Escuela de Ingenierías I.I.

Industrial, Informática y Aeroespacial

GRADO EN INGENIERÍA EN ELECTRÓNICA

INDUSTRIAL Y AUTOMÁTICA

Trabajo de Fin de Grado

PLAN DE CONTINUIDAD DE LA ACTIVIDAD EN

MOMENTOS DE DESASTRE O CRISIS
Protección y Seguridad de los Ciudadanos
ISO 22301
SISTEMA DE GESTIÓN DE LA CONTINUIDAD DEL
NEGOCIO (SGCN), UN ENFOQUE POR ETAPAS

Autor: Miguel Merino Casals

Tutor: Manuel Castejón Limas

 RESUMEN
Propongo en este momento que acudas a tu memoria reciente, a esos hechos
que han sido publicados en el periódico de tu ciudad y que seguro que has
comentado con familiares o amigos.
¿Recuerdas en la Comunidad de Madrid la crisis del ébola?, “como no recordar al
famoso perro excalibur y las declaraciones del Consejero de Sanidad”.
Y ahora te pido que recuerdes el incendio de la nave de Campofrío en Burgos.
Solo pido que acudas a tu recuerdo. ¿Cómo es posible que tengamos recuerdos
tan dispares sobre ambos sucesos? Más allá de que los recursos fuesen los
idóneos ¿qué es lo que les separa? ¿Por qué tenemos el recuerdo de que uno fue
un rotundo fracaso y el otro un éxito de gestión?
En el primero de los casos nadie sabía lo que tenía que decir ni cuándo, nadie
sabía quién debía hablar, nadie sabía cómo y qué comunicar, la improvisación
era la estrella invitada. En el segundo de ellos todo funcionó como una
maquinaria perfectamente engrasada, los que hablaron mantenían un discurso
claro y resolutivo, se tomaron decisiones para este tipo de situaciones de crisis
que no eran fruto de la improvisación, estaban pensadas con anterioridad.
Está presente en nuestro saber profesional que existen Normas enfocadas a la
Calidad, al Medio Ambiente, la Responsabilidad Social Corporativa, Sistemas de
Gestión Integrada y también existen otras normas que no por poco conocidas son
menos importantes.
En el Reino Unido, desde hace ya algunos años, es obligatorio que las empresas
con un número determinado de trabajadores, o una determinada función
productiva o social, elaboren lo que se conoce como el Plan de Continuidad del
Negocio. En España, que tendemos a mostrar el carácter social de las cosas,
hemos transpuesto la norma y la hemos llamado “Protección y Seguridad de los
Ciudadanos. Sistema de Gestión de la Continuidad del Negocio”.
Muchas empresas, medianas y pequeñas principalmente (recordemos que España
es un país de PYMES), todavía se mueven bajo la premisa “esto a mí no me va a
pasar” confundiendo en muchas ocasiones el deseo con la realidad, la
probabilidad con la imposibilidad.
Se presenta en ese Trabajo de Fin de Grado una breve aproximación a la ISO
22301 sobre Plan de Continuidad de una Empresa en Condiciones de Desastre
o Crisis con vocación de servir como primera piedra para la elaboración de una
Guía Metodológica para la realización de un Plan De Continuidad de la
Actividad.
ÍNDICE Página 3

ÍNDICE

RESUMEN ................................................................................... 2
1 POR QUÉ DESARROLLAR UN PLAN DE CONTINUIDAD DEL NEGOCIO? .... 4
1.1 Algunas razones buenas razones para elaborar un Plan...................... 4
1.2 Que es un PCA o BCP .............................................................. 5
1.3 Objetivo ............................................................................. 6
2 CÓMO DESARROLLAR UN PLAN DE CONTINUIDAD DE NEGOCIO? ......... 7
2.1 Contenido del PCA ................................................................. 7
2.2 Requisitos Organizacionales ...................................................... 9
2.3 Metodología para el desarrollo del PCA ........................................ 9
2.4 AJUSTE DEL CONTEXTO Y OBJETIVOS DE LA ORGANIZACIÓN .............. 10
2.4.1 IDENTIFICAR Y FORMALIZACIÓN. REQUISITOS DE CONTINUIDAD .......... 11
2.4.2 IDENTIFICAR Y GESTIONAR PRIORIDADES DE RIESGO ........................ 12
2.4.3 SELECCIÓN DE LOS ESCENARIOS A CONSIDERAR ............................. 13
2.4.4 LA FORMALIZACIÓN DE MEDIOS Y PROCEDIMIENTOS ........................ 14
2.4.5 DEFINICIÓN DE LA ESTRATEGIA DE CONTINUIDAD ........................... 18
2.4.6 PROCEDIMIENTOS PARA LA GESTIÓN DE CRISIS Y COMUNICACIÓN ........ 18
2.4.7 REDACTAR EL PLAN DE CONTINUIDAD Y LA DOCUMENTACIÓN
RELACIONADA .................................................................... 19
2.4.8 GARANTIZAR LA CAPACIDAD DEL PLAN DE IMPLEMENTACIÓN.............. 19
2.4.9 COMO DESARROLLAR PLAN: EJERCICIOS Y EL RETORNO DE LA
EXPERIENCIA ...................................................................... 20
3 LISTA DE REFERENCIAS......................................................... 23
4 LISTA DE DOCUMENTACIÓN UTILIZADA EN EL TFG........................ 23
Grado en Ingeniería en Electrónica Industrial y Automática Página 4

1 POR QUÉ DESARROLLAR UN PLAN DE CONTINUIDAD DEL NEGOCIO?

1.1 Algunas razones buenas razones para elaborar un Plan.

La naturaleza, la frecuencia de algunos hechos que ocurren en nuestro entorno,
y el coste que estos suponen han variado significativamente en los últimos veinte
años. Probablemente hoy entendemos algo mejor cómo están interrelacionadas
algunas de las distintas variables que forman parte de estos eventos de muy
diferente origen, eventos que interrumpen y distorsionan el funcionamiento
normal de las algunas organizaciones, públicas y privadas, y que en ocasiones
tienen como consecuencia la paralización de la actividad.

El análisis de la experiencia obtenida por algunas organizaciones es un primer

paso para asegurar la continuidad de sus negocios y hacerlos más resistentes a
éstos eventos perturbadores.
Si bien sería poco realista intentar controlar estos eventos, los responsables de
una organización -bien pública o privada- sí están obligados a diseñar e
implementar estrategias que les protejan del impacto de determinados
acontecimientos y, cuando menos, limiten las consecuencias directas sobre los
objetivos de la organización garantizando la continuidad del negocio a pesar de
la pérdida de algunos recursos críticos.
Este requisito afectará directamente a la situación financiera de la organización,
a su imagen en la sociedad y, por supuesto, a la responsabilidad personal del
líder.
Grado en Ingeniería en Electrónica Industrial y Automática Página 5

Las entidades de crédito, empresas de inversión, centros de salud o los servicios

primarios en general deben, o al menos deberían, cumplir con esta obligación de
forma legal y elaborar el plan de continuidad su negocio.
Las limitaciones económicas impuestas por tener que justificar el gasto
“incluyendo las relativas a las acciones en el ámbito de la seguridad” deberían
de dar prioridad a esta inversión como parte de una estrategia global. Por lo
tanto, se deben tener herramientas metodológicas para optimizar la eficacia de
estas acciones en consonancia con los objetivos de la organización.
Estas herramientas ya existen, y cubren por separado las diferentes áreas
interrelacionadas: la gestión de riesgos, gestión de crisis, intervención,
mantenimiento y recuperación de desastres. La elaboración de procesos que
garanticen la continuidad del negocio es una forma de aglutinar, de forma
coherente e integral, todas estas áreas.
La adopción de una estrategia de continuidad constituye un ejercicio de responsabilidad y predisposición a

anticiparse a cualquier tipo de evento adverso que haga peligrar el negocio.1

1.2 Que es un PCA o BCP

La gestión de la continuidad del negocio, o Plan de Continuidad de la Actividad,
se define como "el plan logístico, para su puesta en práctica, sobre
como una organización debe recuperar y restaurar sus funciones
críticas parcial o totalmente interrumpidas en un tiempo
predeterminado después de una interrupción no deseada o
desastre”
Este proceso de gestión integral identifica amenazas potenciales y los posibles
impactos que estas amenazas tendrían, de llegar a suceder, impactos que
afectarían a las operaciones relacionadas con la actividad de organización. Nos
proporciona un marco para aumentar la resiliencia de la organización, con una
capacidad de respuesta eficaz preservando los intereses de sus grupos de interés
clave, actividades de la reputación, la marca y el valor que estos generan.
Un plan de continuidad de negocio (BCP o PCA) tiene por objeto garantizar la
recuperación y continuidad de la actividad de una organización después de un
desastre o un acontecimiento que perturbe gravemente su funcionamiento
normal.
El plan debe permitir que la organización recupere la capacidad de cumplir con
sus obligaciones (legales o reglamentarias contractuales) externas o internas
(que supondrían un riesgo de pérdida de mercado, pondrían en peligro la
supervivencia del negocio, su imagen...) y para cumplir sus objetivos.
1 Guía práctica para PYMES: Cómo implantar un Plan de Continuidad de Negocio. Deloitte
Grado en Ingeniería en Electrónica Industrial y Automática Página 6

El Reglamento de la Comisión de Banca y Regulación Financiera (Basilea,

relativo al control interno de las entidades de crédito y empresas de inversión da
la siguiente definición: el PCA representa el conjunto de medidas tendentes a
garantizar la actividad frente a los diversos escenarios de crisis incluyendo,
en modo degradado, la prestación de servicios o funciones operativas
esenciales de la empresa hasta la recuperación normal de actividades.

1.3 Objetivo
La metodología para el desarrollo práctico de un BCP es el principal propósito de
este TFG dirigido a los Organismos del Estado, las Comunidades Autónomas,
Entidades Locales y Empresas.
Una vez desarrollado, el PCA, se incluirán todos los procedimientos
documentados que se utilizarán para guiar a la Organización a responder,
restaurar, recuperar y volver a un nivel de funcionamiento adecuado después de
una perturbación importante.
Este TFG pretende facilitar este proceso mediante la emisión de asesoramiento
metodológico y la difusión de buenas prácticas, no solo en una perspectiva
competitiva, sino que también puede ser de ayuda en la preparación de
cualquier proyecto de consultoría o certificación.
Al describir el papel de los Servicios Estatales de apoyo a la Sociedad Civil, este
TFG se referirá con frecuencia a un vocabulario estandarizado que ayuda a
facilitar el diálogo entre las organizaciones, incluyendo clientes/relaciones con
los proveedores con el fin de limitar posibles efectos en cascada. El TFG tratará
de ser coherente con los diferentes enfoques del problema y documentación
existente, como parte de un proceso que afecta al Sector Público y Privado para
mejorar su capacidad de recuperación de una forma complementaria.
Se contiene información para dar una
visión de conjunto y un enfoque
metodológico integral con el objetivo de
lograr implementar la continuidad del
negocio, o la actividad, en consonancia
con las normas existentes.
También el TFG desarrollará algunas de
estas buenas prácticas, no todas, en
detalle en forma de fichas. Estas fichas
profundizarán en la metodología, o las mejores prácticas, para ayudar a su
puesta en práctica en el contexto específico de cada organización.
Finalmente, en los anexos, y tratará de proporcionar un glosario de terminología
estandarizada, referencias, ejemplos y modelos de tareas en tendrán como
objetivo garantizar la coherencia de cada estudio
Grado en Ingeniería en Electrónica Industrial y Automática Página 7

2 CÓMO DESARROLLAR UN PLAN DE CONTINUIDAD DE NEGOCIO?

2.1 Contenido del PCA

Un PCA debe describir la estrategia de continuidad adoptada para hacer frente,
con orden de prioridad, a los riesgos identificados dependiendo de: la severidad,
los efectos y su verosimilitud. Se elaborará una estrategia, en términos de
recursos y procedimientos documentados, que se utilizarán como referencia para
responder, recuperarse, y volver a un estado de operación predeterminado
anterior a cuando este se suspendió después de una gran perturbación.
Un PCA es necesariamente un plan en evolución según las prioridades
de la organización, y evolucionará con los cambios de objetivos, las obligaciones
contractuales o reglamentarias, las relaciones con los socios externos
(proveedores y clientes), y la evaluación de riesgos. Un PCA se debe revisar
periódicamente para reflejar los cambios en estos parámetros.
Toda persona responsable de una que acción relevante, descrita en un PCA,
debe conocer su papel exacto y qué hacer concretamente en caso de desastre.
También se debe incluir el propósito de la acción que se pretende con el fin
mantener la coherencia global de la organización. Este requisito es una medida
de flexibilidad, eficiencia y eficacia.
Se desprende pues que en el PCA se debe clarificar la asignación de las personas
a una determinada área, con independencia de su posición funcional en la
organización, ya que su labor en el PCA no depende de la labor que realicen en
la organización sino que viene definida por su capacidad de adaptabilidad a una
determinada tarea, el contexto en donde ésta se produce, los escenarios de
riesgo seleccionados o la estrategia de respuesta elaborada.
Por ello se recomienda que el contenido de la PCA incluya los siguientes puntos a
desarrollar:
El contexto, los objetivos y obligaciones de la organización, donde su
descripción se prolongará lógicamente a través de una lista de actividades
esenciales para alcanzar los objetivos, así como una lista de los procesos claves
necesarios para alcanzar tales objetivos organizacionales.
Los riesgos que se identifiquen como las más graves amenazas
para la continuidad del negocio deben ser explicados claramente a través de sus
correspondientes escenarios. Como veremos más adelante, es muy
recomendable realizar el correspondiente análisis de riesgos sobre estas
amenazas, de este modo contaremos con una evaluación objetiva antes de
definir las correspondientes prioridades. Sin embargo, en ausencia de este
enfoque de gestión de riesgos, se deberá tener al menos un enfoque de los
posibles escenarios (p.ej., inundaciones, enfermedades pandémicas, la
Grado en Ingeniería en Electrónica Industrial y Automática Página 8

destrucción de un emplazamiento), centrarse en las consecuencias y no en las

causas, puede ser más que suficiente para desarrollar una primera versión
simplificada del PCA.
La estrategia de continuidad de la actividad se debe establecer y
describir con precisión para cada actividad clave asociada así como su
correspondiente nivel de servicio. Se debe definir el período máximo de
interrupción admisible, los recursos y procedimientos para lograr los objetivos
marcados, sin olvidar los que se pueden haber perdido hasta la reanudación de
la normalidad.
El papel de los diversos responsables, los procedimientos del PCA a
aplicar y los correspondientes recursos necesarios, deben ser definidos,
documentados y correctamente difundidos.
El dispositivo de gestión de crisis deberá ser tendente a favorecer la
aplicación del PCA, a las acciones de respuesta de la dirección, la gestión de la
incertidumbre, la activación de procedimientos de detección de incidentes, la
cualificación, la difusión, alerta,
movilización, la activación del estado de
crisis, la anticipación, la respuesta, la
activación de las disposiciones del PCA
(soluciones temporales, los modos de
funcionamiento degradado, plan para la
reanudación de la actividad normal) y,
muy importante, la gestión
comunicación hacia adentro y
hacia fuera.
Plan de mantenimiento operacional del PCA. Esta acción esencial
consiste en establecer indicadores permanentes de verificación y medida:
Permite la implementación con éxito del PCA y analiza sus posibles
desviaciones.
Permite controlar la eficacia del plan y sus los objetivos de continuidad.
Durante una crisis, y aguas abajo: Permite evaluar los niveles de servicio
registrados por las actividades esenciales, el funcionamiento de los
procesos descritos en el PCA y la disponibilidad de los recursos que se
tenían por seguros.
El mantenimiento operacional consiste pues en configurar todos los dispositivos
relacionados con pruebas periódicas, ejercicios de simulación de desastre,… En
resumen se trata de identificar las posibles áreas de mejora de forma que nos
permita hacer un seguimiento continuo del plan.
Grado en Ingeniería en Electrónica Industrial y Automática Página 9

2.2 Requisitos Organizacionales

La elaboración de un PCA requiere de acciones específicas de
comunicación previa, de sensibilización de la organización enfocada a la
gestión de riesgos y la continuidad del negocio, en resumen estar
preparados para la gestión del cambio.
Por lo tanto, la Dirección debe comprometerse profundamente en el
desarrollo del PCA a través de:
La designación del Director del Proyecto y su Equipo
El establecimiento de una orden imperativa de trabajo y la gestión
periódica de informes que sobre la marcha permitan la validación de los
principales hitos, para proceder posteriormente a la aprobación del plan y
su seguimiento.
Garantizar, además, que el equipo que lidera el proyecto lleva a cabo una buena
gestión de la Continuidad del Negocio y Recuperación de Desastres, a través de:
La evaluación de análisis y el riesgo.
Formular propuestas de estrategias de continuidad y recuperación de
desastres, la capacidad para inspeccionar ha tenido debidamente en
cuenta –el personal asignado- la necesidad de disponibilidad de los
recursos requeridos por el plan, y aprobado por la dirección.
Los procesos de los procedimientos de integración de continuidad y
recuperación de desastres en la organización.
La capacidad de verificar la eficacia y la eficiencia de la PCA.
Lo ideal sería que los informes del Director del Proyecto estén validados también
por el Gerente de Riesgo (2). Debe conocer el negocio, o actividad, así como
tener una autoridad reconocida. A veces es más fácil formar en la medida de un
PCA a un Analista de Riesgos experto que a la inversa. Contará con delegados en
las diferentes partes de la organización, cuyos responsables son conscientes del
objetivo del PCA.
(2) Adicionalmente, el perfil o perfiles de las figuras encargadas de la gestión de la continuidad de negocio en una
PYME no tiene que estar forzosamente localizado en las áreas de tecnología y sistemas (tal y como muchas
organizaciones asumen y derivado de la idea perenne de que los procesos de continuidad de negocio están
constituidos principalmente por componentes tecnológicos).

2.3 Metodología para el desarrollo del PCA

La metodología se presenta en diferentes etapas:
Principalmente, y por encima de todo, dejar en claro el contexto y el
alcance del PCA.
Grado en Ingeniería en Electrónica Industrial y Automática Página 10

Identificar los objetivos y obligaciones organizacionales en el ámbito

elegido.
Formular los objetivos de continuidad deseados que deben facilitar su
logro y cumplimiento.
Identificar, a través del análisis de riesgos, los posibles escenarios de
crisis.
Establecer y justificar el enfoque elegido, las prioridades existentes y las
necesidades de continuidad los escenarios seleccionados
Desarrollar y formalizar una estrategia de continuidad (hacia la situación
normal) que cumpla con los escenarios seleccionados. Siendo esta
estrategia el resultado de la optimización de las necesidades de
funcionamiento y el coste para cumplir con los objetivos de continuidad
de negocio, y el equilibrio entre el coste y la aceptabilidad de la
interrupción de la actividad (evaluada en términos de probabilidad de
ocurrencia de escenarios).
Establecer en el marco de la estrategia, las prioridades en términos de
recursos y procedimientos (*).
Definir las funciones a implementar por diversos responsables, el plazo
establecido para tal, los recursos destinados y procedimientos a cubrir.
Diseño, modificación, seguimiento e implementación de cambios en el
plan.
Estos pasos se resumen en los párrafos
siguientes con el fin de facilitar la
comprensión de la metodología como un
todo. Este TFG ofrecerá una descripción
de carácter práctico con más detalle,
ilustrado con diagramas y hojas de buenas
prácticas que se desarrollarán más
adelante.

2.4 AJUSTE DEL CONTEXTO Y OBJETIVOS DE LA ORGANIZACIÓN

Esta primera acción es esencial y determina la eficacia global del enfoque. Su
objetivo es aclarar el ámbito geográfico y funcional de la organización que debe
ser tomado en cuenta e identificar cualquier cosa que pueda orientar las
decisiones en relación a la especificidad de la organización. En particular, se
debe tener en cuenta tanto el contexto externo (petición de las partes
interesadas, los accionistas, las autoridades reguladoras, los contratos existentes
y los niveles asociados de la demanda, político, social, cultural, jurídica,
económica y financiera, dependencias, etc.), el contexto interno (historia y
cultura de la organización, el estilo de gobierno y gestión, gestión de la política
interna de los recursos humanos, informática, material e inmaterial, la
Grado en Ingeniería en Electrónica Industrial y Automática Página 11

estrategia y objetivos de la empresa, organización, proceso, sistema los flujos

de información, etc.).
Se necesita este enfoque analítico para el futuro, en particular, a la posibilidad
de considerar el nivel de riesgo aceptable para la organización, y orientar en
consecuencia la estrategia de continuidad o de un enfoque que destaque la
continuidad de las principales actividades o, en cambio, hacia un enfoque más
dispuesto a aceptar la pérdida de actividad asociada a la toma de riesgos.
El análisis también puede identificar las actividades que son esenciales para el
logro de los objetivos de la organización y el cumplimiento de sus obligaciones.
Estas actividades implican la existencia de procesos y flujos (materias primas,
interfaces a los sistemas de información), los más críticos se deben asignar de
manera efectiva y específica. Este trabajo previo dará como resultado un
análisis inicial de los llamados "críticos" y como consecuencia el buen
funcionamiento de los recursos de la organización.

2.4.1 IDENTIFICAR Y FORMALIZACIÓN. REQUISITOS DE CONTINUIDAD

Este paso es la continuación lógica del anterior. Se tratar de especificar, para
cada actividad principal y cada proceso o flujo crítico, el nivel mínimo de
servicio requerido y la duración del tiempo de inactividad máximo aceptable.
Los Modos Degradados pueden ser considerados en algunas ocasiones, ya que
son más tolerables que la interrupción total de la actividad. Sin embargo, el
Modo Degradado también obedece a los objetivos de nivel de servicio de
duración mínima y máxima con un retorno a la actividad normal.
Para mantener o restaurar la función, es necesario contar con los llamados
"críticos" que se pueden clasificar en cinco categorías de recursos:
Recursos Humanos
Infraestructura
Sistemas de Información
Recursos Intelectuales
Proveedores Externos (servicios y productos)
Por lo tanto, los recursos críticos también deben ser definidos. Para facilitar
este trabajo, el análisis de las necesidades de recursos se hará sobre la base de
un número limitado de escenarios o situaciones de crisis identificadas como
prioritarias en el final del proceso de gestión del riesgo y teniendo en cuenta las
necesidades de continuidad.
En esta etapa, nos es posible es cuantificar el impacto de una interrupción de la
actividad, o negocio, en términos humanos (muertos y heridos de forma
consecutiva para detener el servicio vital) o términos financieros (pérdida de
recursos, la aplicación de sanciones contractuales, legal, pérdida de material
debido a la falta de disponibilidad de los sistemas de información, o la pérdida
Grado en Ingeniería en Electrónica Industrial y Automática Página 12

de los mercados debido a la fuga de información), y el impacto sobre el medio

ambiente, la imagen corporativa (4), la moral empleados o la responsabilidad
penal del líder.
Al final de esta etapa, la dirección de la organización validará los principios
adoptados y la evaluación de cada proceso crítico. La descripción del proceso, la
criticidad, los objetivos de nivel de servicio y el límite máximo de interrupción
aceptable (DMIA o DIMA) (expresado como la medida del posible coste en
financiero aceptable). Si la interrupción supera el tiempo máximo aceptable, el
costo se incrementa fuertemente con la duración de la interrupción. Sin solución
se puede poner en peligro a la organización y suponer de facto a su
desaparición.

2.4.2 IDENTIFICAR Y GESTIONAR PRIORIDADES DE RIESGO

El enfoque de la gestión de riesgos es un enfoque integral que nos permitirá
cuantificar por primera vez la probabilidad de ocurrencia (o verosimilitud) y la
gravedad del riesgo de forma que dispongamos de elementos objetivos que nos
permitan la toma de decisión limitando de
esta manera los efectos de la
incertidumbre sobre la evaluación de los
objetivos y las obligaciones de la
organización. Se requiere a trabajar en
estrecha colaboración con los encargados
de las diferentes áreas de la actividad y
los procesos de la organización. Este es el
único método que evita que la emoción o
el miedo dicten nuestras acciones, ya que
proporcionan elementos de cuantificación
sólo capaces de dar lugar a decisiones racionales.
Se trata pues identificar riesgos de todo tipo (aproximarse a "todos los peligros"),
para posteriormente analizarlos (de acuerdo con criterios de probabilidad y
gravedad) agrupando ni si y ver si eso yo sí sí sí eres dañado 27 yo estaré sí a la
de Varela legales que sea cuándo fue la última vez la última versión del amigo
calor es que la Srta. De repente tono de burla quedar como que no era mi dato
radio con el y el si está de baja está debajo no tengo ningún problema
escenarios, y finalmente a evaluar estos riesgos en su contexto evaluando los
desafíos para la organización (cadena estratégica, valor, las condiciones del
mercado, las oportunidades, la competencia, la capacidad financiera, etc.).
La identificación de los riesgos consiste en clasificar estos en función de
cómo pueden afectar a la consecución los objetivos operativos estratégicos
(cuota de mercado, nuevos productos, la estabilidad financiera...),
operacionales (entrega a tiempo, el costo de las prestaciones, la calidad de los
Grado en Ingeniería en Electrónica Industrial y Automática Página 13

productos ...), de gobernanza (información de calidad de dirección coherencia

de los sistemas de información para la toma ...) o de conformidad
(responsabilidad social y ambiental, respeto a las normas ...). Dentro de esta
"clasificación", los riesgos también se pueden ordenar según su origen
(accidentales, naturales, sanitarios o médicos, tecnológicos o acciones humanas
deliberadas).
El análisis de riesgos puede hacerse por varios métodos, por ejemplo
mediante la caracterización de la fuente de riesgo (amenaza), la vulnerabilidad
(a través de la cual la amenaza puede producir determinados efectos) y efectos
(o impactos) propios.
La evaluación de riesgos es clasificarlos de acuerdo con dos criterios: el de
probabilidad (o verosimilitud) y la gravedad del evento. De esta forma se elabora
una lista que clasifique los riesgos, desde el más grave y probable, que la
encabezara, terminando con los menos graves y probables. Estos pueden ser una
evaluación adicional a tener en cuenta el contexto específico de la organización
con sus valores. El resultado final es una lista de los riesgos enumerados en
orden de importancia, el primero en ser dado prioridad: el "tratamiento".
Riesgos prioritarios o priorización de los riesgos. La Dirección
establecerá las acciones a emprender para bien: eliminar el riesgo (por ejemplo,
cambiando la actividad o ubicación), limitarlo (a través de la prevención y la
protección física) o mediante la gestión financiera (seguros).
Cuando el riesgo no puede ser eliminado, se definen acciones de prevención o
protección, que generalmente son menos costosas y hacen frente a las
consecuencias de un desastre. Las actividades de prevención consisten por
ejemplo en la reducción de la probabilidad de ocurrencia implementando
medidas de protección física o de disuasión, adiestrando a los empleados en la
conducta que se estima más adecuada a cada situación, trabajando en la
detección precoz de las posibles amenazas implementando acciones disuasorias
contra estas bien sean de naturaleza humana, naturaleza ambiental o cualquiera
otra que se considere.
Las medidas de protección deben estar destinadas a limitar los efectos directos
de un desastre y así delimitar el alcance de los daños, por ejemplo mediante la
protección de personas y bienes, haciendo que los puntos neurálgicos sean más
resistentes, desarrollando barreras de protección que disminuyan la progresión
de la amenaza y garantizando una rápida detección del punto de incidencia
permitiendo una respuesta rápida, eficiente y eficaz.

2.4.3 SELECCIÓN DE LOS ESCENARIOS A CONSIDERAR

Prevención y protección disminuyen el riesgo de ocurrencia de un suceso, pero
no están concebidas para eliminarlo. Los riesgos residuales permanecen, y
Grado en Ingeniería en Electrónica Industrial y Automática Página 14

aunque generalmente tienen una probabilidad de ocurrencia baja, pueden

conducirnos a pérdida de recursos considerados como críticos derivando en una
interrupción de la actividad o servicio, más allá del umbral establecido
previamente como aceptable. Estos riesgos son constitutivos de escenarios que
deben abordarse como parte de la PCA. Trabajar en la gestión del riesgo nos
ayudará a caracterizar este en términos de probabilidad e impacto. Los
resultados ayudarán a optimizar la estrategia del plan de continuidad se
presenta a continuación.

2.4.4 LA FORMALIZACIÓN DE MEDIOS Y PROCEDIMIENTOS

Trabajemos ahora en garantizar la continuidad del negocio, tratemos de
normalizar la situación en un sentido amplio, trabajemos en el servicio de
mantenimiento por encima de lo que consideramos que son los mínimos
requeridos, pensemos que el funcionamiento degradado es temporal y por tanto
pongamos en marcha todos los mecanismos necesarios para la recuperación de
desastres, bien sea de forma parcial o total.
Esto se nos va a hacer imperativo, y por tanto necesario, para superar la pérdida
de determinados recursos críticos que a su vez utilizan otros recursos,
aparentemente no tan críticos ni necesarios. Ya que superar la situación sólo
nos será posible si nos adelantamos proporcionando determinados recursos con
antelación. Por tanto, nos es necesario limitar pérdidas con el fin de tener
después del desastre un nivel mínimo de recursos para la recuperación.
Por ejemplo, para asegurar la reanudación de nuestro sistema de información a
un nivel aceptable es necesario que
determinado hardware, y por tanto la red
que lo soporta, esté disponible después
del desastre. Si además los datos críticos
de nuestra actividad han sido respaldados
convenientemente en el lugar, y con el
espacio de tiempo necesario, para limitar
la consecuente pérdida operativa,
habremos definido el concepto máximo de pérdida de datos permitida.
Así pues concluiremos que para la reanudación de la actividad se nos hará
necesario:
Identificar, o crear, los recursos redundantes que deben ser
inmediatamente recuperados sin permitir que sean afectados por el
desastre.
Considerar la posibilidad de utilizar durante un determinado tiempo
algunos recursos externos.
Grado en Ingeniería en Electrónica Industrial y Automática Página 15

Utilizar procedimientos de copia de seguridad que se adapten al concepto

previamente definido y a su vez adaptados a las necesidades de pérdida
de datos máxima permitida.
Contar con una organización, arquitectura funcional de los sistemas y
procedimientos que permitan el funcionamiento de emergencia de
manera optima para las necesidades prioritarias.
Es ser perfectamente posible, por ejemplo, tener diferentes dispositivos de
copia de seguridad de IT, datos críticos que son duplicados por un mecanismo de
reproducción síncrona, asegurando de esta forma la imposibilidad de pérdida de
datos, mientras que las aplicaciones menos críticas aceptarán un respaldo de
datos en "frío" de los datos más recientes.
La reanudación de la actividad también debe estar testeada con los
procedimientos que han sido aprobados, consecuentemente no debemos caer en
el error de suponer que por haber realizado una brillante redacción de
procedimientos, digna de una mente preclara de la ingeniería, estos han de ser
eficientes, efectivos y comprensibles para los demás:
La activación de los recursos de emergencia.
La organización y puesta en marcha del dispositivo de gestión de crisis.
La activación y ejecución de los modos de funcionamiento degradado
predefinidos.
Por lo tanto, el PCA requerirá de recursos y procedimientos que deberán estar
previamente definidos antes de la aparición de un desastre. Aun así, después del
desastre, la crisis emergente podría requerir de la activación de ciertas
disposiciones del plan, inicialmente no contempladas, a fin de permitir la
recuperación total o parcial de la actividad.
El BCM es mucho más que una Gestión de Crisis o Emergencias 3
Los medios y los procedimientos a emplear están pensados primeramente para
favorecer el restablecimiento, total o parcial, de los recursos críticos
identificados:
Para activar los recursos humanos necesarios se debe trabajar en
identificar los puestos clave para la continuidad de la actividades esenciales,
puestos de trabajo que han de mantenerse disponibles (sustitución del personal,
uso de reservistas, la posibilidad de trabajar ocasionalmente de forma remota),
los dispositivos técnicos necesarios (locales, medios de acceso, herramientas,
medios de telecomunicaciones, seguridad informática, el acceso a la base de
conocimientos ...), recursos humanos (formación, sensibilización ejercicios ..) y
disposiciones normativas (contrato laboral, convenio colectivo, responsabilidad
...).
3 Qué significa continuidad del negocio? Bureau Veritas. Centro universitario y eLearning
Grado en Ingeniería en Electrónica Industrial y Automática Página 16

En referencia a los sistemas de información y comunicación, es conveniente

levantar nuestro sistema sobre una arquitectura tecnológica capaz de mejorar
los mínimos requisitos en lo relativo a tiempos de respuesta y a minimizar al
máximo la pérdida de datos (p.ej. duplicidad en los sistemas y/o respaldo
eficiente de los datos), además de hacer que éstos sean seguros y homogéneos
tendiendo a facilitar un criterio de recuperación gradual.
De la misma forma existirán centros de ayuda y mecanismos adecuados para
realizar las tareas anteriormente descritas con la frecuencia necesaria. Se
realizarán pruebas de forma regular para inspeccionar la eficiencia y eficacia de
nuestro sistema. Sin olvidar que las redes de telecomunicaciones suelen ser un
punto a considerar cuando pensamos en ellas en términos de vulnerabilidad, se
justifica pues la existencia de dispositivos de copia de seguridad (redes seguras y
exclusivas, sistemas de radio privada, el acceso por satélite, etc.) que deben
integrarse en nuestros procedimientos de forma natural, con la finalidad de que
se puedan utilizar con facilidad en tiempos de crisis.
En referencia a los procedimientos deberemos tener en cuenta que
además de ser en muchas ocasiones redundantes sólo nos ofrecen soluciones muy
limitadas, se hace imprescindible con las revisiones en el tiempo vigilar la
pertinencia y contenido de estos, ya que no por tener muchos documentos
redactados estaremos mejor cubiertos. Los procedimientos específicos del PCA
deberán integrarse en los procesos de la organización con la finalidad de
implementarlos en caso de que fuera necesaria la activación del plan.
En referencia a los recursos intelectuales, intangibles o
inmateriales con frecuencia están fuera de los sistemas de información y de
las copias de seguridad asociadas. Sin embargo, algunas organizaciones basadas
en el recurso intelectual, o recursos intangibles, consideran que son recursos
críticos de especial protección, por lo que se deben ofrecer soluciones de
seguridad específica (copias de seguridad, control de acceso, patentes,
protección de marca, cifrado, clasificación de secreto, pacto de
confidencialidad, ...).
En referencia a las infraestructuras suelen ser con frecuencia las
primeras en beneficiarse de un régimen de continuidad, debido al aprendizaje
en situaciones de desastre tales como
inundaciones o incendios. Las soluciones a
menudo son bien conocidas y están bien
controladas, pero precisamente es por
esto que una revisión del plan en lo
referente a estos aspectos es más que recomendable.
Grado en Ingeniería en Electrónica Industrial y Automática Página 17

Por último, y no menos importante, es la compleja estrategia cara a cara

que sea de llevar con los partners (proveedores y proveedores externos).
Se hace imprescindible implementar estrategias de continuidad en referencia al
flujo desde el exterior y por lo tanto a proveedores externos.
Estos requisitos deberán ser cuantificados, y nuestro reto será entonces dejarlos
reflejados en los términos del contrato, junto con controles y acuerdos de
coordinación durante los momentos de desastre o crisis además de establecer los
modos de colaboración y los mecanismos de trabajo, debemos compartir el
análisis y la forma de abordar los riesgos existentes, estableciendo estrategias
de continuidad y realizando simulacros de forma conjunta. En determinadas
situaciones, se hará necesario internalizar ciertas funciones para asegurar el
control a un costo menor. La puesta en común de medidas correctivas y el
reenfoque de algunos recursos externos también puede ser considerado, sin
perjuicio de aplicar reglas muy estrictas que establezcan claramente las
prioridades. Tener en cuenta determinadas interdependencias y efectos en
cascada que se puedan originar dará mucha más profundidad al PCA. Aunque
esta parte no será objeto de este trabajo preliminar.
El papel de la Administración en este tipo de situaciones deberá tenerse en
cuenta como parte del análisis de soluciones que garanticen la continuidad de
nuestra actividad. La Administración debe ser valedora de buenas prácticas
entendidas en el marco de la continuidad de sus actividades básicas.
Salvaguardar el interés público, saber gestionar situaciones de desastre o crisis y
trabajar para deshacer la resiliencia de la población.
Nuestro análisis debe incluir a la Administración como parte del análisis de los
principales riesgos a tener en cuenta, debemos ayudar en el desarrollo y
mantenimiento de los Planes Nacionales de preparación y respuesta a las
situaciones de crisis o desastre, debemos trabajar para lograr un monitoreo
operativo y efectivo de las diferentes situaciones que sea nos pueden plantear,
la implementación de sistemas centralizados y/o descentralizados que gestionen
la crisis y aseguren la coordinación de los actores públicos y privados en la
implementación de las medidas de respuesta, la protección de la población y la
continuidad de vital importancia para las actividades económicas y sociales.
Si bien es importante que tengamos en cuenta todo lo referido anteriormente no
debemos, en ningún caso, fiar nuestra acción a lo que debieran hacer otras
personas u organizaciones y quedarnos expectantes a las acciones que
emprenden, o no emprenden, actores que aunque “deben estar involucrados”
no forman una parte directa de nuestra actividad y pueden llegar a convertirse
en parte del problema.
Grado en Ingeniería en Electrónica Industrial y Automática Página 18

2.4.5 DEFINICIÓN DE LA ESTRATEGIA DE CONTINUIDAD

Hemos visto que “normalmente” los escenarios de crisis conducen a niveles de
actividad o tiempos de interrupción absolutamente inaceptables en relación con
los umbrales previamente establecidos o deseados, y es precisamente este tipo
de situaciones las que justifican la elaboración de un PCA.
Por otra parte, hemos visto que el sobrecoste que alcanzamos al llegar a estos
umbrales se puede calcular y tiende a aumentar unitariamente cuando la
interrupción del negocio se prolonga en el tiempo. Anteriormente hemos
identificado los medios necesarios para garantizar la continuidad de nuestra
actividad y la recuperación en el desastre. Por tanto, es fácil (al menos en
teoría) determinar el nivel de servicio óptimo teniendo en cuenta la probabilidad
de un evento de crisis y la aversión al riesgo de la organización. En la práctica,
estos son cálculos financieros que a veces pueden ser demasiado complejos y nos
quedaremos con un orden de coste cualitativo que justifique la elaboración de
una estrategia de continuidad a fin de obtener el reconocimiento de esta acción
por parte de la dirección

2.4.6 PROCEDIMIENTOS PARA LA GESTIÓN DE CRISIS Y COMUNICACIÓN

La gestión de una situación de crisis, en el más amplio de los sentidos, conduce a
poner en práctica sistemas y procedimientos necesarios para identificar,
calificar, alertar, anticipar, provocar el entendimiento de acciones útiles y
decidir sobre la activación de determinadas funciones del PCA.
En esta perspectiva, las funciones clave para gestionar la crisis son:
La vigilancia previa “el día de ayer” para detectar de forma temprana
evidencias y así preparar a los trabajadores.
El escalamiento de sucesos, que permite alertar a los responsables del
PCA y de gestión de la crisis con el fin de identificar sucesos de forma
temprana que hacen sonar las primeras alarmas en la corporación, son
evaluados y a continuación, toman la decisión en el momento adecuado
de activar uno el plan de continuidad.
Las funciones de apoyo a la toma de decisión, incluyendo la capacidad de
anticipar, analizar posibles escenarios y recomendar la mejor toma de
decisión en medio de un escenario de incertidumbre inherente a la crisis
dentro de un marco previamente
definido.
Estos primeros signos tienen un papel
clave en la activación de determinados
procedimientos del PCA, aquellos que son
más adecuados a la situación. Por el
contrario, en el caso de situaciones
comunes (p.ej. en caso de previsión de un
Grado en Ingeniería en Electrónica Industrial y Automática Página 19

desastre natural), el PCA se activará en modo automático sin necesidad de que

todos los parámetros evidencien la existencia de un desastre en toda su
extensión.

2.4.7 REDACTAR EL PLAN DE CONTINUIDAD Y LA DOCUMENTACIÓN RELACIONADA

Finalmente como corolario de todo el trabajo descrito con anterioridad, una vez
validado, se redactará el Plan de Continuidad de Negocio que describirá el
proceso lógico por el cual se llega a la elección de una determinada estrategia
de continuidad como respuesta a los diversos escenarios de crisis que se han
planteado.
Los responsables de los procedimientos definidos y de sus recursos deben
estar claramente identificados, así como roll y los resultados esperados
derivados de su acción.
La documentación debe estar disponible siempre que sea requerida, ser
fácilmente comprensible incluso para los afectados que aún no se hayan
formado.
Debe también ser fácilmente modificable de forma que permita una
evolución fiable en el tiempo del PCA.
Por otra parte, los procedimientos específicos del PCA deben integrarse
plenamente en el documento standard hacerse entendibles con el fin de
que en situaciones de mercancía sean fácilmente activables.

2.4.8 GARANTIZAR LA CAPACIDAD DEL PLAN DE IMPLEMENTACIÓN

Cada uno de los responsables asignados deberán verificar la disponibilidad de los
recursos específicos que les han sido asignados en el Plan de Continuidad. En
caso de que no estuviesen disponibles, se generaran o movilizarán nuevos
recursos de forma que quede garantizada su disponibilidad dentro del tiempo
prescrito por el PCA.
Los procedimientos para la aplicación del PCA deberán estar claramente
especificados, documentados e integrados en los procesos existentes, y aun así
se requiere que sean inspeccionados por parte del responsable para verificar su
disponibilidad con la frecuencia que se estime procedente.
Esta tarea es indudablemente mucho más compleja cuando tratamos con
proveedores de servicios externos que no están bajo el control de la
organización. Sin embargo, deberán aplicarse los mismos principios, y en su caso
un control directo, verificación documental por tercera parte independiente
(p.ej. Entidad Certificadora) y/o la participación en tareas formativas.
Grado en Ingeniería en Electrónica Industrial y Automática Página 20

2.4.9 COMO DESARROLLAR PLAN: EJERCICIOS Y EL RETORNO DE LA EXPERIENCIA

Una vez elaborado el PCA y la capacidad para ser implementado garantizada, se
hace necesario probar su eficacia. Para este propósito deberemos acudir a
enfoques complementarios.
En primer lugar nos aseguraremos de que los documentos son entendibles y de
fácil comprensión para lo cual no está de más poder utilizar una tercera parte de
confianza y totalmente ajena a nosotros, a continuación, probar la capacidad de
implementación de los procedimientos y los dispositivos asignados (p.ej. cambio
de ciertas funciones en el emplazamiento donde se ejecutan las copias de
seguridad), de forma que podamos comprobar que todos conocen, y entienden,
los dispositivos y los procedimientos de continuidad asegurando por tanto que
éstos puedan ser implementados de manera oportuna cuando sea requerido.
Grado en Ingeniería en Electrónica Industrial y Automática Página 21

ACCIONES PARA EL DESARROLLO DE UN PLAN DE CONTINUIDAD

Objetivos
Mapeo de los A la espera de Mapeo de riesgos Estrategia de
sistemas, procesos continuidad y estrategia para respuesta
su tratamiento

analizar y
el
tratamiento de los
Attente de continuité riesgos

ión d

Contexto y necesidades Estrategia de continuidad

Grado en Ingeniería en Electrónica Industrial y Automática Página 22

1
Grado en Ingeniería en Electrónica Industrial y Automática Página 23

3 LISTA DE REFERENCIAS
1 Guía práctica para PYMES: Cómo implantar un Plan de Continuidad de
Negocio. Deloitte ............................................. 5
2 Guía práctica para PYMES: Cómo implantar un Plan de Continuidad de
Negocio. Deloitte ............................................. 9
3 Qué significa continuidad del negocio? Bureau Veritas. Centro universitario
eLearning ............................................ 15

4 LISTA DE DOCUMENTACIÓN UTILIZADA EN EL TFG.

Toda esta documentación ha sido utilizada para la elaboración del trabajo

ISO 22301. Título español Protección y seguridad de los
ciudadanos. Sistema de Gestión de la Continuidad del Negocio
(SGCN). Especificaciones.
Título inglés Societal security. Business continuity management
systems. Requirements
Título francés Sécurité sociétale. Systèmes de management
de la continuité d'activité. Exigences.

El plan de continuidad de negocio: Una guía práctica para su
elaboración 2006 de Juan Gaspar Martínez
Editor: Ediciones Díaz de Santos, S.A.; Edición: 1 (10 de octubre de 2006)
Idioma: Español. 248 páginas
ISBN-10: 8479787783

Guía práctica para PYMES: Cómo implantar un Plan de
Continuidad de Negocio. Deloitte
Observatorio de la Seguridad de la Información

Business Continuity Plan (BCP) Template With Instructions and
Example 2011 de Erik Kopp (Autor)
Editor: Createspace (23 de septiembre de 2011)
Idioma: Inglés. 128 páginas
ISBN-10: 1466328797

The Disaster Recovery Handbook: A Step-by-Step Plan to
Ensure Business Continuity and Protect Vital Operations,
Facilities, and Assets (ingles) 2011
Editor: Amacom; Edición: 2 (2011)
Grado en Ingeniería en Electrónica Industrial y Automática Página 24

Idioma: Inglés, 448 páginas

ISBN-10: 0814416136

Guide Pour Réaliser Un Plan de Continuité d´Activité (francés)
2013 Alain Coursaget
Editor: Secrétariat Général de la Défense et de la Sécurité Nationale

Rapport Sur le Café E$presso (francés)
Editor: Solidar Suisse

Riesgos Corporativos y Continuidad del Negocio 2014 Pablo
Sotres
Editor: Centro Universitario. eLearning Bureau Veritas