Las normas ISO ayudan a mejorar la calidad, fiabilidad, compatibilidad,

eficiencia y calidad, ayuda al desarrollo, fabricación y servicio de los

productos sea más eficiente y seguro además ayudan con que el
comercio entre países sea más fácil y seguro.

Estas normas ayudan

Mejorando el desempeño y productividad, incrementan la

competitividad, apoyan la innovación, garantizan seguridad al usuario, el
uso efectivo de estas normas ayuda al comercio nacional como
internacional.

Tienen normas especificas para productos, para procesos empresariales

y para potenciales negocios

ISO 22301

Resiliencia: Capacidad de adaptarse a circunstancias o entorno

cambiantes.

Continuidad del negocio (BC / Business continuity): La capacidad

de una organización para entregar sus servicios con una calidad
aceptable, en los tiempos predefinidos luego de un incidente
perturbador, el cual paralice por un largo periodo de tiempo las
actividades de la organización (Enfocado a toda la empresa).

Gestión de continuidad de negocio (BCM/ Business continuity

management): es el proceso de preparar y mantener una Estrategia
para que puedan seguir operando durante y después de incidentes que
podrían interrumpir sus actividades.

Plan de recuperación de desastres (DRP/ Disaster Recovery

Plan): hace referencia al Plan de Recuperación ante Desastres de
Tecnología, el cual define los procedimientos, estrategias, y roles y
responsabilidades establecidos para recuperar y mantener el servicio de
tecnología ante un evento de interrupción (va enfocado a el área de TI).

Análisis de impacto empresarial (BIA / Business Impact

Analisys): Su objetivo es identificar y evaluar los efectos que una
interrupción en los servicios o sistemas tendría en las operaciones de
una organización. El BIA ayuda a priorizar los activos críticos y
determinar el tiempo máximo tolerable para la recuperación (RTO),
permitiendo la implementación de medidas de contingencia y
recuperación que minimicen el impacto de incidentes de seguridad o
desastres.
Análisis de Riesgos Ambientales (ERA / Environment Risk
Analisys): hace referencia a un documento que relaciona los riesgos
que pueden afectar la continuidad de la plataforma de la entidad.

Análisis de impacto de alternativas de recuperación (RAS /

Recovery Alternative Impact Analisys): documento que relaciona las
diferentes alternativas y estrategias potenciales para recuperar y
mantener el servicio de tecnología.

Objetivo del punto de recuperación (RPO / Recovery Point

Objetive): la cantidad de datos o información que tolera perder un
servicio.

Objetivo del tiempo de recuperación (RTO / Recovery Time

Objetive): el tiempo máximo de interrupción tolerable de un servicio.

Sistema de gestión de la continuidad de negocio (BCMS /

Business continuity management system): BCMS es un sistema de
gestión específico diseñado para implementar y mantener las prácticas
de BCM dentro de una organización

La BCM se centra en el incidente no en la causa, la empresa puede

proteger:

 Recursos (equipos, personas)

 Cadena de suministros: todo el flujo de producción (proveedores,
transporte, fabricantes, clientes, comunicación, tecnología)
 Reputación
 Partes interesadas

La BCM busca:

 Identificar los productos y servicios junto a sus actividades para

así poder proporcionarlos
 Conocer las prioridades para poder reanudar las entregas con los
recursos necesarios
 Entender las amenazas y el impacto de no reanudar las
actividades

Incidente Perturbador

Incidente repentino
  Terremoto, tornado, huracán, inundación
 Apagón, filtrado de información
 Calidad del producto

Incidente gradual

 Pandemia
 Regulaciones / Nuevas leyes
 Corrupción

Plan de contingencia

Es una estrategia sobre como responderá la empresa en caso de que

ocurra un imprevisto el cual ocasione que se desyvíen del plan original,
es importante ya que con este plan pueden volver a la normalidad de
manera más eficaz.

Los BCM son muy parecidos pero el plan de contingencia esta enfocada
a los casos de riesgo comercial.

Un plan de contingencia es una planificación anticipada para

preparar la empresa a eventos futuros, el plan de continuidad
empresarial es una solución temporal para mantener en
funcionamiento el servicio

Por ejemplo, se puede crear planes en caso de que la competencia

principal se fusione, o si pierde un cliente importante, incluso se puede
crear un plan de contingencia en caso del que un servicio de software se
caiga por más de 3 horas.

El plan de contingencia es similar a un plan de gestión de riesgos del

proyecto porque también te ayuda a identificar y resolver riesgos. Sin
embargo, un plan de contingencia empresarial debe considerar los
riesgos que abarcan varios proyectos o incluso los riesgos que podrían
afectar a varios departamentos.

Para realizar un plan de contingencia se debe:

1. Hacer una lista de riesgos:

Se debe buscar cuales son los riesgos que puede afrontar la
empresa, pero se puede hacer a diferentes niveles tanto a nivel de
empresa, departamento o programa, se puede realizar una lluvia
de ideas con las personas que estén implicadas en el proyecto.
2. Evaluar riesgos por su gravedad y probabilidad:
 Una vez ya este la lista de los riesgos es importante mirar junto a
los implicados la probabilidad y gravedad de cada riesgo.
3. Identificar riesgos importantes:
ya definida la gravedad de los riegos se debe mirar a cuáles
riesgos se les debe hacer un plan de contingencia, de esta manera
definir cuáles son los que se deben abordar. Ya que se debe definir
que se hará con los riesgos de bajo riesgo, pero alta probabilidad,
o los de alto riesgo, pero baja probabilidad
4. Crear plan de contingencia para los mayores riesgos:
Se debe crear un plan de contingencia para cada riesgo que se
consideró importante, cada plan debe contener el paso a paso
para volver a la normalidad.
El plan debe contener:
 Factores que desencadenen este plan
 La respuesta inmediata
 Quienes participarán y recibirán informes
 Responsabilidades clave, si es necesario grafico raci
 Cronograma de respuesta (lo que se hace apenas suceda el
problema y lo que se debe hacer a medida que se soluciona)

5. Obtener aprobación del plan:

Asegurarse de que los lideres conozcan el plan de contingencia y

lo aprueben con tu curso de acción y medidas preventivas

6. Comparte el plan de contingencia:

Se debe compartir el plan de contingencia con las personas
implicadas para cuando se deba implementar se logre hacer de
una manera eficaz. El plan debe ser de fácil accesibilidad para el
equipo
7. Supervisar el plan de contingencia:
Se debe revisar el plan con frecuencia para asegurarse que aun
sea correcto, teniendo en cuenta los nuevos riesgos y
oportunidades, como las nuevas contrataciones. Si se uno un líder
ejecutivo se le debe presentar el plan de contingencia.
8. Crear nuevos planes de contingencia de ser necesario:
Se debe estar monitoreando constantemente en caso de que
aparezcan nuevos riesgos con la probabilidad y gravedad
suficiente para crearle un plan, del mismo modo se debe estar
mirando el anterior plan de contingencia por si alguno de esos
riesgos que consideramos importantes ya no lo sean tanto.
se debe tener cuidado con factores como

1. Falta de aceptación:
Toca asegurarse de contar con la aprobación de los lideres para
que ellos pueden ver el plan como algo que pueden respaldar
2. Falta de aceptación a la idea de “plan b”:
En varias empresas no les gusta pensar en el plan b; prefieren
apostar todo al plan a y de que va a funcionar, pero esta forma de
pensar puede ser muy problemática para el trabajo y el equipo de
trabajo.
3. No revisar los planes de contingencia:
Se debe estar revisando el plan para de esta manera no puedan
aparecer nuevos riesgos.

Plan de recuperación de desastres (DRP)

Es un documento creado en el cual están las instrucciones a seguir en

caso de que surja un incidente inesperado como: inundación, terremoto,
apagón, secuestros entre otros.

Tiene una estrategia para minimizar los daños ante un desastre en un

activo (base de datos, servidores, etc.) para reanudar la actividad lo
antes posible.

Es importante ya que nunca sabemos cuando pueda ocurrir uno de estos

desastres, también puede ser que ocurran pequeños fallos de hardware
como errores en los discos duros o una falla en la red, en caso de
empresas pequeñas, este fallo puede ser muy ajeno a ellos como que
ocurriera un daño en el proveedor de internet, pero afecta al negocio por
lo cual debería ser contemplado.

A medida que crece la infraestructura de la empresa, es mayor la

posibilidad de riesgos y desastres. Puede dañarse toda la infraestructura
local, ciberataques masivos que pongan en riesgo millones de datos
sensibles.

El objetivo esencial del DRP es recuperar la mayor cantidad posible de

datos los mas recientes y los más insustituibles.

Se debe:
  Evaluar el tiempo de indisponibilidad deseado: esto es
importante ya que se debe definir durante cuanto tiempo se puede
dejar sin servicio a los clientes
 Revisar el SLA para entender las consecuencias de un
desastre: en el sla se establecen las compensaciones ante la
pérdida de calidad del servicio

SLA: es un contrato de proveedor de subcontratación y tecnología que

define el nivel de servicio que dicho proveedor se compromete a brindar
al cliente. Describe métricas como tiempo de actividad, tiempo de
entrega, tiempo de respuesta y tiempo de resolución.

 Establecer los tiempos de recuperación: objetivo con cada

parte del negocio y servicio

Un DRP debe incluir:

1. Inventario de hardware y Software:

El cual se debe ordenar según la importancia para el negocio
2. Datos de proveedores en cuanto servicio técnico:
Es crucial para ponerse en contacto rápidamente ante un
problema
3. Orden de recuperación en cada sistema:
es importante tener claro cuales son los sistemas que se deben
recuperar en primer lugar. junto a esta guía debe ir una paso a
paso de como efectuar la recuperación de cada sistema
4. Especificar roles y responsabilidades:
Para garantizar un procedimiento organizado y efectivo, es
necesario designar responsables dentro y fuera de la organización.
Disponer de sustitutos en caso de que el responsable no este en el
momento preciso.
5. Plan de comunicación:
Una vez ocurre el desastre, es importante saber comunicar bien a
los clientes, proveedores, inversores, socios, colaboradores… lo
que está sucediendo, así como poder indicar un plazo máximo de
recuperación.
6. Documentación adicional:
Es bueno incluir toda referencia de interés para la recuperación de
los sistemas.