NORMA IRAM-ISO/PAS ARGENTINA 22399 · 2019-09-10 · IRAM-ISO/PAS 22399:2014 3 Prefacio El Instituto Argentino de Normalización y Certificación (IRAM) es una asociación civil sin

NORMA ARGENTINA

22399 2014

Seguridad de la sociedad

Guía para la gestión de la preparación ante incidentes y la continuidad operacional

(ISO/PAS 22399:2007, IDT)

Societal security Guideline for incident preparedness and operational continuity management

IRAM-ISO/PAS 22399

Primera edición

2014-12-18

Referencia Numérica: IRAM-ISO/PAS 22399:2014

IRAM 2014-12-18 No está permitida la reproducción de ninguna de las partes de esta publicación por cualquier medio, incluyendo fotocopiado y microfilmación, sin permiso escrito del IRAM.

* DOCUMENTO PROTEGIDO POR EL DERECHO DE PROPIEDAD INTELECTUAL

IRAM-ISO/PAS 22399:2014

3

Prefacio El Instituto Argentino de Normalización y Certificación (IRAM) es una asociación civil sin fines de lucro cuyas finalidades específicas, en su carácter de Organismo Argentino de Normalización, son establecer normas técnicas, sin limitaciones en los ámbitos que abarquen, además de propender al conocimiento y la aplicación de la normalización como base de la calidad, promoviendo las actividades de certificación de productos y de sistemas de la calidad en las empresas para brindar seguridad al consumidor.

IRAM es el representante de Argentina en la International Organization for Standardization (ISO), en la Comisión Panamericana de Normas Técnicas (COPANT) y en la Asociación MERCOSUR de Normalización (AMN).

Esta norma es el fruto del consenso técnico entre los diversos sectores involucrados, los que a través de sus representantes han intervenido en los Organismos de Estudio de Normas correspondientes.

Esta norma es una adopción idéntica (IDT) de la edición en inglés de la ISO/PAS 22399:2007 “Societal security. Guideline for incident preparedness and operational continuity management”.

Sólo se han realizado los cambios editoriales siguientes:

En 3.5 se agregó una nota IRAM.

Se agregó un anexo informativo con la bibliografía considerada y otro donde se indican los organismos de estudio de la norma.

Orden: RWycbs93 del 13/11/2018 - Licencia monousuario. Prohibido su copiado y uso en redes.Licenciado por IRAM a Pablo Romanazzi | Fundación Facultad de Ingeniería


4

Prefacio ISO ISO (la Organización Internacional de Normalización) es una fede-ración mundial de organismos nacionales de normalización (Organismos miembros de ISO). El trabajo de preparación de las normas internacionales normalmente se realiza a través de los comités técnicos de normas ISO. Cada organismo miembro intere-sado en una materia para la cual se ha establecido un comité técnico, tiene el derecho de estar representado en dicho comité. Las organizaciones internacionales, gubernamentales y no guber-namentales, en coordinación con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécni-ca Internacional (IEC) en todas las materias de estandarización electrotécnica. Las normas internacionales se redactan de acuerdo con las re-glas establecidas en las Directivas ISO/IEC, Parte 2. La tarea principal de los comités técnicos es preparar Normas Internacio-nales. Los Proyectos de normas internacionales adoptados por los comités técnicos se envían a los organismos miembros para su votación. La publicación como norma internacional requiere la aprobación de por lo menos el 75% de los organismos miembros con derecho a voto. En otras circunstancias, en particular cuando existe un requisito urgente del mercado para tales documentos, un comité técnico puede decidir publicar otros tipos de documentos normativos. Una Especificación Disponible al Público ISO (ISO/PAS) representa un acuerdo entre los expertos técnicos en un grupo de trabajo ISO y se acepta para su publicación, si está aprobado por más del 50% de los miembros del comité principal con derecho a voto. Una Especificación Técnica ISO (ISO/TS) representa un acuerdo entre los miembros de un comité técnico y es aceptado para su publicación si se aprueba por 2/3 de los miembros del comité sometido a voto. Una ISO/PAS o ISO/TS se revisa cada tres años con el fin de decidir si será confirmada por otros tres años, para convertirse en una norma internacional o debe ser retirada. Si la norma ISO/PAS o ISO/TS es confirmada, se revisa de nuevo después de un período de tres años, momento en el que tiene que transformarse en una norma internacional o debe ser retirada. Se llama la atención a la posibilidad de que algunos de los ele-mentos de este documento puede ser objeto de derechos de patente. ISO no se hace responsable de la identificación de nin-guno de los derechos de dichas patentes.



5

Índice 0 INTRODUCCIÓN ............................................................................................. 7

1 OBJETO Y CAMPO DE APLICACIÓN ........................................................... 10

2 DOCUMENTOS NORMATIVOS PARA CONSULTA...................................... 11

3 TÉRMINOS Y DEFINICIONES ...................................................................... 11

4 GENERALIDADES ........................................................................................ 15

5 POLÍTICA ...................................................................................................... 16

6 PLANIFICACIÓN ........................................................................................... 19

7 IMPLEMENTACIÓN Y OPERACIÓN ............................................................. 25

8 EVALUACIÓN DEL DESEMPEÑO ................................................................ 28

9 REVISIÓN POR LA DIRECCIÓN ................................................................... 31

Anexo A (Informativo) Procedimiento de análisis de impacto ........................... 32

Anexo B (Informativo) Programa de manejo de respuesta a emergencias ....... 35

Anexo C (Informativo) Programa de gestión de la continuidad ......................... 37

Anexo D (Informativo) Construcción de una cultura de preparación ante incidentes y continuidad operacional .................................................. 40

Bibliografía ISO ................................................................................................. 41

Anexo E - IRAM (Informativo) Bibliografía .......................................................... 42

Anexo F - IRAM (Informativo) Integrantes de los organismos de estudio ........... 43

Página



6 Orden: RWycbs93 del 13/11/2018 - Licencia monousuario. Prohibido su copiado y uso en redes.Licenciado por IRAM a Pablo Romanazzi | Fundación Facultad de Ingeniería


7

Seguridad de la sociedad

Guía para la gestión de la preparación ante incidentes y la continuidad operacional

0 INTRODUCCIÓN

Esta guía para la preparación ante incidentes y continuidad operacional establece el proceso, los principios y la terminología para la gestión de la preparación ante incidentes y la continuidad ope-racional (negocios), en adelante abreviado GPIyCO, dentro del contexto de la seguridad de la sociedad. NOTA IRAM. En nuestro país la expresión continuidad operacional también es conocida como continuidad del negocio, continuidad de los negocios, continuidad operati-va, continuidad de las operaciones y continuidad de las actividades. El propósito de esta guía es proporcionar una base para el conocimiento, el desarrollo y la im-plementación de la preparación ante incidentes y de la continuidad operacional dentro de una organización, como así también proporcionar la confianza de la comunidad en la organización, de empresa a empresa y de las relaciones entre la organización y clientes. La guía es una herramienta para que las organi-zaciones públicas o privadas consideren los factores y las medidas necesarias para preparar-se ante un incidente no intencional, deliberado o producido por causas naturales (disrupción, emergencia, crisis o desastre) para que pueda gestionar y superar el incidente y tomar las me-didas apropiadas para ayudar a garantizar la viabilidad de la organización. También permite a la organización medir su ca-pacidad de GPIyCO de manera consistente y reconocida. Esta guía proporciona un marco ge-nérico aplicable a todos los tipos y dimensiones de las organizaciones que permita la considera-

ción de diversidad de condiciones geográficas, culturales, económicas, políticas y sociales. Las partes interesadas requieren que las organi-zaciones actúen de forma proactiva para prepa-rarse para posibles incidentes y alteraciones con el fin de evitar la suspensión de los servicios crí-ticos, o si los mismos se vieran interrumpidos, lograr que se reanuden con la mayor rapidez posible a requerimiento de quienes dependen de ellos, como se muestra en la figura 1. La GPIyCO es un proceso de gestión integral que identifica los impactos potenciales que amenazan la organización y proporciona un marco para minimizar su efecto. Esta guía proporciona un conjunto completo de controles basados en las mejores prácticas de GPIyCO y abarca todo el ciclo de vida. Esta guía está diseñada para que la pueda utilizar cual-quier persona con responsabilidad en las operaciones de las organizaciones en el sector público o privado, desde los directores y ejecuti-vos atravesando todos los niveles de las organizaciones, desde las que tienen un solo si-tio a las que tienen una presencia global, desde las pequeñas y medianas empresas (PYMES) a las organizaciones que emplean a miles de per-sonas. Por ello, es aplicable a toda persona que tenga responsabilidad en cualquier operación y por lo tanto en la continuidad de dicha operación. Para los propósitos de esta guía, la continuidad ope-racional es el término más amplio para la continuidad del negocio y se utiliza para enfatizar su relevancia en todo tipo de organizaciones, en los sectores público y privado.



8

Figura 1 - Concepto de gestión de la preparación an te incidentes y la continuidad operacional GPIyCO

Esta guía detalla un proceso integrado de plani-ficación y gestión que, en forma proactiva, ayuda a las organizaciones a: a) entender el entorno en el que opera la or-

ganización y la existencia de restricciones y amenazas a la organización que puedan dar lugar a una disrupción significativa;

b) cuantificar el impacto de una disrupción en

funciones y procesos operacionales críti-cos (negocios);

c) determinar las partes de las operaciones y

negocios que son fundamentales para su éxito a corto y a largo plazo;

d) identificar la infraestructura y los recursos

necesarios para que la organización pueda seguir funcionando en un nivel mínimo acep-table;

e) documentar los recursos clave, la infraes-

tructura, las tareas y las responsabilidades

necesarios para dar soporte a las funcio-nes operacionales críticas en el caso de una disrupción;

f) establecer procesos que aseguren que la

información se mantenga actualizada y re-levante ante el riesgo y entornos operacio-nales cambiantes;

g) asegurar que los empleados, clientes, pro-

veedores y otras partes interesadas rele-vantes estén conscientes de las dispo-siciones de preparación y la continuidad operacional y llegado el caso, tengan con-fianza en su aplicación;

h) implementar soluciones en consecuencia y

procurar su mejora continua. Es importante reconocer que una GPIyCO efi-caz requiere un cambio cultural fundamental dentro de la organización, incluyendo la acep-tación de la incertidumbre y de la imperfección.



9

Todos los niveles de una organización necesi-tan darse cuenta de que el riesgo es inherente en cada decisión y actividad, y que una propor-ción de este riesgo tiene el potencial de crear disrupciones. Por lo tanto, las personas de todos los niveles de una organización, tienen que tener en cuen-ta cómo se van a manejar frente a tales disrupciones en sus actividades. Esta guía de GPIyCO permite a una organización del sector público o privado evaluar y gestionar el riesgo con el objetivo de asegurar la resiliencia organizacional y el desempeño a largo plazo. No prescribe un modelo particular para cada aplicación. Existen diferentes modelos y meto-dologías reconocidos para la preparación ante incidentes y tomar decisiones para la continui-dad operacional en la estructura operativa y del negocio generales de una organización, que la hacen más eficiente, más competitiva y más capaz de enfrentar importantes desafíos. Esta guía proporciona un conjunto de herramien-tas para la identificación de problemas y para su resolución que pueden ser implementadas por cualquier organización de diversas maneras, dependiendo de sus actividades y necesidades. A través de la incorporación de una dinámica ba-sada en el proceso de gestión sistemático de riesgo de incidentes y de la continuidad, las orga-nizaciones pueden tomar decisiones informadas, a la medida de sus recursos. Se recomienda que el modelo elegido inculque una cultura organizacional que impulse su me-jora continua. Por lo general, los modelos de gestión incluyen varios elementos comunes: la política, la planifi-cación, la ejecución y operación, la evaluación del desempeño, la mejora y la revisión. La presente guía proporciona orientación para abordar aque-llos elementos comunes en el desarrollo e implementación de un modelo de gestión que responda a las necesidades específicas de la or-ganización y a su lugar en la comunidad. Sea cual fuere el modelo de gestión o la meto-dología que se elijan, se recomienda adoptar el conjunto completo de acciones de GPIyCO. La

GPIyCO está directamente relacionada con la gobernanza de las organizaciones y establece buenas prácticas de gestión. La GPIyCO establece un marco estratégico y operacional para implementar proactivamente la resiliencia de una organización frente a la dis-rupción, interrupción o pérdida en el suministro de sus productos y servicios. Se recomienda que no sea una medida puramente reactiva to-mada después de un incidente. La GPIyCO requiere planificación a través de múltiples face-tas de una organización, por lo que su resiliencia depende tanto de su personal de dirección y de operaciones, como de su tecnología y requiere que se tome un enfoque holístico al establecer su modelo o metodología. La adopción y aplicación de una manera siste-mática de una serie de técnicas de GPIyCO puede contribuir a lograr resultados óptimos para todas las partes interesadas y afectadas. Sin embargo, la adopción de la presente guía no es en sí misma garantía de óptimos resultados de preparación y de continuidad. Con el fin de lograr los objetivos de preparación y continuidad, se re-comienda que el programa de preparación ante incidentes y continuidad operacional anime a las organizaciones a considerar la implementación de las mejores prácticas, técnicas y tecnologías disponibles, cuando sean apropiadas y económi-camente viables. Se recomienda tener en cuenta muy especialmente el balance costo-beneficio de tales prácticas, técnicas y tecnologías. La GPIyCO requiere la coordinación y la colabo-ración de varias diferentes entidades de los sectores público y privado (como el gobierno y las autoridades públicas en distintos niveles, los negocios, la industria, las organizaciones no gu-bernamentales y los ciudadanos individuales). Cada una de estas entidades tiene su propio en-foque, sus misiones particulares y responsa-bilidades, recursos y capacidades variadas y principios y procedimientos operacionales. Se re-comienda reconocer que los elementos clave del programa de GPIyCO se relacionan e interactúan con las funciones e intereses de las diferentes entidades que pueden estar involucradas en un incidente. Por lo tanto, dentro del contexto de to-das las entidades afectadas, se recomienda considerar las áreas clave del programa y su re-lación con el programa de GPIyCO.



10

Se recomienda promover y reconocer como su responsabilidad social, la respuesta de una or-ganización a los riesgos, con el objeto de minimizar sus impactos y reducir las pérdidas sociales. Cuando se produce un incidente disrup-tivo, la organización tiene que entender que la cooperación con otras organizaciones en la asignación de recursos humanos y materiales es esencial para su continuidad operacional, porque sus recursos para la respuesta a emergencias y recuperación pueden ser escasos o no distribuir-se de manera óptima. Se recomienda que la organización contribuya activamente con la co-munidad a través de un esfuerzo de cooperación con los ciudadanos y los gobiernos locales, etc. participando en apoyo de actividades para resca-tar vidas humanas y ofrecer suministros. También es necesario para una organización co-laborar y cooperar con la comunidad de primera respuesta y sus grupos de interés relacionados en aspectos físicos y humanos. Una organización puede optar por limitar el al-cance de la implementación de los elementos de esta guía restringiendo su aplicación a pro-ductos o servicios específicos o a una o más de sus ubicaciones geográficas. Se recomienda que cualquier limitación en su alcance esté do-cumentada. Cabe señalar que esta guía no establece requisi-tos absolutos para la preparación ante incidentes y el desempeño de su continuidad operacional más allá de los compromisos en su declaración de políticas, para cumplir con los reglamentos y requisitos legales y con otros requisitos que sus-criba la organización, para la prevención proactiva del riesgo y de la disrupción ante inci-dentes y su mejora continua. Esta guía ha adoptado un sistema de mejora continua, pero no está destinada a ser utilizada con un criterio de certificación o registro por tercera parte.

1 OBJETO Y CAMPO DE APLICACIÓN

Esta guía ofrece una orientación general desti-nada a una organización privada, guberna-mental y no gubernamental para desarrollar sus propios criterios de acción específicos en la preparación ante incidentes y continuidad ope-racional y diseñar un sistema de gestión apro-

piado. Provee una base para el conocimiento, el desarrollo y la aplicación de la continuidad de las operaciones y servicios dentro de una orga-nización y para proporcionar la confianza en las interacciones organizacionales entre los nego-cios, la comunidad, los clientes y el personal de primera respuesta. También permite a la organización medir su capacidad de resiliencia de una manera con-sistente. Esta guía es aplicable a todo tipo de organiza-ciones, públicas o privadas que intervienen en el suministro de productos, procesos o servi-cios, que deseen: a) conocer el contexto general en el que ope-

ra la organización; b) identificar objetivos críticos; c) entender los obstáculos, riesgos y pertur-

baciones que pueden dificultar los objeti-vos críticos;

d) evaluar el riesgo y la tolerancia al riesgo

residual para conocer los resultados de los controles y las estrategias de mitigación;

e) planificar cómo una organización puede

continuar con sus objetivos ante un inci-dente disruptivo;

f) desarrollar los procedimientos de respuesta

a incidentes y emergencias, de respuesta para la continuidad y de respuesta para la recuperación;

g) definir roles, responsabilidades y recursos

para responder a un incidente; h) satisfacer el cumplimiento de los requisitos

legales, reglamentarios y de otro tipo; i) prestar asistencia mutua y comunitaria; j) interactuar con el personal de primera res-

puesta y medios de comunicación; k) promover un cambio cultural dentro de la

organización que reconozca que el riesgo es inherente a todas las decisiones y acti-vidades y que tiene que ser gestionado con eficacia.



11

Esta guía presenta los principios y elementos generales para la preparación ante incidentes y continuidad operacional de una organización. El alcance de la aplicación va a depender de factores como la política de la organización, la naturaleza de sus actividades, los productos y servicios y la ubicación, funciones y condicio-nes bajo las que opera. El ámbito de aplicación de esta norma, sin em-bargo, excluye las actividades específicas de respuesta a emergencias a continuación de un incidente, como la ayuda ante desastres y la recuperación de la infraestructura social, que son los que primordialmente realiza el sector público, de conformidad con la legislación per-tinente. Es importante, sin embargo, que se mantenga y esté documentada la coordinación con estas actividades.

2 DOCUMENTOS NORMATIVOS PARA CONSULTA

Todo documento normativo que se menciona a continuación es indispensable para la aplica-ción de este documento. Cuando en el listado se mencionan documen-tos normativos en los que se indica el año de publicación, significa que se debe aplicar dicha edición. En caso contrario, se debe aplicar la edición vigente, incluyendo todas sus modifica-ciones. ISO/IEC Guide 73:2002 - Risk management. Vocabulary. Guidelines for use in standards.

3 TÉRMINOS Y DEFINICIONES

Para los fines de la presente norma se aplican las definiciones indicadas en la Guía ISO/IEC 73 y las siguientes. 3.1 actividad crítica cualquier función o proceso que es esencial pa-ra que la organización suministre sus productos o servicios

3.2 consecuencia resultado de un evento NOTA 1. Puede haber más de una consecuencia de un evento. NOTA 2. Las consecuencias pueden ir de positivas a ne-gativas. NOTA 3. Las consecuencias pueden ser cuantitativas o cualitativas. 3.3 crisis cualquier incidente(s), natural o causado por el hombre, que requiere atención y acciones ur-gentes para proteger la vida, la propiedad o el medio ambiente 3.4 desastre evento que causa grandes daños o pérdidas 3.5 disrupción * incidente ya sea previsto (por ejemplo: un hura-cán) o imprevisto (por ejemplo: un apagón o un terremoto) que interrumpe el curso normal de las operaciones en un lugar de la organización NOTA. Una disrupción puede ser causada por factores positivos o negativos que interrumpen las operaciones normales. *NOTA IRAM. También utilizado en esta norma como si-nónimo de interrupción. 3.6 emergencia evento o acontecimiento súbito, urgente y gene-ralmente inesperado, que requiere una acción inmediata NOTA. Una emergencia es por lo general un evento dis-ruptivo o condición que a menudo se puede anticipar, o para la cual se puede estar preparado, pero que rara vez se puede prevenir con exactitud. 3.7 ejercicio evaluación de los programas de GPIyCO, repaso de los roles de los miembros del equipo y del personal y prueba de recuperación o continuidad de los sistemas de una organización (por ejem-plo: la tecnología, la telefonía, la administración) para demostrar la competencia y capacidad de GPIyCO NOTA 1. Los ejercicios incluyen actividades que se reali-zan con el propósito de entrenar y poner en condiciones a los miembros del equipo y al personal en las apropiadas respuestas, con el fin de lograr el máximo rendimiento.



12

NOTA 2. Un ejercicio puede involucrar la aplicación de procedimientos de continuidad operacional, pero es más probable que implique la simulación de un incidente de continuidad operacional sin previo aviso, en el que los participantes actúen en un juego de roles con el fin de evaluar qué situaciones pueden surgir, antes que puedan ocurrir en la realidad. 3.8 evento ocurrencia de un conjunto particular de circuns-tancias NOTA 1. El evento puede ser cierto o incierto. NOTA 2. El evento puede ser un hecho único o una serie de acontecimientos. NOTA 3. La probabilidad asociada con el evento puede ser estimada por un período determinado de tiempo. 3.9 peligro posible fuente de riesgo, o condiciones físicas u operacionales, que tienen la capacidad para pro-ducir determinados tipos de efectos adversos 3.10 impacto consecuencia evaluada de un evento particular 3.11 análisis de impacto proceso de análisis de todas las funciones ope-racionales y del efecto que una interrupción de su funcionamiento pueda tener sobre ellas 3.12 incidente evento que puede ser, o puede dar lugar a una interrupción operacional, disrupción, pérdida, emergencia o crisis 3.13 plan de manejo de incidentes plan de acción claramente definido y documen-tado para su uso en el momento de un incidente o interrupción, que por lo general incluye al per-sonal, los recursos, los servicios y las acciones clave, necesarios para implementar el proceso de gestión de incidentes 3.14 preparación para incidente actividades, programas y sistemas desarrollados y aplicados antes de un incidente que se pueden utilizar para dar soporte y mejorar la mitigación, la respuesta y la recuperación ante una disrup-ción, desastre o emergencia

3.15 gestión de la preparación ante inciden-tes y la continuidad operacional GPIyCO actividades y prácticas sistemáticas y coordina-das, a través de las cuales una organización ges-tiona en forma óptima sus riesgos y las ame-nazas e impactos potenciales derivados de éstos 3.16 política de GPIyCO intención y orientación globales de una organiza-ción, relacionadas con su preparación ante inci-dentes y continuidad operacional, de acuerdo con lo expresado formalmente por su alta dirección 3.17 mitigación limitación de cualquier consecuencia negativa de un incidente 3.18 acuerdo de ayuda mutua acuerdo preestablecido entre dos o más enti-dades para prestar asistencia a las partes de ese acuerdo 3.19 continuidad operacional CO capacidad estratégica y táctica de una organiza-ción previamente aprobada por su alta dirección, para planificar y responder a condiciones, situa-ciones o acontecimientos con el fin de mantener la continuidad operacional a un nivel aceptable y predefinido NOTA. La continuidad operacional es la definición más global para la continuidad del negocio. Se aplica no sólo a las empresas con fines de lucro, sino a las organizaciones de toda índole, como organizaciones gubernamentales, no gubernamentales y de interés público. 3.20 gestión de la continuidad operacional GCO proceso de gestión integral que identifica los im-pactos potenciales que amenazan a una orga-nización y provee un marco para la construcción de resiliencia con la capacidad de dar una res-puesta eficaz que salvaguarde los intereses, la reputación, la marca y las actividades de valor creativo de sus partes interesadas claves NOTA. La gestión de la continuidad operacional también implica la gestión de la recuperación o de la continuidad en caso de incidente, así como la gestión de todo el pro-grama a través del entrenamiento, ensayos y revisiones, para garantizar que el plan de continuidad operacional se mantiene al día y actualizado.



13

3.21 programa de gestión de continuidad operacional proceso continuo de gestión y de gobernanza con el apoyo de la alta dirección y con los recur-sos para asegurar que se sigan los pasos nece-sarios para identificar el impacto de las pérdidas potenciales, mantener planes y estrategias via-bles para la recuperación y asegurar la conti-nuidad de las funciones/productos/servicios a través de ejercicios, ensayos, pruebas, entre-namiento, mantenimiento y aseguramiento 3.22 equipo de gestión de la continuidad operacional grupo de individuos funcionalmente responsables de dirigir el desarrollo y ejecución del plan de continuidad operacional, de declarar una situa-ción de emergencia o crisis y proporcionar orien-tación durante el proceso de recuperación, tanto antes como después del incidente disruptivo NOTA. El equipo de gestión de la continuidad operacional puede incluir individuos de las organizaciones, como así también personal de primera respuesta y otras partes in-teresadas. 3.23 plan de continuidad operacional PCO colección documentada de procedimientos e in-formación desarrollada, compilada y actualizada para uso en un incidente 3.24 estrategia de continuidad operacional enfoque de una organización que asegure su recuperación y continuidad, frente a un evento disruptivo, crisis u otra interrupción mayor 3.25 equipo de continuidad operacional grupo de personas responsables del desarrollo, la ejecución, el ensayo y el mantenimiento del plan de continuidad operacional, incluidos los procesos y procedimientos 3.26 organización grupo de personas e instalaciones en el marco de un acuerdo de responsabilidades, autorida-des y relaciones NOTA. Una organización puede ser un gobierno o entidad pública, compañía, corporación, firma, empresa, institución, institución de caridad, comercio individual o asociación, o partes o combinaciones de éstos.

3.27 prevención medidas que permiten a una organización evitar, impedir o limitar el impacto de una disrupción 3.28 probabilidad medida en la que un evento es probable que se produzca NOTA 1. ISO 3534-1:1993, definición 1.1 da la definición matemática de la probabilidad como "un número real en la escala de cero a uno, unido a un suceso aleatorio. Puede estar referida a una frecuencia relativa de ocurrencia largo plazo, o a un grado de credibilidad de que se produzca un evento. Para un alto grado de credibilidad, la probabilidad es cercana a uno". NOTA 2. Para describir el riesgo, se puede usar preferen-temente “frecuencia” en lugar de “probabilidad”. NOTA 3. Los grados de credibilidad acerca de la probabili-dad pueden dividirse en clases o categorías como: raro, improbable, moderado, probable, casi seguro, o imposible, improbable, remoto, ocasional, probable o frecuente.

(Guía ISO/IEC 73) 3.29 objetivo de tiempo de recuperación OTR objetivo de tiempo para la restauración y recu-peración de las funciones o recursos, basado en el tiempo de inactividad aceptable en caso de una interrupción de las operaciones 3.30 riesgo residual riesgo que permanece después del tratamiento del mismo 3.31 resiliencia capacidad de una organización para resistir cuando está siendo afectada por un evento NOTA IRAM. En la terminología de la Estrategia Interna-cional para la Reducción del Riesgo de Desastres de las Naciones Unidas UNISDR (Ginebra 2009) se define Resi-liencia como la capacidad de un sistema, comunidad o sociedad expuestos a una amenaza para resistir, absor-ber, adaptarse y recuperarse de sus efectos de manera oportuna y eficaz, lo que incluye la preservación y la res-tauración de sus estructuras y funciones básicas. 3.32 programa de respuesta planes, procesos y recursos para llevar a cabo las actividades y servicios necesarios para pre-servar y proteger la vida, la propiedad, las operaciones y los activos físicos críticos NOTA. Los pasos de respuesta generalmente incluyen el reconocimiento del incidente, su notificación, evaluación, declaración, la ejecución del plan, las comunicaciones y la gestión de los recursos.



14

3.33 riesgo combinación de la probabilidad de un evento y sus consecuencias NOTA 1. El término "riesgo" se usa generalmente sólo cuando existe al menos la posibilidad de tener conse-cuencias negativas. NOTA 2. En algunas situaciones, el riesgo surge de la po-sibilidad de desviación del resultado o evento esperado.

(Guía ISO/IEC 73) 3.34 aceptación del riesgo decisión de aceptar el riesgo NOTA 1. Se elige el verbo "aceptar" para transmitir la idea de que la aceptación tiene su significado propio en el dic-cionario. NOTA 2. La aceptación del riesgo depende de los criterios establecidos sobre riesgos. 3.35 evaluación de riesgos proceso general de identificación, análisis y evaluación del riesgo NOTA. La evaluación del riesgo involucra el proceso de identificación de las amenazas internas y externas y las vulnerabilidades, la identificación de la probabilidad de un evento que surge de tales amenazas o vulnerabilidades, definiendo las funciones necesarias críticas para continuar con las operaciones de la organización, la definición de los controles en el lugar necesario para reducir la exposi-ción y la evaluación del costo de tales controles. 3.36 comunicación de riesgos intercambio de información sobre riesgos entre quien toma las decisiones y las otras partes in-teresadas NOTA. La información puede relacionarse con la existencia, naturaleza, forma, probabilidad, gravedad, aceptabilidad, tratamiento o demás aspectos del riesgo.

(Guía ISO/IEC 73) 3.37 criterios de riesgo términos de referencia mediante los cuales se evalúa la importancia del riesgo NOTA. Los criterios de riesgo pueden incluir costos y benefi-cios asociados, requisitos legales y estatutarios, aspectos socioeconómicos y ambientales; las preocupaciones de las partes interesadas, las prioridades y otros datos para la eva-luación.

(Guía ISO/IEC 73)

3.38 gestión de riesgos actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo NOTA. La gestión de riesgos en general, incluye la eva-luación, el tratamiento, la aceptación y la comunicación de riesgos.

(Guía ISO/IEC 73) 3.39 reducción de riesgos medidas tomadas para reducir la probabilidad, consecuencias negativas, o ambos aspectos asociados con el riesgo

(Guía ISO/IEC 73) 3.40 transferencia del riesgo compartir con la otra parte la carga de la pérdida o beneficio o ganancia asociada con el riesgo NOTA 1. Los requisitos legales o estatutarios pueden limi-tar, prohibir o exigir la transferencia de ciertos riesgos. NOTA 2. La transferencia de riesgos puede llevarse a ca-bo mediante un seguro u otros acuerdos. NOTA 3. La transferencia de riesgos puede crear riesgos nuevos o modificar los existentes. NOTA 4. La reubicación de la fuente no es una transfe-rencia de riesgos.

(Guía ISO/IEC 73) 3.41 tolerancia al riesgo dimensión del riesgo que la organización está dispuesta a aceptar, tolerar, o a estar expuesta en todo momento 3.42 tratamiento del riesgo proceso de selección y de implementación de medidas para minimizar el riesgo NOTA 1. La expresión "tratamiento del riesgo" se utiliza a veces para las propias medidas. NOTA 2. Las medidas de tratamiento de riesgo pueden incluir evitar, optimizar, transferir o retener riesgos.

(Guía ISO/IEC 73) 3.43 ejercicio de simulación prueba que se realiza en condiciones lo más parecidas a la realidad



15

3.44 fuente asunto o actividad que tiene un potencial para producir una consecuencia NOTA. En el contexto de la seguridad, la fuente es un peligro.

(Guía ISO/IEC 73) 3.45 grupos de interés (partes interesadas) persona o grupo de personas que tienen un inte-rés en el desempeño o éxito de una organización NOTA. El término incluye a las personas y grupos con una participación en una organización, sus actividades y sus lo-gros, por ejemplo: clientes, socios, empleados, accionistas, propietarios, la comunidad local, el personal de primera res-puesta, el gobierno y los organismos reguladores. 3.46 ejercicio de mesa método de ensayo en el que se presenta una simulación limitada de un escenario de interrup-ción, emergencia o crisis, en un formato narra-tivo en el que los participantes revisan y discu-ten la política, los métodos, los procedimientos, la coordinación y las asignaciones de recursos asociados con la activación del plan, pero no los ejecutan 3.47 ensayo actividad en la cual se siguen alguna(s) parte(s) del plan de continuidad operacional para asegu-rarse de que el plan contiene la información adecuada y produce el resultado deseado

3.48 amenaza causa potencial de un incidente no deseado, que puede resultar en daños a las personas, a un sistema u organización, al medio ambiente o a la comunidad 3.49 alta dirección directores y funcionarios de una organización que pueden garantizar que se han puesto en marcha sistemas eficaces de gestión, incluyendo siste-mas de monitorización financiera y de control, para proteger los activos físicos, la capacidad de ingresos y la reputación de la organización

4 GENERALIDADES

El enfoque de la gestión, de la preparación ante incidentes y de la continuidad operacional y del proceso de su mejora continua se ilustra en la fi-gura 2. La GPIyCO es un marco orgánico que se recomienda sea continuamente monitorizado y revisado periódicamente para proporcionar orien-tación eficaz para la preparación ante incidentes, la gestión de la continuidad operacional en res-puesta a los cambios en los factores internos y externos de una organización. Todos los niveles de la organización tienen que aceptar la respon-sabilidad de trabajar para lograr mejoras en su preparación ante incidentes y de la continuidad operacional, según corresponda. Las considera-ciones de GPIyCO se pueden integrar en todas las decisiones empresariales y operativas de la organización.



16

Figura 2 - Diagrama de flujo de la preparación ante incidentes y continuidad operacional 5 POLÍTICA

5.1 Establecimiento del programa El propósito de establecer un programa de prepa-ración ante incidentes y de continuidad operacio-nal es asegurar que todas las actividades de gestión de riesgos y de continuidad operacional se lleven a cabo y se apliquen de manera acor-dada y controlada dentro de la organización, logrando de esta manera una capacidad que satisfaga las necesidades operacionales cam-biantes apropiadas para el tamaño, la comple-jidad y la naturaleza de la organización. Esto establece un marco claramente definido para de gestión constante de la capacidad de continuidad operacional.

Las actividades para instalarlo, que general-mente toman la forma de un proyecto, incorpo-ran el diseño, construcción, implementación y ejercicio de la capacidad de continuidad opera-cional, de extremo a extremo. Se recomienda considerar la integración tem-prana de técnicas y procedimientos de GPIyCO en el diseño de procesos de negocios y organi-zacionales, la planificación, operaciones, forma-ción y en las políticas y procedimientos financie-ros y económicos. El mantenimiento constante y las actividades de gestión incluyen garantizar que la continuidad operacional está incorporada dentro de la organización, es regularmente pro-bada y actualizada y es considerada toda vez que haya un cambio significativo (por ejemplo: medio ambiente, personal, proceso o tecnolo-



17

gía). Se recomienda también que la GPIyCO ga-rantice la protección de las partes interesadas frente a un posible impacto adverso debido a la interrupción de las funciones y operaciones de la organización. En resumen, el programa de gestión representa la puesta a punto, la organización y la gestión permanente de la capacidad de continuidad operacional. 5.2 Definición del alcance del programa Se recomienda que la organización establezca, documente, implemente, mantenga, evalúe y mejore continuamente sus programas de prepa-ración ante incidentes y continuidad operativa. Se recomienda que la organización determine sus objetivos de funcionamiento y sus actividades críticas, como están identificadas en sus estrate-gias, planes de negocios, declaraciones de política y misión, los planes de gestión de riesgos y herramientas de gestión, como el análisis FODA (Fortalezas, Oportunidades, Debilidades y Amenazas) y el balance de indicadores y resulta-dos. Se recomienda que los procesos críticos sean identificados y documentados. Esto permite a la organización enfocar los recursos requeridos para operar sus funciones y actividades críticas en el contexto de sus limitaciones económicas. Se recomienda que la organización establezca una justificación para el programa de GPIyCO para determinar las ventajas de adoptar un en-foque a lo largo de toda la organización. Esto puede basarse en: a) eventos históricos de riesgo dentro de la

organización; b) exposiciones al riesgo, actuales y emergen-

tes; c) tendencias a la interrupción operacional e

incidentes anteriores; d) aumento de los costos y pérdidas de ingre-

sos derivados de las potenciales interrup-ciones;

e) costos de financiación de riesgo;

f) obligaciones; g) responsabilidades sociales; h) éxito y fracaso de otros proyectos y pro-

gramas GPIyCO. Se recomienda que la organización defina y do-cumente el alcance de su sistema de GPIyCO. La organización tiene la libertad y la flexibilidad para definir sus límites y puede elegir imple-mentar esta guía en toda la organización o en específicas unidades operacionales o activida-des. Sin embargo, se recomienda considerar las re-laciones con otras organizaciones (entidades asociadas) y las partes interesadas que contri-buyen o influyen en las operaciones de la organización, incluidas las influencias ocasio-nadas por subcontratación de procesos o acti-vidades y la cadena de suministros. Se recomienda que el ámbito de aplicación esté directamente relacionado con las actividades, funciones, productos y servicios críticos de la organización, definiendo los parámetros para la evaluación de riesgos y el desarrollo de progra-mas en función de su criticidad y la probabilidad potencial y consecuencias de un incidente. 5.3 Gestión de liderazgo y compromiso Para que un programa de GPIyCO sea eficaz, se recomienda que sea un proceso integrado de gestión impulsado desde la dirección de la organización, soportado y promovido por los gerentes y ejecutivos principales. Se recomien-da que sea gestionado en ambos niveles, operacional y de organización. Para dar soporte y gestionar el programa de GPIyCO puede requerirse un número determi-nado de profesionales en preparación ante incidentes, asesores en gestión de la continui-dad operacional GCO y personal de otras disciplinas y departamentos. La cantidad de re-cursos que se necesiten va a depender del tamaño y la diversidad de la organización.



18

5.4 Desarrollo de la política Se recomienda que la organización desarrolle una política de GPIyCO. Inicialmente, esto pue-de ser en un nivel superior con un posterior refinamiento y mejora, a medida que se desa-rrolla la capacidad. Se recomienda que la polí-tica sea revisada y actualizada periódicamente en línea con las necesidades operacionales. Se recomienda que la política de GPIyCO pro-porcione a la organización los principios documentados que ésta aspira cumplir y contra los cuales tiene que medirse su capacidad de GPIyCO. Se recomienda que el proceso de la política de una organización esté compuesto por los ele-mentos siguientes: a) se recomienda que la alta dirección decida

desarrollar un programa GPIyCO y comu-nique la decisión a través de toda la organización;

b) se recomienda que la alta dirección esta-

blezca una política de GPIyCO básica; c) se recomienda que la alta dirección comu-

nique las actividades de GPIyCO de la organización a las partes interesadas den-tro y fuera de la misma;

d) se recomienda que la alta dirección asegu-

re la disponibilidad de recursos, como presupuesto y el personal necesario para realizar las actividades en línea con la polí-tica básica de GPIyCO;

e) se recomienda que la alta dirección partici-

pe en el proceso de desarrollo del pro-grama GPIyCO.

5.5 Revisión de la política Se recomienda que la organización establezca una revisión periódica de su política de GPIyCO, incluyendo pero no limitándose a lo siguiente: a) resultados de la revisión del sistema de

GPIyCO; b) cambios en el entorno físico; c) cambios en el perfil de riesgo;

d) cambios en el personal clave, operaciones, servicios, procesos, productos, proveedores, distribuidores, abastecimiento, acuerdos de subcontratación y fuerzas del mercado;

e) las fusiones y adquisiciones; f) los cambios significativos en el ámbito le-

gislativo y reglamentario. Se recomienda que la revisión de la política de GPIyCO esté integrada como parte del proceso de planificación del negocio y operacional de toda la organización aprobado por la alta dirección. Se recomienda que la política de GPIyCO a lo largo de toda la organización descienda en cascada a cada una las políticas funcionales de GPIyCO. 5.6 Estructura de la organización para la implementación Las políticas y estrategias del programa las desarrollada e implementada el equipo de pro-yecto. Se recomienda determinar las nece-sidades de estructuras de gestión de proyecto formales o informales basadas en: a) los requisitos para continuar con la visibili-

dad e involucración de la alta dirección; b) los requerimientos de habilidades; c) los recursos, el presupuesto y las necesi-

dades de financiación para el proyecto; d) el conocimiento específico de la organiza-

ción; e) las áreas de organización involucradas en

el proyecto. La organización puede designar a un coordina-dor del programa de GPIyCO quien se recomienda tenga la responsabilidad de esta-blecer dicho programa. Se recomienda que el coordinador del programa de GPIyCO sea res-ponsable de coordinar los proyectos para la preparación ante incidentes y continuidad ope-racional, de gerenciar la estructura organizacio-nal de preparación ante incidentes y continuidad operacional, de obtener el apoyo de la alta di-rección, de desarrollar e implementar el pro-grama de GPIyCO, de proveer capacitación y de revisar periódicamente el programa, entre otros.



19

Se recomienda definir las responsabilidades y la autoridad de la alta dirección, con el fin de dejar en claro dónde recae la responsabilidad última en la organización. Se puede formar un comité interfuncional del programa de GPIyCO. Se recomienda que sus miembros sean aquellos involucrados en las más importantes funciones relacionadas con el programa de GPIyCO con el fin de que pueda abordar las diversas cuestiones relacionadas con toda la organización.

6 PLANIFICACIÓN

6.1 General Se recomienda que la organización establezca, implemente y mantenga procedimientos para llevar a cabo: la identificación de amenazas y peligros, la evaluación de los riesgos, de la vul-nerabilidad y de la criticidad y el análisis de impacto. Esta fase establece los parámetros pa-ra las etapas de estrategia y de planificación, que van a permitir a la organización minimizar la probabilidad de una interrupción y continuar cumpliendo con sus objetivos durante ésta, a través de un nivel aceptable de operatividad. El conocimiento de la organización proviene de la identificación y evaluación de los riesgos po-tenciales y las amenazas de disrupciones, así como la determinación de la duración de una in-terrupción de nivel tolerable para sus partes interesadas. Se trata de un requisito previo esencial para los pasos siguientes en esta etapa en la que la organización tiene que tener cono-cimiento cabal de sus productos y servicios y de cómo éstos son prestados por las actividades dentro de la organización. Los mapas de los procesos y otras herramientas de gestión pue-den ayudar a una organización a documentar el conocimiento de sus operaciones críticas. 6.2 Requisitos legales y otros requisitos Se recomienda que la organización establezca y mantenga procedimientos para identificar y evaluar los requisitos legales y reglamentarios aplicables y de otro tipo que la organización suscribe, que están relacionados con las ame-

nazas y riesgos aplicables a sus instalaciones, actividades, productos, servicios, contratistas, y la cadena de suministro. Se recomienda que la organización mantenga esta información al día y que comunique a sus empleados y a otras terceras partes importantes, incluyendo contra-tistas, la que sea relevante sobre requisitos legales y reglamentarios. Se recomienda que el sistema GPIyCO se com-prometa a cumplir con la legislación y regla-mentación aplicable, sea conforme a las direc-tivas y políticas y considere las buenas prácticas de la industria sobre actividades GPIyCO, pro-ductos o servicios. 6.3 Evaluación de riesgos y análisis de im-pacto Existen diversas metodologías para la evalua-ción de riesgos y el análisis del impacto que van a determinar el orden de los pasos de aná-lisis adoptados. 6.4 Identificación de peligros, riesgos y amenazas Se recomienda que la identificación de peligros, riesgos y amenazas incluya, pero no se limite a: a) riesgos naturales que pueden ocurrir sin la

influencia de personas y tienen potencial para ocasionar impacto directo o indirecto sobre las personas, la propiedad y/o medio ambiente y las operaciones de la organiza-ción (riesgos geológicos, meteorológicos y biológicos);

b) acontecimientos humanos y tecnológicos

provocados accidental e intencionalmente; c) eventos relacionados con negocios (positi-

vos y negativos). Se recomienda que la identificación de riesgos sea una actividad permanente. Se recomienda que la organización determine las fuentes y las causas potenciales de ocasionar daño e identi-fique los riesgos. Se recomienda que la organi-zación consulte con las autoridades competen-tes apropiadas y con otros servicios públicos para identificar los riesgos potenciales para la organización y las partes interesadas.



20

6.5 Evaluación del riesgo Se recomienda que la organización utilice un proceso de evaluación formal y documentado para identificar sus riesgos y amenazas, la pro-babilidad de su ocurrencia y la vulnerabilidad y criticidad de las personas, los bienes, el medio ambiente y de la propia organización frente a esas amenazas. Se recomienda que la organi-zación estime cuantitativa o cualitativamente la probabilidad o posibilidad de los riesgos poten-ciales identificados y la significancia de los impactos de estos riesgos cuando ocurren. Se recomienda que los resultados de dicha esti-mación se utilicen para la evaluación de riesgos y para priorizar los riesgos potenciales. Se recomienda que la organización evalúe los riesgos potenciales sobre la base de criterios ra-zonables teniendo debidamente en cuenta todos los riesgos potenciales que reconoce su área operacional. Se recomienda que la organización considere varios elementos como vidas huma-nas, bienes, compensaciones, beneficios, créditos y medio ambiente natural. Se reco-mienda que la organización analice toda la información sobre riesgos, y seleccione aquéllos que pueden ocasionar importantes consecuen-cias o riesgos cuyas consecuencias son difíciles de determinar en términos de importancia. Se recomienda que la organización mantenga actualizada y de manera confidencial la infor-mación relacionada con sus amenazas, riesgos y evaluaciones de criticidad, como sea adecua-da. Se recomienda que las evaluaciones de amenaza, riesgo y criticidad sean reevaluadas en el contexto de los cambios dentro de la or-ganización o de los ocurridos en el entorno operacional de la organización, funciones, pro-cedimientos y servicios. 6.6 Análisis de impacto Se recomienda que la organización analice el impacto de las interrupciones de sus operacio-nes e identifique las operaciones de negocios críticas que tienen alta prioridad para la recupe-ración, con el fin de establecer objetivos de tiempo de recuperación (OTR), ver anexo A. Se recomienda que la organización lleve a ca-bo un análisis de impacto para determinar el

potencial de consecuencias negativas de una interrupción de sus operaciones, incluyendo, pero no limitado a lo siguiente: a) la salud y la seguridad de las personas en

el área afectada en el momento del inci-dente (lesiones y muertes);

b) la salud y seguridad del personal que res-

ponde al incidente; c) la continuidad de las operaciones; d) la propiedad, las instalaciones y la infraes-

tructura; e) la prestación de servicios; f) el medio ambiente; g) el bienestar de las partes interesadas; h) los impactos económicos y financieros (in-

cluyendo análisis de costo-beneficio); i) las obligaciones reglamentarias y contrac-

tuales; j) la reputación y el grado de confianza en la

organización. Entre los productos y servicios provistos por la cadena de suministros, se recomienda que la organización identifique cuáles son esenciales para sustentar las operaciones críticas y tome las precauciones necesarias. Las organizaciones dependen de una infraes-tructura de servicios cada vez más compleja e interdependiente que incluye electricidad, agua, gas, transporte y comunicaciones. Casi todas las organizaciones dependen de una eficaz es-tructura de funcionamiento, y por lo tanto, de la continuidad de los servicios públicos. El corola-rio de esto es que las organizaciones son particularmente vulnerables a la interrupción, desde una perspectiva de continuidad, cuando un servicio o una infraestructura crítica falla; por lo tanto, se recomienda que la organización evalúe el impacto de las interrupciones de los servicios en sus operaciones críticas. Se recomienda que la organización considere la cantidad de tiempo, el costo y los recursos nece-sarios para restaurar su funcionalidad crítica y



21

evalúe los atrasos resultantes de los trastornos, incluyendo acuerdos con otras organizaciones para su solución y continuidad. 6.7 Programas de preparación ante inciden-tes y de gestión de la continuidad operacional 6.7.1 Generalidades Se recomienda que, cuando sea factible, el pro-grama de GPIyCO sea mensurable y coherente con las políticas de GPIyCO y enfatice un com-promiso con la prevención de incidentes y de interrupciones y el cumplimiento con los requisi-tos legales aplicables y con otros requisitos que la organización suscriba y con su mejora conti-nua. Se recomienda que la organización establezca, implemente y mantenga programas para el logro de sus objetivos y metas en todos los niveles pertinentes de la organización, incluyendo: a) un objetivo y el plazo en el que se lo va a

cumplir; b) la asignación de responsabilidades para

lograr los objetivos y metas. Los programas de GPIyCO, ya sean de natura-leza disuasoria o receptiva, se recomienda que estén alineados e integrados uno con otro, de tal manera que no haya conflictos de funcionalidad, respuesta, requisitos de recursos o de horarios. Se recomienda revisar los planes como un con-junto integrado que garantice los flujos de información y las acciones lógicas, coherentes y de colaboración y asignación y uso de recursos eficientes, eficaces y asequibles. Se recomienda que la organización designe a un miembro de la alta dirección como director general o coordina-dor del programa de GPIyCO. 6.7.2 Programas de prevención y mitigación Se recomienda que el programa de prevención y mitigación esté basado en los resultados de la identificación una amenaza y de peligros en la evaluación de riesgos. En caso de un incidente, se recomienda que el programa minimice los efectos, planifique para responder y lograr la pronta recuperación del sistema.

Se recomienda que el programa considere la eliminación o mitigación de las amenazas y los riesgos a través de opciones metodológicas y tecnológicas y de la experiencia de otras entida-des, teniendo en cuenta requisitos financieros, operacionales y de negocio, así como las opi-niones de las organizaciones asociadas y sus partes interesadas. Se recomienda que el plan de prevención y mi-tigación considere costos y beneficios. Se recomienda que esto incluya, pero no se limite a: soluciones tecnológicas, estimación de los efectos de los esfuerzos de GPIyCO, la natura-leza y costos de los esfuerzos en curso, los costos en relación con el impacto de la estrate-gia en materia de esfuerzos no GPIyCO y el retorno de la inversión para las organizaciones. Se recomienda que el programa de prevención y mitigación considere el traslado de personas y de la propiedad en riesgo, la relocalización, la actualización y provisión de sistemas o equipos de protección, información, datos, documentos y la seguridad informática, el establecimiento de procedimientos de alarma y comunicación de amenazas y riesgos, y la redundancia o duplica-ción del personal esencial, sistemas, equipos , información, operaciones o materiales críticos, incluso aquellos de entidades asociadas. Se recomienda que el plan de mitigación esta-blezca las acciones inmediatas y de largo plazo para eliminar los peligros que impactan a la enti-dad, o para reducir el impacto de aquellos peligros, riesgos y amenazas que no pueden eliminarse. Se recomienda que la organización evalúe aquellas acciones para determinar si di-chas medidas de prevención y mitigación introducen por sí mismas nuevos riesgos. Por lo tanto, al desarrollar el plan de mitigación es ne-cesario determinar y evaluar los riesgos aso-ciados con las soluciones de prevención y mitigación como asimismo considerar las conse-cuencias de toda estrategia de trasferencia de riesgos. 6.7.3 Programas de gestión de la respuesta Se recomienda que la organización planifique la respuesta a incidentes y recuperación, te-niendo en cuenta las actividades básicas, sus obligaciones contractuales, las necesidades de



22

sus empleados y vecinos de la comunidad, la continuidad operacional y la remediación am-biental. Las organizaciones tienen diferentes enfoques para la gestión de crisis. Indepen-dientemente del enfoque, hay tres pasos genéricos de gestión interrelacionados que re-quieren planificación preventiva y su imple-mentación en caso de un incidente disruptivo: a) respuesta de emergencia: La respuesta

inicial a un incidente disruptivo por lo gene-ral implica la protección de las personas y bienes de un daño inmediato. Una primera reacción de gestión puede formar parte de la primera respuesta de la organización;

b) respuesta para continuidad: Se ponen a

disposición procesos, controles y recursos para asegurar que la organización continúe cumpliendo sus objetivos operacionales críticos;

c) respuesta para recuperación: Se restable-

cen los procesos, recursos y capacidades de la organización para satisfacer requisi-tos operacionales sobre la marcha. Esto a menudo incluye la introducción de mejoras organizacionales significativas que incluso se extienden a un reenfoque de los objeti-vos estratégicos u operacionales.

Todos los planes de respuesta tienen elemen-tos comunes, como: a) se recomienda identificar los roles funcio-

nales y responsabilidades de las entidades internas y externas, organizaciones, depar-tamentos y de los individuos;

b) se recomienda establecer o identificar las líneas de autoridad de tales entidades, or-ganizaciones, departamento e individuos;

c) se recomienda especificar las competen-

cias requeridas; d) se recomienda identificar los recursos mí-

nimos y asegurados los lugares. Se recomienda también que la organización considere el alcance y la naturaleza de las in-terdependencias externas. Se recomienda que identifique detalles de contacto (dentro y fuera de los horarios comerciales); expectativas de

las partes interesadas (servicio mínimo acorda-do, niveles, requisitos obligatorios, etc.); alterne relaciones funcionales (por ejemplo: localiza-ción de las entregas, cambio de la frecuencia de las interacciones, etc.), y fuentes alternas por los requisitos del contrato. Se tienen que tener en cuenta las relaciones con los clientes, proveedores, socios estratégicos, contratistas, reguladores y competidores. Se tiene que reconocer que, dependiendo de la gravedad y el impacto del incidente en una or-ganización, la alta dirección puede tomar la decisión de no hacer nada. En este caso, la alta dirección puede determinar cuál es el riesgo aceptable y cuál es el margen de tolerancia al riesgo dentro de la organización. Sin embargo, se recomienda hacer esto de manera explícita y documentada. En algunas circunstancias el im-pacto de un riesgo puede estar afuera de la tolerancia al riesgo normal de la organización, pero debido a la baja probabilidad de que ocurra el riesgo o al costo antieconómico de su control, la alta dirección puede aceptar el riesgo. 6.7.4 Programa de manejo de la respuesta de emergencia El objetivo principal del programa de manejo de la respuesta de emergencias es la preservación de la vida y la propiedad, ver el anexo B. Se re-comienda identificar los criterios o factores de activación del manejo del incidente e imple-mentación de la respuesta a la emergencia. Se recomienda que el manejo de incidentes sea un proceso que pueda ser rápidamente activado y que lo sea cada vez que un probable incidente comienza a ser evidente, de manera que: a) no se pierda tiempo; b) se tomen decisiones sobre lo que se tiene

que hacer; c) se den los primeros pasos para contener y

controlar los acontecimientos. Las organizaciones tienen la responsabilidad di-recta de salvaguardar el bienestar de los empleados, contratistas, visitantes o clientes, cuando cualquier incidente representa un riesgo directo para la vida, el sustento y el bienestar. Se tiene que prestar especial atención a cualquiera



23

de los grupos anteriores con discapacidades u otras necesidades específicas (por ejemplo, el embarazo, la discapacidad temporal debido a una lesión, etc.). Planificar con anticipación para cumplir con estos requisitos puede reducir el riesgo, mejorar los tiempos de respuesta y tran-quilizar a los afectados. Debido a la naturaleza sensible del tiempo de respuesta de emergencia, se recomienda que se consideren los escenarios sobre la base de la evaluación de riesgos. Ade-más, se recomienda que las organizaciones establezcan un sistema de comunicación con las partes interesadas, así como un sistema social-mente responsable de asistencia mutua con otras organizaciones y partes interesadas. Con el fin de garantizar que la alta dirección es debidamente notificada inmediatamente que ocurre un incidente, se recomienda que la orga-nización defina varios niveles de severidad y especifique quién tiene que ser notificado y con-tactado para cada nivel de severidad. Se reco-mienda que la organización defina y comunique lo que tiene que ser reportado, incluyendo qué ocurre, dónde pasa, lo grave que es, por qué sucede, qué tan rápido puede ser restaurado y si se requiere convocar asistencia externa. Se recomienda que los planes sean adaptados para el nivel deseado de respuesta e incluyan: a) el rol del equipo de respuesta dentro de la

estructura de la organización (estratégico, táctico u operacional);

b) un proceso claramente definido para pro-

veer a los líderes del equipo de la informa-ción necesaria para informar su decisión en cuanto a si se tiene que convocar o mo-vilizar a un equipo de respuesta;

c) se recomienda identificar previamente una

ubicación, espacio o lugar para el equipo. Esta área va a ser el punto focal de la res-puesta de la organización. Se recomienda designar un punto de encuentro alternativo en caso de que se deniegue el acceso a la ubicación principal.

Se recomienda que el programa de manejo de la respuesta de emergencia delinee estrategias para lograr el bienestar humano, que incluyan procedimientos de respuesta de emergencia y equipos definidos con roles y responsabilidades

claros para coordinación de las necesidades del bienestar humano dentro de la organiza-ción. Se recomienda que los planes se pre-paren incluyendo previsiones para los roles y responsabilidades de los equipos con la forma-ción adecuada para llevar a cabo dichas actividades y funciones. Para ser eficaz, se recomienda que la respues-ta a emergencia y los planes de gestión sean previamente preparados y defendidos por los más altos niveles de la organización. Se reco-mienda que tengan el soporte de la alta dirección, la descripciones de trabajo para to-dos los roles y personal involucrado en el mismo y un presupuesto. En las grandes orga-nizaciones, también pueden tener identificados un administrador o un coordinador de progra-mas y un equipo responsable del desarrollo del programa estratégico. Se recomienda que los recursos para los pla-nes de manejo de la respuesta de emergencia estén identificados de forma específica. Un re-curso tiene que estar disponible de manera oportuna y tener la capacidad para realizar su función prevista. Se recomienda tener en cuen-ta la restricción en el uso de los recursos y que la aplicación del recurso no incurra en más obligaciones que las previstas, para evitar el fracaso de su utilización. El costo de los recur-sos no tiene que ser superior al beneficio. 6.7.5 Programa de gestión de la continuidad Se recomienda que los planes de continuidad se desarrollen y documenten de una manera completa y sencilla, que permita a la organiza-ción responder con flexibilidad a una amplia variedad de potenciales escenarios de inciden-tes disruptivos, ver el anexo C. Una organización puede determinar que cada unidad operacional tiene planes especializados de GCO que van a ser aprobados y que la or-ganización va a tener un plan general de GCO para gestionar las actividades de cada unidad operacional y para coordinar los recursos ne-cesarios para las actividades de restauración y recuperación. El plan de GCO es la caja de herramientas a la que el equipo de gestión de incidentes puede recurrir y activar, basada en las necesidades de



24

respuesta al incidente. Ayuda a proporcionar, a través de un conjunto de secciones lógicas, la in-formación que se requiere para mantener a la organización en el momento de un incidente dis-ruptivo. El objetivo principal de un plan de GCO es permitir a una organización mantener lo que es fundamental en el caso de una interrupción importante que afecte sus operaciones normales. El plan de GCO se desarrolla como respuesta a las consecuencias anticipadas de incidentes y se basa en la evaluación de riesgos (destacando las principales áreas de riesgo que requieren gestión) y en el análisis de impacto (donde se han identificado las actividades concretas que son críticas para la organización y la urgencia con la que tienen que ser recuperadas). El plan de GCO describe y detalla los objetivos, los pro-cedimientos, actividades e información de contacto críticos, a seguir en caso de un inciden-te disruptivo que afecta a la capacidad de una organización, en su totalidad o en parte, para funcionar en el nivel acordado aceptable con el fin de estabilizar las funciones operacionales crí-ticas y las actividades, previas a la recuperación a mediano y largo plazo. Los componentes y contenidos de los planes de GCO varían de una organización a otra y tienen un nivel diferente de detalle sobre la base de la escala de complejidad, medio ambiente, cultura y técnica de la industria y soluciones asociadas, perfil de riesgo y medio ambiente en el que ope-ra. Las organizaciones grandes pueden requerir documentos específicos para cada una de sus áreas o funciones críticas de operación, mientras que las organizaciones más pequeñas pueden ser capaces de cubrir lo que es crítico para ellas en un solo documento. Se recomienda que la organización identifique el equipamiento, los suministros y las interacciones de la cadena de suministros que sustentan sus actividades críticas y desarrolle estrategias para asegurar las operaciones y la mencionada ca-dena. Las estrategias del plan de GCO buscan mejorar la resiliencia de la organización ante un incidente disruptivo, garantizando que las activi-dades críticas continúen a un nivel mínimo acep-table y dentro de los plazos estipulados en el análisis de riesgo y de impacto. El objetivo últi-mo es restablecer las operaciones dentro de los plazos acordados, manteniendo al mismo tiem-

po las funciones requeridas para sostener las operaciones y servicios y dar cumplimiento a los objetivos y obligaciones claves. 6.7.6 Programa de gestión de la recupera-ción El propósito principal del plan de gestión de la re-cuperación es el retorno por etapas al nivel nor-mal de actividad previo al incidente, teniendo en consideración las capacidades y rendimientos mejorados. Se recomienda que la organización planifique la recuperación frente al incidente o disrupción, teniendo en cuenta las obligaciones contractua-les, las actividades principales, las necesidades de los empleados y de la comunidad vecina, la continuidad operacional, la reducción de ries-gos, la remediación ambiental, y la optimización de los procesos. Se recomienda que el plan de gestión de la re-cuperación establezca objetivos específicos y procedimientos para implementar las actividades relevantes. Después de revisar la información sobre la magnitud de los daños y su impacto operacional recogidos por los equipos de res-puesta a emergencias y continuidad, se reco-mienda que la alta dirección seleccione las me-didas a tomar y especifique hitos de recupe-ración, como así también el tiempo y el nivel de asignación de recursos. Sobre la base de la prio-rización de las operaciones predeterminadas en el análisis de impacto, se recomienda que la or-ganización priorice las medidas reales, teniendo en cuenta la magnitud de los daños en los equi-pos, la disponibilidad real de personal y el progreso futuro de su restauración. De acuerdo con esta prioridad, se recomienda que la organi-zación establezca un plan para la asignación de los recursos como personal y suministros. Se recomienda que el plan de recuperación identifique a la alta dirección, los tomadores de decisiones y otras partes pertinentes que tienen que considerar: a) el progreso y calendario para la restaura-

ción de las operaciones; b) en qué medida las operaciones se pueden

restaurar;



25

c) la suspensión total o parcial de algunas operaciones;

d) cuándo reanudar todas las operaciones; e) el requerimiento de recursos de inversio-

nes adicionales; f) la mejora de los procesos, infraestructuras

físicas y operaciones; g) las amenazas y oportunidades de los com-

petidores y socios; h) la planificación preventiva basada en las

lecciones aprendidas.

7 IMPLEMENTACIÓN Y OPERACIÓN

7.1 Recursos, roles, responsabilidad y auto-ridad Se recomienda que la organización determine y proporcione los recursos y todos los acuerdos de colaboración esenciales para la aplicación y control del sistema de GPIyCO y para la mejora continua de su eficacia. Los recursos incluyen la realización de trabajos por parte de los recursos humanos que afectan el sistema de GPIyCO y las habilidades espe-ciales, infraestructura, tecnología y recursos financieros, como así también la información y la inteligencia. El personal tiene que ser com-petente sobre una base de educación, forma-ción, habilidades y experiencia. Se recomienda definir, documentar y comunicar los roles, las responsabilidades y las autorida-des, para lograr una GPIyCO eficaz. Se recomienda que la alta dirección de la organi-zación designe una persona para ejercer el liderazgo y un representante específico de esa autoridad quienes, con independencia de otras responsabilidades, tienen que tener definidos sus roles, responsabilidades y su autoridad para: a) garantizar que se establezcan, se imple-

menten y se mantengan los elementos y procesos de GPIyCO;

b) evaluar, revisar e informar a la alta dirección sobre el logro de los resultados del sistema de GPIyCO como base para su mejora;

c) garantizar la promoción de la concientiza-

ción acerca de los elementos del sistema de GPIyCO en toda la organización.

Se recomienda que la organización establezca las capacidades logísticas y los procedimientos para localizar, adquirir, almacenar, distribuir, mantener, probar y dar cuenta de servicios, per-sonal, recursos, materiales e instalaciones desti-nados a dar soporte al sistema de GPIyCO. Se recomienda que los objetivos de gestión de los recursos establecidos consideren, pero no se limiten a lo siguiente: a) personal, equipamiento, formación, instala-

ciones, financiación, conocimiento de expertos, materiales y plazos dentro de los cuales van a ser necesarios a partir de los recursos de la organización y de las enti-dades asociadas;

b) cantidad, tiempo de respuesta, capacidad,

limitaciones, costos y la responsabilidad conectada con el uso de los recursos invo-lucrados.

7.2 Construcción e integración del GPIyCO en la cultura de la organización La construcción, promoción e incorporación de una cultura de GPIyCO dentro de una organiza-ción asegura que se convierta en parte de los valores centrales de la organización y de la go-bernanza, ver el anexo D. Establecido de manera eficaz, infunde confianza entre las partes interesadas acerca de la capacidad de la organi-zación para enfrentar disrupciones importantes. Se recomienda que para ser exitosa la GPIyCO sea "propiedad" de cada uno dentro de una or-ganización. Todos los niveles de dirección, superiores y medios, desempeñan un papel esencial en el diseño inicial de las actividades y procesos críticos; por lo tanto es vital obtener su apoyo en una etapa temprana. Todo el personal tiene que estar convencido de que la GPIyCO es un tema serio para la orga-nización y que ellos tienen un rol importante



26

que desempeñar en la entrega de los productos y servicios a sus distintos clientes. Es esencial que los programas de capacitación y concienti-zación se establezcan como parte de la introducción general de la GPIyCO. La concientización de todo el personal de la or-ganización es importante para asegurar que son conscientes de que se está introduciendo la GPIyCO y por qué. Tienen que estar convencidos de que ésta es una iniciativa a largo plazo y que cuenta con el apoyo de los líderes de la organización. Ellos necesitan tener confianza en que, mien-tras se contiene cualquier incidente disruptivo, sus trabajos van a ser protegidos. También es crítico que las personas nombradas en los pla-nes de GPIyCO sepan qué acciones tienen que tomar cuando se invocan dichos planes. Se recomienda que los nuevos integrantes de la organización sean concientizados acerca de la política de GPIyCO y de su participación en todos los planes. Esto puede hacerse mediante la incorporación de material de GPIyCO en los programas de inducción del personal. Se recomienda mantener la concientización del programa general de GPIyCO. Los métodos pueden incluir boletines internos, mensajes de correo electrónico, intranet de la organización, reuniones de equipos y comunicaciones de la alta dirección. Se recomienda destacar ejem-plos en los que la organización ha gestionado con éxito un incidente elogiando a los involu-crados. La organización también puede apro-vechar las lecciones aprendidas, identificadas por fallas externas. 7.3 Competencia, formación y concientiza-ción Se recomienda que la organización asegure que cualquier persona que realice tareas para ella o en su nombre, que tenga el potencial de preve-nir, causar, responder, mitigar o ser afectada por peligros significativos, riesgos, amenazas y sus correspondientes impactos identificados por di-cha organización, sean competentes sobre la base de una educación, formación o experiencia adecuadas y que conservan los registros aso-ciados a esas actividades.

Se recomienda que la organización evalúe las necesidades de formación y desarrolle e imple-mente una currícula de capacitación y educación para dar soporte al programa de GPIyCO. Se recomienda que la currícula de capacitación y educación cumpla con todos los requisitos re-glamentarios aplicables. El objetivo de la forma-ción tiene que ser el de crear conciencia y mejorar las habilidades necesarias para desarro-llar, implementar, mantener y ejecutar el pro-grama de GPIyCO. Se recomienda identificar la frecuencia y el alcance de dicha formación. Se recomienda que la organización establezca, implemente y mantenga procedimientos para asegurar que las personas que trabajan para ella o en su nombre, son conscientes de: a) la importancia de la conformidad con la po-

lítica, los procedimientos y los elementos del sistema de GPIyCO;

b) las amenazas y riesgos significativos, los

impactos relacionados reales o potencia-les, asociados con su trabajo y los bene-ficios de un mejor desempeño personal;

c) sus roles y responsabilidades en el logro

de los objetivos y metas del programa de GPIyCO;

d) los procedimientos para contener, mitigar,

responder y recuperarse de un incidente o disrupción;

e) las consecuencias posibles que puede

provocar desviarse de los procedimientos especificados.

7.4 Comunicaciones y advertencias Con respecto a sus amenazas, riesgos y su sis-tema de GPIyCO, se recomienda que la orga-nización establezca, implemente y mantenga procedimientos para difundir y dar respuesta a las solicitudes de información preincidente, del incidente o disrupción y posincidente. Se recomienda que esto incluya procedimien-tos para proporcionar información al público interno y externo, incluyendo los medios de comunicación y atender sus consultas, tenien-



27

do en cuenta los requisitos para estados de ru-tina y de emergencia para: a) la comunicación interna entre los diversos

niveles y funciones de la organización y con las entidades asociadas;

b) recibir, documentar y responder a las co-

municaciones pertinentes de las partes interesadas externas;

c) adaptar e integrar en la planificación actual

y uso operacional real a todo sistema de alerta de riesgo o amenaza a nivel nacional o regional, o equivalente;

d) alertar al personal potencialmente afectado

por un incidente de GPIyCO real o inminen-te;

e) facilitar la comunicación estructurada con

los servicios de respuesta a emergencias; f) asegurar la disponibilidad de medios de

comunicación, especialmente en una si-tuación de crisis y disrupción;

g) asegurar la interoperabilidad de las múltiples

organizaciones y personal de respuesta; h) registro de la información vital sobre el in-

cidente, las medidas adoptadas y las decisiones tomadas;

i) la necesidad de una instalación central de

contacto o centro de comunicaciones. Se recomienda que la organización decida, so-bre la base de la seguridad humana, como primera prioridad y en consulta con las partes in-teresadas, si comunica o no externamente infor-mación acerca de sus riesgos y amenazas, signi-ficativas, tanto antes como después de un inci-dente, y documente su decisión. Si la decisión es comunicar la información, se recomienda que la organización establezca e implemente métodos para realizar esta comunicación externa, alertas y advertencias. Se recomienda que los datos comunicados preserven la integridad de la infor-mación confidencial y que sólo se difunda públicamente la información no confidencial, co-mo corresponda para coordinar la GPIyCO.

Se recomienda que antes de un incidente, la organización desarrolle una estrategia de co-municación basada en: a) quién necesita la información; b) qué y cuándo se necesita o se requiere in-

formación; c) qué limitaciones o restricciones organizati-

vas existen; d) quién tiene la autoridad para aprobar y di-

fundir las comunicaciones; e) cómo interactuar con los medios de comu-

nicación y la forma de realizar un control del rumor.

La organización puede desarrollar comunica-ciones para su presentación antes de un incidente incluyendo una guía de acciones proactivas y concientización sobre el programa de GPIyCO. Se recomienda que la estrategia también defina el medio por el cual se van a promulgar los diferentes tipos de comunicacio-nes a cada uno de las partes interesadas. Se recomienda que el sistema de comunicacio-nes de GPIyCO sea probado regularmente. 7.5 Control operacional Se recomienda que la organización establezca e implemente un sistema de procedimientos ope-racionales documentados y controles conse-cuentes con las políticas de GPIyCO, las amenazas, riesgos y evaluación de la criticidad, análisis de impacto y objetivos de la organiza-ción. Se recomienda que la organización plani-fique estas actividades, incluyendo el mante-nimiento, a fin de garantizar que se lleva a cabo bajo las condiciones especificadas, mediante: a) establecer, implementar y mantener docu-

mentados los procedimientos internos; b) estipular criterios operacionales en los pro-

cedimientos internos; c) establecer procedimientos de ejecución y

de mantenimiento relacionados con los riesgos significativos identificados, las ame-nazas y peligros para la organización y



28

comunicar los procedimientos y requisitos aplicables a la cadena de suministros, in-cluyendo contratistas.

Para minimizar la probabilidad de un incidente disruptivo, se recomienda que estos procedi-mientos incluyan, controles para el diseño, insta-lación, operación, renovación y modificación de los aspectos relacionados al riesgo del equipa-miento, la instrumentación, etc., como sea apropiado. Donde haya revisión de disposicio-nes existentes o se introduzcan nuevas que puedan tener un impacto sobre las operaciones y actividades, se recomienda que antes de su implementación la organización considere la mi-nimización asociada de amenazas y riesgos. Se recomienda dirigir los procedimientos opera-cionales y los controles a la confiabilidad y a la resiliencia, la seguridad y la salud de las perso-nas, y la protección de la propiedad y el medio ambiente afectado por un incidente disruptivo. Se recomienda que la organización establezca procedimientos para crear y mantener un sis-tema de documentación de GPIyCO necesario para asegurar la eficaz planificación, operación y control de los procesos que se relacionan con el mencionado sistema. 7.6 Finanzas y administración Se recomienda que la organización desarrolle procedimientos financieros y administrativos pa-ra dar soporte al programa de GPIyCO antes, durante y después de un incidente. Se reco-mienda establecer procedimientos para garan-tizar que las decisiones fiscales sean expeditivas y estén de acuerdo con los niveles de autoridad y los principios contables estable-cidos. Se recomienda que estos procedimientos incluyan, pero no se limiten a los siguientes: a) establecer y definir las responsabilidades

para el programa; b) una autoridad de finanzas incluyendo sus

relaciones de información con el coordina-dor(res) del programa;

c) procedimientos del programa de adquisi-

ciones; d) nómina de pagos;

e) sistemas contables para realizar un segui-miento y documentar los costos.

8 EVALUACIÓN DEL DESEMPEÑO

8.1 Evaluación del sistema Se recomienda que la organización evalúe los planes de GPIyCO, procedimientos y capaci-dades a través de revisiones periódicas, prue-bas, informes posteriores al incidente, leccio-nes aprendidas, evaluaciones de desempeño y ejercicios. Los cambios significativos en estas áreas tienen que reflejarse de inmediato en los procedimientos. En concordancia con su compromiso de cum-plimiento, se recomienda que la organización establezca, implemente y mantenga procedi-mientos para evaluar periódicamente el cumpli-miento de los requisitos legales aplicables, las mejores prácticas de la industria y la conformi-dad con su política y sus objetivos. Se recomienda que la organización mantenga los registros de los resultados de las evaluacio-nes periódicas. 8.2 Seguimiento y medición del desempeño Se recomienda utilizar el seguimiento proactivo para comprobar la conformidad y eficacia del programa de GPIyCO y que el seguimiento reactivo se utilice para investigar, analizar y re-gistrar, fallas del sistema eventos y disrupcio-nes, incluyendo los cuasi accidentes. Se recomienda que la organización establezca y mantenga procedimientos para dar segui-miento y medir el desempeño en una base regular. Se recomienda que estos procedimien-tos cuenten con: a) medidas cualitativas y cuantitativas adecua-

das a las necesidades de la organización; b) seguimiento de la medida del cumplimiento

de los objetivos de GPIyCO de la organiza-ción;

c) medida proactiva del rendimiento que da se-

guimiento a la conformidad con el programa



29

de GPIyCO, con los criterios operacionales, con las legislaciones aplicables y con los re-quisitos reglamentarios;

d) medidas reactivas de desempeño para dar

seguimiento a los eventos y a las disrup-ciones, incluidos los cuasi accidentes y otras deficiencias en el desempeño del programa de GPIyCO;

e) registro de datos y resultados de segui-

miento y de medición suficientes para facilitar la posterior corrección y el análisis de las acciones preventivas.

8.3 Pruebas y ejercicios Se recomienda que el programa de ejercicios sea coherente con los objetivos de la organiza-ción y con los regímenes regulatorios a los que está sujeta. Los ejercicios pueden incluir prue-bas que puedan anticipar un resultado predeter-minado, ejercicios sobre la mesa, simulaciones y ejercicios operacionales completos. Se reco-mienda basar los ejercicios en escenarios reales que tienen que ser cuidadosamente planificados y acordados con las partes interesadas, de mo-do que exista un riesgo mínimo de interrupción de los procesos operacionales. Se recomienda que todos los ejercicios tengan claramente defi-nidas las metas y objetivos y un informe pos-terior al ejercicio que contenga recomendacio-nes. Se recomienda que este informe sea formalizado y usado para mejorar las disposicio-nes de GPIyCO en el tiempo indicado. Los ejercicios permiten: a) la verificación de que el programa de

GPIyCO incorpora las actividades de la or-ganización y sus dependencias y priori-dades;

b) la orientación y prueba de aquellos encar-

gados del cumplimiento del programa de GPIyCO, con sus roles y responsabilidades;

c) la mejora continua del programa de GPIyCO; d) la prueba de los sistemas técnicos, logísti-

cos, administrativos, de procedimientos y de otros sistemas operacionales de los planes de GPIyCO;

e) la prueba de la organización de GPIyCO y su infraestructura (incluyendo centros de comando y áreas de trabajo);

f) la recuperación de los recursos de tecno-

logía y de telecomunicaciones, la dispo-nibilidad y la reubicación del personal;

g) el registro de datos y resultados de las

pruebas y ejercicios, suficientes para facili-tar la posterior corrección y el análisis de las acciones preventivas.

Se recomienda que los requisitos de prueba in-cluyan, pero no se limiten a: a) planes para el personal; b) planes de manejo de incidentes; c) planes de comunicación; d) recuperación de las actividades críticas; e) planos del sitio; f) copias de seguridad y recuperación de da-

tos, y seguridad física e informática; g) los requisitos legales. 8.4 Acciones correctivas y preventivas

Se recomienda que la organización establezca, implemente y mantenga procedimientos correc-tivos para enfrentar fallas reales y potenciales del programa y para realizar acciones correcti-vas y preventivas. Se recomienda que los pro-cedimientos definan criterios para: a) identificar y corregir deficiencias del pro-

grama y tomar medidas para mitigar sus impactos;

b) investigar fallas del programa, determinar

sus causas y tomar acciones con el fin de evitar su recurrencia;

c) evaluar la necesidad de acciones para pre-

venir las fallas del programa y aplicar las medidas adecuadas diseñadas para evitar su ocurrencia;

d) registrar los resultados de las acciones co-

rrectivas y acciones preventivas tomadas;



30

e) revisar la eficacia de las acciones correcti-vas y acciones preventivas tomadas.

Se recomienda que las acciones tomadas co-rrespondan a la magnitud de los problemas y el riesgo encontrados y a sus posibles impactos. Se recomienda que la organización se asegure que cualquier cambio necesario se incorpore al sistema de documentación de GPIyCO. 8.5 Mantenimiento Se recomienda establecer un programa de mantenimiento de la GPIyCO claramente defi-nido y documentado. Se recomienda que este programa asegure que cualquier cambio (in-terno o externo) que impacte a la organización se va a examinar en relación con la GPIyCO. También se recomienda que identifique todas las nuevas actividades críticas que tengan que ser incluidas en el programa de mantenimiento de GPIyCO. Se recomienda que periódicamente el progra-ma de mantenimiento de GPIyCO: a) revise y cuestione lo asumido en el análisis

de impacto; b) distribuya al personal clave, políticas, es-

trategias, soluciones, procesos y planes de GPIyCO actualizados, modificados o cam-biados, a partir de un proceso formal de control de cambios (versión).

Se recomienda que los resultados del proceso de mantenimiento de GPIyCO incluyan: a) evidencia documentada de la gestión

proactiva y gobernanza del programa de GPIyCO de la organización;

b) la verificación que están en uso procedi-

mientos y procesos eficaces de control de cambios (versión);

c) la verificación que permanecen en su lugar

las personas clave que van a implementar la estrategia y los planes de GPIyCO;

d) la identificación y documentación del man-

tenimiento del calendario de GPIyCO;

e) la verificación del seguimiento y control de los riesgos de GPIyCO que enfrenta la or-ganización.

8.6 Auditorías internas y autoevaluación Se recomienda que la organización asegure que las auditorías internas y la autoevaluación del sistema de GPIyCO se llevan a cabo con in-tervalos planificados para determinar si el sistema cumple con sus disposiciones planifi-cadas para dicho programa y que éste se ha implementado y se mantiene adecuadamente. Se recomienda que la autoevaluación tenga en cuenta la importancia de la resiliencia de las operaciones en cuestión y los resultados de las auditorías anteriores. Se recomienda establecer, implementar y man-tener procedimientos de auditoría y autoeva-luación dirigidos a responsabilidades y requisitos de planificación y realización de auditorías, in-formar los resultados y mantener los registros asociados, la determinación de los criterios de auditoría, su alcance, frecuencia y métodos, y que proporcionen información sobre los resulta-dos de las auditorías a los gerentes. Se recomienda que la selección de auditores y la realización de las auditorías aseguren la ob-jetividad e imparcialidad del proceso de audi-toría. Se recomienda que la autoevaluación del pro-grama de GPIyCO de la organización incorpore la verificación que: a) las actividades críticas y sus dependencias

han sido identificadas e incluidas en las es-trategias de GPIyCO de la organización;

b) las políticas, estrategias, estructura, mar-

cos y planes de GPIyCO de la organiza-ción sigan reflejando con exactitud sus prioridades y necesidades;

c) la competencia y capacidad de GPIyCO de

la organización son eficaces y se ajustan a su propósito y que van a permitir el mane-jo, el comando, el control y la coordinación de un incidente de GPIyCO;



31

d) las soluciones de GPIyCO de la organiza-ción son eficaces, están actualizadas y se ajustan a su propósito y son adecuadas al nivel de riesgo que enfrenta la organización;

e) el programa de mantenimiento y de ejerci-

cios de GPIyCO de la organización se ha implementado en forma eficiente;

f) las estrategias y planes de GPIyCO incor-

poran las lecciones aprendidas de los ejercicios, como figuran en los informes posteriores a éstos y las enmiendas deri-vadas del programa de mantenimiento;

g) los procesos de control de cambios están

en su sitio y funcionan con eficacia. Se recomienda que la autoevaluación se lleve a cabo en contraste de los objetivos de la organi-zación. También se recomienda tener en cuenta los principales estándares y buenas prácticas industriales.

9 REVISIÓN POR LA DIRECCIÓN

Se recomienda que la alta dirección revise el sistema de GPIyCO de la organización, con in-tervalos planificados, para asegurar su continua idoneidad, adecuación y eficacia. Se recomien-da que las revisiones incluyan la evaluación de oportunidades de mejora y la necesidad de cambios en el sistema de GPIyCO, incluyendo la política y los objetivos de GPIyCO. Se reco-mienda mantener los registros de las mencio-nadas revisiones.

Se recomienda que las revisiones por la direc-ción incluyan, pero no se limiten a: a) los resultados de las auditorías internas y

evaluaciones de cumplimiento con los re-quisitos legales y otros requisitos que la organización suscriba;

b) las comunicaciones de las partes interesa-

das externas, incluidas las quejas; c) el desempeño en preparación ante inciden-

tes y continuidad operacional de la orga-nización;

d) la medida en que se han cumplido los obje-

tivos de la organización; e) el estado de las acciones correctivas y

preventivas; f) las acciones de seguimiento de previas re-

visiones por la dirección; g) las amenazas y peligros cambiantes, las cir-

cunstancias, incluyendo la evolución de los requisitos legales y de otro tipo relacionados con sus riesgos, amenazas y peligros;

h) recomendaciones para su mejora. Se recomienda que los resultados de las revi-siones por la dirección incluyan todas las deci-siones y acciones relacionadas con posibles cambios de las políticas, objetivos, metas y otros elementos del sistema de GPIyCO, de confor-midad con el compromiso de mejora continua.



32

Anexo A (Informativo)

Procedimiento de análisis de impacto

A.1 General Al realizar un análisis del impacto de disrupción de las operaciones, se recomienda que la organiza-ción categorice dicha interrupción como sigue: a) impacto debido a un incidente limitado a las instalaciones de la organización; b) impacto debido a un incidente extendido a las áreas vecinas de la organización; c) impactos debido a un incidente en áreas amplias y donde el daño se propaga a través de los

ciudadanos locales, otras organizaciones de la comunidad, infraestructura comunitaria y cadena de suministros.

A.2 Procedimiento de análisis de impacto En función de la urgencia y la naturaleza de las operaciones críticas afectadas por un incidente, se recomienda que la organización tome una decisión global sobre los impactos operacionales y medi-das de restauración incluyendo pero no limitándose a los pasos interactivos siguientes: a) estimación de un tiempo de inactividad aceptable y tratamiento de un incidente disruptivo: esti-

mación de un período máximo de interrupción tolerable considerando la posible reacción de todas las partes interesadas, especialmente aquellas a quienes se ha interrumpido la entrega de productos y servicios. Se recomienda evaluar los costos cuantificables y los impactos intangi-bles. Se recomienda que la organización evalúe los impactos de los riesgos de alta prioridad determinados en la identificación y evaluación de riesgos de su gestión organizativa, y estime por cuánto tiempo pueden suspenderse las operaciones;

b) determinación de las operaciones críticas: se recomienda que la organización identifique las ope-

raciones críticas que tienen alta prioridad para continuar, cuando los riesgos se ponen de manifiesto en forma real. Se recomienda que la organización evalúe cuantitativamente los impac-tos de suspensión de las operaciones críticas sobre su gestión organizacional, ya que pueden aumentar con el tiempo;

c) previsión del daño en las operaciones críticas: se recomienda que la organización prevea el gra-

do de daño en las operaciones críticas considerando los impactos en diversos elementos, como instalaciones, equipos, personal, materias primas, transporte, envasado y clientes. Se recomien-da que al prever daños, la organización considere principalmente los riesgos de alta prioridad. Sin embargo, se recomienda que al prever daños tenga en cuenta la suspensión de sus funcio-nes, de modo que pueda aplicar los resultados de su previsión de daños a otros riesgos potenciales e imprevistos;



33

d) fijación de los objetivos de tiempo de recuperación (OTR): basado en los resultados de análisis de impacto, la relación con las partes interesadas y su misión social, se recomienda que la orga-nización establezca OTR para restaurar las operaciones críticas teniendo en cuenta el plazo máximo tolerable de interrupción de éstas. Si los OTR se estipulan en los contratos, las leyes u ordenanzas especiales, se recomienda que la organización cumpla con estos requisitos al esta-blecer sus propios OTR. En caso de grandes desastres, como los naturales, se recomienda que la organización entienda que la cooperación con otras organizaciones en la asignación de recur-sos humanos locales disponibles y recursos físicos son esenciales para su propia restauración operacional, porque los recursos necesarios para la respuesta o restauración pueden ser esca-sos o no se distribuyen de manera óptima. Al estimar el progreso de las actividades de recuperación de la comunidad, se recomienda que la organización establezca sus OTR de ma-nera de no obstaculizar el rescate de vidas humanas y las operaciones locales de emergencia, como asimismo permitir a la organización llevar a cabo actividades de asistencia en colaboración y cooperación con las actividades de recuperación de la comunidad;

e) identificación de recursos importantes esenciales para la restauración: basado en los daños pre-

vistos en las operaciones críticas, se recomienda que la organización identifique y asigne los recursos importantes como las instalaciones principales, equipos, personal e información esen-ciales para la reanudación de sus actividades de fabricación y restauración de sus operaciones.



34

NOTA. Este es un diagrama de flujo generalizado. Para el análisis del impacto pueden usarse otras metodologías.

Figura A.1 - Diagrama de flujo del análisis del imp acto



35

Anexo B (Informativo)

Programa de manejo de respuesta a emergencias

B.1 Roles y responsabilidades para programas de ma nejo de respuesta a emergencias Se recomienda preparar los planes incluyendo la disposición de roles y responsabilidades de los equipos con la formación adecuada para llevar a cabo tales actividades y funciones que incluyen, pe-ro no se limitan a, las siguientes: a) lugar de evacuación, zonas de parada y los puntos de reunión; b) servicios de traducción; c) asistencia de transporte, incluyendo direcciones según sea necesario; d) enlaces designados e información de contacto para los servicios de emergencia, organismos

adecuados y personal de primera respuesta; e) contacto de emergencia con alguien próximo elegido por familiares; f) intercambio de información con las partes interesadas internas y externas; g) ubicación de la mano de obra desplazada o contratistas; h) gestión de las líneas telefónicas de auxilio; i) servicios de rehabilitación y contención (física y emocional). B.2 Requerimiento de recursos necesarios para los programas de manejo de respuesta a emergencias En el desarrollo de programas de manejo de respuesta se recomienda identificar los requerimientos mí-nimos de recursos y asegurar las instalaciones mediante elementos que incluyan pero no se limiten a: a) registros vitales (impresos y electrónicos); b) listas de contactos de personal; c) manuales de operaciones y procedimientos; d) planes técnicos y procedimientos de recuperación de tecnología de la información; e) ubicación de las instalaciones de almacenamiento externas utilizadas por la organización; f) oficinas y lugares de operación alternativos (si fuera necesario); g) autoridades o delegaciones para el pago de gastos de emergencia; h) lista del personal con experiencia y conocimientos requeridos por las unidades operacionales; i) infraestructura y aplicaciones de tecnología de la información; j) soporte de las telecomunicaciones;



36

k) oficina y equipamiento especializado; m) servicios públicos (agua, energía, etc.). Se recomienda identificar de forma específica los recursos para la respuesta de emergencia y los planes de gestión. Los recursos tienen que estar disponibles de manera oportuna y tener la capaci-dad para realizar su función prevista. Se recomienda tener en cuenta la restricción en el uso de recursos y que la aplicación de restricciones no tiene que generar más obligaciones que aquellas que puede producir no utilizarla. El costo de los recursos no tiene que ser superior al beneficio. Estos recursos incluyen, pero no se limitan a: a) los locales, cantidades, accesibilidad, operatividad y mantenimiento de los equipos (por ejemplo,

servicio pesado, protección, transporte, vigilancia, descontaminación, respuesta, equipo de pro-tección personal);

b) suministros (por ejemplo: médicos, higiene personal, bienes de consumo, hielo, temas administrati-vos);

c) fuentes de energía (por ejemplo, electricidad, combustible); d) electricidad de emergencia (generadores); e) sistemas de comunicaciones; f) alimentos y agua;

g) información técnica;

h) ropa y refugio;

i) personal especializado (por ejemplo: médicos, religiosas, organizaciones voluntarias, personal para desastres o emergencias, trabajadores de servicios públicos, funerarios y contratistas privados);

j) grupos de voluntarios especializados (por ejemplo: Cruz Roja, radioaficionados, organizaciones religiosas de socorro, organizaciones de caridad);

k) apoyo de voluntarios, la comunidad y personal de respuesta a en caso de emergencias;

m) entidades externas nacionales, provinciales, pueblos originarios, locales e internacionales. B.3 Elementos adicionales para los programas de ma nejo de respuesta a emergencias Cuando corresponda, el plan también puede incluir: a) mapas, gráficos, planos, fotografías y toda otra información que pudiera ser útil para un equipo

de respuesta;

b) estrategias documentadas de respuesta consensuadas con terceros, según corresponda (socios de uniones de empresas, contratistas, proveedores, etc.);

c) detalles de las áreas de espera de los equipos;

d) planos de acceso a los lugares;

e) plan de reclamos por siniestros que garantice seguros y acciones legales a favor o en contra de la organización frente a requisitos reglamentarios y contractuales.



37

Anexo C (Informativo)

Programa de gestión de la continuidad

C.1 Consolidación y documentación de los planes de GCO Se recomienda que la consolidación y documentación de los planes de GCO identifiquen pero no se limiten a los elementos siguientes: a) la función operacional, unidad organizativa o lugar cubierto por el plan; b) la estrategia de respuesta a la que el plan da soporte; c) las acciones y actividades necesarias para poner en práctica la estrategia de respuesta y mante-

nimiento y restauración de las operaciones; d) los puntos desencadenantes específicos frente a los cuales tienen que utilizarse los planes; e) la extensión de tiempo que va a insumir cada paso de acción que se tiene que tomar en condi-

ciones específicas; f) la persona responsable de realizar estas actividades; g) los alternativos o suplentes para cada responsabilidad individual; h) las habilidades y conocimientos esenciales para las operaciones críticas; i) las necesidades de tecnología de la información, de datos y activos físicos tecnológicos, inclu-

yendo copias de seguridad de la información; j) una lista de toda información o documentación de apoyo o información de contacto requerida pa-

ra completar la actividad (incluyendo pero no limitándose a; datos de contacto de proveedores de recursos críticos, clientes, personal; organigrama de jerarquía para solicitar ayuda), y la docu-mentación (impresa o datos) necesarios para realizar la actividad);

k) detalles de contacto de organismos externos necesarios para la ayuda, o que tienen que ser notifi-

cados (por ejemplo, de proveedores de sitios de recuperación, de consultores, de instalaciones de almacenamiento, de alojamientos alternativos);

m) un centro de operaciones principal y otro alternativo para ejercer su dirección y control si fuere nece-

sario; n) herramientas y servicios públicos necesarios para las operaciones. C.2 Identificación de equipamiento, suministros e interacciones de la cadena de suministros Se recomienda que la organización identifique el equipamiento, los suministros y las interacciones de la cadena de suministro que dan soporte a sus actividades críticas y que desarrolle estrategias para asegurar las operaciones y la cadena de suministros, incluyendo pero no limitándose a: a) almacenamiento de suministros adicionales en otro lugar;



38

b) acuerdos con terceros para la entrega de insumos a corto plazo; c) desvío a otros lugares, de las entregas a tiempo; d) acumulación de materiales en los almacenes o en los sitios de transporte; e) transferencia de operaciones secundarias de ensamble a una ubicación alternativa; f) tener los equipos más antiguos como reemplazo de emergencia o repuestos; g) mitigación de riesgo adicional para equipamiento único o de largo plazo de reposición; h) diversificación geográfica de los procesos críticos; i) múltiples proveedores; j) sistemas redundantes; k) acuerdos contractuales con proveedores clave; m) proveedores alternativos identificados; n) acuerdo de cooperación previos con socios de la cadena de suministros; p) contratos originales con fabricantes y acuerdos de asistencia con los competidores. C.3 Opciones estratégicas del plan de GCO Las opciones incluyen, pero no se limitan a: a) transferencia o reubicación del proceso. Esto implica la transferencia de actividades críticas ya

sea internamente a otra parte de la organización, o externamente a un tercero, de forma inde-pendiente o a través de un acuerdo recíproco de ayuda mutua;

b) acuerdos de ayuda mutua. Los acuerdos de ayuda mutua entre las entidades pueden ser un

medio eficaz para obtener recursos y se recomienda desarrollarlos siempre que sea posible. Se recomienda que sean por escrito, que estén revisados por un abogado, que sean firmados por un funcionario responsable y que definan la responsabilidad y detallen las disposiciones de los costos y financiación. Pueden incluir acuerdos de asistencia y cooperación, pactos interguber-namentales, u otros términos usados comúnmente para compartir recursos;

c) solución temporal. Esta es una alternativa a la transferencia de un proceso. Puede ser posible

adoptar una forma diferente de trabajo que, provea el mismo resultado final aceptable o similar. Es probable que la solución sea a más largo plazo y con mano de obra intensiva (por ejemplo: operaciones manuales en lugar de un sistema automatizado). Por estas razones, esta solución se recomienda sólo considerarla sobre una base a corto-mediano plazo y realizar las asignacio-nes en la estrategia para un regreso planificado a la normalidad;

d) cambio, suspensión o terminación. En algunas circunstancias, puede ser adecuado modificar,

suspender o finalizar los servicios, productos, funciones o procesos. Esta opción sólo tiene que considerarse cuando no hay conflicto con los objetivos de la organización, el cumplimiento legal y la expectativa de las partes interesadas. Este enfoque es más probable que se considere cuando un producto o servicio tiene una vida útil limitada;



39

e) seguros. La adquisición de seguros puede ofrecer alguna recompensa financiera frente a algu-nas pérdidas, pero se recomienda que no se aplique a todos los costos (por ejemplo: eventos no asegurados, marca, reputación, valor para las partes interesadas, cuota de mercado y conse-cuencias humanas). Un acuerdo económico por sí solo es poco probable que proteja plenamente a la organización y satisfaga las expectativas de las partes interesadas. La cobertura del seguro es más probable que se use en conjunción con una o más de otras estrategias.



40

Anexo D (Informativo)

Construcción de una cultura de preparación ante inc identes y continuidad operacional D.1 Elementos Para incorporar con éxito una cultura de GPIyCO, se recomienda que estén presentes, pero no se li-miten los elementos siguientes: a) la aceptación por la junta directiva y los líderes de la organización que el soporte a los valores de

GPIyCO es una parte integral de la buena gobernanza; b) la publicación de una declaración política de GPIyCO claramente definida y “firmada" por la junta

directiva y la dirección ejecutiva; c) el conocimiento de la cultura que existe dentro y fuera de la organización; d) el nombramiento de un representante de la alta dirección para liderar y rendir cuentas de la apli-

cación de la política de GPIyCO de la organización; e) un proceso de consulta con los mandos medios, supervisores y personal operacional en toda la

organización en relación con la aplicación de la política de GPIyCO, que logre su involucración en el programa;

f) la apropiación de la GPIyCO en toda la organización (no sólo dentro de las instalaciones o TI) y

la designación de líderes del programa de GPIyCO dentro de las unidades operacionales clave de la organización;

g) educación, formación para la concientización y participación en los ejercicios. Además, pueden estar presentes los elementos siguientes: a) la integración de la GPIyCO en el proceso de reconocimiento y recompensas de la organización; b) la integración de la GPIyCO en los procesos de desempeño y de cotización de la organización; c) la integración de los roles, rendiciones de cuentas, responsabilidades y autoridades de GPIyCO,

dentro de las descripciones de tareas y perfiles de puesto de la organización; d) la inclusión de la GPIyCO como tema del programa en reuniones de equipo; e) la participación activa de los usuarios de negocios y la alta dirección en los representaciones,

ejercicios y pruebas de GPIyCO; f) programas para asegurar que los proveedores y distribuidores clave tengan un conocimiento cla-

ro de la GPIyCO y establezcan sus procedimientos internos apropiados; g) el desarrollo de un proceso de GPIyCO para dar seguimiento a la eficacia de la educación, la

formación y actividades de concientización en toda la organización.



41

Bibliografía ISO [1] BS 25999-1:2006, Business continuity management - Code of practice, BSI British Standards [2] HB 221:2004, Business continuity management, Standards Australia/Standards New Zealand,

ISBN 0-7337-6250-6 [3] SI 24001:2007, Security and continuity management systems - Requirements and guidance for

use, Standards Institution of Israel [4] NFPA 1600:2004, Standard on disaster/emergency management and business continuity

programs, National Fire Protection Association (USA) [5] Business Continuity Plan Drafting Guideline, Ministry of Economy, Trade and Industry (Japan),

2005 [6] Business Continuity Guideline, Central Disaster Management Council, Cabinet Office, Government

of Japan, 2005



42

Anexo E - IRAM (Informativo)

Bibliografía En el estudio de esta norma se ha tenido en cuenta la bibliografía siguiente: ISO - INTERNATIONAL ORGANIZATION FOR STANDARDIZATI ON PAS - PUBLICLY AVAILABLE SPECIFICATION ISO/PAS 22399:2007 - Societal security. Guideline for incident preparedness and operational

continuity management.



43

Anexo F - IRAM (Informativo)

Integrantes de los organismos de estudio El estudio de esta norma ha estado a cargo de los organismos respectivos, integrados en la forma siguiente: Subcomité de Respuesta a emergencias y gestión de s eguridad Integrante Representa a: Sr. Ramón ABACA COMITÉ ZONAL DE SEGURIDAD E HIGIENE

CAMPANA-ZARATE Of. Juan ALTERINO BOMBEROS DE MERCEDES Sr. Emilio ARIAS DIRECCIÓN PROVINCIAL DE DEFENSA CIVIL DE

NEUQUÉN Sr. Jorge ÁVILA ORGANISMO REGULADOR DE LA SEGURIDAD DE

PRESAS (ORSEP) Prof. Julio BARDI UNIVERSIDAD DEL SALVADOR Dr. Arnaldo CALDIROLA MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD

SOCIAL Ing. Néstor CAVA INSTITUTO UNIVERSITARIO DE LA POLICÍA FEDERAL

ARGENTINA (PFA) Dr. José DE ECHAVE UNIVERSIDAD NACIONAL ARTURO JAURETCHE Ing. Darío DE LA ROSA CONSEJO PROFESIONAL DE INGENIERÍA MECÁNICA Y

ELECTRICISTA (COPIME) Lic. Gustavo FERNÁNDEZ MINISTERIO DE SEGURIDAD DE LA NACIÓN Ing. Roberto FLORES INVITADO ESPECIAL Ing. Rafael GALEANO ASOCIACIÓN LATINOAMERICANA DE FERROCARRILES

(ALAF) Cap. Juan GOMEZ MEUNIER ARMADA ARGENTINA Ing. Eduardo GRANDA LABORATORIO GADOR S.A. Sr. Gustavo GUIGLIELMONI SUPERINTENDENCIA FEDERAL DE BOMBEROS - POLICÍA

FEDERAL ARGENTINA - PROTECCIÓN AMBIENTAL Ing. Eduardo KLOP MINISTERIO DE SEGURIDAD DE LA NACIÓN Ing. Alejandro MACHADO SUPERINTENDENCIA DE RIESGOS DEL TRABAJO (SRT) Sr. Andrés MARCHESIN ORGANISMO REGULADOR DE LA SEGURIDAD DE

PRESAS (ORSEP) Lic. Ricardo NIEVAS DIRECCIÓN DE DEFENSA CIVIL DE LA PROVINCIA DE

BUENOS AIRES Dr. Jorge PÁEZ GOBIERNO DE LA CIUDAD DE BS. AS. Sr, Manuel PALLEIRO REVISTA PREVENCIÓN Y EMERGENCIAS Lic. Ricardo PARAMOS ORGANISMO REGULADOR DE LA SEGURIDAD DE

PRESAS (ORSEP) Lic. Jorge PARDÍAS ASOCIACIÓN DE INDUST. METALÚRGICOS DE LA

REPÚBLICA ARGENTINA (ADIMRA) Lic. Aldo PÉREZ PARRA MINISTERIO DE SEGURIDAD DE LA NACIÓN Lic. Néstor PUENTES ECOKIT-PERREN S.R.L.



44

Integrante Representa a: Sr. Héctor RAGO SUBSECRETARÍA DE DESARROLLO Y FOMENTO

PROVINCIAL - MINISTERIO DEL INTERIOR Y TRANSPORTE

Lic. Pablo RAGO POLICÍA FEDERAL ARGENTINA (PFA) Ing. Carlos RODRÍGUEZ ATANOR S.C.A. Sr. Alberto RUIBAL CÁMARA ARGENTINA DE SEGURIDAD (CAS) Lic. Aníbal SILVEIRA MEDANITO S.A. Sr. Marcos SILVESTRIN CÁMARA DE PEQUEÑAS Y MEDIANAS EMPRESAS ZONA

NORTE PROVINCIA DE BUENOS AIRES (CAPYME ZN) Lic. Claudia SUQUELE ARMADA ARGENTINA Dra. María TEJO SUPERINTENDENCIA DE RIESGOS DEL TRABAJO (SRT) Ing., Lucrecia VERDE ARMADA ARGENTINA Sr. Hugo VILAR SUPERINTENDENCIA FEDERAL DE BOMBEROS POLICÍA

FEDERAL ARGENTINA Lic. Carlos ZOLOAGA MINISTERIO DE SEGURIDAD DE LA NACIÓN Lic. Verónica MARINELLI IRAM Ing. Roque PORTILLO IRAM Ing. Guillermo ZUCAL IRAM Ing. Mario PAONESSA IRAM Comité General de Normas (C.G.N.) Integrante Integrante Ing. Alberto BUSTOS ROYER Ing. Jorge MANGOSIO Dr. José M. CARACUEL Tco. Hugo D. MARCH Lic. Alberto CERINI Lic. Héctor MUGICA Ing. Ramiro FERNÁNDEZ Ing. Tulio PALACIOS Lic. Alicia GUTIÉRREZ Dr. Mario PECORELLI Ing. Jorge KOSTIC Ing. Raúl DELLA PORTA Dr. Ricardo MACCHI









ICS 03.100.01 * CNA 0000 * Corresponde a la Clasificación Nacional de Abastecimiento asignada por el Servicio Nacional de Catalogación del Ministerio de Defensa.


Documents

NORMA IRAM-ISO/PAS ARGENTINA 22399 · 2019-09-10 · IRAM-ISO/PAS 22399:2014 3 Prefacio El Instituto Argentino de Normalización y Certificación (IRAM) es una asociación civil sin