Normas y Estándares Relacionadas con el Plan de Contingencia

Asmeth Alfredo Montes Montes

Yonhar Alonso Robledo Tello

Luis Eduardo Baquero Rey

Universidad Antonio Nariño

Faculta de Ciencias Económicas y Administrativas

Especialización en Auditora de Sistemas

Planes De Contingencia Y Recuperación

2024
Contenido

A. BS 25999 – 1: 2006 – GESTIÓN DE CONTINUIDAD DEL NEGOCIO, PARTE 1:

CÓDIGO DE PRÁCTICA............................................................................................................. 4

PROGRAMA DE GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO ..................................................... 4

COMPRENSIÓN DE LA ORGANIZACIÓN ......................................................................................... 5

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD O RECUPERACIÓN .......................................... 6

DESARROLLO E IMPLEMENTACIÓN DE LAS RESPUESTAS BCM .................................................. 8

PLAN DE GESTIÓN DE INCIDENTES ............................................................................................... 8

B. ISO 22301: 2012 – SISTEMAS DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO –

REQUISITOS ................................................................................................................................. 8

ESTRUCTURA DE LA NORMA ISO 22301 ................................................................................... 10

REQUISITOS DEL SISTEMA DE GESTIÓN DE LA CONTINUIDAD OPERACIONAL (BCM) .............. 10

BENEFICIOS DE IMPLEMENTAR LA ISO 22301 .......................................................................... 12

C. GTC 176 – SISTEMA DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO –

ICONTEC ..................................................................................................................................... 12

D. NTC 5722: 2012 – GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO.

REQUISITOS – ICONTEC ........................................................................................................ 13

E. ISO 27006 – INFORMATIÓN TECHNOLOGY. SECURITY TECHNICAS................ 15

F. PASS 56: 2003 – GUÍA PARA LA GESTIÓN DE LA CONTINUIDAD DEL

NEGOCIO..................................................................................................................................... 16
 PRINCIPIOS DE PAS 56: 2003 ..................................................................................................... 16

G. PASS 77: 2006 – IT SERVICIOS DE CONTINUIDAD DEL NEGOCIO. CÓDIGO DE

PRÁCTICA ................................................................................................................................... 16

H. HB 221: 2004 GESTIÓN EN CONTINUIDAD DEL NEGOCIO .................................... 17

I. NFPA 1600: 2007 – NORMAS PARA DESASTRES, GESTIÓN DE EMERGENCIAS Y

DE CONTINUIDAD DEL NEGOCIO ....................................................................................... 18

REFERENCIAS BIBLIOGRÁFICAS ....................................................................................... 19

 4

a. BS 25999 – 1: 2006 – Gestión de Continuidad del Negocio, Parte 1: Código de Práctica

“Presenta los procesos y principios necesarios para una adecuada gestión de la continuidad

del negocio que permita cubrir las necesidades de clientes y organizaciones.

La gestión de la continuidad del negocio (Bussines Continuity Management – BCM)

consiste en la mejora proactiva de la resistencia de la organización frente a contingencias. Por

otra parte, proporciona mecanismos para restaurar los productos y servicios clave a un nivel

aceptable y dentro de un marco temporal limitado, protegiendo la reputación corporativa.

La implantación de un programa de gestión de la continuidad ofrece los siguientes

beneficios:

 Identificación proactiva de los impactos derivados de la interrupción operativa.

 Respuesta efectiva a interrupciones.

 Gestión de riesgos no aceptados por las compañías de seguros.

 Mejora de la reputación corporativa.

 Ventaja competitiva debido a la demostrada capacidad de mantener la entrega

de servicios.

Programa de gestión de la continuidad del negocio

Como primer paso se requiere la definición de una política general que garantice

que todas las actividades serán diseñadas e implementadas bajo unos criterios comunes. La

política debe definir el alcance, los principios y los recursos dedicados a la gestión de la

continuidad.

En definitiva, como resultado se debe obtener la siguiente documentación actualizada:

 5

 Política de gestión de la continuidad del negocio: alcance, recursos, principios y

estándares generales.

 Análisis del impacto en el negocio (BIA).

 Planes de emergencia: gestión de la fase inicial de un incidente.

 Planes de continuidad del negocio: mantener el funcionamiento de los procesos

de negocio.

 Planes de recuperación del negocio: recuperar el estado inicial.

 Plan de pruebas e informes relacionados.

 Contratos y acuerdos de nivel de servicio.

 Plan de formación para las partes implicadas.

El programa de gestión de la continuidad se encuentra en el centro del ciclo de vida,

esto debido a que los documentos listados son el resultado de los diferentes análisis

realizados en las etapas que comentaremos a continuación.

Comprensión de la organización

El objetivo de esta etapa es la identificación de productos y servicios que forman

parte de las actividades críticas de la organización. Para ello es necesario.

 Identificar los objetivos de la organización y las obligaciones hacia los stakeholders.

 Identificar las actividades, activos y recursos que soportan la entrega de productos

y servicios.

 Análisis del impacto en el negocio (BIA).

 Identificar y evaluar las potenciales amenazas que podrían causar interrupciones.

 6

Determinar la estrategia de continuidad o recuperación

Para cada actividad, la estrategia para la continuidad o recuperación de las

actividades dependerá del periodo máximo tolerable de interrupción, el coste de

implementar medidas y las consecuencias de no llevar a cabo ninguna acción.

Las estrategias deberán definirse a nivel de los diferentes recursos necesarios:

 Personas: La organización debe identificar las estrategias apropiadas para

mantener las habilidades y el conocimiento clave, como, por ejemplo:

o Documentar como se llevan a cabo las actividades críticas.

o Formar al personal en habilidades diversas y no exclusivas de sus

actividades asignadas.

o Segregación de habilidades clave con tal de evitar la concentración y

dependencia de personas.

 Locales: La reducción del impacto de la inaccesibilidad a los lugares

habituales de trabajo puede llevarse a cabo mediante medidas como las

siguientes.

o Contratar locales alternativos.

o Facilitar el trabajo remoto.

o Uso de personal alternativo disponibles en ubicaciones alternativas.

 Tecnología: En función de la relación y dependencia entre las actividades

críticas y la tecnología, se deberá definir las estrategias de continuidad como

por ejemplo la distribución geográfica de los sistemas de información o el

mantenimiento de equipos viejos como material de reemplazo. En general,

 7

las medidas a tomar referentes a la tecnología suelen ser complejas y deben

considerar los siguientes aspectos:

o Tiempo y nivel de recuperación objetivo.

o Localización y distancia entre los centros de procesos de datos.

o Conectividad y redundancia.

o Sistemas de alimentación ininterrumpida.

o Controles medioambientales.

 Información: Resulta fundamental garantizar que la información vital de la

organización se encuentra protegida y puede ser recuperada dentro de los

tiempos definidos por el análisis BIA. En definitiva, se trata de garantizar la

confidencialidad, integridad y disponibilidad de la información mediante la

ejecución de copias de seguridad lo suficientemente frecuentes.

 Suministros: La organización debería identificar y mantener un inventario

con los suministros que dan soporte a las actividades críticas, con objeto de

definir una estrategia:

o Almacenaje de suministros adicionales en un local alternativo.

o Acuerdos con terceros para la entrega de material en periodos cortos

de tiempo.

o Mantener stock en almacenes.

o Identificación de suministros alternativos o substitutos.

o Incrementar el número de proveedores.

 8

Desarrollo e implementación de las respuestas BCM

En esta etapa tiene lugar el desarrollo y la implantación de planes para garantizar la

continuidad de actividades críticas y la gestión de incidentes.

Este proceso parte de la información identificada previamente relativa a las

actividades críticas, amenazas, medidas de mitigación y estrategias para la continuidad o

recuperación.

Plan de gestión de incidentes

Los planes de emergencia deben cubrir los siguientes aspectos:

 Lista tareas y acciones.

 Información de contacto.

 Actividades del personal.

 Respuestas a los medios de comunicación.

 Gestión de los stakeholders.

 Plantillas o formularios para registrar aspectos como el desarrollo en el tiempo

del incidente, las decisiones tomadas, las inversiones realizadas, verificaciones

de los daños, comunicaciones realizadas y cualquier otro tipo de información de

utilidad para revisiones posteriores” (BS 25999 – 1: Gestión de la continuidad

del negocio. 2018).

b. ISO 22301: 2012 – Sistemas de Gestión de Continuidad del Negocio – Requisitos

“Es la primera norma internacional para la gestión de la continuidad de negocio y se

ha desarrollado para ayudar a las empresas a minimizar el riesgo del tipo de interrupciones.

Esta norma remplaza a la norma británica BS – 25999.

 9

La norma ISO 22301: 2012, especifica los requisitos necesarios para planificar,

establecer, implantar, operar, monitorear, revisar, mantener y mejorar de forma continua el

sistema de gestión para responder y recuperarse pronto de las interrupciones, en el momento

en el que sucedan.

La estandarización de la continuidad de negocio evoluciona con la norma ISO 22301:

2012 contando con:

 Un incremento en el establecimiento de los objetivos, seguimiento del

desempeño y los indicadores.

 Expectativas claras sobre la dirección de la organización.

 Planificación y preparación muy cuidadosa sobre los recursos requeridos para

el aseguramiento de la continuidad de negocio.

La norma ISO 22301: 2012, se puede aplicar en cualquier organización,

independientemente del tamaño que tienen y a lo que se dediquen, éstas deben:

 Establecer, implementar, mantener y mejorar el sistema de gestión de

continuidad de negocio.

 Asegurar la conformidad con la política establecida de la continuidad de negocio

de la empresa.

 Demostrar la conformidad a los interesados.

 Certificar su sistema de gestion de continuidad de negocio mediante un

organismo externo de certificación.

 Realizar una autoevaluación de conformidad con la norma ISO 22301: 2012”

(ISO 22301. 2015).

 10

Estructura de la Norma ISO 22301

Esta norma presenta la siguiente estructura:

 “Alcance.

 Referencias normativas.

 Términos y definiciones.

 Contexto de la organización.

 Liderazgo.

 Planificación.

 Soporte.

 Operación.

 Evaluación del desempeño.

 Mejora.

Requisitos del sistema de gestión de la continuidad operacional (BCM)

Dentro de los requisitos operacionales del BCM, tenemos:

 Requisitos generales: La organización debe establecer, implementar, operar,

monitorear, revisar, mantener y mejorar un BCMS documentado, en el contexto

general de las actividades operacionales de la organización y de los riesgos que

enfrenta.

 Establecimiento del contexto: Establece:

o Alcance del BCMS: La organización debe definir y documentar el alcance

del BCMS teniendo en cuenta sus contextos internos y externos.

o Establece límites.
 11

o Establecer requisitos BCMS.

o Identificar productos, servicios y actividades relacionadas.

o Tener en cuenta: necesidades de la empresa, tamaño, naturaleza, y

complejidad.

o Documentar exclusiones sin afectar la capacidad ni responsabilidad de la

organización.

o Requisitos legales y otros que la organización suscriba.

 Política y compromiso: La alta dirección debe establecer, documentar,

proporcionar recursos y demostrar su compromiso con la política de gestión de la

continuidad operacional, dentro del alcance definido del BCMS.

o ¿Qué debe incluir la política o a qué hacer referencia?

o Compromiso de la alta dirección.

 Planificación: Realiza:

o Análisis de impacto y evaluación de riesgos.

 Implementación y operación: Realiza:

o Control de documentos.

o Control operacional.

o Prevención de incidentes, preparación, y respuestas.

 Comprobación y acción correctiva: Realiza.

o Seguimiento y medición.

o Evaluación de la conformidad y desempeño del sistema.

o No conformidad, AC, AP.

o Control de riesgos.
 12

o Auditorías internas.

 Revisión gerencial: Revisar las evaluaciones del sistema, en los intervalos

previstos, a fin de garantizar su idoneidad, eficacia y eficiencia.

o Insumos de la revisión.

o Productos de la revisión.

Beneficios de implementar la ISO 22301

Presenta los siguientes beneficios.

 La certificación le da una clara comprensión de toda su organización y mejora el

resultado operacional.

 Protección de los bienes materiales, activos y el Know How del negocio.

 Preservar los intereses de los accionistas.

 Mejora su resiliencia de manera proactiva cuando se enfrenta con una interrupción

en su capacidad de alcanzar objetivos claves.

 Ayuda a proteger y mejorar su reputación y marca.

 Mayor eficacia operativa: Reingeniería de negocios.

 Proporciona un marco común consistente, basado en unas mejores prácticas

internacionales para gestionar la continuidad de negocio.

 Demuestra que se observan las leyes y las regulaciones.

 Proporciona una capacidad probada para gestionar una interrupción.

 Evitar pérdidas económicas, humanas, materiales” (ISO 22301. 2016).

c. GTC 176 – Sistema de Gestión de Continuidad del Negocio – Icontec

 13

“Esta GTC establece los procesos, principios y terminología de la gestión de la continuidad

del negocio (GCN). El propósito de esta GTC es brindar una base para el entendimiento,

desarrollo e implementación de la continuidad del negocio en una organización, con el fin de

proporcionar confianza en las relaciones de la organización con clientes y otras organizaciones.

También permite a la organización medir su capacidad de GCN, de forma consistente y

reconocida.

Esta GTC ofrece un sistema basado en las buenas prácticas de GCN; Donde cualquier

persona con responsabilidad sobre las operaciones o la provisión de servicios puede utilizar esta

GTC: desde la alta dirección pasando por todos los niveles de la organización; Desde aquellos

funcionarios con cargos sencillos, hasta aquellos con presencia global; Desde simples comerciantes

y pequeñas y medianas empresas (Pymes), hasta grandes organizaciones que emplean cientos de

personas. Por tanto, es aplicable a toda persona que sea responsable de cualquier operación, y de

este modo de la continuidad de esa operación.

Esta GTC no incluye actividades de planificación de emergencia, puesto que este asunto se

refiere a las emergencias civiles” (ICONTEC. 2010).

d. NTC 5722: 2012 – Gestión de la Continuidad del Negocio. Requisitos – Icontec

“Esta norma específica los requisitos para la creación y gestión de un sistema de gestión

de continuidad de negocio (BCMS) efectivo.

Un BCMS hace énfasis en la importancia de:

 Entender las necesidades de la organización y la necesidad de establecer una gestión

de continuidad de negocio, sus objetivos y políticas.

 14

 Implementar y operar los controles y medidas para administrar la capacidad general

de una organización en responder a incidentes.

 Hacer el seguimiento y revisión de la eficacia del BCMS.

 Mejora continúa basada en mediciones objetivas.

El BCMS, como todos los sistemas de gestión, contiene los siguientes componentes claves:

 Una política.

 Personas con responsabilidades definidas.

 Gestión de los procesos relativos a:

o Política.

o Planeación.

o Implementación y operación.

o Evaluación de desempeño.

o Análisis de la gestión.

o Mejoramiento.

 Documentación que proporcione evidencia auditable.

 Cualquier proceso de gestión de la continuidad de negocio pertinente para la

organización.

La continuidad de negocio contribuye a una sociedad con mayor resiliencia. La

comunidad en general y el impacto del ambiente organización en la organización y en otras

organizaciones, podrían estar involucrados en el proceso de recuperación” (ICONTEC.

2012).
 15

e. ISO 27006 – Informatión Technology. Security Technicas

“Dentro de la familia de ISO 27000 la organización internacional de estandarización

(ISO) recoge un extenso número de normas. Entre ellas se encuentra ISO 27006.

Esta familia normativa contiene las definiciones y los términos que se utilizaran durante

toda la serie 27000. Para aplicar cualquier normativa necesita conocer un vocabulario

perfectamente definido, por lo que así evitaremos cualquier mala interpretación de conceptos

técnicos y gestión. Esta norma es gratuita a diferencia de las demás de las series de normas que

sí que suponen un coste para su implementación.

El estándar normativo ISO 27006 se trata de una guía para los organismos de

certificación en los procesos formales que hay que seguir al auditar sistemas de gestión de

seguridad de la información. Los procedimientos que se describen en dicha norma dan la

garantía de que el certificado emitido de acuerdo a ISO 27001 es válido.

Esta norma se publicó de nuevo en octubre de 2015 tras última edición del año 2011.

La nueva versión, que es la tercera, es diferente a la anterior, fundamentalmente debido a los

cambios relevantes en las normas en las que se basa.

Los requisitos generales a los que hace referencia son:

 Orientación específica del sistema de gestión de seguridad de la información en

relación con la imparcialidad.

 Listado del trabajo que pudiera esta en conflicto.

 Inclusión de una lista de todas las actividades que se pueden realizar fuera” (ISO

27001. 2019).
 16

f. PASS 56: 2003 – Guía para la Gestión de la Continuidad del Negocio

“Establece el proceso, los principios y la terminología de la GCN, describe las

actividades y resultados implicados, proporciona recomendaciones de buenas prácticas y

esboza los criterios de evaluación.

Es aplicable a todas las organizaciones, independientemente de su tamaño o sector

industrial.

Principios de PAS 56: 2003

El funcionamiento de cualquier actividad interna o la subcontratación de productos,

servicios, apoyo o datos debe reflejar los siguientes principios y normas de buenas prácticas.

 La GCN es una parte integral del gobierno corporativo, pero debe llevarse a

cabo por valor añadido y no por consideraciones de gobierno o normativas.

 La BCM debe ser tratada como un proceso dirigido por la dirección.

 Las actividades de BCM deben coincidir con la estrategia empresarial y los

objetivos de la organización, y centrase en ellos.

 La BCM debe proporcionar resiliencia dentro de una organización para proteger

y optimizar la disponibilidad de productos y servicios.

 Como proceso de gestión basado en el valor, la BCM debe ser eficaz,

actualizada, y adecuada a su propósito” (BSI. 2003).

g. PASS 77: 2006 – It Servicios de Continuidad del Negocio. Código de Práctica

“Explica los principios y algunas técnicas recomendadas para la gestión de la

continuidad de servicio. Está destinada a ser utilizada por las personas responsables de

implementar, entregar y gestionar la continuidad del servicio de TI dentro de una organización.

 17

Este PAS proporciona unos marcos genéricos y directrices para un programa de

continuidad que incluye los siguientes temas.

 Cuál es la estructura de gestión, las funciones y las responsabilidades para

implementar la gestión de la continuidad del servicio de TI.

 Como deben realizarse las evaluaciones de criticidad, riesgo e impacto en el

negocio para producir resultados útiles.

 Que contienen los planes de continuidad del negocio y los pasos para responder

a los riesgos identificados y recuperarse de ellos.

 Como el desarrollo, ensayo y despliegue de el plan de continuidad de negocio

no tiene por qué costar más en términos de dinero, riesgo o reputación que no

tomar ninguna acción.

 Por qué hay que desarrollar un marco y una capacidad para que la organización

responda eficazmente a una interrupción inesperada” (BSI. 2006).

h. HB 221: 2004 Gestión en Continuidad del Negocio

“Es una normativa australiana referenciada en Handbook Business Continuity

Management (BCM). Define que entiende por manejo de la continuidad del negocio y bosqueja su

evolución desde un enfoque estrecho, basado en tecnología de información hacia una herramienta

de planificación que puede ayudar a la organización en su estrategia y planificación del negocio.

Establece un marco de trabajo para BCM que puede ser desarrollado por cualquier tipo de

organización, así como el detalle discutido de los pasos necesarios para implementar prácticamente

un adecuado manejo de la continuidad del negocio.

 18

El libro de trabajo consiste de varias plantillas y suministra un proceso simple de seguir,

que puede ser implementado a todos los niveles de la organización, tanto en un área especializada

para desarrollo de los planes de recuperación en tecnología de información como para enlazar con

el manejo de riesgos, la gerencia corporativa y el programa de BCM” (Monte, X. S.F).

i. NFPA 1600: 2007 – Normas para Desastres, Gestión de Emergencias y de Continuidad

del Negocio

“Esta norma establece un conjunto común de criterios para el manejo de desastres,

manejo de emergencias y programas para la continuidad del negocio, referidos aquí como el

programa.

El propósito de esta norma es proporcionarles a las personas responsables del manejo

de desastres y emergencias al igual que a los programas para la continuidad del negocio, el

criterio para evaluar los programas actuales o desarrollar, implementar y mantener un programa

para mitigar, prepararse, responder y recuperarse de desastres y emergencias” (Manejo de

desastres y emergencias y programas para la continuidad de los negocios. S.F).

 19

Referencias Bibliográficas

BS 25999 – 1: Gestión de la continuidad del negocio. (2018). Recuperado de

https://www.marblestation.com/?p=650

ISO 22301. (2015). ISO 22301:2012 Sistema de Gestión de la Continuidad de Negocio.

Recuperado de https://www.pmg-ssi.com/2015/10/iso-22301-2012-sistema-gestion-

continuidad-negocio/

ISO 22301. (2016). ISO 22301:2012 Requisitos de supervivencia de la empresa ante crisis o

emergencias. ISOTools. Recuperado de https://www.isotools.org/2016/03/18/iso-22301-

2012-requisitos-supervivencia-de-la-empresa-ante-crisis-o-emergencias/

ICONTEC. (2010). GUÍA PARA LA GESTIÓN DE LA CONTINUIDAD DE NEGOCIO (GCN).

PDF. Recuperado de https://docplayer.es/8021977-Guia-tecnica-colombiana-176.html

ICONTEC. (2012). CONTINUIDAD DE NEGOCIO, SISTEMAS DE GESTIÓN DE

CONTINUIDAD DE NEGOCIO. REQUISITOS. PDF. Recuperado de

https://docplayer.es/35519300-Norma-tecnica-colombiana-5722.html

ISO 27001. (2019). ISO 27006 el estándar que garantiza la validez de las certificaciones de los

SGSI. ISOTools. Recuperado de https://www.isotools.org/2019/05/30/iso-27006-el-

estandar-que-garantiza-la-validez-de-las-certificaciones-de-los-sgsi/

BSI. (2003). PAS 56. Guide to Business Continuity Management. PDF. Recuperado de

https://middleware.accord.bsigroup.com/pdf-

preview?path=Preview%2F000000000030078064.pdf&inline=true
 20

BSI. (2006). IT Service Continuity Management. PDF. Recuperado de

https://middleware.accord.bsigroup.com/pdf-

preview?path=Preview%2F000000000030141858.pdf&inline=true

Monte, X. (S.F). ACI – 425 SEGURIDAD INFORMÁTICA. Recuperado de

https://slideplayer.es/slide/2261934/

Manejo de desastres / emergencias y programas para la continuidad de los negocios. (S.F). PDF.

Recuperado de http://dipsa.com/ClanDunant/Textos/TUM%20-

%20NFPA%2016000%20Manejo%20de%20Desastres%20Emergencias%20y%20Progra

mas%20para%20la%20Continuidad%20de%20los%20Negocios.pdf