Buenas prácticas para el plan de continuidad del negocio
Los ejemplos aquí enunciados no pretenden abarcar todas las situaciones. Es
necesario que se realice un análisis y se determine la mejor práctica de acuerdo
con la naturaleza del negocio.
PRÁCTICA SI NO N/A
Tener el compromiso de la Alta Dirección para
desarrollar el plan de continuidad de negocio de
la organización.
Alinear el plan de continuidad con los objetivos
estratégicos de la organización.
Asignar el presupuesto para el desarrollo del
plan de continuidad en la organización y su
actualización.
Identificar y actualizar los riesgos asociados al
plan de continuidad.
Diseñar el plan de continuidad, pensando en
gestionar el software, la infraestructura, la
seguridad, las plataformas, el teletrabajo y la
atención al cliente, como un todo, que es
gestionado con los proveedores.
Establecer en el plan de continuidad de negocio
los procesos y/o productos clave para la
organización, así como para cada unidad de
negocio.
Tener mínimo un representante de cada área dentro
del plan de continuidad.
[Link]
� PRÁCTICA SI NO N/A
Asignar diferentes colaboradores de diferentes
departamentos, incluyendo de otras ciudades, el
manejo de los procedimientos de recuperación.
Establecer el impacto de la cadena de
suministro o distribución dentro de los procesos
de la organización.
Establecer cuál es la prioridad en una
contingencia, de acuerdo con los principios de la
organización, de tal forma que la misma no sea
definida por criterios personales de sus
colaboradores al momento de ejecutar el plan.
Definir las políticas y procedimientos que
regulan el plan de continuidad de la
organización.
Incluir dentro del plan la perdida de activos
físicos y/o la inutilización de estos durante la
contingencia.
Definir el plan de evacuación.
Establecer los procedimientos de respaldo de la
información y restauración del sistema.
Elegir los datos que son prioritarios y determinar su
almacenamiento y recuperación.
Mantener las copias de seguridad en la nube,
facilitando su restauración ante un evento con
impacto en una amplia geografía.
[Link]
� PRÁCTICA SI NO N/A
Establecer cuánto tiempo la organización puede
estar fuera de línea, de acuerdo con las pérdidas
económicas generadas, hasta su puesta en marcha.
Establecer cuántos centros de datos deberá tener la
organización, de acuerdo con su operación,
ubicación geográfica y accesibilidad, entre otros.
Evaluar las aplicaciones críticas y el costo de
inactividad, para definir un plan de restauración.
Incluir la infraestructura virtual dentro del plan de
continuidad.
Garantizar la redundancia de los datos críticos.
Incluir los mecanismos para mantener una
comunicación continua con el cliente y los
colaboradores.
Establecer la periodicidad con la cual las
políticas, procedimientos y riesgos son
evaluados y actualizados en el plan.
Establecer la independencia entre el sistema de
gestión de riesgos de la organización y del plan
de continuidad.
Realizar evaluaciones de riesgos sobre la
continuidad de la operación, así como tener
registros históricos de sus resultados.
[Link]
� PRÁCTICA SI NO N/A
Establecer estrategias de mitigación de riesgos y
responsabilidades, de acuerdo con su prioridad.
Considerar los riesgos frente a eventos
naturales a los cuales la organización se
encuentra expuesta, por su ubicación geográfica.
Definir los procedimientos clave que se deben
implementar temporalmente para continuar con
la operación ante un desastre, considerando los
tiempos de recuperación.
Establecer los lugares de trabajo alternativos
para los colaboradores, frente a la imposibilidad
de hacerlo en las instalaciones.
Definir con la gerencia las áreas, los líderes, los
proveedores y los backup de los líderes para
atender un desastre de forma oportuna y
efectiva, siguiendo la estructura de la
organización.
Definir un plan de comunicaciones ante un
desastre, considerando los medios de
comunicación disponibles (correo, mensajes,
teléfono, medios de comunicación), así como
asignar el Líder de las comunicaciones.
Tener una base de datos con los registros
personales de los líderes del plan de
continuidad, incluyendo dirección de la casa,
[Link]
� PRÁCTICA SI NO N/A
nombre de un familiar de contacto, correo
personal, entre otros.
Definir y formalizados los roles y
responsabilidades en el plan de continuidad, de
tal forma que todos saben qué hacer y cuál es el
límite de su autoridad.
Priorizar las funciones dentro del plan de
continuidad.
Establecer el manejo de la operación ante la
imposibilidad de tener respuesta del personal
líder o clave para su puesta en marcha por
enfermedad o fallecimiento.
Asignar los recursos de tiempo, herramientas,
dinero y personas para gestionar el plan de
continuidad.
Considerar dentro de los acuerdos de servicios o
contratos con los proveedores, la prestación del
servicio ante un desastre.
Incluir dentro del plan de continuidad el apoyo
que pueden brindar las organizaciones
gubernamentales, y los responsables de
coordinar su implementación.
Para el área de IT, se han considerado aspectos,
tales como:
• Evaluación sobre el impacto en la
operación de IT.
• Copias de respaldo en geografías
distintas a las de la operación.
[Link]
� PRÁCTICA SI NO N/A
• Definición y diseño del lugar donde
pueden iniciar la operación nuevamente
de forma temporal o virtual.
• Fuentes de energía alternas.
• Documentación sobre el método de
configuración de hardware, software y
redes.
• Gastos de desplazamiento.
• Estrategias de relacionamiento con los
proveedores para ser prioridad en la
restauración del servicio.
• Proveedores alternos.
• Determinación de los niveles de acceso a
los sistemas y datos para desarrollar
teletrabajo.
• Enfermedad de los colaboradores del
área de IT.
• Actualización de la información en
tiempo real.
Establecer un cronograma de pruebas sobre el
plan de continuidad.
Probar todos los sistemas y aplicaciones críticas.
Realizar las pruebas sobre el plan de
continuidad al menos una vez al año y cada año
implementar un mayor grado de complejidad,
de acuerdo con los nuevos riesgos y tendencias
globales.
Involucrar en las pruebas del plan de
continuidad a los proveedores.
Generar un informe con los resultados de las
pruebas del plan, incluyendo entre otros, lo
siguiente:
[Link]
� PRÁCTICA SI NO N/A
• Cumplimiento de objetivos.
• Los resultados de las acciones ejecutadas.
• Las deficiencias durante el desarrollo de
la prueba.
• Las acciones correctivas para
implementar.
• Nuevo plan para gestionar los riesgos.
Evaluar periódicamente la existencia y
actualización de la información de los
funcionarios líderes del plan de continuidad.
Establecer una base de registros de los
incidentes que se han presentado en la
organización, los cuales de no tener un manejo
adecuado pueden afectar la continuidad de la
organización.
Considerar dentro del plan de auditoría el
aseguramiento sobre el plan de continuidad.
Realizar pruebas de vulnerabilidad y evaluar el
plan de continuidad.
Probar y actualizar el plan de continuidad al menos
una vez al año.
Vincular asesores externos, que le ayuden a evaluar
su plan de continuidad.
Desarrollar un programa de capacitación sobre
el plan de continuidad de negocios a toda la
organización.
[Link]
� PRÁCTICA SI NO N/A
Educar a los colaboradores sobre lo que se debe
hacer frente a la implementación del plan de
continuidad, así como sobre el plan de
comunicaciones.
[Link]
