y que refleje su cultura, dependencias y entorno operativo. La poltica de GCN define los requisitos de proceso para asegurar que las disposiciones de continuidad del negocio sigan cumpliendo las necesidades de la organizacin en caso de producirse un incidente. La poltica debera garantizar que se fomenta la capacidad de continuidad del negocio en la cultura de la organizacin. La capacidad de GCN debera integrarse en el proceso de gestin de cambios de la organizacin de forma que se incorpore en el crecimiento y desarrollo de los productos y servicios de la organizacin.

4.3 Desarrollo de la poltica de continuidad del negocio

La organizacin debera desarrollar su poltica de continuidad del negocio que establezca los objetivos de GCN en la organizacin. En principio, sta podr ser una declaracin de intenciones de alto nivel que se afine y mejore a medida que se desarrolle la capacidad.

La poltica de continuidad del negocio debera proporcionar a la organizacin principios documentados a los que aspirar y segn los cuales se debera medir su capacidad de continuidad del negocio. La propiedad de la poltica de GCN debera recaer en las altas esferas, por ejemplo un consejero o un representante previamente elegido.


La organizacin podr considerar lo siguient definir el alcance de la GCN en la organi la dotacin de recursos a la GCN; definir los principios, directrices y pautas referenciar todas las normas, reglament

como referencia.

La organizacin debera mantener y revisar periodicidad adecuada a las necesidades de l

El alcance de la poltica de GCN debera defejemplo exclusiones geogrficas o de produc

4.4 Alcance del programa de GCN

La alta direccin podr determinar el alcanservicios principales que cubran los objedeterminacin de lo que es fundamental o cen el apartado 6.2, aunque a un nivel de cons

4.5 Actividades externalizadas

Si un producto, servicio o actividad ha sidodicho producto, servicio o actividad sigue asegurarse de que sus principales proveedoforma de hacer esto es mediante la obtenciproveedores y sus programas de pruebas y m

5 GESTIN DEL PROGRAMA DE GC

La gestin del programa de GCN se encuent

La gestin eficaz del programa establece el e

La participacin de la alta direccin es funcorrectamente, se les de apoyo de la forma a

- 13 - UN

te a la hora de desarrollar su poltica de GCN: izacin;

s mnimas de la GCN para la organizacin; tos o polticas correspondientes que deban incluirse o

regularmente su poltica, estrategias, planes y solucionla organizacin.

finir claramente toda limitacin o exclusin que sea de actos.

nce del programa de GCN mediante la identificacinetivos, las obligaciones y los deberes legales de llave debera ser coherente con el anlisis de impacto ensideracin ms alto.

o objeto de externalizacin, la responsabilidad del riesgrecayendo en la organizacin. Por consiguiente, la o

ores o subcontratistas principales cuenten con disposicn de pruebas auditadas de la viabilidad de los planes dmantenimiento.

CN

tra en el corazn del proceso de GCN.

enfoque de la organizacin con respecto a la continuidad

ndamental para asegurar que los procesos de GCN seadecuada y se establezcan como parte de la cultura de la

NE 71599-1:2010

o que puedan usarse

nes de GCN con una

aplicacin, como por

de sus productos y la organizacin. La n el negocio descrito

go correspondiente a organizacin debera ciones de GCN. Una de continuidad de los

d del negocio.

e pongan en marcha organizacin.


UNE 71599-1:2010 - 14 -

5.1 Generalidades

Debera desplegarse un programa de GCN para conseguir los objetivos definidos en la poltica de continuidad del negocio (vase 4.3). La gestin del programa de GCN conlleva tres pasos:

asignacin de responsabilidades (vase 5.2);

implantacin de la continuidad del negocio en la organizacin (vase 5.3); y

el mantenimiento de la gestin de la continuidad del negocio (vase 5.4).

5.2 Asignacin de responsabilidades (gobierno) 5.2.1 La direccin de la organizacin debera: nombrar o designar una persona de rango y autoridad apropiados que se responsabilice de la poltica e implantacin

de GCN; y nombrar o designar una o ms personas que se encarguen de implantar y mantener el programa de GCN. COMENTARIO SOBRE 5.2.1

Las personas encargadas de implantar y mantener el programa de continuidad del negocio pueden estar localizadas en diferentes partes de la organizacin dependiendo de su tamao, envergadura y complejidad. Es esencial, sin embargo, que una persona con la autoridad apropiada (por ejemplo: el propietario, consejero o representante elegido) tenga una responsabilidad global sobre la GCN y que sea responsable directo de asegurar un xito continuado. 5.2.2 Si la estructura de la organizacin as lo exige, la alta direccin podr designar representantes a lo largo de toda la organizacin bien por divisin o por localizacin para ayudar en la implantacin del programa de GCN. Las funciones, responsabilidades y la autoridad deberan integrarse en las descripciones y perfiles del puesto de trabajo. El proceso de auditora de la organizacin debera revisar estas responsabilidades. Estas responsabilidades podrn reforzarse mediante su inclusin en la poltica de evaluacin, gratificacin y reconocimiento de la organizacin. COMENTARIO SOBRE 5.2.2

En las grandes organizaciones podra existir la necesidad de crear un equipo de representantes de continuidad del negocio con diferentes funciones y responsabilidades. En organizaciones ms pequeas, la responsabilidad de la continuidad del negocio podr recaer en una nica o en varias personas.

5.3 Implantacin de la continuidad del negocio en la organizacin 5.3.1 Las actividades previstas para mejorar el programa de continuidad del negocio deberan incluir el diseo, construccin, e implantacin del programa. La organizacin debera:

comunicar el programa a las partes interesadas;

disponer o proporcionar de la capacitacin apropiada para el personal; y

probar la capacidad de continuidad del negocio (vase el captulo 9).


- 15 - UNE 71599-1:2010

5.3.2 La organizacin podr adoptar una metodologa reconocida de gestin de proyectos para asegurar que la implantacin se gestiona de forma eficaz.

5.4 Gestin continua 5.4.1 Generalidades

Las actividades de gestin continua deberan asegurar que la continuidad del negocio est integrada en la organizacin. Cada componente de la capacidad de continuidad del negocio debera ser revisado, puesto en prctica y actualizado de manera regular. Adems, las disposiciones y los planes de continuidad del negocio tambin deberan revisarse y actualizarse cuando exista un cambio importante en el entorno operativo, el personal, los procesos o la tecnologa de la organizacin, y cuando una prueba o incidente ponga de manifiesto sus carencias. 5.4.2 Mantenimiento continuo

Independientemente de qu recursos se destinen a la GCN, existen actividades que deberan realizarse tanto al inicio como de manera continuada. Entre estas pueden ser las siguientes: definir el alcance, las funciones y las responsabilidades correspondientes de GCN; nombrar una persona o un equipo apropiados para gestionar la capacidad continua de GCN; mantener el programa de continuidad del negocio actualizado a travs de las buenas prcticas; fomentar la continuidad del negocio en toda la organizacin e incluso ms all de sta, segn proceda; administrar el programa de pruebas; coordinar la revisin y actualizacin regulares de la capacidad de continuidad del negocio, incluyendo la revisin o

remodelacin de las evaluaciones de riesgo y los anlisis de impacto en el negocio (AIN); mantener la documentacin adecuada al tamao y complejidad de la organizacin (vase 5.5); hacer un seguimiento del rendimiento de la capacidad de continuidad del negocio; gestionar los costes asociados con la capacidad de continuidad del negocio; y establecer y hacer un seguimiento de los procesos de gestin de cambios y de gestin de sucesin.

5.5 Documentacin de GCN

Las personas encargadas de mantener la continuidad del negocio deberan crear y mantener la documentacin de continuidad del negocio. sta podr incluir lo siguiente: a) Poltica de GCN:

declaracin de alcance de GCN,

trminos de referencia de GCN; b) anlisis de impacto en el negocio (AIN); c) evaluacin de riesgos y amenazas; d) estrategia o estrategias de GCN;


UNE 71599-1:2010

e) programa de concienciacin; f) programa de capacitacin; g) planes de gestin de incidentes; h) planes de continuidad del negocio; i) planes de recuperacin del negocio; j) programa de pruebas e informes; k) acuerdos de nivel de servicio y contratos 6 ENTENDIMIENTO DE LA ORGANI

El objetivo de este elemento del ciclo de vidde sus productos y servicios principales, de garantiza que el programa de GCN est aline

- 16 -

.

IZACIN

da de GCN es ayudar a entender la organizacin a travlas actividades crticas y de los recursos que los dan a

eado con los objetivos, obligaciones y deberes legales de

s de la identificacin apoyo. Este elemento e la organizacin.


- 17 - UNE 71599-1:2010

6.1 Introduccin 6.1.1 En un contexto de continuidad del negocio, el entendimiento de la organizacin proviene de: identificar los objetivos de la organizacin, las obligaciones de sus partes interesadas, los deberes legales y el

entorno en el que opera la organizacin; identificar las actividades, los activos y los recursos, incluyendo aquellos ajenos a la organizacin, que dan apoyo a

la entrega de sus productos y a la prestacin de sus servicios; evaluar el impacto y las consecuencias en el tiempo debido al fallo de estas actividades, activos y recursos

(vase 6.2); identificar y evaluar las amenazas percibidas que podran interrumpir la entrega y prestacin de los productos y

servicios principales de la organizacin y las actividades, activos y recursos crticos que los dan apoyo (vase 6.5). 6.1.2 Es importante que la organizacin entienda: a) las interdependencias de sus actividades; y b) toda dependencia que tenga de organizaciones externas, y toda dependencia que otras organizaciones tengan

respecto a la propia organizacin.

6.2 Anlisis de Impacto en el Negocio (AIN)

6.2.1 La organizacin debera determinar y documentar el impacto de una interrupcin en las actividades que dan apoyo a sus productos y servicios principales. Este proceso generalmente se conoce como el nombre de Anlisis de Impacto en el Negocio (AIN). 6.2.2 Para cada actividad que da apoyo a los productos y servicios principales dentro del alcance de su programa de GCN, la organizacin debera: a) evaluar en el tiempo los impactos que ocurriran si la actividad se interrumpiera; b) establecer el plazo mximo tolerable de interrupcin correspondiente a cada actividad, identificando:

el plazo mximo despus de iniciarse una interrupcin en el que la actividad necesita reanudarse, el nivel mnimo en el que la actividad necesita realizarse cuando se reanude, el plazo en el que necesitan reanudarse los niveles normales de operacin;

COMENTARIO SOBRE 6.2.2 b)

Durante una interrupcin generalmente, los impactos aumentan con el tiempo y afectan a cada actividad de forma diferente. Los impactos tambin podran variar en funcin del da, mes o punto en el ciclo de vida del negocio. c) identificar toda actividad, activos, infraestructura de apoyo o recursos interdependientes que tambin tengan que

mantenerse de forma continua o recuperarse con el tiempo.


UNE 71599-1:2010 - 18 -

6.2.3 Cuando se evalan impactos, la organizacin debera considerar aquellos que se refieran a sus objetivos y metas de negocio y a sus partes interesadas. stos podrn incluir: impacto en el bienestar del personal o del pblico en general; impacto por el dao a locales, tecnologa o informacin, o prdida de stos; impacto por incumplimiento de obligaciones legales o requisitos reglamentarios; daos a la reputacin; daos a la viabilidad financiera; deterioro de la calidad de productos o servicios; daos ambientales. La organizacin debera documentar su enfoque con respecto a la evaluacin del impacto de la interrupcin y sus hallazgos y conclusiones.

6.3 Identificacin de actividades crticas

La organizacin podr categorizar sus actividades segn su prioridad de recuperacin. Aquellas actividades cuya prdida, segn se identific durante el AIN, tengan el mayor impacto en el plazo ms corto y que necesiten recuperarse ms rpidamente podrn definirse como "actividades crticas". Cada actividad crtica da apoyo a uno o ms productos o servicios principales. La organizacin podra desear el centrar sus actividades de planificacin en las actividades crticas, pero debera tener en cuenta que otras actividades tambin tendrn que recuperarse dentro del plazo mximo de interrupcin tolerable y que tambin podran exigir contar con disposiciones previamente establecidas. COMENTARIO SOBRE 6.3

El plazo mximo para la reanudacin de las actividades puede variar entre segundos y varios meses en funcin de la naturaleza de la actividad. Las actividades que sean sensibles al tiempo pueden tener que especificarse con muchsima precisin, por ejemplo al minuto o a la hora. Las actividades menos sensibles al tiempo pueden exigir menos precisin. El plazo mximo tolerable de interrupcin influir en el objetivo de tiempo de recuperacin de cada actividad a la hora de determinar las estrategias de GCN (vase el captulo 7).

6.4 Determinacin de los requisitos de continuidad

La organizacin debera estimar los recursos que cada actividad crtica vaya a precisar cuando se produzca la reanudacin. stos podrn incluir: a) recursos de personal, incluyendo nmero de personas, perfiles y conocimientos (recursos de personal); b) el lugar de trabajo y las instalaciones que sean requeridas (recursos de instalaciones); c) tecnologa, maquinaria y equipos de respaldo (recursos de tecnologa);


- 19 - UNE 71599-1:2010

d) provisin de informacin (ya sea en formato electrnico o impreso) correspondiente a los trabajos anteriores o a los trabajos actualmente en curso, todo lo cual debera estar suficientemente actualizado y preciso para permitir que la actividad contine de forma eficaz en el nivel acordado (recursos relativos a la informacin); y

e) servicios y proveedores externos (recursos de suministros). La organizacin debera tener en cuenta las necesidades de las partes interesadas a la hora de determinar los niveles de recursos. COMENTARIO SOBRE 6.4

La tecnologa implica el uso de equipos en el sentido ms amplio y segn corresponda a la organizacin. La tecnologa podr incluir, pero no limitarse a, software y hardware, equipos de telecomunicaciones, tornos, mquinas de preparacin de alimentos, mquinas de envasado al vaco y dems equipos y maquinaria que sean esenciales para la capacidad de fabricacin y produccin. Si no se dispone de registros o informacin de trabajos en curso, si son inadecuados, o no estn lo suficientemente actualizados, esto podra impedir o retrasar de manera crtica la reanudacin de las actividades. Los requisitos que rigen la provisin de dicha informacin se emplean para formular estrategias de gestin de copias de respaldo y registros a la hora de determinar las estrategias de GCN (vase el captulo 7)

6.5 Evaluacin de las amenazas sobre las actividades crticas (realizacin de una evaluacin de riesgos)

6.5.1 En el contexto de GCN, el nivel de riesgo debera entenderse especficamente relacionado con las actividades crticas de la organizacin y el riesgo de que se produzca una interrupcin en las mismas. Las actividades crticas se apoyan en recursos de personal, de instalaciones, de tecnologa, de informacin, de suministros y de partes interesadas. La organizacin debera conocer las amenazas a las que estn expuestos estos recursos, la vulnerabilidad de cada recurso y el impacto que se producira si una amenaza se convirtiera en un incidente y provocara una interrupcin. 6.5.2 El enfoque que se elija es absolutamente discrecional para la organizacin, pero es importante que el enfoque sea apto y apropiado para cubrir todos los requisitos de la organizacin. 6.5.3 La Norma UNE-ISO/IEC 27001 establece el marco aplicable al enfoque de evaluacin de riesgos que debera elegirse, describiendo las fases obligatorias que debera contener el proceso de evaluacin de riesgos. Algunas de las fases tpicas se presentan a continuacin: Determinacin de los criterios de aceptacin de riesgos. stos describen las circunstancias en las que la organizacin

est dispuesta a aceptar riesgos. Identificacin de niveles de riesgo aceptables. Sea cual sea el enfoque de evaluacin de riesgos elegido, la

organizacin debe identificar los niveles de riesgo que considera aceptables. Anlisis de riesgos. Es necesario que el enfoque de evaluacin de riesgos de la organizacin cubra todos los

conceptos descritos en los apartados 6.5.4, 6.5.5 y 6.5.6. 6.5.4 Las amenazas especficas pueden ser descritas como aquellos acontecimientos o acciones que podran, en algn momento, provocar un impacto en los recursos, por ejemplo amenazas como un incendio, una inundacin, un corte de suministro elctrico, la prdida de personal, el absentismo laboral, los virus informticos y el fallo del hardware. 6.5.5 Las vulnerabilidades pueden presentarse como debilidades en los recursos que pueden, en algn momento, ser explotados por las amenazas, por ejemplo: puntos de fallo nicos, deficiencias en la proteccin contra incendios, resiliencia elctrica, niveles de dotacin de personal, seguridad informtica y resiliencia del sistema de Tecnologas de la Informacin (TI). 6.5.6 Los impactos (vase 6.2.3) que podran resultar de la explotacin de las vulnerabilidades por las amenazas.


UNE 71599-1:2010 - 20 -

COMENTARIO SOBRE 6.5

Podra resultar beneficioso consultar registros de riesgos que ya hayan sido establecidos en otras reas en la organizacin o por parte de organismos externos.

6.6 Determinacin de opciones 6.6.1 Generalidades

Como resultado de la evaluacin de riesgos del AIN, la organizacin debera identificar medidas que: reduzcan la probabilidad de que se produzca una interrupcin; acorten el plazo de interrupcin; y limiten el impacto de la interrupcin en los productos y servicios principales de la organizacin. Estas medidas se conocen como mitigacin de prdidas y tratamiento de riesgos. Las estrategias de mitigacin de prdidas pueden usarse en combinacin con otras opciones, ya que no pueden prevenirse o reducirse todos los riesgos a un nivel aceptable. La organizacin podra incluir una o ms de las estrategias descritas en los apartados 6.6.2 a 6.6.5 para cada actividad crtica. 6.6.2 Continuidad del negocio

Si la continuidad del negocio es la estrategia elegida para un producto o servicio principal, debera establecerse un Objetivo de Tiempo de Recuperacin (OTR), y deberan evaluarse las estrategias de continuidad descritas en el captulo 7 con respecto a dicho objetivo. Las estrategias de continuidad pretenden mejorar la resiliencia o capacidad de resistencia de la organizacin ante una interrupcin, asegurando que las actividades crticas continen o se recuperen a un nivel mnimo aceptable y en los plazos estipulados en el AIN. 6.6.3 Aceptacin

Un riesgo podra ser aceptable sin que sea necesario tomar otras medidas. Incluso si no es aceptable, la capacidad para hacer algo en previsin de los riesgos podra estar limitada, o el coste de tomar alguna medida podra resultar desproporcionado con respecto al beneficio obtenido. En estos casos, la respuesta puede ser el tolerar el nivel de riesgo existente si la alta direccin estima que el riesgo es aceptable y que entra dentro del apetito por el riesgo de la organizacin. En algunas circunstancias, el impacto de un riesgo puede encontrarse fuera del apetito por el riesgo normal de la organizacin, pero, debido a la baja posibilidad de que se materialice el riesgo y/o debido al alto coste econmico que supone el control, la alta direccin puede aceptar dicho riesgo. La aceptacin del riesgo puede ser complementada por un plan para el manejo de los impactos que surgirn si se produce el riesgo. 6.6.4 Transferencia

Para algunos riesgos, la mejor respuesta podr ser transferirlos. Esto podra hacerse mediante un seguro convencional o mediante disposiciones contractuales, o podra hacerse por medio de pago a un tercero para que asuma el riesgo de otra forma. Esta opcin es particularmente buena para poder mitigar los riesgos financieros o los riesgos a los que puedan exponerse los activos. Los riesgos podrn transferirse para reducir la exposicin de la organizacin a los riesgos o porque otra organizacin es ms capaz de gestionar el riesgo de forma eficaz. Es importante tener en cuenta que algunos riesgos no son (totalmente) transferibles; en particular, generalmente no es posible transferir el riesgo de reputacin, incluso si se ha externalizado la prestacin de un servicio.


La contratacin de un seguro podr formacompensaciones econmicas por algunas de (por ejemplo: incidentes no asegurados, dareduccin de cuota de mercado y consecuenproteja totalmente a la organizacin de foprobable que la cobertura de seguro se use en 6.6.5 Cambio, suspensin o terminacin

En algunas circunstancias, podra ser apropio proceso. Esta opcin solo puede consideexpectativas de las partes interesadas de la servicio, producto, actividad, funcin o proc

NOTA En ocasiones se conocen los cuatro elementoriesgo), "Transferir" y "Terminar".

6.7 Visto bueno

La alta direccin debera dar el visto buenoimpacto en el negocio y a la evaluacin dereflejo fiel de la organizacin. 7 DETERMINACIN DE LA ESTRAT

Este elemento del ciclo de vida de GCN lresultado del anlisis anterior, la organizacpara permitir el cumplimiento de sus objetiv

- 21 - UN

ar parte de la estrategia de tratamiento del riesgo pulas prdidas. Sin embargo, no todas las prdidas son tot

aos a la marca o a la reputacin, prdida de valor dncias humanas). No es probable que una liquidacin ecrma que se satisfagan las expectativas de las partes n combinacin con una o ms estrategias.

iado cambiar, suspender o finalizar el servicio, producterarse cuando no exista conflicto con los objetivos, cuorganizacin. Es ms probable que se considere esta aeso tenga una longevidad limitada.

s anteriores como el modelo "4 T": "Tratar" (continuidad del negoc

o a la lista documentada de productos y servicios prince riesgos para asegurar que el trabajo haya sido el apro

TEGIA DE CONTINUIDAD DEL NEGOCIO

gicamente sigue a la fase de "Entendimiento de la oin estar en situacin de elegir las estrategias de conos.

NE 71599-1:2010

diendo proporcionar talmente asegurables e partes interesadas, conmica por s sola interesadas. Es ms

to, actividad, funcin umplimiento legal y alternativa cuando el

cio), "Tolerar" (aceptar el

cipales, al anlisis de opiado y que sea un

organizacin". Como ntinuidad apropiadas


UNE 71599-1:2010 - 22 -

7.1 Introduccin

El enfoque de la organizacin en cuanto a la determinacin de las estrategias de GCN debera:

a) implantar medidas apropiadas para reducir la posibilidad de que se produzcan incidentes y/o reducir los efectos potenciales de manera adecuada de dichos incidentes;

b) considerar de manera adecuada las medidas de capacidad de resistencia o resiliencia y mitigacin;

c) proporcionar continuidad para sus actividades crticas durante y despus de producirse un incidente; y

d) tener en cuenta aquellas actividades que no hayan sido identificadas como crticas. COMENTARIO SOBRE 7.1

El captulo 7 y todos los captulos siguientes se refieren a aquellos productos y servicios para los cuales la continuidad de negocio es la opcin elegida. En los dems casos (por ejemplo: suspensin, terminacin y aceptacin del riesgo), el producto o servicio no queda cubierto por un enfoque de GCN y no puede considerarse que cumple esta norma.

7.2 Opciones estratgicas 7.2.1 La organizacin debera considerar opciones estratgicas para sus actividades crticas y los recursos que cada actividad vaya a precisar a su reanudacin. La estrategia o las estrategias ms apropiadas dependern de una serie de factores como:

plazo mximo tolerable de interrupcin de cada actividad crtica;

el coste que supone implantar una o varias estrategias; y

las consecuencias del periodo de inactividad. 7.2.2 Podran precisarse estrategias para los siguientes recursos de la organizacin:

personal (vase 7.3);

locales (vase 7.4);

tecnologa (vase 7.5);

informacin (vase 7.6);

suministros (vase 7.7); y

partes interesadas (vase 7.8). En cada caso, la organizacin debera minimizar la posibilidad de implantar una solucin de continuidad del negocio que pueda resultar afectada por el mismo incidente causante de la interrupcin del negocio.

7.3 Personal

La organizacin debera identificar las estrategias apropiadas para el mantenimiento de los perfiles y los conocimientos esenciales del personal. Este anlisis debera extenderse ms all de los empleados para incluir los contratistas y otras partes interesadas que poseen una extensa variedad de perfiles y conocimientos especializados. Entre las estrategias para proteger o proporcionar dichos perfiles se incluyen:

a) documentacin de la forma en la que se realizan las actividades crticas;

b) formacin de personal y de contratistas en mltiples perfiles profesionales;


- 23 - UNE 71599-1:2010

c) segregacin de los perfiles especficos para reducir la concentracin de riesgo (esto puede implicar la separacin fsica de personal con dichos perfil especficos o el asegurar que ms de una persona posea el perfil especfico que se precise);

d) hacer uso de terceros;

e) planificacin de sucesin; y

f) retencin y gestin de conocimientos.

7.4 Locales

La organizacin debera disear una estrategia para reducir el impacto de la no disponibilidad de sus centros de trabajo habituales. Esto podr incluir una o ms de las siguientes opciones:

a) locales alternativos en la propia organizacin, incluyendo el desplazamiento de otras actividades;

b) locales alternativos proporcionados por otras organizaciones (con independencia de que existan o no acuerdos recprocos);

c) locales alternativos proporcionados por terceros especializados;

d) trabajar en remoto desde casa o desde otros emplazamientos;

e) otros locales adecuados que se hayan acordado; y

f) hacer uso de personal alternativo en un lugar establecido.

NOTA 1 Si el personal tiene que trasladarse a locales alternativos, dichos locales deberan encontrarse lo suficientemente cerca para que el personal est dispuesto a desplazarse a ellos, teniendo en cuenta todas las posibles dificultades que pueda provocar el incidente. Sin embargo, los locales alternativos no deberan estar tan cerca que puedan resultar afectados por el mismo incidente.

NOTA 2 El uso de locales alternativos para propsitos de continuidad debera estar apoyado por una declaracin clara de si los locales alternativos son para el uso exclusivo de la organizacin. Si los locales alternativos se comparten con otras organizaciones, debera desarrollarse y documentarse un plan para mitigar la no disponibilidad de dichos locales.

NOTA 3 Podr resultar apropiado trasladar la carga de trabajo en vez del personal, por ejemplo la caga de trabajo de una lnea de fabricacin o de un centro de atencin de llamadas.

COMENTARIO SOBRE 7.4

Las estrategias de centro de trabajo pueden variar significativamente y podr disponerse de alternativas diferentes Cada tipo de incidente o amenaza podra precisar la implantacin de opciones de centros de trabajo diferentes o mltiples. Las estrategias correctas se determinarn en parte por el tamao, sector y extensin de las actividades de la organizacin, por sus partes interesadas y por su presencia geogrfica. Por ejemplo, la Administracin Pblica necesitar mantener un servicio cara al pblico en sus mbitos de actuacin.

7.5 Tecnologa

7.5.1 Las estrategias tecnolgicas dependern de la naturaleza de la tecnologa empleada y su relacin con las actividades crticas, pero normalmente constarn de una de las siguientes, o combinacin de las mismas:

recursos proporcionados por la propia organizacin;

servicios prestados a la organizacin; y

servicios prestados externamente por terceros.


UNE 71599-1:2010 - 24 -

COMENTARIO SOBRE 7.5.1

Las estrategias tecnolgicas variarn significativamente entre organizaciones segn el tamao, la naturaleza y la complejidad del negocio. Deberan desarrollarse estrategias especficas para salvaguardar, sustituir o restablecer tecnologas especializadas o hechas a medida con plazos de entrega dilatados. La organizacin podra tener que prever la necesidad de realizar operaciones manuales antes de recuperarse plenamente los servicios tecnolgicos. 7.5.2 Entre las estrategias tecnolgicas se podrn incluir: separacin geogrfica de los locales donde se encuentre la tecnologa, por ejemplo, mantener la misma tecnologa en

lugares diferentes que no se vean afectados por la misma interrupcin del negocio; conservar equipos antiguos que sirvan de repuesto o recambios de emergencia; y reduccin adicional de riesgos para equipos que sean nicos o de un plazo de entrega dilatado. 7.5.3 Los servicios informticos a menudo necesitan estrategias de continuidad complejas. Cuando se precisen dichas estrategias, debera considerarse lo siguiente: Objetivo de Tiempos de Recuperacin (OTR) para sistemas y aplicaciones que den apoyo a las actividades

principales identificadas en el AIN; ubicacin y distancia entre centros tecnolgicos; nmero de centros tecnolgicos; acceso remoto; el uso de locales sin personal en lugar de locales dotados de personal; conectividad de telecomunicaciones y enrutamiento redundante; la naturaleza del "cambio en caso de fallo" (ya sea precisando intervencin manual para activar el suministro

alternativo de los sistemas de Tecnologas de la Informacin ( TI) o debiendo producirse el cambio de manera automtica); y

conectividad de terceros y enlaces externos de comunicaciones. NOTA 1 Si se adopta una estrategia de "cambio en caso de fallo" de un lugar a otro, la distancia de ruta de red entre los dos lugares tiene que

considerarse cuidadosamente ya que la distancia entre estos podra tener un impacto negativo en la forma de operar los sistemas de TI. NOTA 2 Cuando ms de un local albergue el sistema de TI de la organizacin, podr existir una estrategia conjunta de recuperacin informtica, de

forma que los sistemas, las redes y sistemas de almacenamiento de cada ubicacin estn dimensionados para hacer frente al trfico y trabajo de los otros centros adems de su propio trabajo.

NOTA 3 Otra solucin para el traslado de personal a locales alternativos es proporcionar acceso remoto a los sistemas de TI bien a travs de la red

telefnica, o bien a travs de Internet mediante tecnologas de Red Privada Virtual (RPV) o tecnologas similares. NOTA 4 Se ofrece orientacin adicional sobre la continuidad de los sistemas de TI y del hardware de telecomunicaciones en documentos tales como

UNE-ISO/IEC 27001 y UNE-ISO/IEC 20000 (ambas partes de la norma).


- 25 - UNE 71599-1:2010

7.6 Informacin

Las estrategias de informacin deberan asegurar que la informacin vital para el funcionamiento de la organizacin est protegida y sea recuperable segn los plazos descritos en el AIN.

NOTA 1 Se ofrece orientacin adicional en la Norma UNE-ISO/lEC 27001. El almacenamiento y la recuperacin de dicha informacin deben cumplir la legislacin correspondiente.

Toda informacin que se precise para permitir la ejecucin de las actividades crticas de la organizacin debera ofrecer la suficiente: confidencialidad; integridad; disponibilidad; y vigencia. Las estrategias de informacin deberan estar documentadas para la recuperacin de informacin que an no haya sido copiada o guardada en una ubicacin segura. Deberan ampliarse las estrategias de informacin para incluir: formatos fsicos (impresos); y formatos virtuales (electrnicos); etc.

NOTA 2 En todos los casos, la informacin necesita recuperarse hasta un punto en un tiempo que sea conocido y acordado por la alta direccin. Podrn usarse varios mtodos de copiado, como copias de respaldo electrnicas o en cinta magntica, microfichas, fotocopias, creacin de dos ejemplares en el momento de generarse la informacin, etc. Este punto de recuperacin a menudo se denomina "objetivo de punto de recuperacin".

7.7 Suministros 7.7.1 La organizacin debera identificar y mantener un inventario de los suministros principales que dan apoyo a sus actividades crticas. Entre las estrategias necesarias para proporcionarlos se podrn incluir: almacenamiento de suministros adicionales en otro lugar; disposiciones con terceros para la entrega de mercanca a corto plazo; desvo de entregas de ltima hora a otros lugares; retener los materiales en almacenes o en puntos de envo; traslado de operaciones de ensamblaje a un lugar alternativo que cuente con suministros; e identificacin de suministros alternativos o sustitutivos. 7.7.2 Cuando las actividades crticas dependan de proveedores especializados, la organizacin debera identificar los proveedores principales y las fuentes nicas de suministro. Entre las estrategias para gestionar la continuidad del suministro se podrn incluir: aumentar el nmero de proveedores; animar o exigir a los proveedores a que cuenten con un sistema probado de continuidad del negocio;


UNE 71599-1:2010 - 26 -

acuerdos de nivel de servicio y/o contractuales con los principales proveedores; o identificacin de proveedores alternativos que cuenten con la debida capacidad. COMENTARIO SOBRE 7.7

En entornos de oficina, los suministros podran comprender cheques, etc. Otros sectores podran identificar un inventario de venta al pblico o de suministros denominados de ltima hora, o bien combustibles para vehculos.

7.8 Partes interesadas

7.8.1 A la hora de determinar estrategias apropiadas de GCN, la organizacin debera considerar y proteger los intereses de sus principales partes interesadas. Estas estrategias deberan tener en cuenta consideraciones sociales y culturales que sean relevantes. 7.8.2 La organizacin debera identificar estrategias apropiadas para gestionar las relaciones con las partes interesadas, socios y contratistas de negocios o servicios principales. Cada parte interesada podra necesitar consideraciones particulares. Las estrategias para proteger los intereses de las partes interesadas podrn incluir disposiciones especiales para asegurar el bienestar de las mismas con respecto a necesidades especficas, como por ejemplo discapacidad, enfermedad o embarazo. 7.8.3 La organizacin debera identificar a una persona o personas que se responsabilicen de las cuestiones relativas al bienestar tras producirse un incidente.

7.9 Emergencias civiles 7.9.1 Las organizaciones que pretendan determinar, implantar o validar estrategias para la gestin de incidentes y para la gestin de la continuidad del negocio deberan familiarizarse con los organismos oficiales locales de respuesta temprana. Estos organismos locales de respuesta tienen asignadas actividades de previsin, evaluacin, prevencin, preparacin, respuesta y recuperacin respecto a las emergencias civiles que se produzcan en sus comunidades. 7.9.2 Los organismos competentes en la materia desempearn un papel primordial en la declaracin oficial de que se ha producido una emergencia civil y en proporcionar: asesoramiento antes o despus de producirse el incidente (por ejemplo evaluaciones de riesgos); procedimientos de aviso e informacin; y disposiciones de recuperacin comunitaria tras producirse una emergencia civil. NOTA 1 Las emergencias civiles pueden producir muertes o lesiones fsicas; pueden tener un impacto profundo y duradero en el bienestar

psicolgico, social, y econmico de las personas y sus comunidades. Las emergencias pueden provocar de una forma rpida interrupciones importantes en los servicios de transporte pblico, redes de comunicacin, infraestructuras crticas as como en el movimiento fluido de bienes, servicios y suministros. A la vista de esta posibilidad de interrupcin, las organizaciones pueden querer familiarizarse por s mismas con las disposiciones de planificacin de los organismos competentes.

7.10 Visto bueno

La alta direccin debera dar su visto bueno a las estrategias documentadas para confirmar que la eleccin de las estrategias de continuidad ha sido acometida debidamente y que tienen en cuenta las causas y los efectos potenciales de la interrupcin, y que las estrategias elegidas son apropiadas para cumplir los objetivos de la organizacin en funcin del apetito por el riesgo de la organizacin.


8 DESARROLLO E IMPLANTACIN

Este elemento del ciclo de vida de GCN separa asegurar la continuidad de las actividad

8.1 Introduccin

Los captulos 6 y 7 establecen la forma en qu identificar sus actividades crticas; evaluar las amenazas a estas actividades elegir las estrategias apropiadas para redu elegir las estrategias apropiadas que facil El rango de amenazas que deben planificarse

8.2 Estructura de la respuesta a incident 8.2.1 La organizacin debera definir unrecuperacin eficaces ante las interrupciones

- 27 - UN

DE UNA RESPUESTA DE GCN

e refiere al desarrollo e implantacin de planes y dispodes crticas, y la gestin de un incidente.

ue la organizacin debera:

crticas;

ucir la posibilidad y los impactos de los incidentes; y

liten la continuidad o recuperacin de sus actividades cr

e debera estar determinado por el apetito por el riesgo d

tes

na estructura de respuesta a incidentes que permis.

NE 71599-1:2010

osiciones apropiadas

rticas.

de la organizacin.

ita una respuesta y


UNE 71599-1:2010

8.2.2 En toda situacin en la que se haya despliegue que permita a la organizacin: confirmar el carcter y alcance del incide asumir el control de la situacin; contener el incidente; y comunicarse con las partes interesadas. La misma estructura debera disparar unadenominarse Equipo de Gestin de Incidente 8.2.3 El equipo debera contar con planes,apoyados por herramientas de continuidad crticas. 8.2.4 El equipo debera contar con planes pal incidente. La figura 2 muestra grficamente sobre un cla relacin entre la gestin del incidente y la

Figu

NOTA En algunos casos, la activacin por una organi

negocio podrn ejecutarse en sucesin rpida o

- 28 -

producido un incidente debera existir una estructura

ente;

a respuesta de continuidad del negocio apropiada. Ees (EGI) o Equipo de Gestin de Crisis (EGC).

, procesos y procedimientos para gestionar el incidentedel negocio para permitir la continuidad y recuperaci

para la activacin, operacin, coordinacin y comunica

cronograma del incidente los tres elementos principalescontinuidad del negocio.

ura 2 Cronograma del incidente

zacin de sus planes de gestin de incidentes, de continuidad del negoo bien de manera simultnea.

sencilla y de rpido

sta estructura podr

e, que deberan estar n de las actividades

acin de la respuesta

s del ciclo de vida, y

ocio y de recuperacin del


- 29 - UNE 71599-1:2010

8.2.5 Las organizaciones podrn desarrollar planes especficos para recuperar o reanudar las operaciones llevndolas al estado "normal" (planes de recuperacin). Sin embargo, en algunos incidentes podra no ser posible definir lo que sera "normal" hasta algn tiempo despus de producirse el incidente, con lo que podra no ser posible la implantacin de planes de recuperacin de una manera inmediata. Las organizaciones podran, por tanto, desear, el asegurarse de que los planes de continuidad del negocio sean capaces de mantener una operativa de duracin prolongada, dando tiempo para el despliegue de planes de recuperacin o de "vuelta a la normalidad". COMENTARIO SOBRE 8.2

En organizaciones pequeas, la responsabilidad de la gestin de incidentes y de la continuidad del negocio podr recaer en una sola persona. Las organizaciones ms grandes podrn usar un enfoque escalonado y pueden formar equipos distintos que se centren en cuestiones de gestin de incidentes, de continuidad del negocio y de recuperacin del negocio. En algunos casos, estos equipos podrn estar apoyados por otros equipos con responsabilidad en actividades tales como comunicaciones con los medios y cuestiones relativas a los recursos humanos.

8.3 Contenido de los planes 8.3.1 Introduccin

Todos los planes, con independencia de que se trate de planes de gestin de incidentes, planes de continuidad del negocio o planes de recuperacin del negocio, deberan ser concisos y estar accesibles a las personas que tengan responsabilidades definidas en los planes. Los planes deberan contener las fases sealadas en los apartados 8.3.2 a 8.3.6. COMENTARIO SOBRE 8.3.1

Una organizacin pequea podr tener un nico plan que abarque todos los requisitos del negocio y que cubra todas sus operaciones. Una organizacin muy grande podr tener muchos planes, cada uno de los cuales especificando el detalle de la recuperacin de:

una parte en particular del negocio;

locales en particular; o

un escenario en particular y podr incluir documentacin separada para las fases de incidente, continuidad y recuperacin. 8.3.2 Propsito y alcance

El propsito y alcance de cada plan especfico debera estar definido, acordado por la alta direccin y entendido por los que llevarn a cabo el plan. Toda relacin con otros planes o documentos relevantes en la organizacin debera estar claramente referenciada y describirse el mtodo de obtencin y acceso a estos planes. Cada plan de gestin de incidentes, de continuidad del negocio y de recuperacin del negocio debera establecer objetivos priorizados en lo que se refiere a:

las actividades crticas que deban recuperarse;

los plazos en que deban recuperarse;

los niveles de recuperacin necesarios para cada actividad crtica; y

la situacin en que deba utilizarse cada plan. COMENTARIO SOBRE 8.3.2

Cada plan podr establecer de una forma clara lo que no pretende conseguir y por qu.


UNE 71599-1:2010 - 30 -

8.3.3 Funciones y responsabilidades

Las funciones y responsabilidades del personal y los equipos que tengan autoridad (tanto en lo que se refiere a la toma de decisiones como a la autorizacin de gastos) durante y despus de un incidente deberan estar claramente documentadas. Las personas o los grupos contemplados en un plan deberan estar claramente definidos. COMENTARIO SOBRE 8.3.3

Los planes tambin podrn contener, segn proceda, los procedimientos y listas de comprobacin que den apoyo a los procesos de revisin posterior al incidente. 8.3.4 Activacin del plan

El mtodo por el que es activado el plan de gestin de incidentes, de continuidad del negocio o de recuperacin de negocio debera estar claramente documentado. Este proceso debera permitir que los planes correspondientes o las partes de los mismos, se activen en el plazo ms corto posible despus de producirse una interrupcin del negocio. La organizacin debera establecer y documentar directrices claras as como un conjunto de criterios en lo que se refiere a qu personas tienen la autoridad necesaria para activar cada plan y en qu circunstancias. El proceso de activacin podr exigir la movilizacin inmediata de los recursos organizativos. El plan debera incluir una descripcin clara y precisa de: cmo movilizar el equipo o los equipos; puntos de encuentro inmediatos; y lugar para las siguientes reuniones de los equipos as como detalles de todos los lugares de reunin alternativos (en

organizaciones grandes, estos lugares de reunin podrn denominarse centros de gestin de incidentes o centros de mando).

La organizacin debera documentar un proceso claro para desmovilizar el equipo o los equipos una vez que haya pasado el incidente, y reanudar el trabajo con normalidad. COMENTARIO SOBRE 8.3.4

El tiempo perdido durante una respuesta nunca se puede recuperar. Casi siempre es mejor movilizar el equipo de respuesta y despus desmovilizarlo, que perder la oportunidad de contener un incidente de forma anticipada y prevenir su escalado. Las organizaciones podrn integrar etapas de escalado definidas e internacionalmente acordadas, conforme al asesoramiento claro de fuentes expertas, por ejemplo la Organizacin Mundial de la Salud, para casos de panademia. 8.3.5 Propietario y responsable del mantenimiento de los documentos

La organizacin debera designar el propietario principal del plan, e identificar y documentar quin es responsable de revisar, modificar y actualizar el plan a intervalos regulares. Debera usarse un sistema de control de versiones y los cambios deberan notificarse formalmente a todas las partes interesadas con un registro del plan de distribucin formal mantenido y actualizado. 8.3.6 Datos de contacto

Cada plan debera contener o proporcionar una referencia a los datos de contacto esenciales correspondientes a todas las partes interesadas principales.


- 31 - UNE 71599-1:2010


Los registros de contactos podrn incluir datos de contactos fuera de horario. Sin embargo, cuando los planes hagan referencia a datos personales, todo lo relativo a la proteccin de datos de carcter personal debe ser una consideracin primordial.

8.4 El Plan de Gestin de Incidentes (PGI)

El propsito de un PGI es permitir a la organizacin gestionar la fase inicial (aguda) de un incidente. El PGI debera: a) ser flexible, factible, y pertinente; b) ser fcil de leer y entender; y c) proporcionar las bases para gestionar todo tipo de cuestiones, incluyendo las cuestiones relativas a las partes

interesadas externas, a las que se enfrente la organizacin durante un incidente. El PGI tambin debera: 1) contar con el apoyo de la alta direccin, incluyendo un patrocinador perteneciente al Consejo de Administracin,

segn proceda; y 2) estar sustentado por un presupuesto apropiado para su desarrollo, mantenimiento y formacin.

8.5 Contenido del PGI 8.5.1 Generalidades

Adems del contenido recomendado en el apartado 8.3, el PGI debera incluir la informacin sealada en los apartados 8.5.2 a 8.5.8. 8.5.2 Tareas y listas de accin

El PGI debera incluir las tareas y listas de accin para gestionar las consecuencias inmediatas de una interrupcin del negocio. Estas tareas deberan: garantizar que la seguridad de las personas tenga prioridad; estar basadas en resultados del AIN de la organizacin; estar diseadas de tal manera que se apliquen las opciones tcticas y estratgicas elegidas por la organizacin (segn

se describen en el captulo 7); y ayudar a impedir mayores prdidas o no disponibilidades de las actividades crticas, y de los recursos de apoyo

segn se define en el captulo 7. 8.5.3 Contactos de emergencia

Debera incluirse una descripcin de cmo y en qu circunstancias la organizacin se comunicar con los empleados y sus familiares, amigos y contactos de emergencia. En algunos casos, podra ser apropiado incluir este tipo de detalles en un documento separado. La informacin de contacto de los familiares ms allegados y de los contactos en caso de emergencia del personal debera mantenerse actualizada y estar disponible para su uso inmediato.


UNE 71599-1:2010 - 32 -


En funcin de la envergadura de la organizacin y del tamao del incidente, podr precisarse un nmero de personas competentes y formadas para responder a consultas telefnicas acerca del incidente. 8.5.4 Actividades con respecto a las personas

El PGI debera satisfacer los intereses de aquellos cuyo bienestar podra estar expuesto a riesgo como consecuencia de un incidente, teniendo en cuenta las consideraciones pertinentes de carcter social y cultural (vase 7.8.2). El PGI debera identificar la persona o personas, que sern responsables de cuestiones relativas al bienestar tras producirse un incidente (vase 7.8.3), incluyendo: a) la evacuacin del edificio (incluidas las actividades de "refugio en el mismo lugar"); b) la movilizacin de equipos de seguridad, primeros auxilios o de ayuda a la evacuacin; c) la localizacin y contabilizacin de las personas que se encontraban en el lugar o en sus inmediaciones; d) las comunicaciones regulares entre empleados y clientes y las sesiones informativas de seguridad. La organizacin debera hacer uso del personal que cuente con el nivel apropiado de autoridad para actuar de enlace, segn proceda, con los servicios de emergencia.

NOTA Los servicios de emergencia desempean una funcin primordial en la proteccin de vidas y en el alivio al sufrimiento durante las emergencias. Por lo tanto, la temprana planificacin y coordinacin de incidentes en tiempo real entre la organizacin y aquellos de sta que han sido primeros en responder y los servicios de emergencia pueden mejorar la eficacia de una respuesta ante el incidente.

La organizacin puede disponer de los medios para mantener entrevistas y proporcionar apoyo a las personas afectadas por el incidente. Este tipo de servicios pueden estar externalizados o pueden ser provistos como una extensin de los programas existentes de prevencin y salud a los empleados. COMENTARIO SOBRE 8.5.4

Las organizaciones tienen la responsabilidad directa de salvaguardar el bienestar de los empleados, contratistas, visitas y clientes cuando un incidente constituya un riesgo directo para la vida humana. Ser necesario prestar atencin especial a todos los grupos con discapacidades u otras necesidades especficas (por ejemplo mujeres embarazadas, discapacidad temporal debida a lesin, etc.). La planificacin anticipada para cumplir estos requisitos puede reducir el riesgo y dar confianza a los afectados. Nunca deben subestimarse los impactos a largo plazo de los incidentes. Desarrollar las estrategias apropiadas en apoyo del bienestar humano puede fomentar directamente la recuperacin fsica y emocional en la propia organizacin. 8.5.5 Respuesta a los medios de comunicacin

La respuesta de la organizacin ante los medios de comunicacin debera estar documentada en el PGI, y debera incluir: a) la estrategia de comunicacin de incidentes; b) el mtodo de comunicacin con los medios preferidos por la organizacin; c) una directriz o plantilla para la redaccin de una declaracin que deba emitirse a los medios lo antes posible tras

producirse el incidente; d) un nmero apropiado de portavoces formados, competentes que hayan sido designados y autorizados para

comunicar informacin a los medios;


- 33 - UNE 71599-1:2010

e) el establecimiento, cuando sea posible, de un lugar apropiado que sirva de apoyo para los contactos con los medios, u otras partes interesadas.

En algunos casos, puede ser apropiado:

proporcionar detalles de apoyo en un documento separado;

establecer una cantidad apropiada de personal competente y formado para responder consultas telefnicas de la prensa;

preparar informacin sobre la organizacin y sus operaciones (esta informacin debera acordarse previamente a su publicacin);

procurar que toda la informacin para los medios est disponible sin retraso injustificado. COMENTARIO SOBRE 8.5.5

La informacin preparada previamente puede ser especialmente til en las etapas iniciales de un incidente. Permite a la organizacin proporcionar informacin detallada sobre la organizacin y su negocio, cuando an se estn ultimando detalles del incidente. La organizacin podr usar todos los medios correspondientes para compartir informacin durante y despus de un incidente. Dichas fuentes podrn incluir sitios web, portavoces, fuentes de noticias y declaraciones informativas genricas de la organizacin. 8.5.6 Gestin de las partes interesadas

Debera incluirse un proceso para identificar y priorizar las comunicaciones con otras partes interesadas importantes. Puede ser necesario desarrollar por separado un plan para la gestin de las partes interesadas para proporcionar criterios de establecimiento de prioridades y para asignar una persona a cada interesado o parte interesada. COMENTARIO SOBRE 8.5.6

Podran tambin considerarse los grupos de presin o de accin colectiva que tengan poder o influencia sobre la organizacin. 8.5.7 Localizacin de la gestin de incidentes

La organizacin debera definir un lugar, habitacin o espacio robusto y predeterminado desde el que se gestionar el incidente. Una vez establecido, este lugar debera ser el punto central para la respuesta de la organizacin. Asimismo, debera designarse un punto de reunin alternativo en una ubicacin diferente en caso de que se deniegue el acceso a la ubicacin principal. Cada lugar debera tener acceso a los recursos apropiados mediante los cuales el equipo de incidentes pueda iniciar lo antes posible las actividades para la gestin eficaz de incidentes. El lugar elegido debera ser apto para este propsito e incluir:

a) medios de comunicacin eficaces primarios y secundarios;

b) instalaciones para acceder y compartir informacin, incluyendo el seguimiento de noticias en los medios de comunicacin.


La localizacin de la gestin de incidentes constituye un punto focal conocido desde el cual el incidente puede gestionarse. Es importante captar y compartir informacin fundamental y marcar objetivos, asignar tareas, gestionar recursos, identificar y rastrear cuestiones y tomar decisiones informadas. Las buenas comunicaciones son esenciales. El uso de un punto de reunin salva las situaciones en las que las redes telefnicas estn sobrecargadas. El lugar podr ser algo tan sencillo como la habitacin de un hotel o el domicilio de un miembro del personal. Podr ser algo tan complejo como un centro de mando dedicado con ordenadores, sistema de videoconferencia y telfonos mltiples.


UNE 71599-1:2010 - 34 -

En principio, podra ser necesario celebrar una reunin fuera del lugar de trabajo, por ejemplo por va telefnica, teleconferencia o videoconferencia, para que se puedan tomar decisiones de una manera rpida. 8.5.8 Anexos

El PGI debera incluir datos actualizados de contacto y movilizacin correspondientes a todas las agencias, organismos y recursos importantes que puedan precisarse para dar apoyo a las estrategias de respuesta de la organizacin. El PGI debera incluir entradas o formularios para el registro de informacin vital sobre el incidente, como el cronograma del incidente, datos de vctimas, decisiones tomadas, dinero gastado, evaluaciones de daos, comunicaciones emitidas y dems informacin que se considere esencial por la organizacin para dar apoyo a la revisin posterior al incidente. El PGI tambin podr incluir o hacer referencia a: a) mapas, grficos, planos, fotografas y otras informaciones que puedan ser importantes en el caso de producirse un

incidente; b) estrategias de respuesta documentadas que se hayan acordado con terceros, segn proceda (socios de una joint

venture, contratistas, proveedores, etc.); c) datos de almacenamiento de equipos y zonas intermedias; d) planos de acceso a lugares de trabajo; y e) un proceso de gestin de reclamaciones y demandas que asegure que todas las reclamaciones de seguros y demandas

judiciales formuladas contra la organizacin cumplan los requisitos reglamentarios y contractuales.

8.6 El plan o planes de continuidad del negocio [PCN(s)]

El propsito del plan de continuidad del negocio (PCN) es permitir a una organizacin recuperar o mantener sus actividades en el caso de producirse una interrupcin de las operaciones normales del negocio. Los PCN se activan para apoyar las actividades crticas precisas para cumplir los objetivos de la organizacin. Podrn activarse ntegra o parcialmente en cualquier etapa de la respuesta a un incidente. COMENTARIO SOBRE 8.6

Los componentes y el contenido de los PCN varan entre las diferentes organizaciones y tienen niveles de detalle distintos en funcin de la envergadura, el entorno, la cultura y la complejidad tcnica de la organizacin. Las organizaciones grandes podran precisar documentos separados para cada una de sus actividades crticas, mientras que las organizaciones ms pequeas podran ser capaces de cubrir todo lo que les resulta crtico con un nico documento.

8.7 Contenido del PCN 8.7.1 Generalidades

Adems de las fases recomendadas en el apartado 8.3, el PCN debera contener las tareas y acciones sealadas en los apartados 8.7.2 a 8.7.5.


- 35 - UNE 71599-1:2010

8.7.2 Planes de accin / listas de tareas

El plan de accin debera incluir una lista estructurada de acciones y tareas segn un orden de prioridad, destacando:

a) cmo se activa el PCN;

b) la persona o personas responsables

une_71599-1=2010 (bs 25999 en español)

Documents