Documento de Seguridad y Defensa

N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

Documento de Seguridad y Defensa

DSD N 02-2014-VIVIENDA-SG-OSDN
Metodologa para implementar y mantener un
programa de Continuidad del Negocio y de las de
Operaciones en instituciones pblicas en caso de
desastres

Elaborado por: Msc. Ing. Jos Luis Tejeda Praelli

Director de la Oficina de Seguridad y Defensa
Nacional

Octubre 2014

_____________________________________________________________________________
1
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

_____________________________________________________________________________
2
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

Metodologa para implementar y mantener un

programa de Continuidad del Negocio y de las
Operaciones en instituciones pblicas en caso de
desastres
1. Introduccin
La continuidad de negocios y de las operaciones tiene como objetivo la
sobrevivencia de las organizaciones durante el desastre. Sobrevivir significa
que las organizaciones debern haber priorizado de ante mano cuales
actividades de las que realiza diariamente deben recuperarse o continuar
operando. Al igual que para la sobrevivencia de una persona estn ya
definidos los rganos vitales; lo mismo debe ocurrir para las organizaciones,
y debern estar definidas las actividades vitales. En toras palabras es el gran
paraguas que cubre a las organizaciones y que permite con sus recursos
mnimos y necesarios continuar operando. La norma ISO 223011 identifica
los siguientes recursos como mnimos y necesarios para continuar con la
operacin durante el incidente disruptivo2 que se presente, los mismos que
son: Gente: personas, transporte, comunicaciones; Infraestructura: edificios,
servicios pblicos; Equipamiento: ambientes de trabajo, equipamiento,
insumos o consumibles; Tecnologa de Informacin (TI): servicios
informticos, informacin y datos; Finanzas: viabilidad financiera,
Regulacin: aspectos regulatorios a cumplir; Proveedores: socios y
proveedores; Partes interesadas: clientes a contactar, autoridades pblicas a
contactar y comunidad en general a contactar.
Con los recursos mnimos identificados, las organizaciones pblicas, deben
de estar en la capacidad ante la ocurrencia de un evento adverso de
continuar con sus operaciones y sobre todo el mantener la institucionalidad,
de tal forma que sirva de soporte a la gobernabilidad del pas.
Es necesario precisar que en el Per el concepto de continuidad de
operaciones en el gobierno es reconocido a travs de la Ley N29664, Ley
que crea el Sistema Nacional de Gestin del riesgo de Desastres
SINAGERD, norma que establece entre unos de los principios generales que
rigen la gestin del riesgo de desastres el Principio Sistmico, basado en
una visin sistmica de carcter multisectorial e integrada, sobre la base del
mbito de competencias, responsabilidades y recursos de las entidades
pblicas, garantizando la transparencia, efectividad, cobertura, consistencia,
coherencia y continuidad en sus actividades con relacin a las dems
instancias sectoriales y territoriales. Principio que es adoptado por la Poltica
Nacional de Gestin de Riesgo de Desastre.3

1
ISO 22301:2012 Seguridad de la sociedad Sistemas de gestin de la continuidad del negocio Requisitos.
2
Incidente disruptivo. Se considerada aquel que produce un desastre e interrumpe el normal desarrollo de las
operaciones de una organizacin, el mismo que puede ser producido por fenmenos de origen natural o inducidos
por la accin humana.
3
Aprobada por Decreto Supremo N 111-2012-PCM.

_____________________________________________________________________________
1
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

El Reglamento de la Ley N29664, Ley que crea el Sistema Nacional de

Gestin del riesgo de Desastres SINAGERD,4 confirma el concepto de
continuidad en el numeral 34.3 del artculo 34, en donde establecen que
para asegurar la continuidad de los servicios pblicos bsicos
indispensables, las empresas del Estado, los operadores de concesiones
pblicas y los organismos reguladores, frente a situaciones de Preparacin,
Respuesta y Rehabilitacin ante desastres, formulan, evalan y ejecutan sus
planes de contingencia, y dems instrumentos de gestin, en el marco del
Plan Nacional de Gestin del Riesgo de Desastres, manteniendo
comunicacin y coordinacin permanente con la autoridad regional o local
segn corresponda.
2. Metodologa aplicada a los sectores Privado y Pblico
SELA5 seala que tomando en consideracin los estndares metodolgicos
que son aplicables para la continuidad y la experiencia de su aplicacin en
diversos tipos de organizaciones tanto privadas como pblicas, indica las
siguientes pautas para la aplicacin de la metodologa que permitan lograr
implementar y mantener un programa de continuidad del negocio y de las
operaciones:
a. Empoderamiento y Gobierno de la Continuidad del Negocio y
Operaciones
Continuidad del negocio y de las operaciones representa un reto grande
para las organizaciones privadas y pblicas. La presin por realizar las
actividades diarias y cumplir con los objetivos de la organizacin es la
preocupacin de las autoridades.6 A pesar de ser conscientes de la
importancia de tener implementada la continuidad de las operaciones,
muchas veces no se hace nada al respecto o en todo caso las iniciativas
lideradas por las autoridades son muy pobres.
De otro lado, muchas veces se confunde la continuidad del negocio y de
las operaciones con tener el documento del plan de contingencia y ese es
otro error muy comn de las autoridades. El plan de contingencia o plan
de continuidad debiera ser un entregable ms de un proceso permanente
existente en la organizacin llamado Gestin de Continuidad del Negocio
y de las Operaciones.
Lograr el empoderamiento apropiado segn el nivel de jerarqua, es uno
de los primeros objetivos a lograr para darle gobierno al proceso
permanente de continuidad del negocio y de las operaciones.
b. Identificar actividades prioritarias y urgentes de recuperar
La identificacin de actividades prioritarias tiene el objetivo de establecer
el alcance de la preparacin para cuando pase un incidente disruptivo;
identificar el orden y tiempos de recuperacin de las actividades y sus

4
Aprobado por Decreto Supremo N 048-2011-PCM
5
SELA. (2013). La continuidad de negocios y operaciones frente a situaciones de desastre en Amrica Latina y el
Caribe. Balance y recomendaciones. SP/II-SR-ASPPGRD/DT N 2-13. Caracas, Venezuela.
6
La palabra Autoridad debe ser entendida tanto para el sector pblico como para el sector privado, donde tambin
puede denominarse Alta Direccin o Alta Gerencia.

_____________________________________________________________________________
2
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

dependencias entre ellas;7 identificar los recursos mnimos necesarios en

el momento del incidente disruptivo; y servir de base para proponer
opciones estratgicas de continuidad o recuperacin que sean costo
efectivas.
El alcance de la continuidad del negocio y de las operaciones es
importante para limitar los esfuerzos de la organizacin a aquello que es
realmente urgente de recuperar. Un incidente disruptivo y severo no
ocurre con frecuencia y muy seguramente a muchas organizaciones
nunca les ha pasado.
Lo anterior no debe entenderse como que debe hacerse nada para
proteger aquello que est fuera del alcance de la continuidad, pero la
Gestin Integral de Riesgos (GIR),8 cuyo alcance no slo es para eventos
de gran impacto, s identificar e implementar las medidas de seguridad
y proteccin adecuadas para todas las actividades de la organizacin.
Esto refuerza la definicin de que continuidad es un control adicional a
todos los que la gestin de riesgos identifique para proteger a la
organizacin; sin embargo, desde la perspectiva de continuidad, no todas
las actividades debern considerarse en su alcance; y para aquellos que
estn implementando continuidad del negocio o de las operaciones es
muy importante mantenerse dentro del alcance de la continuidad.
Espieira,9 seala que cada ao, la gerencia de riesgo adquiere mayor
importancia ante la gran cantidad de eventos ocurridos y el impacto que
han tenido en las finanzas de las organizaciones afectadas. Ante estos
eventos adversos queda demostrado que una efectiva gerencia de riesgo
facilita el logro de los objetivos del negocio, permite prepararse ante
cambios adversos, reduce las prdidas y asegura la permanencia de las
organizaciones en el tiempo.
El alcance de la continuidad del negocio se puede establecer de varias
formas, y ello depender del tipo de organizacin o la industria o sector a
la que pertenece. La forma ms recomendada es establecer el alcance
por producto / servicios que la organizacin brinda, es decir, en caso de
un incidente disruptivo, cules productos / servicios se continuarn
brindando como mnimo y cules no tienen la garanta de seguir
brindndose?
Una vez establecido el alcance a nivel de productos / servicios, es ms
fcil identificar el alcance geogrfico a considerar, en caso de que la
organizacin posea varias sedes o plantas donde opera los servicios
dentro del alcance; y tambin es ms fcil establecer el alcance a nivel de
procesos o actividades con las que brindar los servicios priorizados y por

7
Las actividades.
8
La Gestin Integral de Riesgo (GIR) es definida como un proceso efectuado por la Junta Directiva, la alta gerencia y
el resto del personal, diseado para identificar eventos potenciales que puedan afectar a la organizacin,
gestionando los riesgos dentro de los niveles aceptados y proporcionando una seguridad razonable para el logro de
sus objetivos. Fuente: Espieira, Sheldon y Asociados. (2009). Gestin Integral de Riesgo en empresas
Venezolanas. pag. 2
9
Ibid. Pag. 2

_____________________________________________________________________________
3
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

ende el alcance a nivel de los departamentos o unidades funcionales de la

organizacin.
Un error comn que suele pasar mucho entre los responsables de
implementar la continuidad del negocio y de las operaciones es
considerar un alcance muy amplio para la continuidad del negocio,
haciendo que la organizacin dedique un esfuerzo grande, tanto en
personal entrenado, tiempo del propio personal, e inversiones en
opciones alternas de operacin muy costosas para ser usadas en
incidentes disruptivos, que aunque podran ocurrir con cierta frecuencia,
raramente afectan a la organizacin.
Para identificar los tiempos de recuperacin de las actividades es
necesario primero establecer los umbrales10 de no tolerancia para la
organizacin. Esto quiere decir daos que no soportara la organizacin
en cada una de las categoras de posibles impactos: econmico o
financiero (cunto dinero comprometido es intolerable para la
organizacin?), afectacin de usuarios o clientes (cuntos clientes o
usuarios afectados es intolerable para la organizacin?), legal o
regulatorio (qu nivel de sanciones o juicios por incumplimiento es
intolerable para la organizacin?), ambiental (qu dao ambiental es
intolerable para la organizacin?), seguridad de las personas (qu nivel
de afectacin en las personas es intolerable para la organizacin?).
Las respuestas a las preguntas antes realizadas debern ser dadas por
las autoridades considerando la visin o percepcin, que como partes
interesadas de la organizacin tendran durante un evento disruptivo.
Ejemplos de estas partes interesadas son: usuarios o clientes, dueos o
accionistas, autoridades pblicas y organismos reguladores, socios de
negocio, personal de la organizacin, comunidad o poblado donde se
opera, entre otros. Las respuestas darn como resultado la definicin de
los umbrales no tolerables de la organizacin.
El siguiente paso es estimar el Periodo Mximo de Tiempo de Interrupcin
(MTPD por sus siglas en ingles), el cual es resultado de plantear la
siguiente pregunta: En caso de interrupcin: del producto / servicio / de la
localidad / del departamento / del proceso / de la actividad (puede ser
cualquiera de ellos, segn el tipo de priorizacin que se est realizando)
en cunto tiempo se alcanzan los umbrales no tolerables?. Las posibles
respuestas pueden ser muy variadas: no aplica, minutos, horas,
das, semanas, o meses.
Para responder a la pregunta tambin es necesario tomar el supuesto de
qu escenario estresa ms al elemento analizado, y en qu momento se
estresa ms. Esto busca identificar si la respuesta ms apremiante es
cuando el incidente disruptivo afect nicamente a la organizacin o
afect masivamente a otras organizaciones; y tambin si la mayor
afectacin ocurre en alguna fecha especfica de la semana, mes o ao.

10
Los umbrales no tolerables no necesariamente son valores nicos, pueden ser considerados de diferentes formas; a
manera de ejemplo: es intolerable no brindar el servicio a mil clientes o no brindar el servicio a ABC S.A.C., o no
brindar el servicio a diez clientes del tipo estratgico.

_____________________________________________________________________________
4
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

El MTPD ser definido por el tiempo ms pequeo de todas las

respuestas dadas para los diferentes tipos de impacto de los umbrales no
tolerables y siempre ser estimado considerando el "peor escenario" que
en realidad es el ms estresante para lo organizacin y no
necesariamente el de mayor dao a la comunidad. Lo que busca la
continuidad es proteger a la organizacin ante el peor escenario, no
contra el ms probable.

Grafico N 6.- Actores y fases de la continuidad

Fuente: SELA. (2013). La continuidad de negocios y operaciones frente a
situaciones de desastre en Amrica Latina y el Caribe. Balance y
recomendaciones. SP/II-SR-ASPPGRD/DT N 2-13. Caracas,
Venezuela. Pgina 17
Con el MTPD definido, se estima entonces un Tiempo Deseado de
Recuperacin (RTO por sus siglas en ingles), el cual es un valor
expresado en tiempo, entre cero y el MTPD.
Cuanto ms cerca de cero est, la opcin estratgica para continuar
operando ser muy costosa; en cambio, cuanto ms cerca del MTPD
est, ser sumamente riesgosa. El mejor balance entre el costo y el riesgo
ser el RTO ms apropiado.
Las dependencias entre productos / servicios / instalaciones / unidades de
negocio / procesos / actividades debe tambin analizarse para identificar
o corregir MTPDs y RTOs de aquellos de los que se dependen
considerando que deben ser menores que los MTPDs y RTOs de los
dependientes.
Este proceso de estimar MTPDs y RTOs se puede realizar a diferentes
niveles, en un nivel estratgico podr ser por servicio (o planta, o unidad
funcional) y en un nivel operativo ser por actividad (o proceso). Estimar
MTPDs y RTOs deber ser una labor permanente en la organizacin
debido a los cambios que sta pueda tener, la aparicin de nuevos
servicios (o nuevas instalaciones o plantas, o nuevas unidades
funcionales) y nuevas actividades (o procesos) har necesario que las
prioridades de urgencias de recuperacin sean revaluadas; lo mismo
podra pasar si un servicio (o planta o unidad funcional) toma mayor
relevancia que otro. Si no se actualizan las prioridades de recuperacin
_____________________________________________________________________________
5
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

en un tiempo prudente puede pasar un incidente disruptivo donde la toma

de decisiones ser incorrecta debido a la informacin desactualizada con
la que se cuenta.
Una vez definidos los RTOs, los productos / servicios (o plantas o
unidades funcionales) o las actividades (o procesos) se agrupan segn
los RTOs, creando ventanas de recuperacin en el tiempo, es decir
servicios o actividades que se recuperan en tiempo cero (si existen), los
que se recuperan en horas (si existen), los que se recuperan en das
(puede ser un da, dos das, tres das o simplemente das), los que se
recuperan en semanas (puede ser una semana, dos semanas o
simplemente semanas) y los que se recuperan en un mes o ms.
Una vez consolidadas las ventanas de recuperacin, se necesitan
identificar los recursos mnimos necesarios a considerar durante el
incidente disruptivo. Los tipos de recursos sern11: Gente: personas,
transporte, comunicaciones; Infraestructura: edificios, servicios pblicos;
Equipamiento: ambientes de trabajo, equipamiento, insumos o
consumibles; Tecnologa de Informacin (TI): servicios informticos,
informacin y datos; Finanzas: viabilidad financiera, Regulacin: aspectos
regulatorios a cumplir; Proveedores: socios y proveedores; Partes
interesadas: clientes a contactar, autoridades pblicas a contactar y
comunidad en general a contactar.
Los recursos del tipo Personal se identifican tomando en cuenta los
perfiles mnimos necesarios para continuar operando los servicios /
actividades para cada una de las ventanas de recuperacin, e inclusive
si el personal que tiene la organizacin cumple con los perfiles de
manera adecuada.
Los recursos del tipo Transporte, se identifican considerando las
facilidades de movilidad con las que la organizacin cuenta para ser
brindadas al personal durante el incidente disruptivo.
Los recursos del tipo Comunicaciones, se identifican considerando
las capacidades de comunicacin entre el personal con las que cuenta
la organizacin y que podran estar disponibles durante el incidente
disruptivo.
Los recursos del tipo Instalaciones o edificaciones, se identifican
considerando las alternativas de lugares de trabajo u otras sedes o
plantas desde donde se podra continuar operando durante el incidente
disruptivo.
Los recursos del tipo Servicios Pblicos, se identifican
considerando las alternativas de la provisin de energa elctrica, agua
y desage, gas y telefona que puedan utilizarse durante el incidente
disruptivo.
Los recursos del tipo Ambientes de trabajo y equipamiento, se
identifica considerando las alternativas de operacin en otros
11
De acuerdo con la normativa ISO 22301

_____________________________________________________________________________
6
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

ambientes de trabajo o con un equipamiento alternativo ubicado en otro

lugar y que puede utilizarse durante el incidente disruptivo.
Los recursos del tipo Insumos y consumibles, se identifican
considerando las alternativas de material (o materia prima), insumos u
otros consumibles perecibles o no que son necesarios considerar en el
momento del incidente disruptivo y las ubicaciones donde actualmente
se encuentran.
Los recursos de Tecnologa de Informacin (sistemas,
informacin y datos), se identifican considerando los servicios de TI
que se debern utilizar en el momento servicio o actividad analizada.
Los recursos de Viabilidad Financiera, se identifican considerando
las necesidades de disponibilidad de recursos financieros en efectivo o
no para afrontar el incidente disruptivo.
Los recursos de Regulacin, se identifican considerando las
obligaciones legales o regulatorias que deben continuarse durante el
incidente disruptivo y si existen alternativas en caso no se puedan
cumplir.
Los proveedores y socios de negocio, se identifican considerando a
los que soportan los servicios crticos, sus contactos y otras
alternativas de proveedores en caso stos tambin se afecten producto
del incidente disruptivo.
Las otras partes interesadas como clientes, autoridades pblicas y
comunidad se identifican considerando los contactos necesarios a realizar
en caso de un evento disruptivo.
Esta informacin obtenida a nivel de recursos es la base para la
identificacin de opciones de estrategias de continuidad y recuperacin y
su correspondiente estimacin de presupuesto de implementacin.
c. Proteger las actividades ms urgentes
La continuidad de las operaciones de las actividades ms urgentes debe
asegurarse no slo con la identificacin de opciones de estrategias post
incidente disruptivo, sino tambin con opciones preventivas al incidente
disruptivo, con lo cual la continuidad busca valorar si las medidas de
proteccin y seguridad existentes actualmente, en las partes donde
operan las actividades urgentes de la organizacin, son suficientes o si
requieren ser mejoradas o inclusive si se requieren nuevas medidas de
proteccin y seguridad.
Para poder valorar si las medidas de proteccin son suficientes se pueden
utilizar diferentes mtodos, siendo el ms recomendado el anlisis de
riesgos propuesto en el ISO 31000,12 el cual valora el riesgo como la
combinacin de la probabilidad y el impacto de un evento de riesgo.

12
Esta norma establece principios y guas de diseo, implementacin y mantenimiento de la gestin de riesgos en
forma sistmica y transparente de toda forma de riesgo en cualquier contexto. Fuente: Ormella, C. (2014). Norma

_____________________________________________________________________________
7
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

Para acotar los eventos de riesgo que pueden resultar de inters de la

continuidad, es necesario concentrarse en las consecuencias de las
amenazas que pudiera crear un evento disruptivo debido a la ausencia de
los recursos necesarios para operar. Ejemplos de eventos de riesgo a ser
considerados por la continuidad seran: afectacin del personal ante la
ocurrencia de un terremoto; afectacin de la edificacin ante la ocurrencia
de un terremoto; afectacin de los proveedores ante la ocurrencia de una
pandemia.
Tambin es necesario acotar las amenazas a las que la organizacin est
expuesta y que podran ocurrir, a las cuales se llaman peligros. Estos
peligros se deben identificar a partir de las amenazas ms globales a las
ms especficas aplicables a la organizacin. Por ejemplo, si la
organizacin est establecida en el Caribe, la temporada ciclnica y de
huracanes es una amenaza aplicable, es decir un peligro, pero en el caso
de Sudamrica, los huracanes no sern una amenaza aplicable. Pero una
pandemia,13 aunque haya ocurrido en China, debido a su expansin
mundial, entonces si es una amenaza aplicable tanto para el Caribe como
Sudamrica. Si reducimos el alcance de las amenazas a temas ms
locales, muy seguramente la delincuencia, las protestas civiles, y otros
ejemplos de amenazas sern consideradas como peligros en algunas
ciudades de nuestra regin ms que en otras.
El objetivo del anlisis de riesgo en la continuidad del negocio y de las
operaciones es identificar nuevas opciones de prevencin o mejorar las
medidas de seguridad ya existentes para cada uno de los eventos de
riesgo considerados. El primer paso ser identificar aquellas medidas de
prevencin y seguridad ya existentes en la organizacin, las medidas de
seguridad sern relacionadas a aspectos de seguridad del personal, de la
infraestructura fsica, de los ambientes de trabajo, de los insumos y
consumibles, de los sistemas de informacin, de los proveedores, y de
cada uno de los otros recursos asociados a la continuidad y que resulten
relevantes para la organizacin.
Como se indic antes, el riesgo se estima combinando probabilidad e
impacto, pudiendo ser por mtodos cualitativos o cuantitativos. El
problema de los mtodos cuantitativos es que necesitan data histrica
adems de complejas formulas estadsticas de proyeccin de la
ocurrencia de incidentes disruptivos producto de las amenazas. Y en
muchos casos se confunde que el objetivo de la continuidad es proponer
medidas preventivas y no necesariamente la estimacin de la probabilidad
de manera exacta y por ende el riesgo de manera matemticamente
exacta. Debido a esto, es que las organizaciones deciden estimar el nivel
de riesgo cualitativo, siendo un ejemplo del mismo el siguiente:
Se define la matriz de riesgo identificando las escalas de probabilidad y
las escalas de impacto. Si existe un departamento de gestin de

ISO 31000 - Riesgos Corporativos. Recuperado el 15 de agosto del 2014, de

http://www.criptored.upm.es/descarga/ISO_31000_riesgos_corporativos.pdf
13
Pandemia.- Se llama pandemia a la propagacin mundial de una nueva enfermedad. OMS

_____________________________________________________________________________
8
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

riesgos en la organizacin es ms recomendable alinearse al tamao

de la matriz que ya utilizan, aunque el significado de las escalas sean
diferentes en el caso de la continuidad (asunto que ser tratado un
poco ms adelante). Si la organizacin no cuenta con una matriz de
riesgos deber definirse una.

Grafico N 7.- Matriz de riesgos 5 por 5

Fuente: SELA. (2013). La continuidad de negocios y operaciones frente a
situaciones de desastre en Amrica Latina y el Caribe. Balance y
recomendaciones. SP/II-SR-ASPPGRD/DT N 2-13. Caracas,
Venezuela. Pgina 20

Las escalas de la matriz de riesgos podrn ser tres por tres, o cuatro
por cuatro, o cinco por cinco, o una combinacin diferente dependiendo
de la mejor forma que la organizacin entienda puede valorar los
riesgos.
El nivel de riesgo se estima identificando la combinacin probabilidad
e impacto, en el grafico N 7 se pueden apreciar cuatro niveles de
riesgo: extremo, representado de fondo rojo y el tratamiento debe ser
inmediato; alto y el tratamiento debe en el corto plazo, representado de
fondo anaranjado y el tratamiento debe ser en el mediano plazo;
medio, representado de fondo amarillo y el tratamiento debe ser en el
largo plazo; y bajo, representado de fondo verde y no es necesario
brindar tratamiento al riesgo.
La escala de probabilidad est definida en base a la incidencia del
evento de riesgo en el tiempo, considerando el contexto aplicable para
la organizacin. Ejemplo de escalas de probabilidad son: Muy Alta,
ocurre el incidente al menos una vez al ao en los ltimos cinco aos;
Alta, ocurre al menos una vez cada cinco aos en los ltimos 25 aos;
Media, ocurre al menos una vez cada 10 aos en los ltimos 50 aos;
Baja, ocurre al menos una vez cada 25 aos; y Muy baja, ocurre en
espacios de tiempos mayores de 25 aos.
La escala de impacto est definida en base al nivel de dao que
podra causar en la organizacin. En continuidad se entiende el dao

_____________________________________________________________________________
9
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

como el tiempo de indisponibilidad o interrupcin del incidente. Donde

se realizan actividades ms urgentes el impacto ms alto ser en
cuestin de horas; donde se realizan actividades menos urgentes el
impacto ms alto ser en cuestin de das o semanas segn
corresponda.
Habiendo definido el evento de riesgo, la matriz de riesgo con sus
respectivas escalas de probabilidad, impacto y riesgo, y tambin los
controles existentes, se procede a estimar la probabilidad de ocurrencia
del evento de riesgo y su impacto, convocando a los expertos en la
organizacin que conocen sobre las amenazas y la efectividad de los
controles implementados, los cuales considerando su juicio experto,
determinan el nivel de riesgo resultante.
Donde resulten riesgos extremos, altos o medios, se hace necesario
implementar nuevas medidas preventivas o controles, o en todo caso
mejorarlos, para ayudar a reducir el nivel de riesgo, todo a sugerencia de
los expertos antes mencionados. La prioridad de implementacin de las
medidas nuevas o por mejorar se dar en funcin al nivel de riesgo que
buscan proteger, es decir en primer orden no deben permitirse riesgos
extremos, resueltos stos no debern permitirse riesgos altos, y as
tambin luego con los riesgos medios.
d. Establecer estrategias de continuidad y recuperacin de las
actividades
Las opciones de estrategias pueden ser preventivas o reactivas. Las
opciones preventivas se identificaron utilizando el anlisis de riesgos
realizado a los eventos de riesgo que la organizacin ha evaluado y
tienen como principal objetivo mitigar o reducir la vulnerabilidad de los
servicios y/o actividades ms urgentes de la organizacin. Las opciones
reactivas se identificarn a partir de los resultados de las priorizaciones de
los servicios y/o actividades de acuerdo con los MTPDs y RTOs y sobre
todo, tomando en cuenta los recursos mnimos necesarios identificado
Las opciones estratgicas deben tambin considerar el costo de su
implementacin y debern satisfacer el RTO establecido. Si fuera
necesario ajustar el valor del RTO por consideraciones de factibilidad
tcnica o costos muy elevados, entonces deber hacerse, sin antes tener
presente revisar las dependencias de dicha actividad y volver a definir con
estas dependencias sus nuevos RTOs.
Las opciones pueden ir desde las ms exigentes y costosas a las menos
exigentes y ms econmicas, definiendo con ello cun "caliente" o "fra"
debe ser la alternativa elegida.
Las alternativas ms "calientes" pasan por dividir las operaciones en dos
o ms partes y ubicar dichas partes a buen recaudo, fuera del alcance de
los escenarios de riesgos de mayor cobertura geogrfica tener
infraestructura vaca esperando ser ocupada de inmediato en cuanto pase
un evento. Las alternativas "tibias" pasan por tener esquemas
trasportables a los lugares de operacin donde se ha afectado el servicio

_____________________________________________________________________________
10
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

o un espacio en uso que ser desocupado para ser usado por las
actividades ms urgentes que las all operan. Las alternativas ms "fras"
pasan por tener casi nada pre montado esperando que pase el evento e
inclusive no hacer nada en el momento actual y dejar todo para cuando
pase el incidente de continuidad y buscar reaccionar en dicho momento.
Todas las alternativas pueden ser implementadas de manera propia, es
decir mantenidas y operadas por la propia organizacin, o buscar un
tercero que se encargue de brindar dichas alternativas.
Lo importante de seleccionar la estrategia adecuada o conjunto de
estrategias es no arriesgar la recuperacin del negocio, es decir cumplir
con el RTO establecido y por nada arriesgar el MTPD, por buscar ahorros
en la opcin elegida. La organizacin podra utilizar una combinacin de
opciones, por ejemplo para servicios o actividades que no pueden parar
nunca ni siquiera ante un incidente disruptivo la alternativa de separar las
operaciones ser la adecuada, a pesar del costo; para la que puede
esperar horas solamente, la alternativa de tener algo listo para que el
personal acuda ser la adecuada; si la actividad puede esperar das
entonces un esquema transportable puede ser el apropiado; sin embargo,
no se puede por ejemplo utilizar la estrategia de entrega inmediata si se
tienen solo horas como deseado de recuperacin.

Grafico N 8.- Costo beneficio de opciones de estrategia de continuidad

Fuente: SELA. (2013). La continuidad de negocios y operaciones frente a
situaciones de desastre en Amrica Latina y el Caribe. Balance y
recomendaciones. SP/II-SR-ASPPGRD/DT N 2-13. Caracas,
Venezuela. Pgina 23

_____________________________________________________________________________
11
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

Las opciones de continuidad y recuperacin deben aplicarse a nivel de los

recursos involucrados en la paralizacin de un servicio o actividad. Es
decir que para reactivar el servicio o la actividad interrumpida, en verdad
hay que restablecer los recursos que se necesitan para operar, esto es:
personal, transporte y comunicaciones; infraestructura fsica, instalaciones
y servicios pblicos; materiales, consumibles e insumos; equipamiento;
sistemas informticos, datos e informacin; viabilidad financiera;
proveedores; la relacin con los clientes; las exigencias regulatorias;
mecanismos de comunicacin interna y externa; y opciones de relacin
con las autoridades pblicas y la comunidad en general.
Algunos ejemplos de opciones de recuperacin a nivel de personal es
la definicin de un plan de sucesin o primario y alterno o alternos;
polticas de prohibicin de viajes de personal primario y alterno en el
mismo momento y usando el mismo medio; prohibicin de tomar
vacaciones al mismo tiempo; implementacin de programas de salud y
control emocional del personal identificado como crtico.
Ejemplos de opciones de recuperacin a nivel de infraestructura fsica
es la definicin de lugares alternos de operacin con las garantas del
suministros de los servicios pblicos de fuentes diferentes; convenios
con hoteles; salas de capacitacin; reutilizar el espacio de la fuerza de
ventas (si no fuera urgente de recuperar).
Ejemplos de opciones de recuperacin a nivel de materiales, insumos o
consumibles son crear inventarios pequeos en lugares estratgicos;
establecer acuerdos de provisin de inventarios con varios
proveedores; establecer acuerdos recprocos con organizaciones
similares para brindarse ayuda mutua en caso de un evento disruptivo.
Ejemplos de opciones de recuperacin a nivel de equipamiento son
renovacin de equipos y mantener los viejos para repuestos, mantener
operativos servicios obsoletos a un mnimo nivel de operacin; montar
maquetas o maquinaria transportable (si es posible) para llevarla al
lugar afectado; o tener identificado equipamiento de servicios no tan
crticos para desmontar, llevar al lugar afectado y montar en el mismo.
Ejemplos de opciones de recuperacin a nivel de sistemas informticos
es replicar el centro de cmputo en un lugar alterno ya sea totalmente o
una parte de acuerdo con lo que se haya identificado como ms crtico;
tercerizar el servicio informtico y llevarlo a la "nube"; efectuar copias
de respaldo y restaurarlas en cuanto se necesiten.
Ejemplos de opciones de recuperacin a nivel de viabilidad financiera
es mantener lneas de crdito contingentes para asumir necesidades
en el momento del incidente; mantener efectivo disponible para
acceder al mismo y poder cumplir con las necesidades de dinero
efectivo durante el incidente; establecer procedimientos para el registro
y control de los daos y gastos asociados al incidente para posteriores
reclamaciones al asegurador; tener acuerdos de pago diferido con los
proveedores en caso de incidentes mayores.

_____________________________________________________________________________
12
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

Ejemplos de opciones de recuperacin a nivel de proveedores es tener

ms de un proveedor para la provisin del bien o servicio y si no se
puede, establecer procedimientos conjuntos de respuesta a un
incidente disruptivo; medir el nivel de madurez de acuerdo con el
BCMM14 del proveedor para exigir en el tiempo el adecuado nivel de
preparacin ante eventos disruptivos. Un ejemplo de opciones de
recuperacin a nivel de relacin con los clientes es contar con
procedimientos de comunicacin en crisis considerando posibles
escenarios de afectacin de la imagen y priorizando las audiencias
afectadas.
Ejemplos de opciones de comunicacin al interior y exterior es
mantener adquirir y montar un sistema de notificacin masiva y
plataforma de colaboracin para ser usados durante el incidente
disruptivo; adquirir telfonos celulares de diferentes proveedores;
adquirir telfonos satelitales; tener acuerdos pre establecidos con
medios y emisoras para difundir mensajes claves en caso no haber otro
medio disponible.
Finalmente, un ejemplo de opcin de relaciones con el regulador y con
la autoridad pblica es establecer de antemano canales para notificarse
y ayudarse mutuamente en cuanto ocurra el incidente disruptivo
e. Documentar los planes de accin para aplicarse en el momento del
evento
Los planes de continuidad formalizan las estrategias en un documento
que busca ser consultado y utilizado durante el incidente disruptivo. Es
importante entonces que sea de fcil lectura y hecho como ayuda de
memoria para recordar lo que hay que hacer; no es un procedimiento al
mnimo nivel de detalle de pasos a seguir por cualquier persona que est
disponible en el momento del incidente disruptivo, peor an si es
inexperta en el servicio o actividad a recuperar.
Antes de documentar el protocolo de actuacin es importante crear un
modelo o plantilla de documento, que no necesariamente seguir los
mismos lineamientos que se siguen con los procedimientos de consulta,
gua o de capacitacin en las actividades diarias de la organizacin y que
se utilizan en situaciones normales; con lo cual es necesario crear el
espacio para conversar y hacer entender de las diferencias entre un
procedimiento de continuidad y un procedimiento del da-da. Un
procedimiento de continuidad no busca documentar nuevos
procedimientos de operacin inventados para la contingencia; en verdad
la premisa es que se seguirn haciendo los mismos procesos diarios pero
en distinta prioridad, llegando inclusive a prescindirse de alguna actividad
no urgente sino hasta meses. Tampoco se trata de documentar
procedimientos manuales que se utilizarn cuando los sistemas no estn

14
El BCMM (Modelo de Madurez en Continuidad del Negocio por sus siglas en ingls) es un modelo desarrollado por la
compaa Virtual Corporation para calificar la madurez del programa de continuidad de una organizacin y tambin
puede ser utilizado para evaluar la madurez de un corporativo y sus respectivas filiales como tambin de un
proveedor. Puede ser utilizado como evaluacin o tambin como lineamientos de auditora de cumplimiento.

_____________________________________________________________________________
13
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

disponibles. Los procedimientos manuales son una forma ms de operar

las actividades del da a da sin sistemas informticos, y en la actualidad
es muy probable pensar que procesar manualmente ya no sea una opcin
por la necesidad de operar grandes volmenes de transacciones o
pedidos, adems de los riesgos de seguridad y fraude a los que se
expone la organizacin.
La estructura general de cualquier plan de continuidad podra ser: a)
objetivos y alcance; prioridades de recuperacin segn MTPDs y RTOs;
b) equipo de respuesta o continuidad o recuperacin; c) actividades del
equipo, de preferencia por rol; d) estrategia a utilizar a nivel de personal,
es decir, personal asignado a los roles (ms de uno por rol); e) estrategia
a utilizar a nivel de infraestructura fsica, es decir alternativas de sitios de
operacin; f) estrategia a utilizar a nivel materiales, consumibles e
insumos, es decir dnde se encuentran los recursos necesarios; y as
para cada uno de tipos de recursos que se las ha considerado en las
estrategias de recuperacin. Podrn complementarse con anexos como
datos de contactos, planos de ubicacin, plantillas a utilizarse en el
momento del incidente.
El plan de continuidad, desde una perspectiva general se puede clasificar
en cinco categoras segn el objetivo de lo que busquen proteger: a)
planes de continuidad del tipo de respuesta a incidentes de seguridad del
personal y de los activos fsicos de la organizacin; b) planes de
continuidad del tipo de respuesta a incidentes de afectacin de la imagen
de la organizacin; c) planes de continuidad del tipo de respuesta a
incidentes de interrupcin de los sistemas informticos; d) planes de
continuidad del tipo de respuesta a incidentes de interrupcin de las
operaciones; e) y el plan de continuidad que gobierna el manejo de
cualquiera de los incidentes a travs de con Comit de Crisis.

Grafico N 9.- Tipos de planes segn su tipo de objetivo

Fuente: SELA. (2013). La continuidad de negocios y operaciones frente a
situaciones de desastre en Amrica Latina y el Caribe. Balance y
recomendaciones. SP/II-SR-ASPPGRD/DT N 2-13. Caracas,
Venezuela. Pgina 26

_____________________________________________________________________________
14
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

1. En el caso de los planes de continuidad del tipo de respuesta a los

incidentes de seguridad del personal y de los activos de la
organizacin, el principal objetivo es tratar de salvaguardar la operacin
del servicio o actividad en el lugar fsico donde ha sido afectada ante
escenarios especficos, por ejemplo: qu hacer para minimizar la
afectacin del personal en caso de una pandemia, qu hacer para
minimizar la afectacin del personal y de los activos de la organizacin
en caso de un incendio o sismo / terremoto, qu hacer para minimizar
los daos del personal y de los activos de la organizacin en caso de
un derrame peligroso. Los tipos de incidentes guardarn relacin con la
evaluacin de riesgos de las amenazas ms probables o de mayor
impacto.
En este caso, los equipos sern ms orientados a brigadas de primera
respuesta, como por ejemplo: evacuacin, incendio, entre otros, y
priorizarn la proteccin de los activos fsicos segn el nivel de
urgencia de los procesos que los utilizan, y esta informacin se
identific junto con los MTPDs y RTOs.
2. En el caso de los planes de continuidad del tipo de respuesta a
incidentes de afectacin de la imagen de la organizacin, el principal
objetivo es salvaguardar la reputacin de la organizacin estableciendo
qu posibles riesgos de afectacin de imagen existen, qu audiencias
son las afectadas y en qu prioridad, qu medios de comunicacin son
los apropiados para cada audiencia y qu voceros se tienen
establecidos para comunicar el mensaje. El equipo en este caso estar
liderado por el responsable de imagen institucional y su personal de
apoyo as como los propios voceros.
3. En el caso de los planes de continuidad del tipo de respuesta a
incidentes de interrupcin de los sistemas informticos, el principal
objetivo es continuar brindando los servicios de tecnologa de
informacin y comunicaciones y con ellos los datos y la informacin de
la organizacin. Las prioridades de recuperacin sern dadas en
funcin a los RTOs que se hayan definido para los servicios de
tecnologa de informacin y en relacin a los servicios o actividades
que soportan; esto es, el RTO de un servicio de tecnologa de
informacin debiera ser el mnimo de todos los RTOs de los servicios o
actividades que usan dicho servicio de tecnologa de informacin. El
equipo de recuperacin de los servicios de tecnologa de informacin
estar conformada por la autoridad de la tecnologa de informacin y
participar de las decisiones ms importantes en la recuperacin,
adems de mantener informadas a las autoridades de la organizacin.
Tambin forma parte del equipo el personal tcnico a nivel de
servidores, bases de datos, telecomunicaciones y aplicaciones
responsables de la recuperacin a nivel operativo de los servicios de
tecnologa de informacin.
4. En el caso de los planes de continuidad del tipo de respuesta a
incidentes de interrupcin de las operaciones, el principal objetivo es

_____________________________________________________________________________
15
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

continuar brindando los servicios y actividades de la organizacin. Las

prioridades de recuperacin sern dadas en funcin a los RTOs que se
hayan definido para los servicios o actividades. El equipo de
recuperacin de continuidad de las operaciones estar liderado por los
jefes de las unidades funcionales o lderes de procesos (segn como
mejor la organizacin se estructure para responder a un incidente
disruptivo, siendo la parte clave la capacidad de liderazgo que pueda
tener la organizacin durante el incidente). Forman parte del equipo el
personal de los puestos clave para realizar las actividades mnimas
segn los RTOs establecidos.
5. En el caso de los planes de continuidad que gobierna el manejo de
cualquier incidente, el principal objetivo es la toma de decisiones de
cualquiera de los tipos de planes antes mencionados, a travs de la
conformacin de un Comit de Manejo del Incidente o de la Crisis. Este
comit de crisis conformado por las autoridades de la organizacin,
ser el equipo que deber convocarse para apoyar en las decisiones
del equipo que est respondiendo al incidente de seguridad del
personal, o del equipo que est protegiendo la reputacin, o del que
est recuperando los servicios de tecnologa de informacin, o del que
est recuperando las unidades funcionales de negocio.
Como el incidente disruptivo podra ocurrir cuando la organizacin no
termin de implementar sus opciones de estrategias de recuperacin (por
ejemplo, un sitio alterno an no implementado), entonces es labor del
Comit de Manejo del Incidente o de la Crisis improvisar y conseguir
implementar la estrategia faltante para que los otros equipos de
continuidad y recuperacin que dependen de dicha opcin estratgica
puedan lograr el objetivo de responder al incidente disruptivo.
f. Ejercitar y probar los planes de accin
Los planes de accin sern slo papel y no pasarn de all sino se
ejercitan, y en verdad el xito del plan en el momento de un evento
disruptivo no est en cun bien documentado se encuentra sino cun bien
practicado e interiorizado est, por lo tanto, el principal objetivo de un
ejercicio, es practicar el plan y exponerlo progresivamente al mayor estrs
posible para identificar las oportunidades de mejora que pueda tener y/o
determinar las habilidades adicionales que hay que formar en el personal
participante de tal manera que el objetivo de ejercitar el plan no es ver si
el plan funciona o no, sino ante el escenario probado, determinar qu le
falta al plan y a las personas para poder responder mejor. Cuando el
escenario de prueba ya est dominado, ste deber incrementarse en
complejidad o en todo caso cambiarlo pero siempre de acuerdo la
maduracin de la continuidad en la organizacin.
Un ejemplo de la vida real que ayuda a entender lo antes mencionado es
"salir a correr"; puedo tomar el escenario objetivo "salir a correr en una
semana una vuelta a la manzana" como tambin "salir a correr en una
semana un maratn de cuarenta y dos kilmetros esperando lograr un
tiempo clasificatorio para las prximas olimpiadas"; de qu depende

_____________________________________________________________________________
16
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

escoger un escenario de menos estrs u otro escenario de total estrs?

depende del nivel de preparacin de la persona.
Sera imprudente obligar a una persona aficionada, que nunca se ha
preparado para correr profesionalmente. A que participe en la maratn y
clasifique para las olimpiadas porque probablemente podra hasta
causarle un dao mayor en su salud; de otro lado, tampoco es razonable
a una persona que diariamente sale a correr cuatro kilmetros, pedirle que
se ejercite corriendo una vuelta a la manzana, ya que no estoy forzando a
que aparezcan oportunidades de mejora en la tcnica de correr de la
persona o en los implementos que utiliza. Lo ideal ser identificar qu
preparacin tiene la persona y segn eso se pondr el escenario objetivo,
si nunca ha salido a correr, claramente el pedirle que corra una vuelta a la
manzana ser un objetivo adecuado; pero una vez domine ese objetivo,
habr que incrementar el objetivo, quizs ahora es pedirle que sea un
kilmetro, y as sucesivamente. Pero para no ser juez y parte en la
preparacin de la persona, sta deber proponerse en el tiempo, por
ejemplo tres meses, qu espera lograr, siendo el primer mes correr la
vuelta a la manzana, el segundo mes correr un kilmetro y el tercer mes
cuatro kilmetros.
Ejemplificando lo anterior, una organizacin que recin est iniciando su
programa de continuidad del negocio no puede tener la prueba sper
compleja que implique apagar sus operaciones y operar con las opciones
alternativas que las estrategias definieron y en menor tiempo que los
RTOs exigidos. Posiblemente inicie slo con un escenario general de
incendio con ejercicios de escritorio y validando el funcionamiento de
cierto equipamiento crtico y haciendo nfasis en la evacuacin del
personal. Posteriormente podr ser el mismo escenario de incendio con
heridos, con lo cual despus de la evacuacin parte del personal est
indispuesto, por lo que en los ejercicios de escritorio participarn los
alternos; as progresivamente ser ir creando complejidad del ejercicio.
Claro est que tampoco hay que esperar diez aos para que por ejemplo
la infraestructura alterna de tecnologa de informacin funcione
adecuadamente; es muy probable que los primeros escenarios buscarn
el objetivo de asegurar que la tecnologa de informacin alterna este lista
y operando en dos o tres aos.
Tambin la organizacin debe planificar sus objetivos de prueba en el
tiempo, es decir qu espera lograr en un ao, en dos, en tres, quizs
hasta en cinco aos, y as entonces la propia organizacin se pone sus
propios objetivos los cuales ir validando ao a ao.
Es bueno tener presente que a diferencia del ejemplo del corredor donde
seguramente ste sale a practicar diariamente, en continuidad la
organizacin no realizar ejercicios diariamente; la frecuencia de los
ejercicios deber ser prudente para dar espacio a la organizacin en
cumplir sus objetivos de operacin; con lo cual los niveles de complejidad
en continuidad del negocio sern progresivos al propio ritmo que la
organizacin establezca, claro est sin dejar pasar mucho tiempo para

_____________________________________________________________________________
17
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

que el personal olvide o ante los cambios de la organizacin los planes ya

no sirvan.

Grafico N 10.- Ejercicios segn su complejidad

Fuente: SELA. (2013). La continuidad de negocios y operaciones frente a
situaciones de desastre en Amrica Latina y el Caribe. Balance y
recomendaciones. SP/II-SR-ASPPGRD/DT N 2-13. Caracas,
Venezuela. Pgina 29
Los tipos de ejercicios van de los menos complejos y a su vez menos
costosos a los ms complejos y costosos. Los menos complejos son los
ejercicios de repaso, escritorio y juegos, cuyo objetivo es principalmente
difundir y crear conocimiento en el uso del plan y de las opciones de
estrategias que se encuentran disponibles en la organizacin; luego estn
las pruebas de funcionamiento de la infraestructura y del equipamiento
para asegurar que se encuentren operativas y funcionando y que el
personal que opera dicho equipamiento conoce su operacin y lo hace
rpidamente dentro los objetivos de tiempo establecidos. Luego estn los
ejercicios de desplazamiento que buscan brindar conocimiento de los
lugares a dnde desplazarse, cmo o con qu medios desplazarse y se
logran desplazar dentro de los objetivos de tiempo establecidos. Despues
estn los ejercicios de coordinacin, comando e integracin donde ms
de un equipo de respuesta o continuidad o recuperacin participan
integrados bajo la coordinacin del comit de manejo de incidentes o
crisis; luego se encuentran las simulaciones ms complejas, que pueden
ser una combinacin de los anteriores y por lo general es el ejercicio
objetivo del ao, para el cual, la organizacin se ha venido preparando
con ejercicios previos pero siempre sin afectar o paralizar algn servicio
crtico y finalmente est el ejercicio de escala completa donde
adicionalmente a lo que se simula se busca paralizar algn servicio crtico
y recuperarlo dentro de los tiempos esperados con los riesgos que ello
representa y en la medida de lo posible en entornos controlados.

_____________________________________________________________________________
18
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

El hecho de realizar un ejercicio no avisado no busca "ver si el plan

funciona", si no se avisa es porque se busca crear en el personal las
competencias de manejo de estrs y niveles de alerta adecuados para un
evento disruptivo; aunque no se avise a los participantes, siempre se
deber participar a la autoridad correspondiente para que pueda prever
cualquier riesgo de indisponibilidad del servicio. Los ejercicios no avisados
pueden ser en cualquiera de los tipos de ejercicios, por ejemplo podra no
avisarse del ejercicio de escritorio y con ello evaluar el nivel de
compromiso e importancia de la gente respecto a la continuidad del
negocio y las operaciones.
g. Creacin de conciencia y competencias en la organizacin
El personal de la organizacin tiene la responsabilidad de realizar las
actividades para las cuales ha sido nombrado, aunque el tema de
continuidad pudiera reconocerse como importante, el da-da har que
dentro de sus prioridades el tema de continuidad cada vez en el tiempo
baje de importancia. Por ello crear una cultura de continuidad del negocio
y de las operaciones al interior de la organizacin es una labor que debe
ser constante.
Si el tema de continuidad an no ha sido implementado en la organizacin
el tipo de sensibilizacin ser diferente y buscar vender o justificar la
necesidad de establecer un programa de continuidad del negocio, ya sea
a partir de incidentes pasados, de incidentes ocurridos en otras
organizaciones, de obligaciones regulatorias o legales, o de
requerimientos de auditora. Si la continuidad ya est implementada,
entonces el objetivo ser recordarle al personal que es un tema
importante el estar preparados porque "podra pasar".
Se hace necesario el trabajo con el rea de comunicaciones internas de la
organizacin para estructurar las mejores formas de dar el mensaje al
personal y los medios apropiados para hacerlo. Pueden usarse boletines,
portales web, afiches, charlas, juegos y una vez al ao el da, la jornada o
la semana de la continuidad.
La sensibilizacin debe estar enfocada por tipo de pblico objetivo y
siempre deber tener indicadores que midan si los resultados deseados
se estn logrando, sino no hay forma de saber si el mtodo utilizado est
siendo efectivo y no hay forma de entrar en el ciclo de mejora continua.
La creacin de competencias tiene un objetivo diferente al de la
sensibilizacin y es principalmente crear conocimiento y experiencia en
diferentes temas o disciplinas de la continuidad. Los temas podrn ser en
conceptos de continuidad del negocio y de las operaciones, considerando
las especialidades, respuesta a incidentes de seguridad del personal y
activos crticos, respuesta a incidentes de afectacin de imagen,
respuesta a incidentes de interrupcin de la tecnologa de informacin,
respuesta a incidentes de interrupcin de las operaciones, o gobierno y
manejo de incidentes o crisis pospuesta en el uso y aplicacin de las
alternativas de estrategias de recuperacin y de los planes de
continuidad, donde los ejercicios sern muy exitosos como herramienta de
_____________________________________________________________________________
19
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

creacin de conocimiento y experiencia; y tambin en la realizacin de las

actividades del da a da por parte de los alternos tal cual lo hara el
designado como primario.
La capacitacin deber tambin ser focalizada al tipo de personal y segn
las capacidades que se necesiten crear. Al igual que la sensibilizacin, los
resultados deben medirse para establecer si est siendo efectiva y est
cumpliendo con los objetivos de la creacin de capacidades.
h. Mantenimiento de la continuidad de negocios y de las operaciones
La organizacin siempre es cambiante, cambian las personas, cambian
las responsabilidades, cambian los servicios, cambian los edificios e
instalaciones, cambian los sistemas, cambian los proveedores y otras
partes de la organizacin. Es por ello que uno de los retos ms
importantes de la continuidad es lograr que a pesar de los cambios en la
organizacin, la continuidad no se desactualice.
El xito de la gestin de cambios es identificar el cambio y para ello es
necesario conocer quin puede informar del mismo y con qu frecuencia
debe preguntarse a la fuente del cambio. Por ejemplo, la fuente para
cambios del personal puede ser Recursos Humanos y la frecuencia a
consultarles es cada quince das, el medio es a travs de un formato de
altas, bajas y modificaciones del personal enviado por correo; otro
ejemplo es para los cambios a nivel de los sistemas informticos, la fuente
es el departamento de TI y especficamente el comit de cambios de TI y
la frecuencia a consultares es una vez al mes participando de las
reuniones a invitacin de dicho comit.
Como la organizacin tienen muchos cambios, en verdad interesarn
aquellos que impacten directamente a la continuidad y son: cambios en
servicios; procesos o actividades; personas, transporte y comunicaciones;
infraestructura fsica, servicios pblicos y ambientes de trabajo;
equipamiento, materiales e insumos; servicios de tecnologa de
informacin; proveedores; viabilidad financiera; entre otros.
Una vez identificado un cambio de inters para la continuidad del negocio,
deber registrarse en una bitcora de eventos de cambio y analizar el
impacto en la desactualizacin del programa de continuidad del negocio y
de las operaciones; si el impacto es bajo o moderado, podr esperarse al
ciclo de actualizacin del siguiente ao; si el impacto es alto o muy alto,
deber modificarse el plan de trabajo operativo del ao en curso (de
continuidad) y contemplar la actualizacin de los componentes de la
continuidad que sean necesarios.
Una vez realizado el cambio en uno o ms documentos del programa de
continuidad, deber llevarse un registro de qu cambi, quin cambi y
quin aprob lo cambiado y cul es la nueva versin del documento
modificado. En caso el documento (por ejemplo un plan) necesite volverse
a distribuir, ser necesario solicitar las versiones viejas del documento y
almacenarlas o destruirlas y entregar las nuevas versiones; inclusive
haciendo firmar la recepcin de las nuevas copias.

_____________________________________________________________________________
20
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

El documento del plan es un documento controlado. El contenido es

responsabilidad del dueo del departamento o proceso del plan y el
coordinador de continuidad es responsable del acceso al documento y de
distribuirlo nicamente a los que el plan necesite ser entregado.
i. Indicador de madurez y planeamiento estratgico en continuidad del
negocio y de las operaciones
Una organizacin sin indicadores que midan su progreso o sin un plan
estratgico no tendr cmo medir si est progresando. Lo mismo ocurre
con el programa de continuidad del negocio y de las operaciones; si no se
mide su maduracin y no se plantean objetivos estratgicos en el tiempo
no podr mostrar a las autoridades si est mejorando o no. Una
continuidad del negocio y de las operaciones exitosa no slo se mide por
los planes de continuidad generados, sino tambin por otros factores que
debern darse para decir que el programa de continuidad del negocio y
de las operaciones est bien enrumbado.

Grafico N 11.- Variables estratgicas de la continuidad segn el BCMM

Fuente: SELA. (2013). La continuidad de negocios y operaciones frente a
situaciones de desastre en Amrica Latina y el Caribe. Balance y
recomendaciones. SP/II-SR-ASPPGRD/DT N 2-13. Caracas,
Venezuela. Pgina 32
El Modelo BCMM (Modelo de Madurez en Continuidad del Negocio por
sus siglas en ingls) es el ms antiguo y difundido en el medio y permite
comparar que tan maduro est el programa de continuidad del negocio y
de las operaciones en la organizacin.
Establece ocho competencias que la organizacin debe lograr: (1)
liderazgo por parte de las autoridades; (2) conciencia e inters del
personal en general; (3) estructura, roles y responsabilidades; (4)
interiorizacin e integracin con las partes internas y externas; (5)
medicin de indicadores ms finos de continuidad; (6) contar con recursos
competentes y efectuar inversiones acorde con los escenarios deseados a

_____________________________________________________________________________
21
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

ser protegidos; (7) aseguramiento de la cadena de suministro y del

manejo de las expectativas de terceros; y (8) orden metodolgico acorde
con mejores prcticas.
El nivel uno (01), es el ms bajo, donde no se realizan esfuerzos de la
continuidad; el nivel dos (02), donde al menos un departamento funcional
est realizando algn esfuerzo a iniciativa propia; el nivel tres (03), donde
varios departamentos funcionales tratan de coordinar esfuerzos a travs
de alguna comisin de trabajo; el nivel cuatro (04), donde la organizacin
est aplicando una mejor prctica y una funcin de continuidad del
negocio y de las operaciones ha sido establecida; el nivel cinco (05)
donde la organizacin ha pasado de la teora a la prctica en la aplicacin
de las mejores prcticas y est implementando un programa de
continuidad de la organizacin en toda la organizacin (dentro del alcance
de la continuidad) aunque no con todo xito en algunos departamentos; y
el nivel seis (06) donde la organizacin lleva una prctica regular y
constante de excelencia y todos los departamentos funcionales dentro del
alcance de la continuidad estn altamente comprometidos, existen las
opciones de estrategias y ponen en prctica sus planes con frecuencia.
Si el resultado de la evaluacin de madurez califica entre uno (1) y dos
(2), entonces el modelo indica que la organizacin est en riesgo; si
califica tres (3) o cuatro (4), entonces el modelo indica que la organizacin
est siendo competente; si califica cinco (5) o seis (6) significa que est
logrando la excelencia.
Con base al resultado del modelo BCMM se pueden estimar objetivos
progresivos en el tiempo, por ejemplo: el primer ao alcanzar el nivel tres
(03); el segundo ao mantener el nivel; el tercer ao alcanzar el nivel
cuatro (04). Otro ejemplo podra ser: el primer ao alcanzar el nivel cuatro
(04) en las competencias de liderazgo y conciencia y en el resto al menos
el nivel tres (03) para los departamentos con RTO menor a cuatro (04)
horas; el segundo ao alcanzar el nivel cuatro (04) en todas las
competencias para los departamentos con RTO cero (0), y para los
departamentos de RTO veinticuatro (24) alcanzar el nivel tres (03) en las
competencias de liderazgo y conciencia.
As como los ejemplos anteriores podran plantearse objetivos a tres (03),
cuatro (04) o cinco (05) aos y anualmente revisar su cumplimiento y su
comparacin con respecto al ao anterior; si no se logran habr que
reevaluar cada cierto tiempo los objetivos estratgicos de la continuidad
para ir sincerndolos conforme la organizacin madura.
3. Conclusiones
a. El Per se encuentra situado en una regin propensa a grandes
desastres sea de origen natural o inducidos por accin humana, que
pueden causar la paralizacin de las operaciones de las entidades del
gobierno, como son los disturbios sociales, la inseguridad, el crimen
organizado, entre otras.

_____________________________________________________________________________
22
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

b. En el Per el concepto de continuidad de operaciones en el gobierno,

tiene visin sistmica de carcter multisectorial e integrada, sobre la
base del mbito de competencias, responsabilidades y recursos de las
entidades pblicas, garantizando la transparencia, efectividad, cobertura,
consistencia, coherencia y continuidad en sus actividades con relacin a
las dems instancias sectoriales y territoriales.
c. Se deben de definir qu actividades vitales de la organizacin que se
deben de proteger para la sobrevivencia de la organizacin.
Para la identificacin de las actividades vitales, se debe primeramente
identificar que significa INTOLERABLE para la organizacin llegando al
lmite de lo que es la supervivencia. La URGENCIA de las actividades se
determina considerando en cuanto tiempo se alcanza estos impactos
intolerable debido a la interrupcin de cada actividad de la organizacin.
Las actividades que alcancen impactos no tolerables en cuestin de
horas o das sern vitales, por lo que se deben de proteger
adicionalmente a las medidas que se estn adoptando.
d. El concepto de COOP, tambin se aplica a la continuidad de la
sociedad y tanto el Gobierno Central, por lo que los Gobiernos
Regionales y Gobiernos Locales lo pueden aplicar.
Una poblacin es una organizacin que tiene servicios o actividades
clave o vitales que son vivienda, servicios bsicos, salud, alimentacin,
transporte finanzas, entre otros, los cuales debe recuperar y ante la
ocurrencia de un incidente disruptivo, este gobierno debe tener ya
implementado opciones para continuar brindando vivienda alterna; con
servicios bsicos alternos (servicios de energa, agua, saneamiento,
telefona, gas), como plantas generadoras alternas, cisternas de agua
potable alternas; centros de acopio y distribucin de alimentos y
preparacin de comidas alternos; centros de salud temporales alternos;
medios de transporte temporal masivo alternos; viabilidad financiera
para la reconstruccin de lo afectado y para facilitar disponibilidad de
efectivo en la poblacin ms pobre; medios de comunicacin alternos
con la poblacin; entre otros aspectos que se podrn considerar.

_____________________________________________________________________________
23
 Documento de Seguridad y Defensa
N 002-2014-VIVIENDA-SG-OSDN
____________________________________________________________________________

Bibliografa

Espieira, Sheldon y Asociados. (2009). Gestin Integral de Riesgo en

empresas Venezolanas.
Hill, A. (2013). Continuidad de Operaciones (COOP) y Continuidad de Gobierno
(COG): Propuesta para su implementacin en Amrica Latina y el Caribe.
SP/II-SRASPPGRD/Di N7-13. Sistema Econmico Latinoamericano y del
Caribe SELA. Cartagena de Indias, Colombia.
Ley N29664, Ley que crea el Sistema Nacional de Gestin del riesgo de
Desastres SINAGERD
OACI. (2009). Manual de la Gestin de Seguridad Operacional. Canad.
Ormella, C. (2014). Norma ISO 31000 - Riesgos Corporativos. Recuperado el
15 de agosto del 2014, de
http://www.criptored.upm.es/descarga/ISO_31000_riesgos_corporativos.p
df
Poltica Nacional de Gestin del Riesgo de Desastres, aprobada por Decreto
Supremo N 111-2012-PCM
Reglamento de la Ley N29664, Ley que crea el Sistema Nacional de Gestin
del riesgo de Desastres SINAGERD, aprobado por Decreto Supremo N
048-2011-PCM
Sarmiento, J. (2012). Continuidad de Gobierno y Continuidad de Operaciones
ante situaciones de desastre. SP/SR-CGCORRD/Di N 22-12. Sistema
Econmico Latinoamericano y del Caribe - SELA. Lima, Per.
SELA. (2013). La continuidad de negocios y operaciones frente a situaciones
de desastre en Amrica Latina y el Caribe. Balance y recomendaciones.
SP/II-SR-ASPPGRD/DT N 2-13. Sistema Econmico Latinoamericano y
del Caribe SELA. Caracas, Venezuela.
SELA. (2013). Continuidad de Operaciones (COOP) y Continuidad de Gobierno
(COG): Propuesta para su implementacin en Amrica Latina y el Caribe.
SP/II-SR-ASPPGRD/DT N3-13. Sistema Econmico Latinoamericano y
del Caribe SELA. Cartagena de Indias, Colombia.

_____________________________________________________________________________
24