🚀 Nuevas herramientas online y gratuitas de CiberseguridadDale un vistazo 👀 →
DivisionCero

Política de Continuidad del Negocio

Directrices para asegurar la continuidad de funciones críticas durante y después de interrupciones

Política de Continuidad del Negocio

Propósito

Esta política establece las directrices para asegurar la continuidad de las funciones críticas de la organización durante y después de una interrupción. Garantiza que el personal conozca los principios de continuidad del negocio, gestión de riesgos, respuesta a incidentes y cumplimiento. Su cumplimiento es obligatorio para todo el personal y aplica a todas las áreas.

Objetivos

  • Identificar los procesos y servicios críticos y asegurar su continuidad ante una interrupción.
  • Minimizar el impacto en la organización, clientes y partes interesadas.
  • Garantizar la recuperación rápida y ordenada de operaciones esenciales.
  • Alinear el BCMS con la estrategia y requisitos regulatorios.
  • Establecer una estructura clara de gestión de crisis.
  • Mantener un BCMS actualizado, práctico y en mejora continua.

Alcance

Esta política abarca:

  • Todas las ubicaciones, oficinas y unidades de negocio.
  • Funciones esenciales como TI, Finanzas, Operaciones, RRHH y otras áreas clave.
  • Procesos críticos y recursos necesarios (equipos, instalaciones, aplicaciones, conocimiento).
  • Riesgos relevantes: desastres naturales, ciberataques, fallas técnicas, errores humanos.
  • Programas de capacitación y concienciación para todo el personal.

Estándar

Evaluación de Riesgos

Identificar amenazas y vulnerabilidades que puedan afectar la continuidad. Determinar procesos críticos y requisitos mínimos operativos.

Plan de Continuidad del Negocio (BCP)

Desarrollar planes por función crítica, incluyendo pasos de recuperación, roles, comunicación y salvaguarda de la información. Los planes deben probarse y actualizarse periódicamente.

Respuesta a Incidentes

Activar procedimientos de respuesta ante interrupciones para restablecer servicios con el menor impacto posible y recuperar sistemas, datos y procesos críticos.

Capacitación y Concienciación

  • Capacitación anual obligatoria.
  • Campañas regulares de concienciación.
  • Capacitación de inducción para nuevos colaboradores.
  • Sesiones de actualización según cambios relevantes.
  • Registros actualizados de todas las capacitaciones.

El BCMS debe cumplir requisitos aplicables como GDPR, HIPAA, BRRD u otros reguladores según la jurisdicción.

Análisis de Impacto al Negocio (BIA)

Ejecutar un BIA completo cada tres años, con revisiones anuales para ajustar prioridades y tiempos de recuperación.

Evaluación de Proveedores

Identificar proveedores críticos y validar su cumplimiento con acuerdos de continuidad, especialmente durante BIA y revisiones periódicas.

Ejercicios y Pruebas

Realizar ejercicios regulares de BC/DR para validar tiempos de recuperación, roles y efectividad de los planes.

Estructura de Respuesta a Incidentes

Definir cómo se gestionan incidentes graves como:

  • Pérdida de centro de datos
  • Pérdida de oficinas o instalaciones
  • Fallas de proveedores críticos
  • Ausencia de personal esencial

Competencias

Definir las habilidades requeridas para roles del BCMS y garantizar su cumplimiento mediante formación continua.

Evaluación de Desempeño

Medir el desempeño del BCMS mediante KPIs y reportarlos en los Comités de Continuidad para priorizar mejoras.

Auditoría y Evaluación

Realizar auditorías internas y externas para validar la eficacia del BCMS. Las auditorías deben cubrir todas las áreas al menos una vez cada 3 años.

Mejora Continua

Identificar acciones correctivas, no conformidades y oportunidades de mejora, aplicarlas y verificar su efectividad en cada ciclo de revisión.

Protección Contra Fallas de Servicios Públicos

Para asegurar la continuidad, se deben proteger instalaciones y sistemas frente a fallas de energía o servicios públicos mediante:

  • Equipos configurados y mantenidos según especificación.
  • Evaluaciones periódicas de capacidad frente al crecimiento.
  • Inspecciones y pruebas regulares.
  • Sistemas de alarma para fallos.
  • Alimentación redundante y rutas diversas.
  • Separación de redes entre equipos críticos y sistemas de TI.
  • Protección de equipos conectados a internet.
  • Iluminación y comunicaciones de emergencia disponibles.

Compromiso de Recursos

La gerencia define anualmente los recursos necesarios para continuidad y Finanzas garantiza los fondos requeridos.

Comunicación

El Gerente del BCMS, con Comunicaciones Internas, gestiona la comunicación del programa. En emergencias, se sigue la estrategia de comunicación de crisis establecida para proteger la reputación corporativa.

Cumplimiento

El cumplimiento de esta política es obligatorio. Si existen leyes o estándares más estrictos, éstos prevalecen.

Monitoreo y Revisión

La organización mantiene un proceso para evaluar la efectividad del BCMS mediante:

  • Revisión regular de documentos, políticas y controles.
  • Evaluación del cumplimiento legal y contractual.
  • Reportes periódicos a la gerencia sobre el desempeño del BCMS.
  • Evaluación continua de controles internos y comunicación oportuna de deficiencias.
  • Verificación y seguimiento de acciones correctivas.
  • Auditorías internas periódicas y revisiones de efectividad.

La gerencia revisa los resultados y garantiza la implementación de mejoras y ajustes cuando sea necesario para mantener la continuidad y resiliencia de la organización.

¿Te ha resultado útil esta página?

Última modificación: 24 de noviembre de 2025

Política de Desarrollo Seguro

Directrices para integrar seguridad en todo el ciclo de vida del software

Plan de Continuidad del Negocio

Marco para responder a incidentes disruptivos que afecten las operaciones y asegurar funciones esenciales