Las Prácticas Profesionales para

la Gestión de Continuidad del

Negocio

Este documento es mantenido por el DRI International.

Si tiene preguntas sobre este documento, comuníquese con driinfo@[Link].
Para obtener más información, visite [Link].

Versión Abril 2023

Tabla de Contenidos
PREFACIO ............................................................................................................................................................. 4
NOTA SOBRE LA VERSIÓN ACTUAL ....................................................................................................................... 5
EXPRESIONES DE GRATITUD ................................................................................................................................. 6
RESUMEN EJECUTIVO ........................................................................................................................................... 7
PRÁCTICA PROFESIONAL UNO: GESTIÓN DE PROGRAMAS.................................................................................... 8
OBJETIVOS ................................................................................................................................................................... 8
ROL DEL PROFESIONAL ................................................................................................................................................... 8
ACTIVIDADES ................................................................................................................................................................ 8
PRÁCTICA PROFESIONAL DOS: EVALUACIÓN DE RIESGOS ................................................................................... 10
OBJETIVOS ................................................................................................................................................................. 10
ROL DEL PROFESIONAL ................................................................................................................................................. 10
ACTIVIDADES .............................................................................................................................................................. 10
PROFESIONAL TRES: ANÁLISIS DE IMPACTO AL NEGOCIO ................................................................................... 13
OBJETIVOS ................................................................................................................................................................. 13
ROL DEL PROFESIONAL ................................................................................................................................................. 13
ACTIVIDADES .............................................................................................................................................................. 13
PRÁCTICA PROFESIONAL CUATRO: ESTRATEGIAS DE CONTINUIDAD DEL NEGOCIO............................................. 16
OBJETIVOS ................................................................................................................................................................. 16
ROL DEL PROFESIONAL ................................................................................................................................................. 16
ACTIVIDADES .............................................................................................................................................................. 16
PRÁCTICA PROFESIONAL CINCO: PREPARACIÓN Y RESPUESTA ANTE INCIDENTES ............................................... 19
OBJETIVOS ................................................................................................................................................................. 19
ROL DEL PROFESIONAL ................................................................................................................................................. 19
ACTIVIDADES .............................................................................................................................................................. 19
PRÁCTICA PROFESIONAL SEIS: DESARROLLO E IMPLEMENTACIÓN DEL PLAN ...................................................... 22
OBJETIVOS ................................................................................................................................................................. 22
ROL DEL PROFESIONAL ................................................................................................................................................. 22
ACTIVIDADES .............................................................................................................................................................. 22
PRÁCTICA PROFESIONAL SIETE: PROGRAMAS DE CONCIENTIZACIÓN Y ENTRENAMIENTO .................................. 26
OBJETIVOS ................................................................................................................................................................. 26
ROL DEL PROFESIONAL ................................................................................................................................................. 26
ACTIVIDADES .............................................................................................................................................................. 26
PRÁCTICA PROFESIONAL OCHO: EJERCICIO/PRUEBA, EVALUACIÓN Y MANTENIMIENTO DEL PLAN DE
CONTINUIDAD DEL NEGOCIO ............................................................................................................................. 28
OBJETIVOS ................................................................................................................................................................. 28
ROL DEL PROFESIONAL ................................................................................................................................................. 28
ACTIVIDADES .............................................................................................................................................................. 28
PRÁCTICA PROFESIONAL NUEVE: COMUNICACIÓN DE CRISIS ............................................................................. 32
OBJETIVOS ................................................................................................................................................................. 32
ROL DEL PROFESIONAL ................................................................................................................................................. 32

© DRI International 2023 Todos los derechos reservados 2

 ACTIVIDADES .............................................................................................................................................................. 32
PRÁCTICA PROFESIONAL DIEZ: COORDINACIÓN CON DEPENDENCIAS Y RECURSOS EXTERNOS ........................... 34
OBJETIVOS ................................................................................................................................................................. 34
ROL DEL PROFESIONAL ................................................................................................................................................. 34
ACTIVIDADES .............................................................................................................................................................. 34

© DRI International 2023 Todos los derechos reservados 3

Prefacio
Sobre las Prácticas Profesionales para la Gestión de Continuidad del Negocio

Creadas y mantenidas por el Instituto de Recuperación Ante Desastres Internacional (Disaster Recovery
Institute International - DRI), las Prácticas Profesionales para la Gestión de Continuidad del Negocio son
un cuerpo de conocimiento diseñado para ayudar en el desarrollo, implementación y mantenimiento de
programas de continuidad del negocio. También pretende servir como una herramienta para realizar
evaluaciones de los programas existentes.

El uso del marco de trabajo de Práctica Profesional para desarrollar, implementar y mantener un
programa de continuidad del negocio puede reducir la probabilidad de brechas significativas en un
programa y aumentar la cohesión. El uso de las Prácticas Profesionales para evaluar un programa puede
identificar brechas o deficiencias para que puedan ser corregidas.

La Gestión de Continuidad del Negocio (Business continuity management – BCM por sus siglas en
inglés) es un proceso de gestión holístico que identifica las amenazas potenciales para una organización
y los impactos en las operaciones de negocio que esas amenazas, si se realizan, podrían causar, y que
proporciona un marco de trabajo para desarrollar la resiliencia organizacional con la capacidad de una
respuesta efectiva que salvaguarda los intereses de sus partes interesadas clave, la reputación, la marca
y las actividades de creación de valor. Los términos se definen en el Glosario Internacional para
Resiliencia publicado y mantenido por DRI International.

DRI hace que tanto Las Prácticas Profesionales para la Gestión de Continuidad del Negocio como el
Glosario Internacional para Resiliencia estén disponibles como descargas gratuitas a través de [Link] .
Ambos documentos están disponibles en varios idiomas.

© DRI International 2023 Todos los derechos reservados 4

Nota sobre la Versión Actual

Como parte de los esfuerzos continuos de DRI International para mantener la relevancia y la utilidad de
las Prácticas Profesionales, se llevó a cabo una revisión exhaustiva del contenido, la forma y la función a
partir del 1 de noviembre de 2021 y hasta el 1 de agosto de 2022. Los objetivos eran brindar información
que incluiría:
• Una versión mejorada de la Práctica Profesional Cinco: Preparación y Respuesta ante Incidentes
para incluir más actividades de preparación relacionadas con la gestión de incidentes;
• Más información sobre la identificación de diversas amenazas cibernéticas y estrategias para la
remediación mediante la integración de actividades de seguridad cibernética en la gestión de
continuidad del negocio;
• Mejorar el uso de los seguros como una herramienta de transferencia de riesgos y proporcionar
tipos más específicos de pólizas de seguros que deberían ser una parte integral de la gestión de
continuidad del negocio;
• Introducción de técnicas de respaldo de datos más robustas;
• Más estrategias específicas de tecnología, y;
• Más estrategias de producción.

Además, se modificaron los títulos de cuatro de las Prácticas Profesionales:

• La Práctica Profesional Uno se cambió de Inicio y Administración del Programa a Gestión de
Programas;
• La Práctica Profesional Cinco se cambió de Respuesta a Incidentes a Preparación y Respuesta
ante Incidentes para enfatizar las actividades que son necesarias para crear un plan de
respuesta efectivo;
• La Práctica Profesional Ocho se cambió de Ejercicio, Evaluación y Mantenimiento del Plan de
Continuidad del Negocio a Ejercicio/Prueba, Evaluación y Mantenimiento del Plan de
Continuidad del Negocio para mantener la coherencia; y
• La Práctica Profesional Diez se cambió de Coordinación con Dependencias Externas a
Coordinación con Dependencias y Recursos Externos.

A menos que se especifique lo contrario, las listas no están en ningún orden en particular. Las
necesidades pueden variar según la organización.

Desde la última revisión de las Prácticas Profesionales, la disciplina de la resiliencia ha crecido para ser
más holística e inclusiva, al igual que el vocabulario técnico y del negocio. En la siguiente etapa de la
actualización del proceso de Prácticas Profesionales, el DRI reconciliará la terminología utilizada en las
Prácticas Profesionales y la utilizada en el Glosario Internacional para Resiliencia. El objetivo es agregar
y modificar términos en el glosario para reflejar la evolución del lenguaje.

© DRI International 2023 Todos los derechos reservados 5

Expresiones de gratitud
Gracias a nuestros miembros del Comité de Práctica Profesional (Professional Practice Committee) por
su contribución a la profesión.

Comité de Auditoría
Presidente, Raymond Seid, MBCP, CBCLA, ARMP
Coordinador del DRI, Al Berman, MBCP, CBCLA, CCRP
Michele Turner, MBCP
Andrea Abrams, CBCP
Mike Semel, CBCP

Comité de Revisión
Don Schmidt, CBCP, CBCLA

Editores
Chloe Demrovsky, CBCV
Buffy Rojas Leach

Traducción al Español
Norman Ramírez, MBCP, CRMP, CCRP
Mariana Quirós, MBCP
Viriato Sánchez, CRMP, CBCP, CBCA, CBCV, CCRP
Karol Cordero, MBCP, CBCV, CCRP

© DRI International 2023 Todos los derechos reservados 6

Resumen ejecutivo

Objetivos de las Prácticas Profesionales para la Gestión de Continuidad del Negocio

1. Gestión de Programas
1.1. Establecer la necesidad de un programa de continuidad del negocio.
1.2. Introducir conceptos clave, como gestión de programas, conciencia de riesgos, impacto en
funciones/procesos críticos, estrategias de recuperación, capacitación y concientización, y
ejercicios/pruebas.
2. Evaluación de Riesgos
2.1. Identificar los riesgos que podrían impactar los recursos, los procesos o la reputación de una
organización.
2.2. Evaluar los riesgos para determinar los impactos negativos potenciales para la organización,
permitiendo a la organización determinar los medios más efectivos para reducirlos.
3. Análisis de Impacto al Negocio
3.1. Identificar y priorizar todas las funciones, procesos y dependencias de la organización para
determinar el mayor impacto sobre la organización en caso de que las funciones no estén
disponibles. Este análisis debe conservarse y estar disponible para ayudar a la organización a
comprender los incidentes y/o las consecuencias resultantes. Cuantificar el impacto para la
organización, sus servicios y las partes afectadas.
3.2. Analizar, documentar y comunicar los hallazgos para resaltar todas las brechas entre los
requerimientos de la organización y sus capacidades actuales.
4. Estrategias de Continuidad del Negocio
4.1. Seleccionar estrategias para reducir las brechas identificadas durante la evaluación de riesgos y
el análisis de impacto al negocio.
4.2. Identificar las principales funciones de la organización, incluidos los posibles proveedores de
servicios externos, con el apoyo de la parte responsable del análisis de impacto al negocio.
5. Preparación y Respuesta ante Incidentes
5.1. Comprender los tipos de incidentes que podrían poner en peligro la vida, la propiedad, las
operaciones o el medio ambiente y sus impactos potenciales.
5.2. Establecer y mantener capacidades para proteger la vida, la propiedad, las operaciones y el
medio ambiente de incidentes potenciales mediante la implementación de un sistema de gestión
de incidentes para comandar, controlar y coordinar las actividades de respuesta, continuidad y
recuperación con recursos internos y externos.
6. Desarrollo e Implementación del Plan
6.1. Documentar los planes que se utilizarán durante un incidente que permitirán que la organización
continúe funcionando.
6.2. Definir los criterios de ejercicio/prueba para validar que los planes lograrán el objetivo deseado.
7. Programas de Concientización y Entrenamiento
7.1. Establecer y mantener programas de entrenamiento y concientización que den como resultado
que el personal pueda responder a incidentes disruptivos de manera tranquila y eficiente.
8. Ejercicio/Prueba, Evaluación y Mantenimiento del Plan de Continuidad del Negocio
8.1. Establecer un programa de ejercicio/prueba, evaluación y mantenimiento del plan de
continuidad del negocio para mejorar el estado de preparación de la organización.
9. Comunicación de Crisis
9.1. Crear y mantener un plan de comunicación de crisis.
9.2. Asegurar que el plan de comunicación de crisis proporcione una comunicación oportuna y
efectiva con las partes internas y externas.
10. Coordinación con Dependencias y Recursos Externos
[Link] políticas y procedimientos para coordinar las actividades de respuesta con las
organizaciones públicas correspondientes y los recursos privados de acuerdo con la Práctica
Profesional Cinco: Preparación y Respuesta ante Incidentes.

© DRI International 2023 Todos los derechos reservados 7

Práctica Profesional Uno: Gestión de Programas

Objetivos
1. Establecer la necesidad de un programa de continuidad del negocio.
2. Introducir conceptos clave, como gestión de programas, conciencia de riesgos, impacto en
funciones/procesos críticos, estrategias de recuperación, capacitación y concientización, y
ejercicios/pruebas.

Rol del profesional

1. Establecer la necesidad de un programa de continuidad del negocio.
2. Obtener apoyo y financiamiento para el programa de continuidad del negocio. Crear documentación
para facilitar la adopción del programa por parte del liderazgo y su apoyo continuo.
3. Coordinar y/o liderar la implementación del programa de continuidad del negocio en toda la
organización.

Actividades
1. Establecer la necesidad de un programa de continuidad del negocio.
1.1. Investigar, hacer referencia y cuantificar los requerimientos y restricciones de negocio, legales,
reglamentarios y contractuales relevantes, tanto desde una perspectiva interna como externa.
Proporcionar recomendaciones sobre cumplimiento y conformidad para la organización.
Obtener expertos en la materia para proporcionar información detallada sobre consideraciones
operativas y técnicas específicas que se aplican a la organización. Referenciar estándares
relevantes.
1.2. Identificar y resolver cualquier conflicto entre el gobierno, las políticas y los procedimientos de la
organización y sus requisitos externos. Asegúrese de que el programa de continuidad del
negocio propuesto aborde adecuadamente cualquier brecha que pueda reducir la efectividad del
programa. Revisar guías, incidentes anteriores y cualquier informe de auditoría existente.
1.3. Indicar los beneficios de la continuidad del negocio dentro del contexto de la misión de la
organización.
1.4. Explicar el papel del liderazgo, incluida la rendición de cuentas y la responsabilidad relacionada
con un programa de continuidad del negocio ineficaz.
1.5. Desarrollar informes y presentaciones formales enfocados en aumentar la conciencia sobre el
impacto potencial de los riesgos para la organización.
2. Obtener apoyo y financiamiento para el programa de continuidad del negocio. Crear documentación
para facilitar la adopción del programa por parte del liderazgo y su apoyo continuo.
2.1. Desarrollar un estatuto para el programa de continuidad del negocio dentro del contexto de la
misión de la organización. Incluya objetivos, supuestos y alcance para el programa de
continuidad del negocio.
2.2. Desarrollar un presupuesto y adquirir recursos para el programa de continuidad del negocio.
2.3. Definir la estructura del programa de continuidad del negocio. Identificar las posibles
necesidades de políticas y los factores críticos de éxito.
2.4. Identificar el liderazgo para el desarrollo del programa de continuidad del negocio.
2.5. Presentar la estructura propuesta del programa de continuidad del negocio para obtener el
apoyo del liderazgo y la aprobación del programa de continuidad del negocio.
2.6. Obtener la aprobación del liderazgo para el presupuesto.
2.7. Establecer un comité directivo/organismo de supervisión para que sea responsable del
programa de continuidad del negocio.
2.8. Definir el alcance de las responsabilidades y la rendición de cuentas general de cada miembro
del comité directivo/organismo de supervisión y sus funciones de apoyo.

© DRI International 2023 Todos los derechos reservados 8

3. Coordinar y/o liderar la implementación del programa de continuidad del negocio en toda la
organización.
3.1. Asesorar al comité directivo/organismo de supervisión para impulsar la implementación de los
objetivos, la estructura del programa y los factores críticos de éxito. Abordar la alineación con
las políticas organizacionales existentes.
3.2. Desarrollar o utilizar políticas, estándares y procedimientos existentes para el programa de
continuidad del negocio dentro del contexto de la misión, los objetivos y las operaciones de la
organización.
3.3. Indicar el propósito y obtener los recursos necesarios para el programa de continuidad del
negocio.
3.4. Identificar equipos para apoyar la implementación del programa de continuidad del negocio,
incluidos aquellos equipos que participarán en la ejecución de las siguientes actividades:
[Link]ón de riesgos y estrategias
[Link]álisis de impacto al negocio
[Link]ón e implementación de la estrategia de recuperación
[Link]ón, respuesta y recuperación de incidentes
[Link]ón y comunicación de crisis
[Link]álisis de brechas posterior al incidente e implementación ganada
[Link]ón del plan de continuidad del negocio
[Link]ón de actividades de ejercicio/prueba, mantenimiento y auditoría
[Link] de respuesta, recuperación y restauración durante/después de un incidente
3.5. Monitorear el estado del impacto presupuestario en curso del programa de continuidad del
negocio según el proceso de gestión del presupuesto existente de la organización.
3.6. Desarrollar planes de proyecto para los componentes principales, como los procesos de
evaluación de riesgos y análisis de impacto al negocio. Resumir cualquier tarea requerida para
dar apoyo a los factores críticos de éxito aprobados, que pueden incluir, pero no están limitados
a:
[Link] cronograma de implementación
[Link] de tiempo
[Link] del programa
[Link] de personal
3.7. Supervisar la efectividad continua del programa de continuidad del negocio.
[Link], monitorear, rastrear e informar sobre los requerimientos continuos de gestión y
documentación para el programa de continuidad del negocio.
[Link], rastrear e informar el cumplimiento/conformidad con los estándares
regulatorios y de la industria.
[Link] y ejecutar estrategias de benchmarking internas y externas.
3.8. Informar al liderazgo a medida que cambian las circunstancias.
[Link] un cronograma para informar sobre el estado del programa de continuidad del
negocio al liderazgo.
[Link] informes de estado regulares para el liderazgo que contengan información precisa
y oportuna sobre los elementos clave del programa de continuidad del negocio.

© DRI International 2023 Todos los derechos reservados 9

Práctica Profesional Dos: Evaluación de Riesgos

Objetivos
1. Identificar los riesgos que podrían impactar los recursos, los procesos o la reputación de una
organización.
2. Evaluar los riesgos para determinar los impactos negativos potenciales para la organización,
permitiendo a la organización determinar los medios más efectivos para reducirlos.

Rol del profesional

1. Trabajar con el liderazgo y cualquier grupo de gestión de riesgos para llegar a un acuerdo sobre una
metodología de evaluación de riesgos.
2. Identificar, desarrollar e implementar actividades de recopilación de información en toda la
organización para identificar riesgos.
3. Determinar la probabilidad y el impacto de los riesgos identificados.
4. Evaluar el impacto de los riesgos sobre aquellos factores que son esenciales para la realización de
las operaciones de la organización.
5. Identificar y evaluar la efectividad de los controles empleados para reducir el impacto de las
exposiciones.
6. Documentar y presentar la evaluación de riesgos y vulnerabilidades y las recomendaciones al
liderazgo para su aprobación.
7. Solicitar la aprobación del liderazgo para desarrollar el apetito de riesgo de la organización para
usarlo como base para la gestión de un proceso continuo de evaluación de riesgos.

Actividades
1. Trabajar con el liderazgo y cualquier grupo de gestión de riesgos para llegar a un acuerdo sobre una
metodología de evaluación de riesgos.
1.1. Trabajar con el liderazgo y cualquier grupo de gestión de riesgos para identificar los
requerimientos internos y externos.
1.2. Lograr un acuerdo sobre una metodología de evaluación de riesgos clara y estandarizada.
1.3. Obtener una comprensión del apetito de riesgo y el umbral de la organización.
1.4. Identificar metodologías y herramientas de análisis de riesgos, que pueden incluir, pero no están
limitados a, análisis cuantitativos y cualitativos.
1.5. Revisar e incorporar los factores de fiabilidad y confianza de los datos que se están utilizando.
1.6. Seleccionar la metodología y las herramientas apropiadas para la implementación en toda la
organización.
1.7. Establecer los criterios de medición necesarios para cuantificar la probabilidad y el impacto de
los riesgos identificados, así como la efectividad de los controles existentes.
2. Identificar, desarrollar e implementar actividades de recopilación de información en toda la
organización para identificar riesgos.
2.1. Identificar la metodología a utilizar en el proceso de recopilación de información.
2.2. Colaborar con los grupos relevantes de la organización, incluidos, pero no limitados a, gestión
de riesgos, seguros, asesoría legal, seguridad física, gestión de la cadena de suministro,
seguridad de la información y partes interesadas relevantes para identificar riesgos.
2.3. Determinar las fuentes de información que se utilizarán para recopilar datos sobre riesgos y
hacer referencia a las fuentes en el informe. Desarrollar una estrategia para recopilar
información consistente con las políticas de la organización.
2.4. Crear métodos de recopilación y distribución de información para toda la organización, incluidos,
pero no limitados a, formularios, cuestionarios, entrevistas, reuniones y/o combinaciones de
estos procesos.
2.5. Identificar los riesgos de la organización.
[Link] una visión holística del riesgo de toda la organización mediante la identificación de
riesgos, teniendo en cuenta la frecuencia, la probabilidad, la velocidad de desarrollo, la
severidad y el impacto financiero y/o reputacional.

© DRI International 2023 Todos los derechos reservados 10

 [Link] las exposiciones al riesgo de fuentes internas y externas, que pueden incluir,
pero no están limitados a, fenómenos naturales, exposiciones tecnológicas y actos
humanos; exposiciones a la industria o al modelo de negocio; actos accidentales e
intencionales; exposiciones o riesgos controlables, así como aquellos que están fuera del
control de la organización; e incidentes con o sin previo aviso.
3. Determinar la probabilidad y el impacto de los riesgos identificados.
3.1. Desarrollar un método para evaluar cualquier exposición y riesgo en términos de frecuencia de
riesgo, probabilidad, tasa de desarrollo, severidad, impacto y si hay advertencias previas al
incidente, como en el caso de huracanes/tifones/ciclones.
3.2. Identificar los impactos de los riesgos identificados por categoría, que pueden incluir, pero no
están limitados a, disponibilidad de la fuerza laboral, cadena de suministro, ciberseguridad,
tecnología de la información, entrega de productos o servicios, instalaciones, reputacional, legal
y regulatorio.
3.3. Evaluar los riesgos identificados en términos de los riesgos que están bajo el control de la
organización y los riesgos que están fuera del control de la organización.
4. Evaluar el impacto de los riesgos sobre aquellos factores que son esenciales para la realización de
las operaciones de la organización.
4.1. Proporcionar personal, tecnología de la información, tecnología de las comunicaciones y
logística, como el transporte. Identificar y evaluar la efectividad de los controles y salvaguardas
que se encuentran actualmente en vigor.
4.2. Identificar y evaluar la efectividad de la protección de activos. Identificar y evaluar la efectividad
de los controles y salvaguardas que se encuentran actualmente en vigor para los grupos
internos y externos de los que depende la organización para realizar sus operaciones.
4.3. Identificar y evaluar la efectividad de las acciones tomadas para reducir la probabilidad de que
ocurran incidentes que puedan afectar la capacidad de realizar negocios, que pueden incluir,
pero no están limitados a, la ubicación de las instalaciones, las políticas y los procedimientos de
seguridad, la capacitación sobre el uso adecuado de equipos y herramientas, y mantenimiento
preventivo.
4.4. Identificar y evaluar la efectividad de los controles existentes para mitigar las exposiciones de
impacto, como los controles preventivos, que pueden incluir, pero no están limitados a, salud y
seguridad de la fuerza laboral, prácticas de seguridad física, seguridad de la información,
prácticas de empleo y prácticas de privacidad.
5. Identificar y evaluar la efectividad de los controles empleados para reducir el impacto de las
exposiciones.
5.1. Evaluar el equipo que puede incluir, pero no está limitado a, sistemas de rociadores, extintores
contra incendios, generadores, múltiples conexiones a Internet, respaldos de datos y fuente de
alimentación ininterrumpida (uninterruptible power supply – UPS por sus siglas en inglés).
5.2. Evaluar las comunicaciones relacionadas con la seguridad dentro de la organización y con los
proveedores de servicios externos.
5.3. Identificar los puntos de activación para las áreas de servicio y soporte para identificar, escalar y
ejecutar estrategias seleccionadas para abordar los riesgos.
5.4. Recomendar los cambios necesarios para reducir el impacto de los riesgos identificados, que
pueden incluir, pero no están limitados a:
[Link] cambios en la protección física, incluidas, pero no limitadas a, las siguientes
acciones:
[Link]. Identificar los requerimientos necesarios para restringir el acceso a todas las áreas
controladas.
[Link]. Investigar la necesidad de barreras, estructuras reforzadas y alarmas para disuadir
la entrada insegura y/o no autorizada. Abordar las vulnerabilidades de la ubicación
que puedan resultar de la salud, la construcción física, la ubicación geográfica, los
vecinos corporativos, la infraestructura de las instalaciones y la infraestructura
comunitaria. Identificar la necesidad de utilizar personal y/o equipos capacitados
para realizar controles en los puntos de entrada. Evaluar la necesidad de equipos de
vigilancia en los puntos de control de acceso.
[Link]. Identificar cambios en la seguridad y los controles de acceso, seguros de
inquilinos y contratos de arrendamiento.

© DRI International 2023 Todos los derechos reservados 11

 [Link] cambios en la ciberseguridad y la tecnología de la información, incluidas, pero no
limitadas a, las siguientes acciones:
[Link]. Evaluar la necesidad de protección de los datos que se almacenan, ya sea que los
datos se utilicen para el procesamiento o para un respaldo de datos en proceso.
Investigar técnicas como la separación de aire y el aislamiento para proteger los
respaldos de datos.
[Link]. Evaluar la seguridad de la información, incluido el hardware, el software, los datos y
la supervisión de la red, como la detección y la notificación.
[Link]. Evaluar la protección de la ubicación física de los activos de ciberseguridad y
tecnologías de la información.
[Link] los cambios en las políticas, procedimientos, comunicación y procedimientos de
capacitación del personal.
[Link] una lista de verificación y revisar el trabajo antes de la implementación.
[Link] los cambios, incluida la duplicación y las redundancias integradas en los
servicios públicos.
5.5. Interactuar con recursos externos, que pueden incluir, pero no están limitados a, vendedores,
proveedores y subcontratistas.
6. Documentar y presentar la evaluación de riesgos y vulnerabilidades y las recomendaciones al
liderazgo para su aprobación.
6.1. Preparar un informe de evaluación de riesgos que estandarice el análisis en toda la
organización.
6.2. Documentar y presentar los hallazgos de la evaluación de riesgos, que pueden incluir, pero no
están limitados a, los siguientes componentes:
[Link]ón sobre riesgos y exposiciones basada en el análisis de riesgos y
vulnerabilidades
[Link] evaluación de los controles y/o estrategias existentes para gestionar los riesgos
conocidos.
[Link] para la implementación de nuevos controles; proporcionar un análisis
de costo/beneficio para justificar las recomendaciones
[Link] priorizadas para la implementación de nuevos controles
[Link] sobre los medios apropiados para transferir el riesgo
7. Solicitar la aprobación del liderazgo para desarrollar el apetito de riesgo de la organización para
usarlo como base para la gestión de un proceso continuo de evaluación de riesgos.
7.1. Documentar las decisiones de diferimiento del liderazgo y/o no aceptación de riesgos según
corresponda.

© DRI International 2023 Todos los derechos reservados 12

Profesional Tres: Análisis de Impacto al Negocio

Objetivos
1. Identificar y priorizar todas las funciones, procesos y dependencias de la organización para
determinar el mayor impacto sobre la organización en caso de que las funciones no estén
disponibles. Este análisis debe conservarse y estar disponible para ayudar a la organización a
comprender los incidentes y/o las consecuencias resultantes. Cuantificar el impacto para la
organización, sus servicios y las partes afectadas.
2. Analizar, documentar y comunicar los hallazgos para resaltar todas las brechas entre los
requerimientos de la organización y sus capacidades actuales.

Rol del profesional

1. Identificar y documentar los criterios cualitativos y cuantitativos que se utilizarán para evaluar el
impacto en la organización derivado de un incidente.
2. Recomendar objetivos y alcance para el proceso de análisis de impacto al negocio.
3. Establecer los criterios y la metodología a utilizar en la realización del proceso de análisis de impacto
al negocio.
4. Analizar los datos recopilados frente a los criterios aprobados para establecer un tiempo objetivo de
recuperación (recovery time objective - RTO), un punto objetivo de recuperación (recovery point
objective - RPO) y recursos para cada área operativa y su tecnología de soporte.
5. Preparar y presentar los resultados del análisis de impacto al negocio al liderazgo. Obtener la
aceptación de los tiempos objetivos de recuperación, los puntos objetivos de recuperación y los
recursos como se detalla en el análisis de impacto al negocio.

Actividades
1. Identificar y documentar los criterios cualitativos y cuantitativos que se utilizarán para evaluar el
impacto en la organización derivado de un incidente.
1.1. Identificar los plazos críticos (por ejemplo, transferencias electrónicas, nómina o presentaciones
regulatorias).
1.2. Definir y obtener la aprobación de los criterios que se utilizarán para evaluar el impacto en la
organización y las partes afectadas, que pueden incluir, pero no están limitadas a, los siguientes
elementos:
[Link] para los clientes, incluido, pero no limitado a, la rapidez con que los clientes se
enterarán de que existe un problema; la probabilidad de que terminen su relación con la
organización; los requerimientos de los acuerdos existentes y los impactos en los acuerdos
de nivel de servicio (service level agreements - SLA); y el impacto de la organización en las
cadenas de suministro de los clientes.
[Link] financieros, incluidos, pero no limitados a, la pérdida de ingresos; lucro cesante;
impacto en el flujo de efectivo; impacto en la cuota de mercado; impacto en el precio de las
acciones; impacto en la calificación crediticia; multas o sanciones contractuales; pérdidas
resultantes de pagos requeridos por costos fijos; o aumento de los gastos de horas extras.
[Link] regulatorio, que incluye, pero no está limitado a, multas, sanciones, el retiro
involuntario de productos o la revocación de cualquier licencia o permiso.
[Link] operativo, que incluye, pero no está limitado a, niveles de servicio descontinuados
o reducidos e interrupciones en la cadena de suministro.
[Link] en la reputación, que incluye, pero no está limitado a, atención negativa de los
medios, comentarios negativos en las redes sociales, percepción negativa de la comunidad
e impacto en la confianza de los accionistas.
[Link] en la fuerza laboral y en las partes interesadas, que incluye, pero no está limitado
a, la pérdida de vidas, lesiones, impacto en los servicios comunitarios, el medio ambiente y
el impacto psicológico.
1.3. Elementos financieros que brindan transferencia de riesgos a través de seguros, que pueden
incluir, pero no están limitados a, interrupción del negocio, interrupción contingente del negocio,
cadena de suministro, seguro cibernético y de gastos adicionales.

© DRI International 2023 Todos los derechos reservados 13

2. Recomendar objetivos y alcance para el proceso de análisis de impacto al negocio.
2.1. Obtener un acuerdo del liderazgo sobre la metodología de análisis de impacto al negocio y los
criterios que se utilizarán para establecer el proceso y la metodología de análisis de impacto al
negocio.
2.2. Identificar y obtener apoyo del liderazgo y/o identificar a la parte responsable del análisis de
impacto al negocio.
2.3. Elegir una metodología o herramienta para el proceso de análisis de impacto al negocio y la
recopilación de datos. Los datos que se recopilarán deben incluir los procesos operativos y los
requerimientos de recursos incrementales en función de la duración de la recuperación.
2.4. Los datos que se recopilarán deben incluir el impacto de la pérdida de cualquier recurso
necesario para el proceso operativo.
2.5. Los datos por recopilar deben incluir dependencias internas y externas.
2.6. Identificar requerimientos adicionales que sean específicos de la organización.
2.7. Planificar y coordinar la recopilación y el análisis de datos.
2.8. La recopilación de datos puede llevarse a cabo mediante cuestionarios.
[Link] cuestionarios con instrucciones.
[Link] a cabo reuniones de lanzamiento del proyecto para distribuir y explicar los
cuestionarios.
[Link] a los encuestados mientras completan los cuestionarios.
2.9. Programar entrevistas o talleres de seguimiento si se justifica la aclaración de los datos
proporcionados.
[Link] una agenda clara y un conjunto de objetivos.
[Link] recopilación de datos puede llevarse a cabo mediante talleres.
[Link] cada taller, identifique el nivel apropiado de participantes del taller y obtenga el
acuerdo del liderazgo y/o identifique a la parte responsable.
[Link] un lugar apropiado evaluando la ubicación, las instalaciones y la disponibilidad de los
participantes. Considere entrevistas virtuales para los participantes que no puedan asistir
en persona.
[Link] y dirigir el taller.
[Link] que se cumplan los objetivos del taller.
[Link] que se identifiquen los problemas pendientes al final del taller y se realice el
seguimiento adecuado.
2.10. Identificar las principales funciones de la organización, incluidos los posibles terceros
proveedores de servicios, con el apoyo de la parte responsable del análisis de impacto al
negocio.
2.10.1. Recopilar y revisar organigramas existentes.
2.10.2. Identificar personas específicas para representar cada área funcional de la organización.
2.10.3. Identificar representantes de proveedores externos para participar en el proceso de
recopilación de datos.
2.10.4. Informar a las personas seleccionadas sobre el proceso de análisis de impacto al
negocio y su propósito.
2.11. Utilizando la metodología seleccionada, realice la recopilación de datos necesaria para
respaldar el análisis de impacto al negocio.
3. Establecer los criterios y la metodología a utilizar en la realización del proceso de análisis de impacto
al negocio.
3.1. Identificar y obtener acuerdo sobre los métodos de evaluación cuantitativa y cualitativa de los
posibles impactos financieros y no financieros.
3.2. Crear un cronograma para realizar el análisis de impacto al negocio.
4. Analizar los datos recopilados frente a los criterios aprobados para establecer un tiempo objetivo de
recuperación (recovery time objective - RTO), un punto objetivo de recuperación (recovery point
objective - RPO) y recursos para cada área operativa y su tecnología de soporte.
4.1. Analizar los datos recopilados para determinar la priorización de los procesos. Documente todas
las dependencias que existen entre cada proceso de negocio y los componentes de soporte,
incluidos, pero no limitados a, los sistemas de datos y la tecnología relacionada, la cadena de
suministro, los terceros y otros recursos. Estas dependencias pueden ser intradepartamentales,
interdepartamentales o involucrar relaciones externas.

© DRI International 2023 Todos los derechos reservados 14

 4.2. Determinar el orden de recuperación de las funciones de negocio y la tecnología utilizando el
análisis de datos recopilados.
5. Preparar y presentar los resultados del análisis de impacto al negocio al liderazgo. Obtener la
aceptación de los tiempos objetivos de recuperación, los puntos objetivos de recuperación y los
recursos como se detalla en el análisis de impacto al negocio.
5.1. Preparar un borrador del informe de análisis de impacto al negocio utilizando los hallazgos
iniciales, destacando las deficiencias identificadas en un análisis de brechas.
[Link] una declaración de la misión, los objetivos y las metas de la organización,
[Link] el impacto en la misión, los objetivos y las metas de la organización que puede
resultar de un incidente disruptivo.
[Link] una lista priorizada de los procesos y servicios de la organización, incluidos
los tiempos objetivos de recuperación y los puntos objetivos de recuperación, los
requerimientos de recursos necesarios para recuperar y reanudar las operaciones, y un
análisis de brechas entre las capacidades de recuperación actuales y los objetivos,
específicamente:
[Link]. Tiempo (tiempo objetivo de recuperación versus tiempo de recuperación real)
[Link]. Datos (punto objetivo de recuperación versus pérdida real de datos)
[Link]. Recursos (requerimientos de recursos de recuperación versus recursos de
recuperación reales)
[Link] el borrador del informe al liderazgo para obtener retroalimentación.
[Link] los comentarios obtenidos del liderazgo y ajustar los hallazgos, según sea
necesario.
[Link] talleres o reuniones con el liderazgo para discutir cualquier problema con los
hallazgos iniciales.
[Link] los hallazgos para reflejar cualquier cambio que surja de los talleres o reuniones.
5.2. Preparar el informe de análisis de impacto al negocio final y enviarlo al liderazgo para su
aprobación.
5.3. Obtener la aceptación y aprobación del liderazgo para los tiempos objetivos de recuperación,
los puntos objetivos de recuperación y los recursos para cada área funcional según lo definido
por los hallazgos en el informe de análisis de impacto al negocio final.

© DRI International 2023 Todos los derechos reservados 15

Práctica Profesional Cuatro: Estrategias de Continuidad del Negocio

Objetivos
1. Seleccionar estrategias para reducir las brechas identificadas durante la evaluación de riesgos y el
análisis de impacto al negocio.
2. Identificar las principales funciones de la organización, incluidos los posibles proveedores de
servicios externos, con el apoyo de la parte responsable del análisis de impacto al negocio.

Rol del profesional

1. Utilizar los datos recopilados durante la evaluación de riesgos y el análisis de impacto al negocio
para identificar las estrategias de recuperación y continuidad disponibles para las operaciones de la
organización que cumplirán con el tiempo objetivo de recuperación, el punto objetivo de recuperación
y los requisitos de recuperación identificados en el análisis de impacto al negocio.
2. Proteger los registros vitales impresos que pueden estar en peligro de ser destruidos.
3. Utilizar los datos recopilados durante la evaluación de riesgos y el análisis de impacto al negocio
para identificar estrategias de continuidad y recuperación para la tecnología de la organización con el
fin de cumplir los tiempos objetivos de recuperación y los puntos objetivos de recuperación definidos
en el análisis de impacto al negocio.
4. Identificar los problemas de la cadena de suministro (tanto para los proveedores como para los
clientes) a partir del análisis de impacto al negocio que puedan afectar la selección de la estrategia
de recuperación.
5. Evaluar el costo de implementar las estrategias identificadas a través de un análisis costo-beneficio.
6. Recomendar estrategias y obtener la aprobación del liderazgo para ser implementadas.

Actividades
1. Utilizar los datos recopilados durante la evaluación de riesgos y el análisis de impacto al negocio
para identificar las estrategias de recuperación y continuidad disponibles para las operaciones de la
organización que cumplirán con el tiempo objetivo de recuperación, el punto objetivo de recuperación
y los requisitos de recuperación identificados en el análisis de impacto al negocio.
1.1. Revisar los requerimientos de recuperación identificados para cada una de las áreas
funcionales de la organización.
1.2. Identificar estrategias alternativas de continuidad del negocio. Las posibles opciones incluyen,
pero no están limitadas a, las siguientes estrategias:
[Link] procedimientos de solución manuales.
[Link] acuerdos recíprocos.
[Link] un espacio interno de usos múltiples que podría equiparse para apoyar la
recuperación. Identificar estrategias de instalaciones alternas. Identificar un espacio interno
de doble uso que podría equiparse para apoyar la recuperación, como salas de
conferencias, salas de entrenamiento o cafeterías. Asegurar que el tiempo necesario para
preparar y equipar el espacio es consistente con los tiempos objetivos de recuperación.
[Link] e identificar sitios alternos externos. Revisar las opciones de sitios alternos usando
los siguientes criterios: ubicación; la disponibilidad e idoneidad del espacio; capacidades de
comunicación que incluyen voz y datos; la disponibilidad de equipos y materiales; y la
seguridad y solidez del sitio, incluida la disponibilidad de recursos.
[Link] proveedores de servicios tercerizados o subcontratistas.
[Link] la carga de trabajo a un sitio de sobrevivencia.
[Link] al personal a un sitio de sobrevivencia.
[Link] operaciones que no sean sensibles al tiempo de un sitio de sobrevivencia y
transferir personal y/o carga de trabajo del sitio impactado al sitio de sobrevivencia. Esto
también se conoce como desplazamiento.
[Link] un sitio alterno dedicado.
1.2.10. Dirigir personal para trabajar desde casa.

© DRI International 2023 Todos los derechos reservados 16

 1.3. Diferentes tipos de operaciones pueden tener necesidades específicas. Por ejemplo, la
fabricación/distribución puede utilizar las siguientes estrategias de recuperación:
[Link]/reconstruir en el momento del incidente.
[Link] la producción de una línea a otra línea.
[Link] la producción a otro sitio con un procesamiento idéntico.
[Link] la producción en el sitio afectado.
[Link] el inventario existente.
[Link] el exceso de capacidad en otras plantas.
[Link], descontinuar o reducir la producción.
[Link] el producto a los clientes y redistribuirlo.
[Link] un producto sustituto en lugar del producto no disponible.
1.3.10. Externalizar la producción.
2. Proteger los registros vitales impresos que pueden estar en peligro de ser destruidos.
2.1. Los documentos deben escanearse de forma rutinaria y ser almacenados en la nube u otra
solución de almacenamiento externo para cumplir con los objetivos de recuperación para los
registros vitales. Si una organización elige usar fotocopias de documentos, deben almacenarse
en una ubicación externa. Tenga en cuenta que los requisitos legales para la documentación no
original pueden variar de una jurisdicción a otra. Investigue la validez de usar copias o imágenes
digitales en lugar de documentos originales.
2.2. Revise las opciones de sitios alterno utilizando los siguientes criterios, según corresponda:
[Link]ón
[Link]
[Link] y adecuación del espacio
[Link] de comunicaciones que incluyen voz y datos
[Link] de equipos y suministros
[Link] básicos y de sostenibilidad para el sitio, incluida la disponibilidad de recursos
como energía y agua
2.3. Evalúe la viabilidad de estrategias alternativas con los requisitos establecidos en el análisis de
impacto al negocio utilizando los siguientes criterios:
[Link] para cumplir con los objetivos de recuperación definidos
[Link]ón de posibles soluciones, incluidas ventajas y desventajas, y análisis de
costo/beneficio
2.4. Revise la cobertura de seguro existente.
[Link] tipos de seguro pueden incluir, pero no están limitados a:
[Link]. Cibernético
[Link]. Gasto extra
[Link]. Interrupción del negocio
[Link]. Interrupción contingente del negocio
[Link]. Responsabilidad
[Link]. Nómina de sueldos
[Link]. Propiedad y responsabilidad civil
[Link]. Desastres naturales (seguro contra inundaciones)
[Link] la cobertura de seguro que se puede utilizar para respaldar el proceso de
recuperación.
[Link] un análisis de costo/beneficio. Compare los resultados anticipados de las
estrategias potenciales con los impactos definidos en la evaluación de riesgos y el análisis
de impacto al negocio.
3. Utilizar los datos recopilados durante la evaluación de riesgos y el análisis de impacto al negocio
para identificar estrategias de continuidad y recuperación para la tecnología de la organización con el
fin de cumplir los tiempos objetivos de recuperación y los puntos objetivos de recuperación definidos
en el análisis de impacto al negocio.
3.1. Revise los requerimientos de recuperación identificados para la tecnología de la organización en
cada área operativa.

© DRI International 2023 Todos los derechos reservados 17

 3.2. Identifique estrategias alternativas de recuperación de tecnología. Las posibles opciones
incluyen, pero no están limitadas a, las siguientes:
[Link] procedimientos de solución manual para cada área operativa.
[Link] una solución tecnológica que cumpla con los objetivos de recuperación.
[Link] múltiples centros de datos para distribuir datos y operaciones regionalmente.
[Link] sistemas de alta disponibilidad que permitan un reinicio rápido.
[Link] servicios tercerizados.
[Link] la computación en la nube.
3.3. Identifique un sitio de recuperación con controles ambientales adecuados.
3.4. Identifique equipos de tecnología para dar soporte a una fuerza de trabajo remota.
3.5. Desarrolle un análisis preliminar de costo/beneficio de las estrategias seleccionadas para la
solución tecnológica de la organización.
3.6. Identifique cualquier problema de entrega logístico, regulatorio o financiero que pueda surgir.
3.7. Identifique las posibles estrategias de la cadena de suministro para minimizar los impactos en
función de la evaluación de riesgos y el análisis de impacto al negocio.
3.8. Colabore con representantes de la industria, agencias gubernamentales y otros contactos
externos para intercambiar información y así determinar posibles estrategias.
4. Identificar los problemas de la cadena de suministro (tanto para los proveedores como para los
clientes) a partir del análisis de impacto al negocio que puedan afectar la selección de la estrategia
de recuperación.
4.1. Identifique cualquier problema de entrega que pueda surgir de la reubicación a otro sitio.
5. Evaluar el costo de implementar las estrategias identificadas a través de un análisis costo-beneficio.
5.1. Estime el costo de implementar y mantener la recuperación para las estrategias de recuperación
identificadas.
5.2. Valide que la estrategia de recuperación que se está implementando esté acorde con el impacto
en el área operativa.
[Link] en cuenta las cuestiones financieras y reglamentarias.
[Link]úrese de que la solución de recuperación esté alineada con los objetivos de
recuperación.
[Link]úrese de que el costo de recuperación esté alineado con el valor de lo que se va a
recuperar.
5.3. Considere la reducción en el impacto financiero que brinda la cobertura de seguro al determinar
las estrategias que se benefician de seguros tales como interrupción del negocio, interrupción
contingente del negocio, cadena de suministro, seguro cibernético y de gastos adicionales.
6. Recomendar estrategias y obtener la aprobación del liderazgo para ser implementadas.
6.1. Documente las recomendaciones para su aprobación por parte del liderazgo.
6.2. Obtenga la aprobación del liderazgo.

© DRI International 2023 Todos los derechos reservados 18

Práctica Profesional Cinco: Preparación y Respuesta ante Incidentes

Objetivos
1. Comprender los tipos de incidentes que podrían poner en peligro la vida, la propiedad, las
operaciones o el medio ambiente y sus impactos potenciales.
2. Establecer y mantener capacidades para proteger la vida, la propiedad, las operaciones y el medio
ambiente de incidentes potenciales mediante la implementación de un sistema de gestión de
incidentes para comandar, controlar y coordinar las actividades de respuesta, continuidad y
recuperación con recursos internos y externos.

Rol del profesional

1. Identificar los peligros que podrían amenazar la vida, dañar la propiedad, interrumpir las operaciones
o contaminar el medio ambiente.
2. Identificar las reglamentaciones aplicables en materia de salud y seguridad, incendios, protección de
la vida, seguridad nacional, medioambiente, cibernética y seguridad de la información aplicables por
el gobierno federal, estatal/provincial/regional y/o local.
3. Identificar la disponibilidad y las capacidades de los recursos internos y externos necesarios para
proteger la vida, la propiedad y el medio ambiente para los tipos de incidentes identificados.
4. Identificar y evaluar los planes de preparación y respuesta ante incidentes en función de la
evaluación de riesgos y las vulnerabilidades de los activos en riesgo, así como la disponibilidad y las
capacidades de los recursos internos y externos existentes.
5. Llevar a cabo una evaluación de las necesidades de recursos.
6. Revisar los planes de preparación y respuesta a incidentes.
7. Recomendar el desarrollo y ayudar con la implementación de un sistema de gestión de incidentes
para el comando, control y coordinación de recursos durante las actividades de respuesta.
8. Revisar los planes y procedimientos de preparación y respuesta a incidentes con el personal de
respuesta, y ayudar con la coordinación de las agencias y recursos internos y externos relevantes.
9. Obtener y documentar la aprobación formal de los planes y procedimientos por parte del liderazgo.

Actividades
1. Identificar los peligros que podrían amenazar la vida, dañar la propiedad, interrumpir las operaciones
o contaminar el medio ambiente.
1.1. Las categorías de peligro incluyen peligros naturales (biológicos, geológicos, meteorológicos),
actos accidentales e intencionales causados por el hombre (químicos, nucleares) y causas
relacionadas con la tecnología.
1.2. Para cada categoría de peligro, identifique los escenarios previsibles y anote la siguiente
información:
[Link] de ocurrencia
[Link] o alcance
1.2.3.Área(s) de impacto
[Link] de los activos en riesgo que los hacen susceptibles a la amenaza
[Link] de prevención y mitigación existentes
1.3. Para cada tipo de incidente, identifique los impactos potenciales que incluyen, pero no están
limitados a, víctimas, daños a la propiedad, contaminación ambiental, reputacional, financiera,
regulatoria y/o incapacidad para realizar actividades de misión crítica.
2. Identificar las reglamentaciones aplicables en materia de salud y seguridad, incendios, protección de
la vida, seguridad nacional, medioambiente, cibernética y seguridad de la información aplicables por
el gobierno federal, estatal/provincial/regional y/o local.
2.1. Cumpla con los requisitos normativos y de la organización aplicables para la preparación y
respuesta ante incidentes.
3. Identificar la disponibilidad y las capacidades de los recursos internos y externos necesarios para
proteger la vida, la propiedad y el medio ambiente para los tipos de incidentes identificados.
3.1. Identifique y establezca relaciones con departamentos internos y agencias externas que tengan
responsabilidades en la preparación y respuesta a incidentes.

© DRI International 2023 Todos los derechos reservados 19

 3.2. Recopile planes de preparación y respuesta ante incidentes de los recursos internos, incluidos
salud y seguridad ambiental (environmental health and safety – EHS por sus siglas en inglés),
seguridad física, administración de instalaciones, recursos humanos y otros.
3.3. Comuníquese con las agencias públicas, incluidas, pero no limitadas a, la seguridad nacional, el
manejo de emergencias, los servicios médicos de emergencia, los departamentos de bomberos,
las fuerzas del orden, los materiales peligrosos, el rescate y la respuesta a incidentes
cibernéticos para identificar los requisitos, las prácticas y los recursos, así como establecer
relaciones de enlace.
4. Identificar y evaluar los planes de preparación y respuesta ante incidentes en función de la
evaluación de riesgos y las vulnerabilidades de los activos en riesgo, así como la disponibilidad y las
capacidades de los recursos internos y externos existentes.
4.1. Medidas de seguridad de la vida que incluyen, pero no están limitadas a, evacuación, refugio en
el lugar, encierro, "correr, esconderse, pelear" y responsabilidad del personal que responde al
incidente o se ve afectado por él.
4.2. Protocolos de salud, higiene y seguridad de vida, incluida la respuesta a emergencias médicas.
4.3. Protección de la propiedad, como la supervisión y operación de sistemas y equipos de
construcción, incluidos los servicios públicos; calefacción, ventilación y aire acondicionado
(heating, ventilation, and air conditioning – HVAC por sus siglas en inglés); detección y
supresión de incendios; y comunicaciones y sistemas de alerta.
4.4. Actividades de conservación de la propiedad para preparar una instalación para condiciones
meteorológicas extremas pronosticadas u otro incidente disruptivo.
4.5. Contención de derrames o fugas de materiales peligrosos para prevenir lesiones y
contaminación ambiental. Supervisión y operación de sistemas diseñados para contener
materiales peligrosos en sitio. Requisitos para la notificación y reporte de incidentes a las
autoridades ambientales.
4.6. Tiempo de respuesta y capacidades del departamento público de bomberos, servicios médicos
de emergencia, servicio de rescate y contratista de materiales peligrosos.
5. Llevar a cabo una evaluación de las necesidades de recursos.
5.1. Recursos necesarios para proteger la vida, la propiedad y el medio ambiente
5.2. Personal cualificado interno y externo para dar respuesta a incidencias
5.3. Sistemas y equipos, incluidos, pero no limitados a, detección, alarma, comunicaciones,
advertencia, supresión y contención disponibles para la respuesta a incidentes
5.4. Los acuerdos de asociación o ayuda mutua aplicables, documentados y actualizados
5.5. Brechas entre los recursos necesarios y la disponibilidad y capacidad de los recursos internos y
externos
5.6. Brechas entre los requisitos y la disponibilidad y capacidades de los recursos
6. Revisar los planes de preparación y respuesta a incidentes.
6.1. Supervise las amenazas y los peligros y detecte rápidamente los incidentes.
6.2. Advierta a las personas en peligro o potencialmente en peligro que tomen medidas de
protección.
6.3. Alerte al personal de primera respuesta tanto internos como externos.
6.4. Reporte los incidentes a la persona, departamento y/o agencia responsable.
6.5. Escale la respuesta según lo dicte el análisis de la situación.
7. Recomendar el desarrollo y ayudar con la implementación de un sistema de gestión de incidentes
para el comando, control y coordinación de recursos durante las actividades de respuesta.
7.1. Desarrolle una estructura de gestión de incidentes con roles, responsabilidades, líneas de
autoridad, delegación de autoridad y sucesión de autoridad definidas.
7.2. Obtenga una comprensión del comando de incidentes local, estatal y federal y de los sistemas
de gestión de incidentes.
7.3. Desarrolle procedimientos para el análisis de la situación, el desarrollo del plan de acción de
incidentes, la gestión de recursos internos y externos y la adquisición de recursos adicionales.
7.4. Desarrolle procedimientos para sesiones informativas sobre incidentes que incluyan informes de
situación iniciales y periódicos.
7.5. Documente las comunicaciones durante un incidente.

© DRI International 2023 Todos los derechos reservados 20

 7.6. Establezca un centro de operaciones de emergencia (emergency operations center – COE por
sus siglas en inglés) físico o virtual para la coordinación de las actividades de respuesta,
continuidad y recuperación.
[Link] centros de operaciones de emergencia física deben dimensionarse para albergar el
número anticipado de personas y estar equipados para respaldar la ocupación durante la
duración de los tipos de incidentes identificados.
[Link] centro de operaciones de emergencia debe estar equipado con los tipos de capacidades
de comunicación necesarias para respaldar el alcance y la duración de los incidentes
previsibles.
[Link] establecerse procedimientos para la gestión, operación, planificación, logística y
finanzas/administración del centro de operaciones de emergencia, definiendo funciones y
responsabilidades, comunicaciones y flujo de información. Las copias seguras de las
políticas, planes y procedimientos deben estar inmediatamente disponibles para el
personal del centro de operaciones de emergencia.
8. Revisar los planes y procedimientos de preparación y respuesta a incidentes con el personal de
respuesta, y ayudar con la coordinación de las agencias y recursos internos y externos relevantes.
8.1. Identifique documentos, como planes previos al incidente, planes de acción de emergencia y
planes de manejo de materiales peligrosos, que deben presentarse a las agencias públicas.
9. Obtener y documentar la aprobación formal de los planes y procedimientos por parte del liderazgo.

© DRI International 2023 Todos los derechos reservados 21

Práctica Profesional Seis: Desarrollo e Implementación del Plan

Objetivos
1. Documentar los planes que se utilizarán durante un incidente que permitirán que la organización
continúe funcionando.
2. Definir los criterios de ejercicio/prueba para validar que los planes lograrán el objetivo deseado.

Rol del profesional

1. Utilizar las estrategias aprobadas desarrolladas en la Práctica Profesional Cuatro: Estrategias de
Continuidad del Negocio como base para la documentación del plan.
2. Definir la estructura para la documentación del plan.
3. Coordinar el esfuerzo para documentar los planes de recuperación para las operaciones de la
organización y la infraestructura de apoyo. Considerar tipos de planes basados en las necesidades
de la organización.
4. Publicar los documentos del plan.

Actividades
1. Utilizar las estrategias aprobadas desarrolladas en la Práctica Profesional Cuatro: Estrategias de
Continuidad del Negocio como base para la documentación del plan.
1.1. Diseñe, desarrolle e implemente estrategias de recuperación de las operaciones de la
organización.
[Link] los requerimientos que se utilizarán para crear el plan de continuidad del
negocio.
[Link] sobre el progreso del desarrollo e implementación del plan a las autoridades
designadas.1
[Link] todas las tareas requeridas para la implementación del plan, que pueden incluir,
pero no están limitadas a:
[Link]. Adquisición de recursos internos y externos del plan de recuperación y continuidad
del negocio
[Link]. Establecimiento de procesos de respuesta, recuperación y restauración
[Link]. Establecimiento de procesos para el desarrollo y mantenimiento de la
documentación
2. Definir la estructura para la documentación del plan.
2.1. Determine cómo se organizará el plan e identifique los equipos necesarios para documentar los
planes.
[Link] la alineación con el alcance del proceso de planificación.
[Link] los recursos, las personas, las instalaciones y la tecnología dentro del plan integral
de continuidad. Los componentes del plan de continuidad del negocio pueden incluir
requisitos normativos, operaciones estratégicas (delegación de autoridad), operativas, de
respuesta a incidentes, de recuperación, de restauración y de vuelta a la normalidad.
[Link] consideraciones estratégicas pueden incluir, pero no están limitadas a:
[Link]. La magnitud de advertencia anticipada
[Link]. Si el plazo será corto o largo
[Link]. Si los impactos serán locales o regionales, regionales o específicos de los sitios de
una organización
[Link]. Si existe un impacto potencial en cascada provocado por un evento en cascada. Un
evento en cascada ocurre cuando el incidente tiene el potencial de crear efectos
adversos adicionales.
2.2. Defina los roles y responsabilidades para el desarrollo del plan, incluidas las siguientes
acciones:
[Link] las tareas a realizar, incluido el ejercicio/pruebas.

1
Vea la Práctica Profesional Uno: Gestión de Programas para obtener más detalles sobre la definición de la
estructura de informes.

© DRI International 2023 Todos los derechos reservados 22

 [Link] un cronograma para completar el plan, incluidos ejercicios/pruebas.
[Link] un proceso para revisar, evaluar y recomendar herramientas, que pueden
incluir, pero no están limitados a, software de planificación, software de ejercicios/pruebas,
bases de datos, software especializado y plantillas.
[Link] plantillas que se puedan usar para capturar información sobre procesos,
tecnología y otros componentes del plan.
[Link] otra documentación de apoyo.
[Link] que haya mecanismos integrados para facilitar el mantenimiento, como el control
de versiones definido.
2.3. Defina los requisitos de contenido para el plan, que pueden incluir, pero no están limitados a, los
siguientes:
[Link], políticas y procedimientos, control de distribución, requisitos de
confidencialidad y niveles de autoridad
[Link] alcance y los objetivos, incluidos los supuestos, alineados con la misión, las metas, los
objetivos y las políticas de continuidad del negocio de la organización, incluida la
identificación de operaciones sensibles al tiempo y los recursos necesarios para
respaldarlas
[Link] organizativas de los equipos, así como los roles y responsabilidades de cada
equipo
[Link] de activación del plan: evaluación inicial, escalamiento, procesos de
reporte, declaración, activación del plan, recuperación, declaración de interrupción y
reanudación de operaciones normales
3. Coordinar el esfuerzo para documentar los planes de recuperación para las operaciones de la
organización y la infraestructura de apoyo. Considerar tipos de planes basados en las necesidades
de la organización.
3.1. Plan(es) de gestión de incidentes, que debe incluir lo siguiente:
[Link] de seguridad de vida, incluida la evacuación y el refugio en el lugar
[Link] de comando y control de incidentes
[Link] y responsabilidades del personal que participa en la gestión de incidentes
[Link]ón del centro de operaciones de emergencia (EOC)
[Link] proceso para realizar una evaluación, que debe incluir:
[Link]. Restricción a la organización frente a pérdidas adicionales, incluido un análisis de
costo/beneficio de la reparación frente al reemplazo de los activos de la organización
[Link]. Tiempo estimado necesario para reparar o reemplazar los recursos de la
organización
[Link]. Métodos de restauración de los recursos de la organización
[Link]. Proceso de aprobación para la restauración y presentación de reclamos de seguros
[Link]. Proceso de salvamento
3.2. Plan(es) de gestión de crisis 2, que debe incluir lo siguiente:
[Link] del equipo de gestión de crisis
[Link] de los procedimientos para la respuesta a incidentes, las comunicaciones de
crisis y la recuperación
[Link] de notificación a las partes interesadas en intervalos apropiados durante
un incidente (como actualizaciones de estado, comunicados de prensa y otras
comunicaciones dirigidas diseñadas para las partes interesadas), que pueden incluir, pero
no están limitados a, los medios de comunicación, los empleados y sus familias, los
organismos reguladores, personal de primera respuesta de emergencia, agencias,
servicios de materiales peligrosos especiales (hazardous materials - HAZMAT por sus
siglas en inglés), inversionistas, la junta directiva de gobierno u otra autoridad de liderazgo
relevante, representantes laborales, vecinos y otros grupos interesados (como clientes,
vendedores o proveedores)
3.3. Plan(es) de activación del sitio de recuperación, que debe incluir lo siguiente:

2
Ver también Práctica Profesional Cinco: Preparación y Respuesta ante Incidentes y Práctica Profesional Nueve:
Comunicación de Crisis.

© DRI International 2023 Todos los derechos reservados 23

 [Link] de alerta
[Link] de declaración
[Link] de recuperación, que puede incluir:
[Link]. Administración y logística
[Link]. Equipamientos nuevos o entregas “justo a tiempo”
[Link]. Servicios técnicos y procedimientos
[Link]. Interacción con usuario final
[Link]. Operaciones del negocio
[Link]. Logística y comunicaciones entre sitios
[Link]. Proceso y procedimiento de recuperación de la producción
[Link]. Logística involucrada en la organización del viaje y alojamiento del personal de
recuperación; transportar los recursos necesarios para la recuperación, el
mantenimiento y la seguridad de la instalación de recuperación; y prever la
adquisición de recursos adicionales
3.4. Planes de recuperación operacional, incluyendo:
[Link] de recuperación, incluidos miembros principales y alternos
[Link]ón de recursos, incluidos, pero no limitados a, requisitos tecnológicos,
registros vitales, comunicaciones de voz y datos, contactos y proveedores externos críticos
y requisitos de equipos
3.5. Plan(es) de continuidad del negocio, que debe incluir lo siguiente:
[Link] de recuperación, incluidos miembros principales y alternos
[Link] alternativas de hacer negocios cuando los recursos habituales no están
disponibles
[Link], procedimientos y comunicación de continuidad del negocio
[Link]ón de recursos alternos
[Link]ón de recursos alternos
3.6. Plan(es) de recuperación de tecnología, que debe incluir lo siguiente:
[Link] de recuperación que incluyen miembros principales y alternos
[Link]ón y administración de recursos alternos, incluidos los recursos que puedan ser
necesarios para:
[Link]. Almacenamiento, que puede incluir, pero no están limitados a, dispositivos de
almacenamiento conectados a la red y dispositivos de almacenamiento de datos
[Link]. Hardware de comunicaciones de voz y datos que puede incluir, pero no están
limitados a, conmutadores de red de área local (LAN), conmutadores de alimentación
a través de Ethernet y conmutadores administrados/no administrados
[Link]. Requisitos de hardware y software que pueden incluir, pero no están limitados a,
servidores, unidades de cinta/biblioteca de cintas, software de aplicación, sistemas
operativos, aplicaciones y software de seguridad
[Link]. Requisitos de infraestructura que pueden incluir, pero no están limitados a,
fuentes de energía y controladores, calefacción, ventilación y aire acondicionado
(HVAC), cableado y seguridad de acceso
[Link]. Requisitos de seguridad de la información que pueden incluir, pero no están
limitados a, cortafuegos, autenticación de acceso, protección contra malware, cifrado
y requisitos de equipo
[Link] planes de recuperación de tecnología deben describir un procedimiento detallado para
la recuperación del entorno tecnológico, incluidos los siguientes pasos:
[Link]. Identificación de aplicaciones y dependencias
[Link]. Un proceso para la gestión del cambio
[Link]. Un proceso para la gestión de problemas
[Link]. Un plan de ejercicio/prueba y mantenimiento
3.7. Plan(es) para cancelar el(los) plan(es) de activación del sitio de recuperación y otras acciones
de emergencia
4. Publicar los documentos del plan.
4.1. Proporcione un borrador final del plan, incluidas las recomendaciones de ejercicio/prueba, a los
dueños de los procesos de negocio.
4.2. Obtenga la aprobación del liderazgo.

© DRI International 2023 Todos los derechos reservados 24

 4.3. Establezca procedimientos para la distribución y control de los planes.
4.4. Asegúrese de que el acceso a la información esté disponible incluso cuando el entorno de
tecnología de la información (TI) se vea comprometido.
4.5. Publicar y distribuir los planes o partes de los planes a aquellos con autorización para recibir
información.

© DRI International 2023 Todos los derechos reservados 25

Práctica Profesional Siete: Programas de Concientización y Entrenamiento

Objetivos
1. Establecer y mantener programas de entrenamiento y concientización que den como resultado que
el personal pueda responder a incidentes disruptivos de manera tranquila y eficiente.

Rol del profesional

1. Establecer los objetivos y componentes del programa de concientización y entrenamiento sobre
continuidad del negocio.
2. Identificar los requisitos de concientización y entrenamiento en todas las funciones de la
organización.
3. Priorizar los requisitos de concientización y entrenamiento del personal de la organización.
4. Desarrollar la metodología para el programa de concientización y entrenamiento de la organización.
5. Identificar, desarrollar o adquirir herramientas y recursos de concientización y entrenamiento
necesarios para cumplir con los objetivos del programa.
6. Supervisar la entrega de las actividades realizadas para lograr los objetivos del programa de
concientización y entrenamiento.

Actividades
1. Establecer los objetivos y componentes del programa de concientización y entrenamiento sobre
continuidad del negocio.
1.1. Definir el programa de concientización y entrenamiento.
1.2. Recomendar un cronograma de concientización y entrenamiento.
1.3. Obtener apoyo del liderazgo para el programa.
1.4. Obtener el compromiso del personal.
2. Identificar los requisitos de concientización y entrenamiento en todas las funciones de la
organización.
2.1. Definir y documentar el nivel deseado de concientización y entrenamiento sobre la continuidad
del negocio en toda la organización.
2.2. Definir y documentar los requisitos de recursos y presupuesto para la concientización y
entrenamiento.
3. Priorizar los requisitos de concientización y entrenamiento del personal de la organización.
3.1. Al diseñar un programa de concientización, es importante considerar qué personal interno debe
comprender los componentes relevantes del programa de continuidad del negocio. Los temas
pueden incluir, pero no se limitan a:
[Link], alcance y componentes del programa de continuidad del negocio
[Link]ón de incidentes y expectativas, así como procedimientos de preparación y
respuesta a incidentes
3.2. Al diseñar un programa de entrenamiento, es importante considerar qué personal debe
capacitarse en qué componentes del programa de continuidad del negocio. Los temas
requeridos en los que se debe capacitar al personal pueden incluir, pero no se limitan a:
[Link] de incidentes
[Link] de alerta
[Link] de evacuación y refugio en el lugar
[Link] basados en escenarios que ejercitan/prueban las operaciones y los elementos
del plan de tecnología de continuidad del negocio
3.3. Los requerimientos de entrenamiento de la gerencia pueden incluir, pero no están limitados a:
[Link]/pruebas de identificación y reacción de incidentes
[Link] basados en escenarios tecnológicos y de operaciones
3.4. Los temas requeridos en los que los miembros del equipo de continuidad del negocio deben
recibir entrenamiento pueden incluir, pero no están limitados a:
[Link]/pruebas de evacuación y refugio en el lugar
[Link] basados en escenarios
[Link] de tecnología

© DRI International 2023 Todos los derechos reservados 26

4. Desarrollar la metodología para el programa de concientización y entrenamiento de la organización.
4.1. Realizar una evaluación de necesidades para el programa de concientización y entrenamiento,
que puede incluir, pero no se limita a, los siguientes métodos:
[Link] una encuesta de necesidades para evaluar el estado actual de concientización y
entrenamiento para determinar si está alineado con las metas establecidas por el liderazgo.
Los participantes de la encuesta pueden estar en diferentes niveles y pueden incluir
diversas partes interesadas, tales como los gerentes funcionales, los participantes del plan,
la tecnología y la población empresarial en general.
[Link] los datos recopilados para identificar tendencias y brechas.
[Link] los resultados de ejercicios/pruebas anteriores y realizar análisis de brechas
basado en esos resultados.
4.2. Realizar un estudio comparativo de los niveles actuales de concientización y entrenamiento
dentro de la organización con los niveles deseados e iniciar un plan para abordar las brechas
identificadas.
4.3. Diseñar el proceso de entrenamiento para incluir lo siguiente:
[Link] objetivos, identificar y seleccionar métodos de entrega, incluidos, pero no limitados
a, ejercicios/pruebas basadas en escenarios y comunicaciones.
[Link] los roles y responsabilidades para el programa de entrenamiento.
[Link] un plan de entrenamiento por escrito y políticas de apoyo.
[Link] la aprobación del liderazgo.
5. Identificar, desarrollar o adquirir herramientas y recursos de concientización y entrenamiento
necesarios para cumplir con los objetivos del programa.
5.1. Identificar los recursos internos y externos necesarios para respaldar el programa de
concientización y entrenamiento, que pueden incluir, pero no se limita a, cursos, sitios web,
herramientas de redes sociales, aplicaciones, conferencias, seminarios web, asociaciones y
grupos de usuarios, reportes técnicos y otras publicaciones, certificaciones y programas de
educación académica relevantes.
6. Supervisar la entrega de las actividades realizadas para lograr los objetivos del programa de
concientización y entrenamiento.
6.1. Calendarizar y realizar actividades de concientización.
6.2. Calendarizar y entregar actividades de entrenamiento.
6.3. Monitorear la eficacia de las actividades de concientización y entrenamiento mediante
encuestas de seguimiento o autoevaluación de los participantes.
6.4. Revisar periódicamente los resultados de las actividades del programa de concientización y
entrenamiento. Proporcionar un informe al liderazgo sobre los resultados del programa.
6.5. Evaluar periódicamente el programa de concientización y entrenamiento para asegurar que se
satisfagan las necesidades actuales de la organización.
6.6. Asegurarse de que el programa de concientización sea parte del proceso de incorporación de
nuevos empleados.

© DRI International 2023 Todos los derechos reservados 27

Práctica Profesional Ocho: Ejercicio/Prueba, Evaluación y Mantenimiento del
Plan de Continuidad del Negocio

Objetivos
1. Establecer un programa de ejercicio/prueba, evaluación y mantenimiento del plan de continuidad del
negocio para mejorar el estado de preparación de la organización.

Rol del profesional

1. Establecer un programa de ejercicio/prueba.
2. Establecer un programa de mantenimiento del plan.
3. Identificar la gobernanza apropiada.
4. Establecer un proceso de auditoría para el programa de continuidad del negocio.
5. Proporcionar recomendaciones por escrito basadas en los resultados del ejercicio/prueba, incluidas
las revisiones de las estrategias y los planes si no se pueden lograr los resultados deseados.

Actividades
1. Establecer un programa de ejercicio/prueba.
1.1. Desarrollar un programa de ejercicio/prueba que cumpla con el alcance y los objetivos del
programa de continuidad del negocio de la organización.
[Link] que el programa documentado de continuidad del negocio cumpla con sus
objetivos.
[Link] cualquier brecha en el programa de continuidad del negocio y proporcionar
remedios para eliminar las brechas y mejorar la ejecución del programa.
1.2. Obtener el apoyo necesario y las aprobaciones del liderazgo para el desarrollo del programa de
ejercicio/prueba.
[Link] los criterios del programa de ejercicio/prueba.
[Link] cualquier supuesto del programa de ejercicio/prueba.
[Link] el fin de crear un programa integral, identificar los tipos de ejercicio/prueba que se
incluirán en el programa de ejercicio/prueba. Estos pueden incluir, pero no están limitados
a, los siguientes: seguridad de la vida; recorrido del plan; prueba de escritorio basada en
escenarios; notificación; sitio alterno; infraestructura o aplicación; proceso funcional; prueba
completa de extremo a extremo de una operación o de la tecnología; ejercicio/prueba
integral de todos los recursos internos requeridos para recuperar la organización; y
ejercicio/prueba totalmente integrado con dependencias internas y externas.
[Link] a los participantes y sus roles y responsabilidades en el programa de
ejercicio/prueba, que pueden incluir, pero no están limitados a, los equipo(s) de
recuperación, observadores/generadores de reportes, monitores, auditores/revisores,
facilitadores, proveedores y proveedores de servicios tercerizados.
[Link] las prioridades de mitigación de la evaluación de riesgos de la organización
(consulte la Práctica Profesional Dos: Evaluación de Riesgos) para crear escenarios
realistas. Incluir actividades que hagan referencia a las estrategias de recuperación y la
capacidad de lograr los objetivos dentro de los plazos establecidos. Determinar los
requisitos del ejercicio/prueba y redactar un plan detallado para las actividades.
[Link]. Definir y documentar los objetivos del ejercicio/prueba.
[Link]. Definir y documentar el alcance del ejercicio/prueba.
[Link]. Definir el proceso de notificación de ejercicios, que puede incluir ejercicios
anunciados o no anunciados. Desarrollar un cronograma específico para que el
ejercicio/prueba se realice, al menos, una vez al año o con mayor frecuencia para
cumplir con los requisitos reglamentarios o cambios en la estructura de la
organización (que pueden incluir adquisiciones y fusiones, reorganizaciones,
consolidaciones, ventas de partes de la organización) y/o operaciones. Desarrollar
un calendario de ejercicios/pruebas multianual que incorpore las lecciones
aprendidas de ejercicios/pruebas anteriores y que contenga cada vez más
elementos de ejercicio/prueba de la organización.

© DRI International 2023 Todos los derechos reservados 28

 [Link]. Definir y documentar los criterios de evaluación cuantitativos y cualitativos alineados
con los objetivos del ejercicio/prueba. Esto incluye medir los resultados del
ejercicio/prueba contra los tiempos objetivos de recuperación (RTO) y los puntos
objetivos de recuperación (RPO) definidos en el análisis de impacto al negocio.
Identificar las actividades que deben ocurrir antes del ejercicio/prueba, que pueden
incluir, pero no se limitan a, las siguientes:
[Link].1. Identificar los recursos requeridos para realizar el ejercicio/prueba.
[Link].2. Identificar los participantes necesarios para participar en el ejercicio/prueba.
[Link].3. Distribuir comunicaciones que expliquen los objetivos del ejercicio/prueba y los
roles de todas las partes (incluidas las fuerzas del orden público, los servicios
de emergencia y los medios de comunicación). Proporcionar una lista de
hardware, software, suministros, equipos y otros recursos necesarios para el
ejercicio/prueba.
[Link].4. Documentar y comunicar los requisitos de recursos necesarios para realizar el
ejercicio/prueba.
[Link].5. Especificar si el ejercicio/prueba utilizará un entorno de producción o de no
producción.
[Link].6. Especificar la hora, la fecha y la(s) ubicación(es) del ejercicio/prueba.
Proporcionar un cronograma de eventos y circular entre todos los
participantes.
[Link].7. Establecer un plan de cancelación para el ejercicio/prueba en caso de que el
ejercicio/prueba no logre los objetivos especificados, lo que excluye la
posibilidad de que el ejercicio/prueba alcance la finalización programada.
[Link] el ejercicio/prueba según lo planeado.
[Link]. Si ocurriera un incidente real durante un ejercicio/prueba, debe haber un mecanismo
predeterminado para cancelar el ejercicio/prueba e invocar el proceso real de
continuidad del negocio. Esto puede diferir del plan de cancelación en [Link].7.
[Link]. Registrar los eventos de ejercicio/prueba.
[Link]. Documentar los resultados del ejercicio/prueba.
[Link]. Declarar el fin del ejercicio/prueba.
[Link]. Realizar los procedimientos de apagado (shut-down) al finalizar el ejercicio/prueba.
[Link]. Realizar las actividades de limpieza (cleanup) necesarias.
[Link] las actividades que deben completarse después del ejercicio/prueba.
[Link]. Llevar a cabo sesiones informativas para revisar los resultados del ejercicio/prueba.
Identificar lecciones aprendidas y acciones de mejora.
[Link]. Reportar sobre los resultados del ejercicio/prueba. Proporcionar un resumen
exhaustivo con recomendaciones.
[Link]. Documentar un plan de acción para implementar las recomendaciones que
resultaron del ejercicio/prueba.
[Link]. Anotar cualquier problema pendiente identificado como resultado del
ejercicio/prueba o que existió antes del ejercicio/prueba.
[Link]. Identificar los elementos de acción, incluidas las responsabilidades asignadas a
participantes específicos y los plazos para la solución.
[Link]. Monitorear el progreso hasta completar los elementos de acción identificados.
Documentar las lecciones aprendidas del ejercicio/prueba, incluidos los resultados
esperados frente a los reales y los resultados no esperados.
[Link]. Comunicar los resultados del ejercicio/test.
2. Establecer un programa de mantenimiento del plan.
2.1. Definir el método y el calendario para el programa de mantenimiento del plan.
[Link] el dueño de los elementos del plan. Identificar el personal específico y sus áreas de
responsabilidad.
[Link] el calendario de mantenimiento y procedimientos de revisión.
[Link] procedimientos para facilitar el mantenimiento del plan.
[Link] herramientas de mantenimiento.
[Link] las actividades de mantenimiento.
[Link] un proceso de control de cambios para el plan.

© DRI International 2023 Todos los derechos reservados 29

 2.2. Asegurarse de que el mantenimiento del plan programado aborde todas las recomendaciones
aprobadas del ejercicio/prueba. Reportar sobre las actividades de mantenimiento a las partes
relevantes. Definir un proceso de gestión de cambios para el programa de mantenimiento del
plan.
[Link] cualquier cambio en la organización que resulte en actualizaciones del programa
de continuidad del negocio y el proceso de planificación. Desarrollar procedimientos de
control de cambios para monitorear los cambios. Integrar los procedimientos con cualquier
proceso de control de cambios existente.
[Link] un control de versiones adecuado. Desarrollar procedimientos para la reedición,
distribución y circulación del plan a las partes pertinentes.
[Link] listas de distribución de los planes para su circulación.
[Link] un proceso para actualizar los planes en función de la respuesta a los hallazgos
de la auditoría.
[Link] el proceso de control de cambios.
3. Identificar la gobernanza apropiada.
3.1. Revisar las expectativas de las partes organizacionales, que pueden incluir regulaciones,
lineamientos de salud pública, requisitos de la industria, las necesidades internas de la
organización, acuerdos de nivel de servicio y/u otros factores ambientales. Identificar los
procesos de toda la organización, incluido un proceso de revisión periódica, mejora y mejora
continua.
3.2. Identificar modelos de gobernanza apropiados basados en estándares de la industria,
nacionales o internacionales.
3.3. Definir la frecuencia y alcance de los ejercicios/pruebas que respondan a las necesidades de la
organización.
3.4. Garantizar la aprobación por las partes designadas de la organización.
4. Establecer un proceso de auditoría3 para el programa de continuidad del negocio.
4.1. Determinar un calendario para realizar una auditoría de primera parte (autoevaluación).
4.2. Prepárese para respaldar otras auditorías que puedan ocurrir, que pueden incluir, pero no se
limitan a, auditoría interna o auditoría externa como la de una segunda parte (cliente), auditoría
de tercera parte o de un organismo regulador/gobierno. Documentar cualquier requisito de
auditoría.
4.3. Seleccionar o desarrollar las herramientas que puedan ser necesarias para realizar la auditoría.
4.4. Llevar a cabo actividades de auditoría y monitorear el proceso. La auditoría de las estructuras,
contenidos y secciones de acción del plan puede incluir, pero no limitadas a, requisitos,
documentos y estándares del programa; plantillas y planes; requisitos y resultados de
ejercicio/prueba; plan de mantenimiento; el repositorio del plan y los resultados del
ejercicio/prueba; los procedimientos de control de la documentación del plan; el proceso de
control de versiones y la documentación; y las listas de distribución y procesos asociados.
4.5. Auditar el proceso de control de cambios para la documentación del plan y el programa de
continuidad del negocio.
4.6. Revisar la respuesta a los hallazgos de la auditoría.
4.7. Confirmar que se envíen las respuestas y que los planes de acción estén documentados.
Verificar que todas las acciones completadas estén incluidas en el plan con la documentación
de apoyo.
5. Proporcionar recomendaciones por escrito basadas en los resultados del ejercicio/prueba, incluidas
las revisiones de las estrategias y los planes si no se pueden lograr los resultados deseados.
5.1. Obtener la aprobación del liderazgo para abordar las revisiones de estrategias y planes según
sea necesario. Identificar las partes relevantes de la organización, que pueden incluir, pero no
están limitadas a, dueños de procesos, coordinadores de la gobernanza, comités de supervisión
y el liderazgo de la organización.
5.2. Seleccionar los métodos de comunicación, incluido el nivel de detalle de los informes.
Considerar representaciones gráficas o informes comparativos dirigidos a audiencias
específicas en coordinación con el equipo de comunicaciones de la organización. Establecer un
proceso de monitoreo que asegure que se han tomado las medidas adecuadas como resultado

3
For the purposes of this document, the term audit refers to both audits and assessments.

© DRI International 2023 Todos los derechos reservados 30

 de los hallazgos del informe de auditoría. Este proceso debe incluir el seguimiento de
problemas, la parte responsable de corregir el problema, la fecha límite para completar la
corrección y las fechas de apertura/cierre del asunto.

© DRI International 2023 Todos los derechos reservados 31

Práctica Profesional Nueve: Comunicación de Crisis

Objetivos
1. Crear y mantener un plan de comunicación de crisis.
2. Asegurar que el plan de comunicación de crisis proporcione una comunicación oportuna y efectiva
con las partes internas y externas.

Rol del profesional

1. Diseñar, desarrollar e implementar un plan de comunicación de crisis.
2. Comunicar y capacitar a los miembros del equipo de comunicación de crisis sobre sus roles y
responsabilidades.
3. Ejercitar/probar el plan de comunicación de crisis.
4. Revisar y actualizar el plan de comunicación de crisis al menos una vez al año o con mayor
frecuencia si los resultados del ejercicio/prueba, las regulaciones o los cambios en la organización lo
justifican.

Actividades
1. Diseñar, desarrollar e implementar un plan de comunicación de crisis.
1.1. Revisar cualquier plan de comunicación de crisis existente, identificando y documentando las
brechas.
1.2. Aprovechar los resultados de la evaluación de riesgos como se describe en la Práctica
Profesional Dos: Evaluación de Riesgos para identificar incidentes potenciales para los cuales
se deben planificar las comunicaciones.
1.3. Definir los objetivos, el alcance y la estructura del plan de comunicaciones.
1.4. Establecer la ubicación, los roles y las responsabilidades del equipo de comunicación de crisis.
[Link] y documentar la ubicación principal de las operaciones del equipo de
comunicación de crisis. Puede ser una ubicación física o virtual. Identificar un sitio
secundario.
[Link] la estructura de la gobernanza para desarrollar mensajes internos.
[Link] la función que servirá como contacto principal para las comunicaciones salientes
a los medios.
1.5. Identificar partes interesadas internas y externas para las comunicaciones de crisis. Pueden
incluir, pero no están limitados a, rastreo de contactos de salud pública, empleados y sus
familias, inversionistas, clientes, vendedores y proveedores, operaciones subcontratadas,
organizaciones de intercambio de información de seguridad cibernética, aseguradoras, líderes
comunitarios, autoridades locales de respuesta, órganos rectores, reguladores, organizaciones
laborales, competidores, medios de comunicación, bloggers de la industria y publicaciones
comerciales, y otras partes interesadas o involucradas.
1.6. Desarrollar y documentar el proceso de notificación a los interesados.
[Link] el tono, el contenido y la frecuencia de las comunicaciones antes, durante y
después del incidente.
[Link] los medios de comunicación, que pueden incluir, pero no se limitan a, reuniones
presenciales, llamadas telefónicas personales, visitas domiciliarias, sistemas de
notificación de incidentes, correo electrónico y listas de distribución de grupos,
conferencias telefónicas, sistemas de intranet, conferencias de prensa, líneas de
información sobre incidentes, medios de comunicación (como prensa, radio, televisión),
Internet, plataformas de redes sociales y blogs/vlogs.
1.7. Establecer directrices para identificar el incidente y sus impactos potenciales.
1.8. Establecer directrices para la comunicación inicial antes, durante y después de un incidente.
1.9. Identificar y asignar miembros al equipo de comunicaciones de crisis.
[Link] la aprobación del liderazgo del plan de comunicación de crisis y el proceso de
notificación.
[Link] directrices para las comunicaciones con el equipo de respuesta a incidentes.
[Link] las comunicaciones de muestra que se pueden usar como plantillas durante un
incidente.

© DRI International 2023 Todos los derechos reservados 32

 [Link] que haya un proceso de aprobación para todas las comunicaciones salientes.
2. Comunicar y capacitar a los miembros del equipo de comunicación de crisis sobre sus roles y
responsabilidades.
2.1. Distribuir el plan de comunicación de crisis a aquellos a quienes se les han asignado roles y
responsabilidades.
2.2. Brindar entrenamiento a quienes tienen asignados roles y responsabilidades. El entrenamiento
puede incluir, pero no se limita a, la determinación de factores desencadenantes para iniciar el
proceso de comunicación de crisis, los procedimientos de notificación, aprobación y respuesta,
así como las herramientas adecuadas para emitir comunicaciones.
3. Ejercitar/probar el plan de comunicación de crisis.
3.1. Establecer un calendario de ejercicio/prueba para el plan de comunicación de crisis que sea
consistente con la Práctica Profesional Ocho: Ejercicio/Prueba, Evaluación y Mantenimiento del
Plan de Continuidad del Negocio. Asegurarse de que el plan de comunicación de crisis esté
integrado en todos los ejercicios/pruebas.
3.2. Determinar la metodología para el ejercicio/prueba del plan de comunicación de crisis.
3.3. Desarrollar el escenario, el alcance y los objetivos para cada ejercicio/prueba.
3.4. Realizar una sesión para determinar las lecciones aprendidas después del ejercicio/prueba.
Documentar los elementos de acción correctiva.
4. Revisar y actualizar el plan de comunicación de crisis al menos una vez al año o con mayor
frecuencia si los resultados del ejercicio/prueba, las regulaciones o los cambios en la organización lo
justifican.

© DRI International 2023 Todos los derechos reservados 33

Práctica Profesional Diez: Coordinación con Dependencias y Recursos Externos

Objetivos
1. Establecer políticas y procedimientos para coordinar las actividades de respuesta con las
organizaciones públicas correspondientes y los recursos privados de acuerdo con la Práctica
Profesional Cinco: Preparación y Respuesta ante Incidentes.

Rol del profesional

1. Identificar y establecer procedimientos de respuesta a incidentes para la organización de acuerdo
con la Práctica Profesional Cinco: Preparación y Respuesta ante Incidentes.
2. Identificar las directrices aplicables de preparación y respuesta ante incidentes y las agencias que
tienen jurisdicción sobre la organización.
3. Coordinar los procedimientos de respuesta ante incidentes con agencias y recursos externos.

Actividades
1. Identificar y establecer procedimientos de respuesta a incidentes para la organización de acuerdo
con la Práctica Profesional Cinco: Preparación y Respuesta ante Incidentes.
2. Identificar las directrices aplicables de preparación y respuesta ante incidentes y las agencias que
tienen jurisdicción sobre la organización.
2.1. Identificar los organismos reguladores con jurisdicción sobre la organización. Las agencias
pueden incluir, pero no están limitadas a, salud pública, oficiales de las instalaciones, jefes de
bomberos, fuerzas del orden, organismos reguladores, seguridad y salud ocupacional y otras
organizaciones gubernamentales.
2.2. Identificar los requisitos para la remisión de información sobre las instalaciones de la
organización (como una descripción de su ocupación, peligros, los sistemas de protección y
procedimientos de respuesta) a las organizaciones apropiadas, incluidas las identificadas en la
sección 2.1.
2.3. Identificar los requisitos para las inspecciones periódicas de las instalaciones, incluida la
frecuencia de las actividades de ejercicio/prueba y de entrenamiento.
2.4. Identificar los requisitos y plazos para la notificación obligatoria de incidentes.
2.5. Desarrollar o actualizar los procedimientos de preparación y respuesta ante emergencias para
cumplir con las leyes, reglamentos y otras directivas autorizadas por el gobierno. Coordinar con
los equipos de cumplimiento y/o legales de la organización.
2.6. Reportar la información prescrita a las agencias reguladoras.
2.7. Monitorear los cambios en las leyes, reglamentos y directivas. Modificar los procedimientos para
mantener el cumplimiento.
2.8. Obtener la aprobación del liderazgo de los procedimientos de respuesta a incidentes con
agencias externas.
3. Coordinar los procedimientos de respuesta ante incidentes con agencias y recursos externos.
3.1. Identificar la agencia y/o los recursos que actuarán como primer nivel de respuesta al incidente.
3.2. Desarrollar y documentar los procedimientos y requisitos de alerta de emergencia (como el
reporte obligatorio de materiales peligrosos, lesiones y otros incidentes).
3.3. Identificar representantes de las agencias/recursos de primera respuesta y establecer
relaciones de enlace con el personal pertinente.
3.4. Invitar al personal de las agencias/recursos de primera respuesta a recorrer las instalaciones de
la organización y pedirles que brinden recomendaciones para mejorar los planes de respuesta a
incidentes.
3.5. Identificar y documentar los roles y responsabilidades de respuesta a incidentes para los
incidentes y escenarios de gestión de continuidad del negocio como se describe en la Práctica
Profesional Cinco: Preparación y Respuesta ante Incidentes.
3.6. Coordinar, realizar y participar en ejercicios/pruebas con agencias/recursos de primera
respuesta para aumentar la conciencia y el cumplimiento de las regulaciones.
3.7. Realizar una reunión informativa después de cada ejercicio/prueba. Documentar los resultados
de los ejercicios/pruebas, las lecciones aprendidas y las acciones a tomar para mejorar las
capacidades de respuesta.

© DRI International 2023 Todos los derechos reservados 34

 3.8. Proporcionar resultados de ejercicios/pruebas al liderazgo y a otras funciones designadas de la
organización.
3.9. Actualizar los planes de respuesta a incidentes utilizando las lecciones aprendidas y la
retroalimentación de los ejercicios/pruebas de acuerdo con el calendario establecido en la
Práctica Profesional Ocho: Ejercicio/Prueba, Evaluación y Mantenimiento del Plan de
Continuidad del Negocio.

© DRI International 2023 Todos los derechos reservados 35

© DRI International 2023 Todos los derechos reservados 36