Fundamentos de gestión de continuidad del negocio bajo

la NTC ISO 2230:2019

Objetivo general
Comprender los elementos y conceptos básicos para que el
participante adquiera la capacidad de:

Interpretar los requisitos de la norma NTC ISO 22301 2019

Explicar los elementos y conceptos básicos de un Sistema de
Gestión de Continuidad del Negocio
Determinar las etapas básicas para implementación de planes y
procedimientos de continuidad del negocio

Objetivos específicos

 Entender los beneficios de implementar un Sistema de Gestión

de Continuidad del Negocio.
 Comprender los conceptos y componentes básicos de los
Sistemas de Gestión de la Continuidad del Negocio.
 Describir y explicar los elementos de la estructura de alto nivel
y el ciclo PHVA para un Sistema de Gestión de Continuidad del
Negocio.
 Conocer las bases para planificar, desarrollar y controlar los
procesos necesarios para la estructuración de planes y
procedimientos de continuidad en una organización.

ACTIVIDAD

1. La Gestión de la Continuidad del Negocio tiene que ver

con las siguientes situaciones

B Situaciones originadas por sanciones de la autoridad

ambiental por incumplimiento de la normatividad

D Insatisfacción del cliente debido que la organización no le

puede entregar su producto por problemas logísticos de
transporte

C Incremento de incapacidades por enfermedad laboral

A Problemas de quejas por mala calidad del servicio o el
producto

2. Un ataque cibernético puede ser considerado como

d. Todas las anteriores

c. El efecto de una interrupción
a. Una amenaza que puede afectar la continuidad del negocio
b. un incidente menor

3. Los tres momentos de la Gestión de la Continuidad del

Negocio son:

B Antes, durante y después de una interrupción

D Ninguna de las anteriores

C Preparación, anticipación y recuperación

A Corto, mediano y Largo plazo

4. La norma que establece los requisitos para un SGCN es:

b. ISO 31000
d. ISO 27701
c. ISO 22301
a. ISO 27001

5. Para atender escenarios de interrupción en una

organización se deben establecer:

B Planes de mitigación

D Planes de continuidad

C Planes de contingencia
A Planes de emergencia

Lección 1. Generalidades, conceptos y enfoques de LA NTC

ISO 22301:2019

Introducción

La teoría del Cisne Negro propone que el impacto de eventos

impensables en una organización satisface tres características:
no se considera dentro de las expectativas normales de una
organización, produce impactos catastróficos y se actúa de
manera reactiva, analizando y explicando los eventos después
de sucedidos, para después considerarlos como algo posible,
explicable y predecible (Taleb, 2007). Esta teoría resume la
importancia de que las organizaciones y la sociedad en general
se anticipen y se preparen para responder y recuperarse ante
eventos que pueden amenazar su continuidad en el corto plazo
y su viabilidad en el largo plazo.
La NTC ISO 22301:2019 establece los requisitos para la
implementación de un Sistema de Gestión de Continuidad
del Negocio (SGCN) que le permite a la organización prepararse
para brindar y mantener los controles, y las capacidades para
gestionar el total de la organización para seguir operando
durante una interrupción.

Beneficios de implementar un SGCN bajo la NTC ISO 22301:

2019

Debido a los entornos turbulentos que actualmente afronta la

sociedad y las organizaciones en donde se presentan diferentes
tipos de amenazas como por ejemplo eventos de desastres
naturales, pandemias, ataques cibernéticos entre otros, la
implementación de un Sistema de Gestión de Continuidad del
Negocio SGCN debería ser una decisión estratégica y
operacional para una organización que busque fortalecer sus
capacidades resilientes frente a la ocurrencia de estos eventos
adversos que pueden generar interrupciones prolongadas en la
operación de sus procesos y en la entrega de sus productos y
servicios, generando a su vez una serie de efectos negativos
 para la organización y para sus partes interesadas, las cuales
pueden llegar incluso a amenazar la existencia de la
organización.
El éxito de un Sistema de Gestión de Continuidad del
Negocio depende principalmente del liderazgo, el compromiso y
la participación desde todos los niveles y funciones de la
organización de acuerdo con el alcance que se defina para el
mismo.
La implementación y mantenimiento de un SGCN, su eficacia y
capacidad para lograr sus resultados previstos, generan
beneficios claves para la organización y pueden incluir:
 Apoyar el logro de los objetivos estratégicos
 Crear una ventaja competitiva
 Proteger y realzar la reputación y la credibilidad
 Contribuir a la resiliencia organizacional
 Reducir la exposición legal y financiera
 Reducir los costos directos e indirectos de las interrupciones
 Proteger la vida, la propiedad y el medio ambiente
 Considerar las expectativas de las partes interesadas
 Demostrar el control proactivo de manera eficaz y eficiente
frente a eventos de interrupción
 Mejorar la capacidad de seguir siendo efectivos durante la
interrupción.
 Abordar las vulnerabilidades operativas.

Términos y definiciones más relevantes de la NTC ISO

22301:2019: Conocer los términos y definiciones más
relevantes de la NTC ISO 22301:2019 le permitirá interpretar
los requisitos establecidos en la norma así como sus enfoques
principales.

 Amenaza
Potencial ocurrencia de un suceso de origen natural o generado
por la actividad humana.

 Vulnerabilidad
Factor interno de un sujeto, objeto o sistema expuesto a una
amenaza, que corresponde a su disposición intrínseca a ser
dañado.
 Riesgo
Efecto de la incertidumbre en los objetivos.

Interrupción
Alteración negativa a la oferta esperada de productos y servicios
de acuerdo con los objetivos de la organización.

Resiliencia organizacional
Capacidad de una organización para resistir los efectos de un
incidente.

 Continuidad del negocio

Es la capacidad de una organización para continuar con la
oferta de productos y servicios durante un periodo aceptable a
una capacidad predefinida durante una interrupción.

 Gestión de continuidad del negocio

Proceso de gestión integral que identifica las amenazas
potenciales para la organización y sus impactos frente a las
operaciones del negocio en caso de materializarse lo que
proporciona un marco para la construcción de la resiliencia de
la organización con la capacidad de una respuesta efectiva.

 Plan de continuidad del negocio

Información documentada que orienta a la organización para
responder durante una interrupción y reanudar, recuperar y
restaurar la oferta de productos y servicios de acuerdo con
los objetivos de continuidad.

 Análisis de Impacto en el negocio

Proceso en el que la organización analiza el impacto de una
interrupción conforme avanza el tiempo en la organización.

Estructura de Alto Nivel y ciclo PHVA en la NTC ISO

22301:2019

Esta norma sigue la Estructura de Alto Nivel definida por la

ISO, un elemento normativo con el cual se busca unificar y
crear consistencia entre los diferentes estándares de los
Sistemas de Gestión, a través, de la definición de términos y
conceptos claves comunes y textos idénticos.

El propósito de la Estructura de Alto Nivel es:

 Facilitar la comprensión del ciclo PHVA (Planificar –

Hacer – Verificar – Actuar).
 Fortalecer a las organizaciones en el análisis del
contexto (aspectos internos y externos, positivos y
negativos)
 Facilitar la integración con otros sistemas (ej. Sistema
de gestión de calidad, SST, seguridad y salud en el
trabajo, seguridad de la información, entre otros).

Esquema de la estructura de alto nivel de la norma ISO

22301:2019

Enfoque de sistema

Es un conjunto de elementos, es decir, procesos

interrelacionados para el logro de uno o varios objetivos
generales en común. Este enfoque se fundamenta en los
conceptos de: Planificar, Hacer, Verificar y Actuar (PHVA), los
cuales aplican en general para todo el sistema, así como para
cada uno de sus procesos.
 El esquema de la estructura de alto nivel así como el ciclo PHVA
se puede aplicar a un Sistema de Gestión de Continuidad del
Negocio y, a cada uno de sus elementos individuales, se puede
describir brevemente así:

 Planificar
Determinar y evaluar los riesgos para el SGCN, las
oportunidades para el SGCN y otros riesgos y oportunidades,
establecer los objetivos de CN y los procesos necesarios para
conseguir resultados de acuerdo con la política de la CN de la
organización.

 Hacer
Implementar los procesos según lo planificado.

 Verificar
Hacer el seguimiento y la medición de las actividades y los
procesos respecto a la política y los objetivos de CN, además,
informar sobre los resultados.

 Actuar
Tomar acciones para mejorar continuamente el desempeño del
SGCN para alcanzar los resultados previstos.

El enfoque basado en procesos

Todas las organizaciones utilizan procesos para lograr sus

objetivos. Un proceso es un conjunto de actividades
interrelacionadas que interactúan y utilizan entradas para
entregar un resultado deseado. Estas actividades transforman
los elementos de entrada en resultados, para ello es esencial
describir las actividades, la asignación de recursos y
responsables por estas actividades.

Las entradas y salidas pueden ser tangibles (por ejemplo,

materiales, componentes o equipos) o intangibles (por ejemplo,
datos, información o conocimiento).

El enfoque de procesos incluye establecer los procesos de la

organización para operar como un sistema integrado y completo
y establece medidas para cumplir con los objetivos. El enfoque
por procesos incluye el ciclo PHVA de cada proceso para su
gestión eficaz, así como la identificación de sus riesgos
asociados y acciones preventivas y correctivas orientadas hacia
la mejora continua de los procesos de la organización (Ver figura
2).
Figura 2
Enfoque por procesos

Enfoque basado en Riesgos

Para la NTC ISO 22301:2019 el enfoque basado en riesgos se

refleja en la intención general de los procesos establecidos con
el fin de asegurar que la organización esté en capacidad de
lograr los resultados previstos del SGCN, prevenir o reducir los
efectos indeseados y lograr la mejora continua.

La organización puede asegurar esto, determinando los riesgos

y oportunidades que necesita y planificando las acciones para
abordarlos. Estos riesgos y oportunidades pueden estar
relacionados con las cuestiones internas y externas, además,
otras necesidades y expectativas de las partes interesadas.
Aunque los riesgos y oportunidades se tienen que determinar y
abordar, no hay un requisito para la gestión formal de riesgos,
ni un proceso de gestión documentado para riesgos. Es por esto
que, depende de la organización, seleccionar el método que
utilizará para determinar sus riesgos y oportunidades. Este
podría ser un simple proceso cualitativo o en una evaluación
cuantitativa completa, dependiendo del contexto en el que opere
la organización.
Finalmente, la estructura de alto nivel, el ciclo PHVA, el enfoque
por procesos y basado en riesgos, facilita el establecimiento,
implementación, mantenimiento y mejora de un SGCN y al
mismo tiempo, permite la integración con otros Sistemas de
Gestión, lo que genera eficiencia al momento de efectuarse, ya
que algunos de los elementos requeridos en estos enfoques
normalmente tienen un desarrollo previo por parte de la
organización y han sido implementados anteriormente.

La teoría del Cisne Negro se refiere a la posibilidad de que

algunos eventos sumamente inusuales y con impactos
catastróficos se materialicen generando en muchos casos
escenarios de crisis. Esta lectura explica de manera sencilla el
origen y la importancia de esta teoría y es un punto de partida
que sustenta la necesidad prepararse, responder y recuperarse
ante estos eventos.

Lección 2. Requisitos del planear NTC ISO 22301:2019

Introducción

La Planificación del SGCN es un aspecto clave en la

implementación del Sistema de Gestión, ya que en este, se
establece el marco de referencia en donde se estructuran las
bases y las disposiciones como por ejemplo, la determinación
del contexto y las partes interesadas que le permitirán a la
organización definir sus objetivos para la Gestión de la
Continuidad del Negocio y los riesgos y oportunidades que
dificultan o facilitan el logro de esos objetivos. Otro aspecto
fundamental de planeación del SGCN es hacer partícipes a la
alta dirección a través de la demostración del liderazgo y el
compromiso con el SGCN.

Contexto de la organización
Comprender la organización y su contexto

La norma establece que la organización debe determinar las

cuestiones externas e internas que sean relevantes para su
propósito y que afecten su capacidad de lograr los resultados
deseados para su SGCN.

En ese sentido, las organizaciones desarrollan las actividades

en un entorno en el cual intervienen un sin número de factores
tanto internos como externos que pueden afectar tanto su
operación como su desempeño, de acuerdo con lo anterior, es
imprescindible comprender el contexto organizacional y
determinar cuáles de estos factores son pertinentes en función
de logro de los resultados esperados del Sistema de Gestión de
Continuidad del Negocio.

La NTC ISO 22301: 2019 en su numeral 4.1 Comprender la

Organización y Su Contexto establece los requisitos enfocados
en determinar estas cuestiones internas y lo que conlleva a
realizar un análisis desde las dos siguientes perspectivas:

ANÁLISIS DEL CONTEXTO EXTERNO

Se debe considerar que factores externos, es decir, aquellos que

no están directamente bajo el control de la organización podrían
afectar positiva o negativamente con respecto a la continuidad
del negocio de la organización. Estos factores son:

Factores políticos

Corresponde a elementos del contexto político que pueden llegar

a afectar positiva o negativamente el SGCN de la organización.
Este contexto político puede analizarse a nivel nacional, regional
y / o local. Aspectos asociados a políticas de gobierno, cambios
de gobierno, estabilidad política entre otros elementos que
podrían significar amenazas u oportunidades para el SGCN.

Factores económicos

Los aspectos económicos pueden tener impacto en las

capacidades financieras de la organización y afectar de esta
manera su SGCN. Algunos ejemplos de los factores económicos
a analizar pueden ser: crecimiento económico, tasas de cambio,
tasas de interés, nivel de desempleo, inflación entre otros.

Factores sociales

El análisis de estos factores facilita la comprensión del ambiente

y la estructura social en el área o zona de influencia en donde
ejerce sus actividades la organización. Algunos de los aspectos a
analizar en los factores sociales pueden ser: Tasa de crecimiento
de la población, Distribución de edades de los usuarios,
actitudes y tendencias sociales, estilos de vida, características
culturales, entre otros aspectos que puedan afectar positiva o
negativamente el SGCN. Por ejemplo dificultades sociales en la
zona de las instalaciones en donde se producen con frecuencia
paros, bloqueos o manifestaciones.

Factores tecnológicos

Corresponde a los elementos que conforman el ambiente

tecnológico en el cual la organización desarrolla su operación.
Dentro del análisis de estos factores se pueden incluir
elementos como acceso a las tecnologías disponibles como
sistemas de información, aplicaciones, softwares existentes en
el mercado y que puedan ser utilizados para apoyar el SGCN,
acceso y disponibilidad de los servicios de comunicaciones,
internet, uso y apropiación de los clientes de las plataformas y
canales virtuales, entre otros.

Factores ambientales
Aspectos asociados al medio ambiente en la zona de operación
de la organización y que puedan afectar su SGCN como por
ejemplo riesgos de inundación, deslizamientos, amenazas de
incendio por sequías, disposiciones de las autoridades
ambientales, normatividad o legislación ambiental, entre otros.

Factores legales

Aspectos asociados a requisitos definidos en la legislación

nacional o en la normatividad regional o local que dificulte o
facilite la función del curador urbano.

ANÁLISIS DEL CONTEXTO INTERNO

Los factores internos son aquellos que están directamente bajo

el control de la organización podrían afectar positiva o
negativamente con respecto a la continuidad del negocio. Estos
factores pueden incluir aspectos tales como:

Recurso humano
Corresponde a las capacidades asociadas a los colaboradores en
cuanto a suficiencia (numero), criticidad y competencias para
desarrollar de manera eficaz sus funciones en la organización,
también se pueden analizar otros aspectos relacionados con el
recurso humano como compromiso de las personas, esquemas
de capacitación entre otros, para determinar si estas
capacidades se le presentan como una fortaleza o una debilidad
para el SGCN.

Recursos financieros
Se refiere a las capacidades financieras y presupuestarles de la
organización, en aspectos como capital de trabajo, liquidez,
sostenibilidad económica, capacidad de endeudamiento entre
otros aspectos financieros relevantes para el SGCN.

Infraestructura
Son las condiciones de infraestructura necesarias para la
operación de la organización y para la entrega de sus productos
y servicios. Entre los aspectos de infraestructura se pueden
revisar las condiciones de edificaciones, adecuaciones locativas,
mobiliarios, espacios de atención al usuario, equipos,
maquinaria, servicios públicos, aspectos logísticos, entre otros
elementos para determinar si se presentan como fortalezas o
debilidades para el SGCN de la organización.

Comprender las necesidades y expectativas de las partes

interesadas (Numeral 4.2)

Cuando se implementa un SGCN es necesario identificar y

analizar las partes interesadas que son relevantes al SGCN y
para cada una es necesario determinar los requisitos relevantes.

Además, es importante aclarar que una parte interesada hace

referencia a toda persona o grupo de personas que pueden
afectar al SGCN o verse afectados por las decisiones o las
actividades de la organización. Esta afectación en un SGCN
propiamente dicho puede presentarse en diferentes niveles
durante eventos de interrupción o también cuando se está
operando con normalidad.

Considerando lo anterior, el ejercicio de identificación de partes

interesadas puede ser muy extenso, es por esto que, se debe
priorizar la identificación de las partes interesadas relevantes
para el SGCN, ya que pueden afectar la capacidad del SGCN
para alcanzar sus resultados previstos, como por ejemplo:
empleados, proveedores, clientes, organismos de emergencia,
medios de comunicación.

La identificación de las partes interesadas se debe realizar

considerando también la perspectivas interna y externa de la
misma manera que se hace en el análisis del contexto. Algunos
ejemplos de partes interesadas se ilustran en la figura 3.

Figura 3

Ejemplos de partes interesadas internas y externas

Sobre estas partes interesadas se deben identificar sus
necesidades y expectativas relevantes al SGCN de la
organización para establecer cuáles son los requisitos en
términos de continuidad que se compromete la organización a
cumplir, como por ejemplo esquemas de comunicación, tiempos
de respuesta, consideraciones contractuales entre otros.

Requisitos legales y reglamentarios

La norma define que la organización debe implementar y

mantener procesos para identificar, tener acceso y evaluar los
requisitos legales y reglamentarios relacionados con la
continuidad de sus productos y servicios, actividades y
recursos.

Esto significa que se debe definir una metodología como por

ejemplo, la implementación de normogramas que permitan la
identificación, acceso y consulta de estos requisitos y conocer
oportunamente cuando esta normatividad se actualiza, además,
es importante asignar roles que se responsabilicen de esta tarea
para evitar trabajar con base en normas, leyes, etc. que se
encuentren desactualizadas.
Un ejemplo es que en algunos sectores es obligatorio a nivel
legal contar con planes de continuidad de negocio en las
organizaciones.

Una buena práctica es contar con suscripciones a empresas

especializadas en la revisión, actualización y divulgación de
asuntos legales.

Es importante asignar roles y responsabilidades específicas

para asegurar la continua revisión y actualización de asuntos
legales relacionados con la continuidad del negocio.

Determinar el alcance del Sistema de Gestión de Continuidad

del Negocio (Numeral 4.3)

Al momento de diseñar el SGCN de la organización es muy

importante establecer que va a estar incluido en el campo de
aplicación, en otras palabras, no es obligatorio que todas las
partes de la organización estén incluidas dentro del Sistema de
Gestión. La organización puede considerar su misión, contexto,
tamaño, la complejidad de sus procesos, sus partes interesadas,
los requisitos legales, sus capacidades y recursos y con base en
esto tomar decisiones sobre cuales productos y servicios se
incluirán en su SGCN. Este alcance puede ampliarse en el
momento en el que la organización lo considere apropiado.

Asimismo, es importante que la organización revise a la luz de

los requisitos de esta norma internacional y consideración de su
propio contexto, de los productos y servicios definidos en el
alcance, cual o cuales de los requisitos de esta norma podrían
no aplicar y por ende declarar su exclusión, siempre y cuando
esto no afecte su responsabilidad y capacidad de implementar
la continuidad del negocio de acuerdo con los resultados de los
análisis de impacto en el negocio y análisis de riesgos.

Cualquier exclusión debe argumentarse y documentarse en el

alcance, además, actualizarse según se requiera.
En la siguiente figura se presenta un ejemplo de los aspectos
que deben ser considerados por la organización al momento de
establecer el alcance del SGCN.

Sistema de Gestión de Continuidad del Negocio (numeral 4.4.)

La norma ISO 22301:2019 en su requisito 4.4 define que la

organización debe establecer, implementar, mantener y mejorar
continuamente su SGCN en donde se incluyan los procesos
necesarios y sus interrelaciones. Este requisito resulta ser el
más amplio de toda la norma ya que para efectuarse, es
necesario que se cumplan todos los demás requisitos de esta
norma internacional.

Adicionalmente, en este requisito se hace explicita la aplicación

del enfoque por procesos en el SGCN, para lo cual es muy útil
contar con una red de procesos y sus caracterizaciones que
muestren los procesos que forman parte del SGCN y como es su
interacción. Lo anterior será de vital importancia al momento de
realizar ejercicios como el análisis de impacto en el negocio, el
análisis de riesgoso los planes de continuidad del negocio.

Liderazgo
Los principales factores de éxito en un SGCN son el compromiso
y participación de la alta dirección de la organización. Su
participación desde el inicio es fundamental principalmente
liderando, promoviendo y apoyando todas las acciones y
actividades encaminadas al establecimiento, implementación,
mantenimiento y mejora continua del SGCN.

Lo anterior facilita la continua alineación del SGCN con la

dirección estratégica de la organización. La figura 5 presenta
algunos aspectos que se deben demostrar a través del liderazgo
y compromiso de la alta dirección

Política de Continuidad del Negocio

Otro elemento clave que demuestra el liderazgo y compromiso

de la alta dirección del SGCN es la creación de una Política de
Continuidad del Negocio debido a que se convierte en el
compromiso explícito y formal de la organización con el SGCN
expresado y avalado directamente por la alta dirección, a través,
de una declaración documentada aprobada, firmada, publicada
y socializada que establece los lineamientos de más alto nivel
que deben ser cumplidos y en los cuales se va a enmarcar el
SGCN.

De acuerdo con lo que establece la norma la Política de

Continuidad del Negocio se debe cumplir con las siguientes
premisas:

 Apropiada a los propósitos organizacionales

 Proporcione la estructura para establecer los objetivos de
continuidad
 Compromiso de satisfacer los requisitos vigentes
 Compromiso para el mejoramiento continuo del SGCN

La Política de Continuidad del Negocio debe estar documentada

y disponible, también, comunicada al interior de la organización
y estar disponible para ser consultada por las partes
interesadas.

Esto implica que a nivel de los colaboradores de la organización

se deberían realizar ejercicios de socialización en dónde se
asegure su entendimiento, además, publicarse en un lugar
donde sea visible para las partes interesadas como por ejemplo
en el sitio web de la organización.

Roles, responsabilidades y autoridades

La norma establece que la alta dirección debe asegurarse de que

la responsabilidad y autoridad para los roles importantes se
asignen y se comuniquen dentro de la organización.

Si bien la alta dirección es el principal responsable del SGCN, es

importante establecer una estructura para la Gestión de la
Continuidad del Negocio que permita la interiorización y
operativización de los componentes del SGCN, para lo cual se
deben asignar y comunicar a los responsables en los diferentes
niveles de la organización de acuerdo con su tamaño y
complejidad y con las autoridades necesarias para garantizar
que el SGCN se establece, implementa, mantiene y mejora
continuamente.

La alta dirección debe asignar la responsabilidad y autoridad

para:

 Asegurar que el SGCN cumple con los requisitos

 Informar acerca del desempeño de SGCN a la alta
dirección

Planeación
La planeación del SGCN consiste en establecer cuáles son los
objetivos que deben ser cumplidos para dar respuesta a la
Política de Continuidad del Negocio definida por la alta
dirección, así mismo es fundamental, definir de qué manera la
organización va a llevar a cabo los objetivos a través de la
estructuración de un plan
que facilite el logro de estos.

Dentro de la planificación es necesario identificar cuáles son las

situaciones que pueden dificultar o facilitar el logro de los
objetivos del SGCN para establecer las acciones que permitan
mitigar las primeras y aprovechar las segunda, esto se conoce
como las acciones para abordar los riesgos y las oportunidades.

Acciones para abordar los riesgos y las oportunidades

Los riesgos del SGCN son los eventos que pueden dificultar el
logro de los objetivos del Sistema de Gestión y deben ser
mitigados mediante acciones tendientes a evitar su
materialización o para mitigar su impacto.

En ejemplo de identificación de riesgos para el SGCN podría ser

que como resultado del análisis del contexto, se encuentran
dependencias de algunas personas clave de la organización
debido a que no se cuenta con esquemas de transferencia del
conocimiento. Esto puede generar riesgos de incumplimiento de
los objetivos de continuidad del SGCN de la organización

Por otra parte las oportunidades para el SGCN son situaciones

que pueden facilitar el logro de los objetivos del SG y deben ser
abordadas mediante acciones que permitan su aprovechamiento
en beneficio de los objetivos del SG.

Para determinar los riesgos y oportunidades para el SGCN se

debe considerar el análisis del contexto de la organización, así
como el análisis de las partes interesadas.

Es importante tener en cuenta que en esta parte NO se deben

identificar los Riesgos de Interrupción

En la figura 6 se presenta la secuencia de pasos para la

identificación y abordaje de los riesgos y oportunidades del
SGCN, de acuerdo con los requisitos de la norma ISO
22301:2019.

Objetivos para la Continuidad de Negocio y la planeación

para lograrlos

La alta dirección debe asegurar que se establecen los objetivos

para la continuidad del negocio que permitan cumplir las
directrices establecidas en la declaración de la Política de
Continuidad del Negocio, con el fin de que esta tenga un
despliegue adecuado hacia las diferentes funciones y niveles de
la organización, mediante el establecimiento de objetivos que
sean medibles y a los cuales se les pueda hacer seguimiento
para evidenciar su avance y evolución.

La norma establece las características que deben tener los

objetivos de continuidad del negocio, las cuales son:

1. Ser consistentes con la política de continuidad de negocio

2. Ser medibles (si es viable)
 3. Tener en cuenta los requisitos vigentes de las partes
interesadas, legales y reglamentarios
4. Monitorearse
5. Comunicarse
6. Actualizarse según convenga
Adicionalmente, es importante que la organización dentro de
sus objetivos del SGCN establezca el nivel mínimo de productos
y servicios que considera aceptable para seguir lograr sus
objetivos. Asimismo, la norma establece que la organización
debe conservar información documentada sobre los objetivos
para la continuidad de negocio.

Planes para el logro de los objetivos de continuidad.

Una vez establecidos los objetivos de continuidad, la

organización debe diseñar un plan que le permita lograrlos. Este
plan debe contener los siguientes elementos:

1. Quien será el responsable del cumplimiento de cada

objetivo
2. Que se va a hacer para lograrlos
3. Que recursos se necesitan para el logro de los objetivos
4. Un cronograma con las fechas de cumplimiento
5. Como se van a evaluar los resultados

Planeación del cambio en un SGCN

Toda organización desarrolla sus actividades en entornos

altamente dinámicos, en donde el cambio se presenta por
diferentes fuentes, de muy diversas maneras. Es por esto que,
la organización debe monitorear las posibles situaciones que
generen cambios en el SGCN como por ejemplo:

 Nuevas líneas de producto/ servicio

 Reestructuraciones
 Cambios de tecnología
 Cambios de proveedores clave, entre otros
Este tipo de situaciones pueden generar cambios en las SGCN
como la reasignación de responsabilidades, cambios en los
análisis de riesgos y en las estrategias de continuidad, entre
otros. Por lo anterior, estos cambios deben hacerse de manera
planificada para mitigar los riesgos que estos puedan llegar a
generar.

La planificación del cambio en un SGCN debe considerar los

siguientes elementos:

 El propósito del cambio y sus consecuencias potenciales

 la integridad con el SGCN
 La disponibilidad de recursos
 La asignación o reasignación de responsabilidades y
autoridad

Soporte
Para que un SGCN pueda establecerse, implementarse,
mantenerse y mejorarse continuamente, es fundamental,
asignar los recursos necesarios para tal fin.

Esto implica que la alta dirección sea consciente de la

importancia de proveer estos recursos y que frecuentemente
conllevan inversiones que no retornan rápidamente pues se
trata de recursos contingentes para responder ante posibles
eventos disruptivos.

Estos recursos pueden ser: recursos financieros, humanos,

instalaciones, hardware y software, maquinaria y equipo y
sistemas de información.

Competencia de las Personas

Al momento de la planificación del SGCN se asignan roles y

responsabilidades para la CN, en este sentido, la organización
debe asegurarse que el personal asignado, tenga las
competencias necesarias para desarrollar eficazmente los roles y
responsabilidades que se requieren.
En este sentido la norma establece que la organización debe:

1. Determinar las competencias necesarias de las personas

que trabajan bajo su propio control y que afecta su
desempeño de continuidad de negocio.
2. Asegurar que estas personas son competentes basándose
en la educación, formación o experiencia apropiadas.
3. Cuando sea aplicable, tomar acciones para adquirir las
competencias necesarias, y evaluar la eficacia de las
acciones tomadas.
4. Conservar información documentada como evidencia de
las competencias.

Las competencias requeridas en un SGCN son:

Conocimientos en la norma NTC ISO 22301-2019 y la familia de

normas relacionadas.

 Metodologías para el análisis de impacto en el negocio.

 Conocimientos en gestión del riesgo.
 Metodologías en desarrollo de estrategias de continuidad
del negocio.
 Respuesta ante incidentes.
 Planes de recuperación de desastres tecnológicos.
 Planificación y ejecución de ejercicios y pruebas.
 Evaluación del desempeño, entre otras.

Estas competencias se pueden adquirir a través de:

Educación: Profesiones sobre disciplinas afines al sector al que

pertenece la organización.

Formacion: Cursos, seminarios, diplomados en los temas

mencionados anteriormente.

Experiencia: Haber tenido experiencia previa en el desarrollo de

funciones relacionadas con la CN.

Toma de Conciencia
Otro factor clave para el éxito de la implementación del SGCN es
lograr el compromiso de las personas en la organización a
través, de la toma de conciencia acerca de:

1. El logro de la Política de Continuidad del Negocio.

2. Su contribución para la eficacia del SGCN, incluyendo los

beneficios de mejorar el desempeño de la continuidad de
negocio.

3. Las implicaciones de las no conformidades con los

requisitos del SGCN.

4. Sus funciones y responsabilidades antes, durante y

después de las interrupciones.

Comunicación en el SGCN

En un SGCN se debe asegurar que la comunicación se de

manera eficaz. La información que se genera en las diferentes
etapas de diseño, implementación, mantenimiento y mejora del
Sistema de Gestión debe fluir en los diferentes niveles. Por esto
es necesario definir un plan de comunicaciones que permita que
los temas del SGCN se de manera controlada. La figura 7
presenta el plan de comunicaciones que debe tener la
organización para presentar la información.

Esquema ejemplo plan de comunicaciones

Información Documentada del SGCN

La norma ISO 22301:2019, así como otras normas basadas en

estándares ISO, requiere que toda la información documentada
necesaria para establecer, implementar, mantener y mejorar el
SGCN se mantenga y se conserve de manera controlada.

Además hay que tener en cuenta que la información

documentada del SGCN puede ser de dos tipos:

La información documentada que se debe conservar: Hace

referencia a todos los documentos que sirven como evidencia
que se están llevando a cabo las actividades del SGCN y que
sirve de soporte del control operativo y la evaluación del
desempeño como por ejemplo evidencia de las competencias de
las personas, los resultados de las pruebas y ejercicios, los
resultados de la evaluación del desempeño, entre otros.

La información documentada que se debe mantener:Es la

información documentada que permite la operación del SGCN y
que debe mantenerse actualizada y disponible para su uso
como por ejemplo: Planes, procedimientos, manuales,
protocolos, instructivos, entre otros. La organización debe
controlar la información documentada que se pide esta norma
internacional así como la que la organización determine como
necesaria para la eficacia del SGCN.

Tipos de controles

Finalmente, la etapa planeación del SGCN de la organización es

una etapa clave para el éxito del Sistema de Gestión ya que
requiere del compromiso real de la alta dirección, pues en esta
etapa se determina el marco de referencia con la estructura de
gobernabilidad, el direccionamiento, los roles y
responsabilidades y los recursos necesarios para lograr la
implementación eficaz del mismo.

La estructuración del marco de referencia para la Gestión de la

Continuidad del Negocio es un aspecto clave, pues se fijan las
bases y disposiciones necesarias para el eficaz establecimiento,
implementación, mantenimiento y mejora del SGCN.

En la lectura se presentan recomendaciones y buenas prácticas

para la estructuración del marco de referencia del SGCN de la
organización.

Lección 3 Requisitos del hacer NTC ISO 23012019

Introducción
En esta lección comprenderá toda la parte del hacer del ciclo
PHVA del SGCN, es decir, se determinan los requisitos de
continuidad de la organización, así como las estrategias para
abordarlos y los planes y procedimientos para responder y
recuperarse ante eventos de interrupción.
Para operar su SGCN la organización necesita:

1. Entender cómo se realiza la entrega de productos y

servicios críticos
2. Identificar los posibles escenarios de interrupción de
la operación y las estrategias y soluciones de
continuidad para abordarlos.
3. Establecer los planes y procedimientos que permitan
responder a los escenarios de interrupción de
acuerdo con las estrategias y objetivos de
continuidad.
4. Asegurar la eficacia de las estrategias, planes y
procedimientos de continuidad definidos.

Planificación y control operacional

La organización debe realizar el despliegue de lo establecido en

el capítulo 6.1 de la norma en donde se establecen los requisitos
para abordar los riesgos y oportunidades a nivel de controles en
los procesos del SGCN. Lo anterior significa que los procesos del
SGCN deben desarrollarse de forma controlada, es decir,
estableciendo criterios de aceptación de las salidas que
responden a lo planificado.

Asimismo, en los procesos se deben establecer controles que

respondan a los criterios definidos. Algunos de los criterios
podrían estar enmarcados por ejemplo: en criterios de
oportunidad, cantidades y condiciones para la entrega de los
productos y servicios de la organización hacia el cliente,
información a partes interesadas, salidas para procesos
internos, estos pueden documentarse incluso mediante
acuerdos de nivel de servicios (ANS)

Como consecuencia de lo anterior, es necesario establecer

controles que faciliten el cumplimiento de las disposiciones
definidas en los criterios de los procesos. Adicionalmente, Es
importante también identificar y controlar los cambios
planificados: por ejemplo, cambios en las condiciones en que se
debe entregar el producto o servicio, o en los recursos del
proceso o la adquisición de nuevas tecnologías.

También, cuando se presenten cambios no previstos como por

ejemplo: incidentes que afecten a un proveedor, la actividades
de la organización o al cliente u otras partes interesadas, es
necesario revisar los efectos en los procesos de la organización,
sus criterios y controles.

La organización debe mantener información documentada del

control y la planificación operacional.

Análisis de impacto en el negocio BIA (Business Impact

Analysis)

El análisis de impacto en el negocio es un paso clave para el

desarrollo de buenas estrategias y planes de continuidad del
negocio, debido a que es la base para su estructuración, si la
información resultante del análisis de impacto no es confiable y
no responde a un ejercicio riguroso y meticuloso, las estrategias
y planes de continuidad pueden no ser efectivas para la
recuperación dentro de los objetivos de continuidad de la
organización o por el contrario puede salir muy costosas para
las necesidades de continuidad de la organización.

En resumen, el análisis de impacto en el negocio es un proceso

formal, sistemático y documentado que busca establecer
principalmente cuales son las actividades clave de la
organización en términos de continuidad de acuerdo con
criterios de afectación a la organización en diferentes campos
debido a la interrupción de estas actividades clave. Otro
resultado del análisis de impacto en el negocio es el orden de
recuperación de los procesos por su criticidad, una vez se
presenta un evento de interrupción.

Las actividades que se deben llevar a cabo en la construcción

del análisis de impacto en el negocio BIA son:

1. Definir los tipos de impacto y criterios relevantes

 2. Identificar las actividades que soportan los
servicios/productos
3. Evaluar el impacto a lo largo del tiempo que resulte de una
interrupción
4. Identificar el periodo de tiempo de una interrupción en el
cual el impacto se vuelve inaceptable o MTPD por sus
siglas en inglés
5. Priorizar periodos de tiempo para reanudar las actividades
en una capacidad mínima especificada RTO y RPO por sus
siglas en inglés
6. Usar este análisis para identificar actividades prioritarias
7. Determinar las dependencias (socios, proveedores, entre
actividades prioritarias)

Los términos RTO tiempo de recuperación objetivo, RPO

punto de recuperación objetivo y MTPD máximo tiempo de
indisponibilidad admisible por sus siglas en ingles son
determinantes en el análisis BIA.

El MTPD o máximo tiempo de indisponibilidad admisible

corresponde al momento tiempo de interrupción a partir del
cual se empiezan a materializar efectos graves o catastróficos
derivados de un evento de interrupción.

El RTO o tiempo de recuperación objetivo por sus siglas en

ingles es tiempo en el cual la actividad, el recurso, el proceso
o la información deben ser recuperados.

ANTES de que se empiecen a materializar efectos graves o

catastróficos derivados de una interrupción.

El RPO o punto de recuperación objetivo por sus siglas en

ingles es tiempo en el cual la información debe ser
salvaguardada (frecuencias de respaldo de la información)
para evitar afectaciones graves o catastróficas por una
interrupción en los sistemas de información, cortes de
energía imprevistos entre otros.

Evaluación de riesgos
 Una vez se han establecido la criticidad de las actividades o
procesos, la evaluación del riesgo permite identificar los eventos
potenciales que pueden generar interrupciones en las
actividades o procesos críticos de acuerdo con los resultados del
BIA y establecer las medidas como controles tendientes a
prevenir la materialización de esos eventos.
La evaluación del riesgo se puede realizar mediante las
diferentes metodologías de gestión del riesgo como por ejemplo
la propuesta en la norma ISO 31000 en donde se construyen
matrices de riesgos, estimando niveles de probabilidad e
impacto para cada riesgo de manera que se permita establecer
cuáles son los riesgos más críticos y sobre los cuales
posteriormente se estructuren los escenarios de interrupción
para establecer las diferentes estrategias de continuidad.
Algunos de los riesgos más frecuentes que generan
interrupciones prolongadas son:
 Eventos asociados a desastres naturales como terremotos,
inundaciones, maremotos, incendios etc.
 Eventos asociados a situaciones generadas por conductas
humanas como amenazas cibernéticas, sabotajes, paros, etc.
 Eventos asociados a afectaciones a la salud de las personas
como epidemias, intoxicaciones, accidentes laborales, entre
otras. La figura 9 presenta el ciclo de Gestión del Riesgo.

Ciclo Gestión del Riesgo

La tabla que se presenta a continuación es un ejemplo del mapa
de calor de riesgos, una herramienta de visualización de datos
para comunicar los riesgos específicos que enfrenta una
organización. Este mapa ayuda a las empresas a identificar y
priorizar los riesgos asociados con su negocio. En la tabla se
ilustra la ubicación de los riesgos, los cuáles se identifican con
un número y una letra y se estructura a partir de dos ejes:
Escala de impacto que es el eje vertical y la escala de
probabilidad que es el eje horizontal.

Ejemplo mapa de calor de riesgos

Catastrófic
50 1C
a
Critica 20 2C 1D, 1B
Grave 10 4B 2B 3A 3C
Moderada 5 4D, 2A, 3B 3D

Leve 2 2D 4C 4A 1A

2 3 4 5 6

Remoto OcasionalModeradaFrecuente Constante

Estrategias para la continuidad de negocio y soluciones

Una vez se han identificado y caracterizado los procesos y

actividades críticas y se han reconocido y evaluado los riesgos
de interrupción que pueden masterizarse generando grandes
afectaciones para la organización, se procede entonces a
consolidar estos riesgos y definir los escenarios de interrupción.

Estos escenarios pueden estar dados por:

1. Escenario de ausencia de personal clave

2. Escenario de indisponibilidad de infraestructura para
el desarrollo de los procesos y actividades críticas.
3. Escenario de indisponibilidad tecnológica
 4. Escenario de indisponibilidad de recursos o insumos
críticos entre otros

Los escenarios de interrupción deben abordarse con estrategias

y soluciones que permitan una preparación, respuesta y
recuperación dentro de los objetivos de continuidad
establecidos en el análisis BIA.

Los siguientes son ejemplos de las estrategias y soluciones que

frecuentemente se establecen para abordar los escenarios de
interrupción:

1. Estrategia de sitio alterno de trabajo.

2. Estrategia tecnológica.
3. Estrategia de gestión del conocimiento.
4. Estrategia de proveedores alternos.

Las estrategias y soluciones deben cumplir con lo siguiente:

Identificación y selección de estrategias y soluciones:

Lograr continuar y recuperar las actividades prioritarias dentro
del tiempo y la capacidad acordada.

Requisitos de recursos: Personas, información y datos,

infraestructura física entre otros.

Las estrategias y soluciones deben considerar los tres

momentos de la continuidad del negocio las cuales se presentan
en la figura 10.
Planes y procedimientos de continuidad

La NTC… indica que la organización debe implementar y

mantener esquemas de respuesta que permitan una advertencia
oportuna y la comunicación a las partes interesadas relevantes.
Además, brindar planes y procedimientos para gestionar la
organización durante una interrupción. Los planes y
procedimientos convienen usarse cuando se requieren activar
las soluciones para la continuidad de negocio.

Los planes y procedimientos de continuidad es la información

documentada que permite establecer el paso a paso y la manera
como se van a desarrollar las estrategias y soluciones definidas
por la organización para responder a los diferentes escenarios
de interrupción y recuperar en los tiempos objetivos y a los
niveles mínimos aceptables.

Los planes y procedimientos de continuidad deben cumplir con

las siguientes características:

LOS PLANES DE CONTINUIDAD

 En su conjunto deben tener:

  Detalle de las acciones para continuar o recuperar las
actividades prioritarias en los tiempos y niveles definidos
 Monitorear el impacto de la interrupción y respuesta
 Referencia de los limites predefinidos y los procesos para
activar las respuestas
 Procedimientos para permitir la oferta de productos y
servicios en una capacidad acordada
 Detalles para gestionar las consecuencias inmediatas de
una interrupción.

CADA PLAN DEBE INCLUIR

 Propósito alcance y objetivo

 Funciones y responsabilidades del equipo que manejara el
plan
 Acciones para implementar las soluciones
 Información de soporte necesaria para activar, operar,
coordinar y comunicar las acciones de los equipos
 Interdependencias internas y externas
 Requisitos para los reportes
 Proceso para darse de baja
 Cada plan debe ser utilizable y estar disponible en el
momento y lugar que se requiera

Dentro de los planes y procedimientos de continuidad es

necesario asegurar la comunicación durante un evento de
interrupción por que deben existir planes y procedimientos
específicos de advertencia y comunicación, estos procedimientos
deben permitir como mínimo:

1. Comunicar interna y externamente a las partes interesadas

relevantes
2. Recibir, comunicar y responder a las comunicaciones de las
partes interesadas
3. Asegurar la disponibilidad de los medios de comunicación
durante la interrupción
4. Brindar detalles de la respuesta a los medios de
comunicación de la organización
 5. Registrar los detalles de la interrupción, las acciones
realizadas y las decisiones tomadas
6. Alertar a las partes interesadas potencialmente afectadas
por una interrupción real o inminente
7. Asegurar la coordinación y comunicación adecuadas entre
las organizaciones de respuesta.

Los procedimientos de advertencia y comunicación deberían

incluir detalles frente a los siguientes aspectos:

Canales para obtener información importante Canales como

prensa, redes sociales, grupos de contacto

Métodos para encontrar información importante Definir las

fuentes confiables y criterios de consulta

Procesos para evaluar la calidad y la importancia de la

información Definir criterios para evaluar la confiabilidad y
suficiencia de la información para la toma de decisiones

Capacidad para analizar e interpretar la información:

Realizar análisis de la información disponible y sacar
conclusiones de estos análisis.

Medios para presentar la información: Establecer la manera y

los medios bajo los cuales se presenta la información obtenida,
análisis y conclusiones.

Los planes y procedimientos deben asegurar un esquema de

respuesta que conlleve la conformación de equipos de personas
con funciones y responsabilidades específicos para la oportuna
respuesta y recuperación durante eventos de interrupción.

Estas funciones y responsabilidades deben estar definidas para

cada equipo y para la interacción entre ellos. Las personas que
conforman estos equipos deben ser competentes para:

 Comunicar interna y externamente a las partes

interesadas relevantes
  Recibir, comunicar y responder a las comunicaciones de
las partes interesadas
 Asegurar la disponibilidad de los medios de comunicación
durante la interrupción
 Brindar detalles de la respuesta a los medios de
comunicación de la organización
 Registrar los detalles de la interrupción, las acciones
realizadas y las decisiones tomadas
 Alertar a las partes interesadas potencialmente afectadas
por una interrupción real o inminente
 Asegurar la coordinación y comunicación adecuadas entre
las organizaciones de respuesta.
 Activar las soluciones
 Comunicarse con las partes interesadas

Los equipos de respuesta podrían incluir los siguientes

roles:

Responsable o presidente

 Responsable de liderar el EGC.

 Debería ser parte del equipo directivo.

Líder de recursos humanos

 Lidera los aspectos relacionados con las personas

 Amplia experiencia en recursos humanos

Responsable de operaciones
Debe asegurar que se mantengan las prioridades del negocio de
manera continua.

Asesor legal

 Proporciona asesoría legal al grupo.

 Organiza el apoyo legal externo.

Líder de comunicaciones:
 Coordina la respuesta a los medios de comunicación.
 Responsable de las comunicaciones internas y externas.

Líder de finanzas

 Valora el impacto financiero de la crisis.

 Asesora y autoriza los gastos y presupuestos de contingencia.

Líder de registro

Mantiene el registro de todas las acciones y decisiones tomadas

para uso posterior.

Líder de continuidad

Asesora sobre los planes de continuidad y recuperación y los

recursos asociados.

Otros equipos del negocio

Suministran apoyo adicional al equipo principal en aspectos

como instalaciones, seguridad de la información, entre otros.

Equipos de apoyo

De ser necesario se puede requerir apoyo administrativo de

registros, documentos, actualización de miembros del equipo,
entre otros.
Ahora conozcamos los pasos para implementar un sistema de
gestión de continuidad del negocio en el Consejo Superior de la
Judicatura.

Pasos para la construcción del plan de continuidad

5 PASOS PARA IMPLEMENTAR EL PLAN DE CONTINUIDAD

DEL NEGOCIO

1. Identificación de Actividades Críticas:

✓Identificar las actividades que apoyan la prestación de los
servicios críticos de la CSJ

✓Evaluar los impactos de no realizar estas

✓Definir plazos prioritarios para recuperarreanudar estas

actividades. (RTO y RPO)

✓Identificar recursos y procesos de apoyo a estasactividades de

recuperación

✓Realizar el ranking de prioridad de recuperación

2. Evaluación del Riesgo de Interrupción

- Identificar el riesgo de interrupción de las actividades

críticas

- Analizar y evaluar los riesgos de acuerdo con la

metodología de gestión del riesgo de la entidad

- Realizar tratamiento a los riesgos

3. Estrategias y Soluciones de Continuidad

 Identificación y selección de estrategias y soluciones:

Lograr continuar y recuperar las actividades prioritarias
dentro del tiempo y la capacidad acordada

 Requisitos de recursos:

- Personas

- Información y datos

- Infraestructura física, entre otros

4.Planes y Procedimientos

o Implementar y mantener esquemas de respuesta.

o Procedimientos para advertencia oportuna y la

comunicación.

o Planes y procedimientos para gestionar la

organización durante la interrupción.

o Planes y procedimientos para recuperar y volver a la

normalidad

5. Programa de Ejercicios

Consistentes con los objetivos de CN

Basados en escenarios bien planificados

Desarrollen el trabajo en equipo, competencia, confianza y

conocimiento

Validen las estrategias y soluciones de continuidad

Produzcan herramientas y reportes normalizados

La organización debe actuar de acuerdo con los resultados de

los ejercicios y pruebas

Implementar y mantener un programa de ejercicios y

pruebas para validar la eficacia de las soluciones y
estrategias de CN

DESPUES DE UN EVENTO DE INTERRUPCIÓN REVISAR Y

APRENDER
Revisión de la Situación Evaluación de la respuesta,
planes y procedimientos Identificación de las lecciones
prendidas Formulación de recomendaciones de cambio
Gestionar los cambios y mejoras Rendir informes.

Programas de ejercicios

Debido a que la estructuración de las estrategias y soluciones

de continuidad, así como sus planes y procedimientos
subsidiarios son establecidos con base en escenarios que en
muchas ocasiones no se han materializado, es de vital
importancia diseñar y ejecutar pruebas y ejercicios que le
permitan a la organización conocer a través de los mismos que
tan eficaces pueden ser sus estrategias, planes y
procedimientos.

Los ejercicios y pruebas de continuidad deben cumplir con las

siguientes características:

1. Sean consistentes con los objetivos para la

continuidad de negocio.

2. Estén basados en escenarios adecuados que estén

bien planificados con objetivos y propósitos
claramente definidos.

3. Desarrollar el trabajo en equipo, competencia,

confianza y conocimiento para aquellos que tienen
que desempeñar funciones en relación con las
interrupciones.

4. Validar las estrategias y soluciones para la

continuidad de negocio a lo largo del tiempo.

5. Produzcan reportes formalizados después de los

ejercicios que contengan resultados,
recomendaciones y acciones para implementar
mejoras.
 6. Se revisen en el contexto de promoción de mejora
continua.

7. Se desarrollen en intervalos predeterminados y

cuando hay cambios significantes dentro de la
organización o el contexto en la cual opera.

A continuación se presentan algunos ejemplos de los tipos de

ejercicios y pruebas más frecuentes:

Compone
Tipos de Criterio de
nte a Método Frecuencia
Ejercicio evaluación
evaluar
Contenido
Revisión Anualmente o
del
detallada cuando se
esquema
Revisión del presente un
de Idoneidad y
document contenido cambio
notificació completitud
al de los significativo en
n,
document la estructura
activación
os organizacional
y escala
Recrear Eficacia,
situación confiabilida
Simulació Ejercicio
artificial d y
n por de Semestralmente
sobre las suficiencia
componen actividade o menos
actividade de las
tes s críticas
s disposicion
evaluadas es
Simulació Ejecución Ejercicio Efectividad, Semestralmente
n de todas completo viabilidad, o menos
completa las de aplicación
actividade situación de
s de PGC artificial entrenamie
para la nto,
evaluació validación
n de los de tiempos
componen de
tes y respuesta,
actividade confiabilida
 Compone
Tipos de Criterio de
nte a Método Frecuencia
Ejercicio evaluación
evaluar
s en su d de los
conjunto métodos

Este tipo de ejercicios se realizan para poner en práctica y

evaluar las disposiciones, lineamientos y protocolos para la
gestión de la continuidad que ha definido la organización, así
mismo permite evaluar la aplicación de los roles que se le han
asignado a las personas y ayuda a confirmar el funcionamiento
de los planes y procedimientos de continuidad.

Evaluación de la documentación y capacidad de

continuidad de negocio

Adicionalmente a la realización de ejercicios y pruebas, es

necesario hacer una evaluación integral de la documentación y
de la capacidad de la continuidad del negocio para evaluar su
eficacia e idoneidad de acuerdo con los siguientes aspectos:

- Evaluar la idoneidad, pertinencia y eficacia de: BIA,

evaluación del riesgo, estrategias, soluciones y planes,
procedimientos.

- Realizar las evaluaciones: a través de análisis, ejercicios de

pruebas, reportes después de incidentes, evaluaciones de
desempeño.

- Evaluar el desempeño: de requisitos legales regulatorios

vigentes, buenas prácticas industriales, conformidad con
sus políticas y objetivos de continuidad del negocio.

Estas evaluaciones deben realizarse a intervalos planificados,

después de un incidente o activación o cuando se presenten
cambios significativos y cuando sea necesario como resultado
de esta evaluación se debe actualizar la documentación del
SGCN.
Finalmente, Con el numeral 8.6 del capítulo de Operación del
SGCN se terminan los requisitos del hacer de la NTC ISO
22301:2019. Este es el corazón de esta norma. En esta
instancia la organización ya ha realizado su análisis de impacto
en el negocio BIA en donde ha identificado sus procesos,
actividades, recursos, infraestructura, información clave;
también, ha definido los riesgos y escenarios de interrupción así
como establecido estrategias para abordar esos escenarios, ha
llevado estas estrategias a nivel de detalle mediante la
documentación de los planes de continuidad con todos sus
procedimientos y planes subsidiarios, ha probado la eficacia de
sus planes y ha evaluado la capacidad de la continuidad del
negocio. En este punto ya se han desarrollado las capacidades
resilientes más relevantes para que una organización pueda
anticiparse, prepararse, responder y recuperarse dentro de sus
objetivos de continuidad ante la ocurrencia de eventos de
interrupción de manera eficaz mitigando los impactos negativos
asociados a los mismos.

Lecturas complementarias

La piedra angular para la construcción de estrategias, planes y

procedimientos de continuidad del negocio de manera eficaz es
la realización de un análisis de impacto del negocio que
considere toda la información necesaria para priorizar procesos,
actividades, recursos en caso de una interrupción, así como los
tiempos de recuperación.

La GTC ISO TS 22317:2017 orienta a las organizaciones para el

establecimiento, implementación y mantenimiento de procesos
de análisis de impactos en el negocio eficaces y confiables. Leer
norma completa

LECCIÓN 4. REQUISITOS DEL VERIFICAR NTC ISO

22301:2019

Introducción

En la etapa del verificar del SGCN, se determina en qué medida

el sistema de gestión de la organización está alcanzado los
resultados previstos a la vez que se establece si el mismo es
pertinente e idóneo. A partir de esos resultados se identifiquen
las oportunidades de mejora del sistema de gestión.

Lo anterior se realiza a través de las siguientes actividades:

 El monitoreo, medición, análisis y evaluación

 La Auditoría Interna

 La revisión por la dirección.

Monitoreo, medición, análisis y evaluación

Para el desarrollo de actividades de monitoreo, medición,

análisis y evaluación, la organización debe definir a que le
quiere hacer seguimiento, en el SGCN entre los temas más
relevantes se tienen los objetivos de continuidad de negocio, los
riesgos y oportunidades, el contexto, el cumplimiento de
requisitos, entro otros. A continuación, se presentan los pasos
para el monitoreo, medición, análisis y evaluación del SGCN en
donde se deben establecer los siguientes aspectos:

 Que necesita seguimiento y medición

 Métodos de seguimiento, medición y análisis

 Cuando y quien realizará el seguimiento y la medición

 Cuando y quien realizará el análisis y evaluación de

resultados

Normalmente este ejercicio se aborda mediante la

estructuración de tableros de control, con indicadores sobre los
temas relevantes en donde a partir del análisis de los resultados
de los indicadores se identifican oportunidades de mejora en los
diferentes componentes del SGCN.

Ahora identifiquemos los pasos de monitoreo, medición, análisis

y evaluación del Plan de Continuidad para el Consejo Superior
de la Judicatura.
Auditoría interna

La norma establece que la organización debe llevar a cabo

auditorías internas en intervalos planificados para proporcionar
evidencia si el SGCN cumple con los requisitos y si esta
implementado y se mantiene de manera eficaz.

Para el desarrollo de las auditorías internas del SGCN así como

para otros sistemas de gestión es muy importante guiarse por
las disposiciones definidas en la norma ISO 19011:2018

Asimismo, es necesario establecer un programa de auditorías

internas de acuerdo con los pasos presentados en la figura 11.

Importante conservar la información documentada como

evidencia de la planeación y ejecución del programa de
auditorías del SGCN.

Finalmente, el video que se presenta a continuación le permitirá

comprender todos los aspectos que se deben tener en cuenta
para la realización de una auditoría interna.

Revisión por la dirección

Con el propósito de que la alta dirección no pierda de vista

como se desempeña el SGCN y se asegure que se toman las
decisiones al más alto nivel para mantenerlo y mejorarlo, debe
revisar el SGCN de la organización en intervalos
predeterminados, para asegurar su continua pertinencia,
idoneidad y eficacia.

Para tal fin lo que normalmente se hace es la elaboración de un

informe con las entradas a la revisión por la dirección que se
listan a continuación:

 Estado de las acciones previas

 Cambios en las cuestiones externas e internas

 Información del desempeño del SGCN

 Retroalimentación de las PI

 La necesidad de cambios en SGCN incluyendo la política y

objetivos

 Los procedimientos y recursos que pueden usarse en la

organización para mejorar el desempeño y la eficacia del
SGCN

 Información del BIA y evaluación de los riesgos

 Resultados de la evaluación de la documentación y la

capacidad de continuidad del negocio

 Riesgos y asuntos no abordados de manera adecuada en

cualquier evaluación de riesgos anterior

 Lecciones aprendidas y acciones derivadas en cualquier

evaluación de riesgos anterior

 Oportunidades para el mejoramiento continuo

Con este informe la alta dirección se reúne para revisar la

información y concluir sobre el SGCN es pertinente, idóneo y
eficaz y también para tomar decisiones sobre:
Es necesario conservar información documentada sobre los
ejercicios de la revisión por la dirección.

Una vez se realizan las actividades del verificar del SGCN, se

cuenta con toda la información necesaria para el desarrollo de
la mejora tendiente a incrementar continuamente el desempeño.

La evaluación del desempeño permite determinar qué tan eficaz

es el SGCN para alcanzar sus resultados previstos y más
específicamente para determinar la capacidad de la
organización para anticiparse, prepararse, responder y
recuperarse ante eventos de interrupción prolongados a partir
del monitoreo, la medición, el análisis y la evaluación.

Oportunidades de mejora
Cualquier necesidad de cambio SGCN
Valoraciones del alcance del SGCN
Actualización BIA, evaluación del riesgo, estrategias, soluciones
y planes de continuidad
Modificación en controles y procedimientos
Como se medirá la eficacia de los controles

Es necesario conservar información documentada sobre los

ejercicios de la revisión por la dirección.

Una vez se realizan las actividades del verificar del SGCN, se

cuenta con toda la información necesaria para el desarrollo de
la mejora tendiente a incrementar continuamente el desempeño.

La evaluación del desempeño permite determinar qué tan eficaz

es el SGCN para alcanzar sus resultados previstos y más
específicamente para determinar la capacidad de la
organización para anticiparse, prepararse, responder y
recuperarse ante eventos de interrupción prolongados a partir
del monitoreo, la medición, el análisis y la evaluación.

Lecturas complementarias

La evaluación del desempeño es la principal fuente para la

mejora del SGCN, de acuerdo con esto, es muy importante
estructurar metodologías confiables para realizar las etapas de
seguimiento, medición, análisis y evaluación.

La norma NTC ISO 9004:2018 en su capítulo 10 ofrece un

enfoque sistemático para recopilar, analizar y revisar los
resultados que podría ser aplicado al SGCN como base para
lograr la mejora de este.

Lección 5 Requisitos del actuar NTC ISO 22301 2019-

Mejoramiento

Introducción

El actuar es el elemento que cierra el ciclo PHVA del SGCN, en

el cual una vez se ha determinado a través del verificar en que
grado se ha cumplido con lo planificado y se han identificado
las brechas sobre los aspectos más débiles; es necesario que la
organización desarrolle la capacidad para la mejora continua.

En esta lección se abordan los elementos para solucionar las no

conformidades o incumplimientos encontrados en el verificar y
también los pasos para incrementar el desempeño de los
aspectos en los que se está cumpliendo con lo esperado pero en
lo que igual siempre se podrán definir estrategias que permitan
fortalecer cada vez más el SGCN.

No conformidad y acción correctiva

Cuando no se alcanzan las disposiciones planificadas o se

incumplen los requisitos del SGCN, en estos casos es necesario
realizar correcciones sobre las no conformidades y de ser
necesario tomar acciones correctivas para eliminar sus causas,
a partir de 4 aspectos (ver figura 12).

Figura 12
Ciclo para abordar no conformidad

Es necesario conservar información documentada sobre las no

conformidades y las acciones correctivas tomadas.

Mejora Continua

Por otra parte es muy importante seguir incrementando el

desempeño del SGCN por lo que se deben considerar los
resultados del análisis y la evaluación, y las conclusiones de la
revisión por la dirección, para determinar si hay necesidades u
oportunidades que deben considerarse como parte de la mejora
continua.

Se puede aplicar el ciclo de la mejora que se presenta a

continuación para lograr la mejora continua del SGCN de la
organización (ver figura 13)
Si bien la gestión de la continuidad del negocio ha tomado
fuerza en los últimos tiempos, en especial después de lo
sucedido con la pandemia generada por la enfermedad del Covid
19 la cual significó un antes y un después frente a la
importancia de que las organizaciones se prepararen para
afrontar perturbaciones importantes, aún persiste la cultura en
muchas empresas de actuar de manera reactiva ante estos
escenarios.

Los Sistemas de Gestión de Continuidad del Negocio permiten

preparar a la organización para tener alternativas de respuesta
que mitiguen los efectos que en algunos casos resultan
catastróficos ante eventos de interrupción imprevistos y a veces
prolongados y de esta manera desarrollar la tan indispensable
resiliencia que les permite a las organizaciones seguir siendo
viables en el tiempo superando estas situaciones que sin la
gestión de la continuidad del negocio muchas veces termina
desafortunadamente con el cierre definitivo.

Actividad

Cuando no se alcanzan las disposiciones planificadas o se

incumplen los requisitos del SGCN siempre es necesario tomar
las acciones correctivas para eliminar sus causas. FALSO
Se deben considerar los resultados del análisis y la evaluación,
y las conclusiones de la revisión por la dirección, para
determinar si hay necesidades u oportunidades que deben
considerarse como parte de la mejora continua. VERDADERO

Revisar la eficacia de una acción correctiva tomada en el SGCN

significa que se debe verificar que las acciones planeadas se
ejecutaron realmente. FALSO

El objetivo principal de la mejora continua en un SGCN es

mejorar la idoneidad, adecuación y eficacia del mismo.
VERDADERO

Las correcciones que se hacen para subsanar las no

conformidades deben basarse en un completo análisis de
causas FALSO

Lecturas complementarias

La mejora en un SGCN puede estar enfocada en desarrollar

herramientas que le permitan fortalecer la resiliencia
organizacional. En este sentido, es los escenarios de
interrupciones prolongadas pueden ocasionar también eventos
de crisis, por lo que es importante que la organización cuente
con herramientas que le permitan gestionar eventuales
escenarios de crisis.

La siguiente lectura provee directrices y orientaciones para

mejorar la capacidad de la organización para gestionar
escenarios de crisis.