View
62
Download
0
Category
Preview:
Citation preview
5/10/2018 Articulo BS 25999 DEF1 - slidepdf.com
http://slidepdf.com/reader/full/articulo-bs-25999-def1 1/12
BS-25999
Página 1 de 12
Edith Yolima Rodríguez LacheIngeniera de Sistemas. Universidad de Boyacá. Actualmenteestudiante último ciclo de Especialización en Telemática.Tunja, Boyacá.
Deisy Correa CanoIngeniera de Sistemas. Universidad de Boyacá. Actualmenteestudiante último ciclo de Especialización en Telemática.Tunja, Boyacá.
Resumen—Este artículo trata sobre el estándar BS 25999,el cuál se basa en el desarrollo de técnicas para lograr lacontinuidad de un negocio. En este documento se explica cadauna de las fases que puede tener un Plan de Continuidad deNegocio. Estas fases están dadas por el Instituto de
Recuperación de Desastres (DRI – Disaster RecoveryInstitute).
Palabras Clave— BCM, BS 25999, Plan de Continuidaddel Negocio, DRI.
PLAN DE CONTINUIDAD
BS 25999
5/10/2018 Articulo BS 25999 DEF1 - slidepdf.com
http://slidepdf.com/reader/full/articulo-bs-25999-def1 2/12
BS-25999
Página 2 de 12
I. INTRODUCCIÓN
La mayoría de los productos y servicios que sonsolicitados por la sociedad son proporcionados por
empresas. Para estas compañías, es muy importantegarantizar a sus clientes un adecuado nivel deseguridad, disponibilidad y confiabilidad de losprocesos que son esenciales para el funcionamientode su empresa, de tal manera que se asegure lacontinuidad de su negocio. Esta disponibilidad sepuede ver afectada por factores accidentales,incidentales y humanos.
Por ejemplo, en el atentado del 11 de septiembre del2001, varias empresas fracasaron por la falta de un
plan de continuidad del negocio. Esto creó lanecesidad de que actualmente las organizacionesestén implementando mecanismos y/o técnicas, quemitiguen los riesgos a los que se está expuesto,brindando una alta disponibilidad en las operacionesde su negocio.
Una de las recomendaciones para mitigar losriesgos es la necesidad de recuperar los recursos, yasean humano, infraestructura, datos vitales,tecnología de información, equipos de oficina e
implementos requeridos que permitan continuar conel funcionamiento normal de la organización.
El BS-25999 es un estándar británico que establecemejores prácticas, recomendaciones y actividadesespecíficas para lograr la continuidad de negocioteniendo en cuenta los riesgos a los que se enfrentauna organización.
Este estándar se basa en el Plan de Continuidad delNegocio – o BCM por sus siglas en ingles (BusinessContinuity Planning) el cual, al ser implementadoen una organización, se le debe hacer unseguimiento con el fin de conocer su evoluciónpermanente en los procesos de la empresa. El BS-25999 posee dos partes esenciales: Desarrollo delBCM e Implementación del mismo.
El Desarrollo del BCM básicamente se centra enrecopilar la información necesaria para entender elnegocio.
Para la implementación del BCM en unaorganización se deben tener en cuenta variosestados o fases que son necesarias para elfuncionamiento eficaz y ágil de las actividades enuna empresa. Estas fases son:
• Inicio y gestión del proyecto.• Evaluación y control del riesgo.• Análisis de impacto del negocio (BIA).• Desarrollo de estrategias para la continuidad
del negocio.• Respuesta ante emergencias.• Desarrollo e implementación del BCM.
•
Programa de concientización y capacitación.• Mantenimiento y ejercicio del BCM.• Comunicación de crisis.• Coordinación con Autoridades públicas.
La realización del BCM en la organización traerágrandes ventajas como por ejemplo:
• Administrar la continuidad del negocio• Resistencia del negocio ante interrupciones• Protege y asegura la imagen de la empresa• Abre nuevas oportunidades de mercado y
ayuda a ganar nuevos negocios.• Aumenta la disponibilidad del negocio.
El desarrollo de un BCM en la organizaciónpermitirá estar preparados para afrontar situacionesde interrupción de sus procesos críticos.
Un BCM involucra todos los recursos de laorganización. Por lo cual con su realizaciónanalizaremos y podremos establecer estrategias quegaranticen una continuidad del negocio, buscando
minimizar la dependencia de los recursos con lo quecuenta la empresa (IT, Humano, infraestructura,Económicos, etc) brindando una alta disponibilidadde los servicios ofrecidosUna vez dada la introducción a este artículo acontinuación se describe el Plan de Continuidad deNegocio BCM de acuerdo a la metodologíaexpuesta por la organización DRI (DisasterRecovery Institute Internacional).
5/10/2018 Articulo BS 25999 DEF1 - slidepdf.com
http://slidepdf.com/reader/full/articulo-bs-25999-def1 3/12
BS-25999
Página 3 de 12
II. FASES DEL PLAN DE CONTINUIDAD DEL
NEGOCIO (BCM)
A. INICIO Y GESTIÓN DEL PROYECTO
El objetivo de esta primera fase [15], es establecerla necesidad de desarrollar el BCM en laorganización, de tal manera que se comunique laimportancia de realizar este plan, involucrando a losdirectivos y el personal de la empresa. Para esto, esimportante:
• Definir un comité responsable del plan• Asignar responsabilidades por cada equipo
de trabajo• Indicar las actividades de cada una de las
fases del proyecto
• Documentar los procesos• Presentar los avances• Obtener la aprobación por parte de los
directivos.
Las responsabilidades del coordinador de esta etapason:
• Dirigir la definición de objetivos, políticas yactividades críticas.
• Coordinar y organizar directores por cadafase del proyecto.
• Controlar el proceso de BCM a través demétodos de control efectivo y gestión decambio.
• Presentar el proceso a Directivos y personal.• Desarrollar el plan y presupuesto para iniciar
el proceso.• Definir y recomendar procesos de estructura
y gestión.• Dirigir el proyecto a desarrollar e
implementar el proceso del BCM.
B. EVALUACIÓN Y CONTROL DE RIESGOS
El objetivo de la evaluación de riesgos [8] esidentificar las amenazas internas y externas,incluyendo concentraciones de riesgo, que puedencausar la interrupción o pérdida de la ActividadesCríticas de una organización, así como la
probabilidad (o frecuencia) de que ocurra unaamenaza y cómo es vulnerable una organización avarios tipos de amenazas permitiendo su gestión depriorización y control para formar una base en laque se establezca un programa de control y un plande acción de gestión de riesgo.
Para realizar una evaluación y control de riesgos sedebe tener en cuenta lo siguiente:
• Identificar riesgos• Análisis/Evaluación de riesgos• Gestión y Control de riesgos
Después de realizar la evaluación y el control deriesgos [16], los resultados obtenidos incluyen laidentificación y documentación de:
• La probabilidad de ocurrencia, en laorganización, a un tipo específico deamenaza.
• Concentración de riesgos donde el númerode Actividades de Misión Crítica eslocalizado dentro del mismo edificio o en elmismo lugar.
• Una evaluación y análisis de riesgos(combinado con un Análisis de Impacto delNegocio - BIA).
• Una estrategia de gestión de control deriesgo y plan de acción.
• El enfoque de priorización del BCM ycontrol de riesgos.
C. ANÁLISIS DE IMPACTO DEL NEGOCIO(BIA)
El Análisis de Impacto del Negocio (BIA –Business Impact Analysis) [8] consiste en técnicas ymetodologías que pueden ser usadas paraidentificar, cuantificar y cualificar los impactos denegocio y sus efectos en una organización en casode pérdida o interrupción de las Actividades deMisión Crítica. Sin embargo, la clave para realizarun Análisis de Impacto del Negocio es analizar elnegocio como un todo más no como componentes,procesos o funciones individuales.
5/10/2018 Articulo BS 25999 DEF1 - slidepdf.com
http://slidepdf.com/reader/full/articulo-bs-25999-def1 4/12
BS-25999
Página 4 de 12
El análisis BIA tiene en cuenta el RTO (RecoveryTime Objective) y RPO (Recovery PointObjective) que deben ser establecidos por laorganización. Están definidos como:
• RTO (recovery Time Objective): El tiempoentre el punto de interrupción, y el punto enel cuál los sistemas sensibles en el tiempodeben estar funcionando nuevamente, conlos datos actualizados.
• RPO (Recovery Point Objective): El puntoen el cuál fueron interrumpidas lasactividades del sistema debido a laocurrencia de un determinado evento.
El objetivo de un Análisis de Impacto del Negocioes identificar las actividades de misión crítica de
una organización, sus dependencias y sus puntos defallas así como analizar el impacto y el efecto quese generaría en caso de la perdida e interrupción delas actividades de misión crítica. A su vez, informary permitir opciones para crear una resistencia en lasoperaciones de negocio de la organización [17].
Sin embargo, el BIA posee los siguientescomponentes claves:
• Cuestionarios de autovaloración – papel ydigitales.
• Listas de comprobación.• Una Matriz de Análisis de Impacto del
Negocio.
Después de realizado el BIA, se obtendrán comoresultados, la identificación y documentación de:
• Objetivos y salidas (servicios y productos).• Actividades de Misión Crítica, sus
dependencias y puntos de falla.• Impactos y efectos (consecuencias)
financieros y no financieros como resultadode una interrupción o pérdida de una o másactividades de misión crítica durante variosperiodos de tiempo.
• Los objetivos del BCM para cada actividadde misión crítica y sus dependencias.
• Una priorización mínima y aceptable de larecuperación de los recursos.
• Registros/datos vitales• Usuarios y Clientes Claves• Proveedores (tanto dentro como fuera de la
organización)
D. DESARROLLO DE ESTRATEGIAS PARA LACONTINUIDAD DEL NEGOCIO
El propósito del desarrollo de estrategias consiste enidentificar las alternativas de recuperación de lasoperaciones en los marcos de tiempo definidos. [18]
El desarrollo de las estrategias del BCM involucralos siguientes aspectos:
• Identificar los requerimientos de continuidadde la organización.
• Evaluar la compatibilidad de las estrategiascontra los resultados del BIA.
• Presentar el análisis costo / beneficio de lasestrategias de continuidad.
• Seleccionar los sitios alternos y dealmacenamiento externo.
• Entender los términos contractuales de losservicios de continuidad del negocio.
Algunas de las alternativas de recuperacióncomprenden estrategias de almacenamiento externoa la organización (Ej. Hotsite, coldsite, etc.), a suvez procedimientos de recuperación internadocumentados, así como acuerdos recíprocos entreempresa-empresa y/o empresa-cliente, o unautilización de combinación de estrategias.
E. RESPUESTA ANTE EMERGENCIAS
El propósito de la fase de respuesta ante
emergencias es desarrollar e implementarprocedimientos para responder y estabilizar lasituación después de un incidente y administrar elcentro de operaciones de emergencia a ser utilizadocomo “centro de mando” [19].
Para cumplir con este propósito es necesario que:
• Identifique componentes de losprocedimientos de respuesta a emergencia.
5/10/2018 Articulo BS 25999 DEF1 - slidepdf.com
http://slidepdf.com/reader/full/articulo-bs-25999-def1 5/12
BS-25999
Página 5 de 12
• Especifique los procedimientos de respuestaa emergencia.
• Identifique requerimientos de control yautoridad.
• Procedimientos de control y autoridad.• Respuesta a emergencia y recuperación de
heridos.• Seguridad y recuperación.
F. DESARROLLO E IMPLEMENTACIÓN DEL BCM
Esta fase involucra el diseño, desarrollo eimplementación de planes de continuidad delnegocio para evitar interrupciones de acuerdo a los
marcos establecidos por los RTO’S y RPO’S [10,20].
Un buen desarrollo e implementación de un BCMincluye:
• Identificar requerimientos para el desarrollode los planes.
• Definir requerimientos de control yadministración de la continuidad.
• Identificar y definir un formato y la
estructura principal de los componentes delos planes.
• Elaborar un borrador de los planes.• Definir procedimientos de gestión de crisis y
continuidad del negocio.• Definir las estrategias de evaluación de
daños y reanudación.• Desarrollar una introducción general a los
planes.• Desarrollar la documentación de los equipos
de operación del negocio.• Desarrollar la documentación de los equipos
de recuperación de tecnología deinformación.
• Desarrollar el sistema de comunicaciones.• Desarrollar los planes de los usuarios finales
de aplicaciones.• Implementar los planes.• Establecer los procedimientos de control y
distribución de los planes.
G. PROGRAMA DE CONCIENTIZACIÓN Y ENTRENAMIENTO DEL BCM
Toda organización que quiera posicionarse en elmercado y estar preparada a cambios en su entorno,requiere de un constante proceso de evolución. Este
proceso genera en la mayoría de los casos, cambiosal interior de la empresa. Siempre que se presentanestos cambios existe un porcentaje de resistencia alcambio relacionado con el personal que intervieneen dicho proceso.
Es necesario que la organización prepare a susempleados ante la presencia de un cambio, lograndominimizar esa resistencia y obteniendo mejordisposición ante situaciones de este tipo creando
una cultura de aceptación ante un evento queperturbe su labor.
Son estos algunos motivos por los cuales sepresenta en la gestión de continuidad de negociouna fase en la cual se trata la concientización yentrenamiento del BCM y su relación con laimplementación mantenimiento, gestión y ejecucióndel mismo. Este proceso de conciencia es necesarioque se realice en toda la organización (no solamente
en el área de IT) logrando aumentar la resistenciaante riesgos. [11].
Para logran una concientización y entrenamientoen necesario:
• Definir objetivos de concientización yentrenamiento
• Desarrollar e implementar varios tipos deprogramas de entrenamiento
• Desarrollar programas de concientización• Identificar otras oportunidades de educación
H. MANTENIMIENTO Y EJERCICIO DEL BCM
El punto D y F hacen referencia a la realización,desarrollo e implementación de estrategias y/oplanes, con el objetivo de su utilización ante unasituación de interrupción de un proceso en la
5/10/2018 Articulo BS 25999 DEF1 - slidepdf.com
http://slidepdf.com/reader/full/articulo-bs-25999-def1 6/12
BS-25999
Página 6 de 12
organización. Una vez se han declarado ydocumentado estas estrategias y planes, quecontribuyen al proceso de normalización ante unasituación de crisis, es necesario realizar pruebaspara determinar la eficacia con la que puedecontinuar el negocio ante la presencia de una
posible interrupción. Así mismo se puede evaluar elequipo y personal a cargo de cada actividad crítica,además se realizara una prueba al sistemademostrando competencia y capacidad decontinuidad de negocio. [12]
Los propósito de realizar el ejercicio son: 1.Evaluar y permitir el continuo mejoramiento delBCM en la organización logrando una recuperaciónprioritaria de las actividades criticas de acuerdo conlos objetivos de tiempo de recuperación y losobjetivos de punto de recuperación asegurando unnivel mínimo de continuidad del negocio. 2.Permite evaluar y mejorar la capacidad decompetencia ante la gestión de crisis.
Con la realización del ejercicio se puedendeterminar varios aspectos, entre los cuales se listanen el documento [12]:
• Identificar el nivel de madures del BCM dela organización
• Verificación y validación que la continuidaddel negocio y los planes de gestión de crisisy estrategias son viables, efectivas,actualizadas y ajustadas al propósito.
• Verificación y validación que la capacidad ycompetencia de la gestión de crisis de laorganización es efectiva, actualizada yajustada a los propósitos y permiten lagestión, control y coordinación de eventos y
estrategias del BCM a nivel táctico yoperacional.• Verificación y validación que los miembros
y personal se familiarizan con elentendimiento de roles, responsabilidades yautoridades en la operación de lacontinuidad del negocio y proceso deadministración de crisis.
• La formación de conciencia involucrandoindividuos usando la continuidad delnegocio y los planes de gestión de crisis
• El ensayo y familiarización de los miembrosdel equipo y personal con sus rolesresponsabilidad y autoridad en la operación
de la continuidad del negocio y planes degestión de crisis.• Pruebas técnicas, logísticas, de
administración y otras de sistemasoperacionales de continuidad del negocio yplanes de gestión de crisis.
• Probar la organización e infraestructura de lagestión de continuidad del negocio incluyecentros de comando, áreas de trabajo,recursos de recuperación de tecnología ytelecomunicaciones.
• El ensayo de la disponibilidad y traslado delpersonal.
• Verificación y validación que el plan decontinuidad de negocio refleja las actualesprioridades del negocio.
• La disposición de mecanismos para reforzarla continuidad del negocio y auditoria ymantenimiento de la gestión de la crisis.
• Una demostrable continuidad del negocio,capacidad y competencias en la gestión decrisis.
• Documentar resultados• Incrementar la cultura de los procedimientos
de conciencia.• Incrementar la conciencia del significado del
BCM• La oportunidad de identificar defectos y
mejorías de la organización del BCM,administración de crisis y planes decontinuidad de negocio.
• Documentación y evaluación del ejercicio
Para lograr estos resultados es necesario seguir unproceso en la elaboración de una prueba.Principalmente es necesario establecer directores decada área de organización, luego se planificaran losescenarios en los cuales se van a llevar a cabo laspruebas. Estas pruebas deben tener un grupo deadministración, logística, recursos, listas deverificación, estructura, posteriormente al haber
5/10/2018 Articulo BS 25999 DEF1 - slidepdf.com
http://slidepdf.com/reader/full/articulo-bs-25999-def1 7/12
BS-25999
Página 7 de 12
planificado el ejercicio se harán las consideracionesdel programa, se documentará el ejercicio junto conla información de los participantes, se procederá ala realización del ejercicio luego se evaluará y sehará un análisis de los resultados con el objetivo detenerlos en cuenta en pruebas posteriores junto con
sus recomendaciones.
1) Mantenimiento
El proceso de gestión de continuidad de negociono finaliza con la realización del documento en elcual se plasman estrategias y se asignan roles oequipos de trabajo a las áreas organizacionales; esquizás el proceso de mantenimiento del plan unpunto importante si se quiere hacer uso de esteconsiderando que el negocio continúa y esta enconstante cambio.
El propósito de este proceso de mantenimiento esasegurar que la gestión de continuidad del negocioincluyendo la gestión de crisis permanezca efectivo,con el objetivo de ser capaz de lograr larecuperación de actividades de misión crítica y susdependencias dentro de los objetivos de tiempo derecuperación y los objetivos de punto derecuperación asegurando una continuidad de sus
servicios y productos.[12]
Con la realización del mantenimiento al BCMpodremos obtener:
• Pruebas definidas y documentadas para lagestión y gobierno pro activo del programade mantenimiento y monitoreo del BCMrespecto a actividades de misión critica y susdependencias.
• Detalles de todos los cambios de estrategiasdel BCM y planes de continuidad denegocio documentados con toda la historiade estrategias y detalles de control deversiones.
• Verificación y validación de políticas,estrategias y planes BCM
• Identificación e inclusión de cambios en lossistemas y proceso de la organización
• Identificación e inclusión de cambios enlegislación y regulación para la industria.
• Verificación y validación de análisis deimpacto y de riesgos basados en lasestrategias y planes BCM
• Verificación y validación que las estrategias
y planes BCM son actualizados, precisos ycompletos.• Verificación y validación que la capacidad
del BCM (incluyendo planes y estrategias)son actualizadas
• Verificación y validación que los planescontinuidad de negocio siguen unasecuencia lógica, formato, estructuraconforme a las directrices y estándares debuenas practicas.
• Verificación y validación que los cambios
de procedimiento y procesos son puestos.• Verificación y validación que el personal
tiene entendido los roles de responsabilidady le es claro el plan BCM.
Los resultados que se obtendrán con el proceso demantenimiento son de gran utilidad para laorganización, previniendo que los documentosrealizados queden obsoletos con el paso de los años.Para realizarlo es necesario tener una clara
definición y documentación del programa demantenimiento y monitoreo, incluyendo políticas,marcos y procesos así como la estrategia de negociooperacional.
La tecnología de información IT es un gran apoyoen los proceso de una organización, es necesarioque se realice un análisis de la tecnología requeridapor la organización cuando se tienen interrupcionesen el sistema, para este punto el estándar ISO 17999el cual trata sobre la seguridad de IT será de granayuda.
Para la realización de cualquier plan es necesariotener en cuenta la legislación existente, para teneruna base y cumplir con la normatividad que seexige.
El proceso de mantenimiento requiere de unsubconjunto de procesos auditoria ejercicio y
5/10/2018 Articulo BS 25999 DEF1 - slidepdf.com
http://slidepdf.com/reader/full/articulo-bs-25999-def1 8/12
BS-25999
Página 8 de 12
aseguramiento que permiten su fortalecimiento,capacidad de continuidad y soporte a la gestión decontinuidad de negocio en su aplicación a laorganización cuando lo requiera.
2) Auditoria
Luego de haber realizado los procesos deejercicio y mantenimiento sigue un proceso deauditoria que se hace necesaria en cualquier procesoal interior de la organización. El propósito de laauditoria en la gestión de continuidad de negocio esrevisar los estándares del BCM identificandodefectos y dificultades, proporcionandorecomendaciones de acuerdo a estándarespredefinidos.[12]
La auditoria revisara varios aspectos en laorganización algunos de ellos son
• Resistencia (aplicación de planes yestrategias en crisis)
• Políticas, estrategias, marcos y planescontinúa bajo presión de acuerdo aestrategias, prioridades y objetivos.
• Políticas, estrategias, marcos y planescontinúa bajo presión de acuerdo a las
directrices de buenas prácticas.• El BCM es competente de acuerdo al
propósito• Los planes y soluciones son efectivos y
actualizados de acuerdo al propósito• Implementa sus programas• Documenta el control, procesos y
procedimientos operando efectivamente
En la realización de la auditoria como en
cualquier proceso existen componentes. Para el casoel artículo [12] mencionan algunos como son:definición y documentación del programa deauditoria, auditar el plan de auditoria, buscarexpertos internos y externos, aplicar los estándaresde auditoria, actualizar estrategias del BCM, teneren las normas de requerimientos, legislacióndirectrices de buenas prácticas, estándares (ISO17999), realizar programas de conciencia yformación, actualizar análisis de impacto,
estrategias y planes a ser auditados.
Para poder obtener estos resultados el proceso deauditoria debe seguir métodos y/o técnicas queoptimicen este proceso. Algunas técnicas y/ometodologías que se nombran son: Auto evaluación,
auditoria forense, cumplimiento de auditoria,diligencia auditoria, viabilidad de auditoria, controlde auditoria, mejor valor auditado. Con elseguimiento de estas técnicas y la ayuda de losresponsables, el proceso de auditoria podrá cumplirsu propósito y así dar un informe para laorganización en el cual se presenten los resultadosde los procesos auditados.
En el proceso de auditoria intervienen variospasos:
• Clara identificación y documentación deltipo de auditoria
• Clara identificación y documentación deobjetivos de auditoria
• Clara identificación y documentación delmarco de auditoria ISO 17799
• Clara identificación y documentación delalcance de la auditoria.
• Clara identificación y documentación de lapropuesta de auditoria
• Clara identificación y documentación decriterios de evaluación de la auditoria
• Clara identificación y documentación deroles
• Clara identificación y documentación derecursos financieros y otros requeridos
• Requerimientos del programa de auditoriacomunicados a los usuarios
• Actividades de auditoria
Luego de haber realizado el proceso de auditoria laorganización tendrá definido y documentado esteproceso y se preparara para realizar un plan deacción y un programa de monitoreo.
I. COMUNICACIÓN DE CRISIS
5/10/2018 Articulo BS 25999 DEF1 - slidepdf.com
http://slidepdf.com/reader/full/articulo-bs-25999-def1 9/12
BS-25999
Página 9 de 12
La etapa de comunicación de crisis [23] se proponedesarrollar, coordinar, evaluar y ejercitar planespara comunicarlos a directivos, personal, usuarios,proveedores y medios de comunicación, de talforma que el entorno de la organización se entere desu estado y en caso de crisis poder reaccionar deforma adecuada para minimizar los costos deinterrupción de los procesos internos.
Para ello, el BCM debe contener un listado declientes, proveedores y medios de comunicaciónentre otros, en el cual se muestren los datos básicosde cada contacto.
J. COORDINACIÓN CON AUTORIDADESPÚBLICAS
En esta etapa se quiere que la organización tengauna clara definición y documentación de laspolíticas a implementar como un documentoobligatorio en la organización.
Por lo tanto, en este proceso la organización veralos resultados en la mejoría de los procesos de todasu organización, teniendo en cuenta que las políticasestán dirigidas a la organización como un todo.
En el artículo [13] se describen algunos resultadoscomo los siguientes.
• Un efectivo propósito de competencia ycapacidad del BCM.
• Creación de conciencia en toda laorganización.
• Una clara definición y documentación deun conjunto de principios del BCM.
• Una clara definición y documentación de
un conjunto de guías y estándaresmínimos del BCM
• Una clara definición y documentación deestrategias del BCM
• Una clara definición y documentación delmarco operacional del BCM.
• Asegurar el personal apropiado• Una clara definición y documentación de
procesos del programa del BCM de
gestión de la organización• Una clara definición y documentación de
garantía de procesos del programa BCMde gestión de la organización
• Asegurar que los directivos y personal dela organización son concientes y cumplen
con las normas pertinentes y requisitoslegislativos
El documento que contiene las políticas de laorganización deberá estar compuesto por lossiguientes aspectos entre otros.
• El alcance• Declaración del contenido de las políticas• Objetivos
• Roles, responsabilidades• Detalles de otro material pertinente.
Como técnicas o metodologías para el desarrollode este proceso de declaración de políticas semencionan las siguientes [13]
• Revisión de las políticas actuales.• Investigación de origen externo de guías.• Investigación dentro de la organización
para identificar versiones actuales e
información concerniente al BCMrelacionada con declaraciones y políticas.• Identificar y adoptar o modificar una
política BCM de otra organización que esconsiderada de buenas practicas.
• Estado actual de evaluación, análisis yrevisión de políticas internas y externaspara manejar el núcleo de loscomponentes de una política BCM nuevao corregida.
• Organización de gruposmultidisciplinarios.• Consulta de profesionales externos.• Circulación de borradores de una política
BCM para ver reacción y comentarios.
Toda declaración de documentos sigue unproceso, en el caso de declaración de las políticas dela organización se enumeran los siguientes procesos
5/10/2018 Articulo BS 25999 DEF1 - slidepdf.com
http://slidepdf.com/reader/full/articulo-bs-25999-def1 10/12
BS-25999
Página 10 de 12
[13]
• Identificación y documentación de loscomponentes de una política BCM
• Identificación de algunos estándaresrelevantes, guía de buenas prácticas,
regulación y legislación que impactan lapolítica BCM.• Identificar políticas BCM de otras
organizaciones que actuaría como unpunto de referencia.
• Revisar y conducir un análisis deinterrupciones de las políticas BCMactuales de la organización y el punto dereferencia de políticas externas comorequerimientos para una nueva política
BCM.• Desarrollar un borrador de una política
BCM nueva o corregida.• Circulación de políticas borradores para
consulta.• Enmendar el borrador de políticas BCM,
apropiado basada en la reacción de laconsulta.
• Publicar y distribuir Políticas deContinuidad de Negocio usando un
sistema de control de versiones apropiado.III. CONCLUSIONES
• No es necesario realizar todas las fasesdel Plan de Continuidad del Negocio(BCM), ya que éstas serán realizadasdependiendo la necesidad y actividad dela organización.
• Uno de los puntos iniciales y más
importantes para realizar el BCM esconocer y entender de forma detallada elnegocio al que se dedica la organización,para así obtener como resultado un plande continuidad óptimo.
• El desarrollo del Plan de Continuidad delNegocio tiene en cuenta el análisis detodos los recursos (humanos,tecnológicos, datos vitales,infraestructura, etc.).
• Hay que tener en cuenta que una amenazanunca va a desaparecer, siempre estarápresente en todos los procesos de unaorganización. Sin embargo, día a día sedesarrollan técnicas que permiten, enpoco tiempo, mitigar el impacto que
generan estas amenazas.• Para realizar el BCM, es importante
analizar el negocio como un todo mas nocomo procesos, actividades o funcionesindividuales.
• Uno de los primeros pasos para llevar acabo la implementación de un BCM es ladefinición de coordinadores de equipos yequipos, cada uno con responsabilidadesy roles relacionados con cada fase del
BCM.• La fase de evaluación de riesgos permite
a la empresa identificar, analizar yevaluar amenazas internas y externas querepresentan riesgos principalmente a lasactividades criticas de la organización.
• El impacto que genera una interrupcióndebe ser cualificado y cuantificadopermitiendo que la empresa estepreparada económicamente y
operacionalmente brindando estabilidad asu negocio.• El desarrollo de un BCM permite que la
organización este preparada ante unainterrupción de su negocio, por medio dela definición y documentación deprocedimientos y estrategias derecuperación.
• Cuando una organización realiza planesde concientización a sus empleados, lesproporciona seguridad ante una situaciónque requiera el uso del BCM.
• Para estar seguros de la funcionalidad deun plan es necesario que se desarrollenpruebas, mantenimiento yactualizaciones.
• Una vez se haya realizado mantenimientoy actualización del BCM este podrá serusado en cualquier momento.
• Es importante la actualización a un BCM
5/10/2018 Articulo BS 25999 DEF1 - slidepdf.com
http://slidepdf.com/reader/full/articulo-bs-25999-def1 11/12
BS-25999
Página 11 de 12
cuando se presenten cambios en laorganización; además esta actualizacióndebe hacerse mínimo una vez al año.
REFERENCIAS
[1] Avalution Consulting, LLC & BSI ManagementSystems America, Inc. How To Deploy Bs 25999disponible enhttp://www.avalution.com/PDF/How_to_Deploy_BS_25999.pdf
[2] Business Continuity Institute 2007 GoodPractice Guidelines 2007 Section 1. BCM policy &programme management. Version 2007.3 October
2007 disponible enhttp://www.thebci.org/GPG2008V1%20Section1.pdf
[3] Business Continuity Institute 2007. AManagement Guide to Implementing Global GoodPractice in Business Continuity ManagementSection 2 Understanding The Organisation. Version2007.3 October 2007 disponible enhttp://www.thebci.org/GPG2008V1%20Section2.pdf
[4] Business Continuity Institute 2007. AManagement Guide to Implementing Global GoodPractice in Business Continuity ManagementSection 3 Determining BCM Strategy. Version2007.3 October 2007 disponible enhttp://www.thebci.org/GPG2008V1%20Section3.pdf
[5] Business Continuity Institute 2007. AManagement Guide to Implementing Global GoodPractice in Business Continuity ManagementSection 4 Developing and implementing a BCM
response. Version 2007.3 October 2007 disponibleenhttp://www.thebci.org/GPG2008V1%20Section4.pdf
[6] Business Continuity Institute 2007. AManagement Guide to Implementing Global GoodPractice in Business Continuity ManagementSection 5 Exercising, Maintaining & ReviewingBcm Arrangements. Version 2007.3 October 2007
disponible enhttp://www.thebci.org/GPG2008V1%20Section5.pdf
[7] Business Continuity Institute 2007. AManagement Guide to Implementing Global GoodPractice in Business Continuity ManagementSection 5 Embedding Bcm In The Organisation’sCulture. Version 2007.3 October 2007 disponibleenhttp://www.thebci.org/GPG2008V1%20Section6.pdf
[8] Business Continuity Institute 2002.Understanding your business. Version BCI DJS 1.001/11/02. Disponible en:http://www.auckland.ac.nz/security/images/BCI%20GPG%20-%20Stage%201.pdf
[9] Business Continuity Institute 2002. Businesscontinuity management strategies. Version BCI DJS1.0 01/11/02. Disponible en:http://www.auckland.ac.nz/security/images/BCI%20GPG%20-%20Stage%202.pdf
[10] Business Continuity Institute 2002. Developand implement a Business continuity managementresponse. Version BCI DJS 1.0 01/11/02.Disponible en:http://www.auckland.ac.nz/security/images/BCI%2
0GPG%20-%20Stage%203.pdf
[11] Business Continuity Institute 2002. Buildingand embedding a business continuity managementculture. Versión BCI DJS 1.0 01/11/02. Disponibleen:http://www.auckland.ac.nz/security/images/BCI%20GPG%20-%20Stage%204.pdf
[12] Business Continuity Institute 2002. Exercising,maintenance and audit. Versión BCI DJS 1.0
01/11/02. Disponible en:http://www.auckland.ac.nz/security/images/BCI%20GPG%20-%20Stage%205.pdf
[13] Business Continuity Institute 2002. Businesscontinuity management programme Management .Version BCI DJS 1.0 01/11/02. Disponible en:http://www.auckland.ac.nz/security/images/BCI%20GPG%20-%20Stage%206.pdf
5/10/2018 Articulo BS 25999 DEF1 - slidepdf.com
http://slidepdf.com/reader/full/articulo-bs-25999-def1 12/12
BS-25999
Página 12 de 12
[14] DRI International. Introduction/overview.2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Introduction.aspx
[15] DRI International. Project initiation &management. 2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Pro_01_Project.aspx
[16] DRI International. Risk evaluation & control.2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Pro_02.aspx
[17] DRI International. Business Impact Analysis.2004. disponible en:
http://www.drii.org/DRII/ProfessionalPractices/Pro_03.aspx
[18] DRI International. Developing businesscontinuity strategies. 2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Pro_04.aspx
[19] DRI International. Emergency response &operation. 2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Pro
_05.aspx
[20] DRI International. Developing & implementingBC plans. 2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Pro_06.aspx
[21] DRI International. Awareness & trainingprograms. 2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Pro_07.aspx
[22] DRI International. Maintaining & exercisingBC plans. 2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Pro_08.aspx
[23] DRI International. Crisis communication.2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Pro_09.aspx
[24] DRI International. Coordination with externalagencies. 2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Pro_10.aspx
Recommended