Articulo BS 25999 DEF1

5/10/2018 Articulo BS 25999 DEF1 - slidepdf.com

http://slidepdf.com/reader/full/articulo-bs-25999-def1 1/12

BS-25999

Página 1 de 12

Edith Yolima Rodríguez LacheIngeniera de Sistemas. Universidad de Boyacá. Actualmenteestudiante último ciclo de Especialización en Telemática.Tunja, Boyacá.

Deisy Correa CanoIngeniera de Sistemas. Universidad de Boyacá. Actualmenteestudiante último ciclo de Especialización en Telemática.Tunja, Boyacá.

Resumen—Este artículo trata sobre el estándar BS 25999,el cuál se basa en el desarrollo de técnicas para lograr lacontinuidad de un negocio. En este documento se explica cadauna de las fases que puede tener un Plan de Continuidad deNegocio. Estas fases están dadas por el Instituto de

Recuperación de Desastres (DRI – Disaster RecoveryInstitute).

Palabras Clave— BCM, BS 25999, Plan de Continuidaddel Negocio, DRI.

PLAN DE CONTINUIDAD

BS 25999



BS-25999

Página 2 de 12

I. INTRODUCCIÓN

La mayoría de los productos y servicios que sonsolicitados por la sociedad son proporcionados por

empresas. Para estas compañías, es muy importantegarantizar a sus clientes un adecuado nivel deseguridad, disponibilidad y confiabilidad de losprocesos que son esenciales para el funcionamientode su empresa, de tal manera que se asegure lacontinuidad de su negocio. Esta disponibilidad sepuede ver afectada por factores accidentales,incidentales y humanos.

Por ejemplo, en el atentado del 11 de septiembre del2001, varias empresas fracasaron por la falta de un

plan de continuidad del negocio. Esto creó lanecesidad de que actualmente las organizacionesestén implementando mecanismos y/o técnicas, quemitiguen los riesgos a los que se está expuesto,brindando una alta disponibilidad en las operacionesde su negocio.

Una de las recomendaciones para mitigar losriesgos es la necesidad de recuperar los recursos, yasean humano, infraestructura, datos vitales,tecnología de información, equipos de oficina e

implementos requeridos que permitan continuar conel funcionamiento normal de la organización.

El BS-25999 es un estándar británico que establecemejores prácticas, recomendaciones y actividadesespecíficas para lograr la continuidad de negocioteniendo en cuenta los riesgos a los que se enfrentauna organización.

Este estándar se basa en el Plan de Continuidad delNegocio – o BCM por sus siglas en ingles (BusinessContinuity Planning) el cual, al ser implementadoen una organización, se le debe hacer unseguimiento con el fin de conocer su evoluciónpermanente en los procesos de la empresa. El BS-25999 posee dos partes esenciales: Desarrollo delBCM e Implementación del mismo.

El Desarrollo del BCM básicamente se centra enrecopilar la información necesaria para entender elnegocio.

Para la implementación del BCM en unaorganización se deben tener en cuenta variosestados o fases que son necesarias para elfuncionamiento eficaz y ágil de las actividades enuna empresa. Estas fases son:

• Inicio y gestión del proyecto.• Evaluación y control del riesgo.• Análisis de impacto del negocio (BIA).• Desarrollo de estrategias para la continuidad

del negocio.• Respuesta ante emergencias.• Desarrollo e implementación del BCM.

•

Programa de concientización y capacitación.• Mantenimiento y ejercicio del BCM.• Comunicación de crisis.• Coordinación con Autoridades públicas.

La realización del BCM en la organización traerágrandes ventajas como por ejemplo:

• Administrar la continuidad del negocio• Resistencia del negocio ante interrupciones• Protege y asegura la imagen de la empresa• Abre nuevas oportunidades de mercado y

ayuda a ganar nuevos negocios.• Aumenta la disponibilidad del negocio.

El desarrollo de un BCM en la organizaciónpermitirá estar preparados para afrontar situacionesde interrupción de sus procesos críticos.

Un BCM involucra todos los recursos de laorganización. Por lo cual con su realizaciónanalizaremos y podremos establecer estrategias quegaranticen una continuidad del negocio, buscando

minimizar la dependencia de los recursos con lo quecuenta la empresa (IT, Humano, infraestructura,Económicos, etc) brindando una alta disponibilidadde los servicios ofrecidosUna vez dada la introducción a este artículo acontinuación se describe el Plan de Continuidad deNegocio BCM de acuerdo a la metodologíaexpuesta por la organización DRI (DisasterRecovery Institute Internacional).



BS-25999

Página 3 de 12

II. FASES DEL PLAN DE CONTINUIDAD DEL

NEGOCIO (BCM)

A. INICIO Y GESTIÓN DEL PROYECTO

El objetivo de esta primera fase [15], es establecerla necesidad de desarrollar el BCM en laorganización, de tal manera que se comunique laimportancia de realizar este plan, involucrando a losdirectivos y el personal de la empresa. Para esto, esimportante:

• Definir un comité responsable del plan• Asignar responsabilidades por cada equipo

de trabajo• Indicar las actividades de cada una de las

fases del proyecto

• Documentar los procesos• Presentar los avances• Obtener la aprobación por parte de los

directivos.

Las responsabilidades del coordinador de esta etapason:

• Dirigir la definición de objetivos, políticas yactividades críticas.

• Coordinar y organizar directores por cadafase del proyecto.

• Controlar el proceso de BCM a través demétodos de control efectivo y gestión decambio.

• Presentar el proceso a Directivos y personal.• Desarrollar el plan y presupuesto para iniciar

el proceso.• Definir y recomendar procesos de estructura

y gestión.• Dirigir el proyecto a desarrollar e

implementar el proceso del BCM.

B. EVALUACIÓN Y CONTROL DE RIESGOS

El objetivo de la evaluación de riesgos [8] esidentificar las amenazas internas y externas,incluyendo concentraciones de riesgo, que puedencausar la interrupción o pérdida de la ActividadesCríticas de una organización, así como la

probabilidad (o frecuencia) de que ocurra unaamenaza y cómo es vulnerable una organización avarios tipos de amenazas permitiendo su gestión depriorización y control para formar una base en laque se establezca un programa de control y un plande acción de gestión de riesgo.

Para realizar una evaluación y control de riesgos sedebe tener en cuenta lo siguiente:

• Identificar riesgos• Análisis/Evaluación de riesgos• Gestión y Control de riesgos

Después de realizar la evaluación y el control deriesgos [16], los resultados obtenidos incluyen laidentificación y documentación de:

• La probabilidad de ocurrencia, en laorganización, a un tipo específico deamenaza.

• Concentración de riesgos donde el númerode Actividades de Misión Crítica eslocalizado dentro del mismo edificio o en elmismo lugar.

• Una evaluación y análisis de riesgos(combinado con un Análisis de Impacto delNegocio - BIA).

• Una estrategia de gestión de control deriesgo y plan de acción.

• El enfoque de priorización del BCM ycontrol de riesgos.

C. ANÁLISIS DE IMPACTO DEL NEGOCIO(BIA)

El Análisis de Impacto del Negocio (BIA –Business Impact Analysis) [8] consiste en técnicas ymetodologías que pueden ser usadas paraidentificar, cuantificar y cualificar los impactos denegocio y sus efectos en una organización en casode pérdida o interrupción de las Actividades deMisión Crítica. Sin embargo, la clave para realizarun Análisis de Impacto del Negocio es analizar elnegocio como un todo más no como componentes,procesos o funciones individuales.



BS-25999

Página 4 de 12

El análisis BIA tiene en cuenta el RTO (RecoveryTime Objective) y RPO (Recovery PointObjective) que deben ser establecidos por laorganización. Están definidos como:

• RTO (recovery Time Objective): El tiempoentre el punto de interrupción, y el punto enel cuál los sistemas sensibles en el tiempodeben estar funcionando nuevamente, conlos datos actualizados.

• RPO (Recovery Point Objective): El puntoen el cuál fueron interrumpidas lasactividades del sistema debido a laocurrencia de un determinado evento.

El objetivo de un Análisis de Impacto del Negocioes identificar las actividades de misión crítica de

una organización, sus dependencias y sus puntos defallas así como analizar el impacto y el efecto quese generaría en caso de la perdida e interrupción delas actividades de misión crítica. A su vez, informary permitir opciones para crear una resistencia en lasoperaciones de negocio de la organización [17].

Sin embargo, el BIA posee los siguientescomponentes claves:

• Cuestionarios de autovaloración – papel ydigitales.

• Listas de comprobación.• Una Matriz de Análisis de Impacto del

Negocio.

Después de realizado el BIA, se obtendrán comoresultados, la identificación y documentación de:

• Objetivos y salidas (servicios y productos).• Actividades de Misión Crítica, sus

dependencias y puntos de falla.• Impactos y efectos (consecuencias)

financieros y no financieros como resultadode una interrupción o pérdida de una o másactividades de misión crítica durante variosperiodos de tiempo.

• Los objetivos del BCM para cada actividadde misión crítica y sus dependencias.

• Una priorización mínima y aceptable de larecuperación de los recursos.

• Registros/datos vitales• Usuarios y Clientes Claves• Proveedores (tanto dentro como fuera de la

organización)

D. DESARROLLO DE ESTRATEGIAS PARA LACONTINUIDAD DEL NEGOCIO

El propósito del desarrollo de estrategias consiste enidentificar las alternativas de recuperación de lasoperaciones en los marcos de tiempo definidos. [18]

El desarrollo de las estrategias del BCM involucralos siguientes aspectos:

• Identificar los requerimientos de continuidadde la organización.

• Evaluar la compatibilidad de las estrategiascontra los resultados del BIA.

• Presentar el análisis costo / beneficio de lasestrategias de continuidad.

• Seleccionar los sitios alternos y dealmacenamiento externo.

• Entender los términos contractuales de losservicios de continuidad del negocio.

Algunas de las alternativas de recuperacióncomprenden estrategias de almacenamiento externoa la organización (Ej. Hotsite, coldsite, etc.), a suvez procedimientos de recuperación internadocumentados, así como acuerdos recíprocos entreempresa-empresa y/o empresa-cliente, o unautilización de combinación de estrategias.

E. RESPUESTA ANTE EMERGENCIAS

El propósito de la fase de respuesta ante

emergencias es desarrollar e implementarprocedimientos para responder y estabilizar lasituación después de un incidente y administrar elcentro de operaciones de emergencia a ser utilizadocomo “centro de mando” [19].

Para cumplir con este propósito es necesario que:

• Identifique componentes de losprocedimientos de respuesta a emergencia.



BS-25999

Página 5 de 12

• Especifique los procedimientos de respuestaa emergencia.

• Identifique requerimientos de control yautoridad.

• Procedimientos de control y autoridad.• Respuesta a emergencia y recuperación de

heridos.• Seguridad y recuperación.

F. DESARROLLO E IMPLEMENTACIÓN DEL BCM

Esta fase involucra el diseño, desarrollo eimplementación de planes de continuidad delnegocio para evitar interrupciones de acuerdo a los

marcos establecidos por los RTO’S y RPO’S [10,20].

Un buen desarrollo e implementación de un BCMincluye:

• Identificar requerimientos para el desarrollode los planes.

• Definir requerimientos de control yadministración de la continuidad.

• Identificar y definir un formato y la

estructura principal de los componentes delos planes.

• Elaborar un borrador de los planes.• Definir procedimientos de gestión de crisis y

continuidad del negocio.• Definir las estrategias de evaluación de

daños y reanudación.• Desarrollar una introducción general a los

planes.• Desarrollar la documentación de los equipos

de operación del negocio.• Desarrollar la documentación de los equipos

de recuperación de tecnología deinformación.

• Desarrollar el sistema de comunicaciones.• Desarrollar los planes de los usuarios finales

de aplicaciones.• Implementar los planes.• Establecer los procedimientos de control y

distribución de los planes.

G. PROGRAMA DE CONCIENTIZACIÓN Y ENTRENAMIENTO DEL BCM

Toda organización que quiera posicionarse en elmercado y estar preparada a cambios en su entorno,requiere de un constante proceso de evolución. Este

proceso genera en la mayoría de los casos, cambiosal interior de la empresa. Siempre que se presentanestos cambios existe un porcentaje de resistencia alcambio relacionado con el personal que intervieneen dicho proceso.

Es necesario que la organización prepare a susempleados ante la presencia de un cambio, lograndominimizar esa resistencia y obteniendo mejordisposición ante situaciones de este tipo creando

una cultura de aceptación ante un evento queperturbe su labor.

Son estos algunos motivos por los cuales sepresenta en la gestión de continuidad de negociouna fase en la cual se trata la concientización yentrenamiento del BCM y su relación con laimplementación mantenimiento, gestión y ejecucióndel mismo. Este proceso de conciencia es necesarioque se realice en toda la organización (no solamente

en el área de IT) logrando aumentar la resistenciaante riesgos. [11].

Para logran una concientización y entrenamientoen necesario:

• Definir objetivos de concientización yentrenamiento

• Desarrollar e implementar varios tipos deprogramas de entrenamiento

• Desarrollar programas de concientización• Identificar otras oportunidades de educación

H. MANTENIMIENTO Y EJERCICIO DEL BCM

El punto D y F hacen referencia a la realización,desarrollo e implementación de estrategias y/oplanes, con el objetivo de su utilización ante unasituación de interrupción de un proceso en la



BS-25999

Página 6 de 12

organización. Una vez se han declarado ydocumentado estas estrategias y planes, quecontribuyen al proceso de normalización ante unasituación de crisis, es necesario realizar pruebaspara determinar la eficacia con la que puedecontinuar el negocio ante la presencia de una

posible interrupción. Así mismo se puede evaluar elequipo y personal a cargo de cada actividad crítica,además se realizara una prueba al sistemademostrando competencia y capacidad decontinuidad de negocio. [12]

Los propósito de realizar el ejercicio son: 1.Evaluar y permitir el continuo mejoramiento delBCM en la organización logrando una recuperaciónprioritaria de las actividades criticas de acuerdo conlos objetivos de tiempo de recuperación y losobjetivos de punto de recuperación asegurando unnivel mínimo de continuidad del negocio. 2.Permite evaluar y mejorar la capacidad decompetencia ante la gestión de crisis.

Con la realización del ejercicio se puedendeterminar varios aspectos, entre los cuales se listanen el documento [12]:

• Identificar el nivel de madures del BCM dela organización

• Verificación y validación que la continuidaddel negocio y los planes de gestión de crisisy estrategias son viables, efectivas,actualizadas y ajustadas al propósito.

• Verificación y validación que la capacidad ycompetencia de la gestión de crisis de laorganización es efectiva, actualizada yajustada a los propósitos y permiten lagestión, control y coordinación de eventos y

estrategias del BCM a nivel táctico yoperacional.• Verificación y validación que los miembros

y personal se familiarizan con elentendimiento de roles, responsabilidades yautoridades en la operación de lacontinuidad del negocio y proceso deadministración de crisis.

• La formación de conciencia involucrandoindividuos usando la continuidad delnegocio y los planes de gestión de crisis

• El ensayo y familiarización de los miembrosdel equipo y personal con sus rolesresponsabilidad y autoridad en la operación

de la continuidad del negocio y planes degestión de crisis.• Pruebas técnicas, logísticas, de

administración y otras de sistemasoperacionales de continuidad del negocio yplanes de gestión de crisis.

• Probar la organización e infraestructura de lagestión de continuidad del negocio incluyecentros de comando, áreas de trabajo,recursos de recuperación de tecnología ytelecomunicaciones.

• El ensayo de la disponibilidad y traslado delpersonal.

• Verificación y validación que el plan decontinuidad de negocio refleja las actualesprioridades del negocio.

• La disposición de mecanismos para reforzarla continuidad del negocio y auditoria ymantenimiento de la gestión de la crisis.

• Una demostrable continuidad del negocio,capacidad y competencias en la gestión decrisis.

• Documentar resultados• Incrementar la cultura de los procedimientos

de conciencia.• Incrementar la conciencia del significado del

BCM• La oportunidad de identificar defectos y

mejorías de la organización del BCM,administración de crisis y planes decontinuidad de negocio.

• Documentación y evaluación del ejercicio

Para lograr estos resultados es necesario seguir unproceso en la elaboración de una prueba.Principalmente es necesario establecer directores decada área de organización, luego se planificaran losescenarios en los cuales se van a llevar a cabo laspruebas. Estas pruebas deben tener un grupo deadministración, logística, recursos, listas deverificación, estructura, posteriormente al haber



BS-25999

Página 7 de 12

planificado el ejercicio se harán las consideracionesdel programa, se documentará el ejercicio junto conla información de los participantes, se procederá ala realización del ejercicio luego se evaluará y sehará un análisis de los resultados con el objetivo detenerlos en cuenta en pruebas posteriores junto con

sus recomendaciones.

1) Mantenimiento

El proceso de gestión de continuidad de negociono finaliza con la realización del documento en elcual se plasman estrategias y se asignan roles oequipos de trabajo a las áreas organizacionales; esquizás el proceso de mantenimiento del plan unpunto importante si se quiere hacer uso de esteconsiderando que el negocio continúa y esta enconstante cambio.

El propósito de este proceso de mantenimiento esasegurar que la gestión de continuidad del negocioincluyendo la gestión de crisis permanezca efectivo,con el objetivo de ser capaz de lograr larecuperación de actividades de misión crítica y susdependencias dentro de los objetivos de tiempo derecuperación y los objetivos de punto derecuperación asegurando una continuidad de sus

servicios y productos.[12]

Con la realización del mantenimiento al BCMpodremos obtener:

• Pruebas definidas y documentadas para lagestión y gobierno pro activo del programade mantenimiento y monitoreo del BCMrespecto a actividades de misión critica y susdependencias.

• Detalles de todos los cambios de estrategiasdel BCM y planes de continuidad denegocio documentados con toda la historiade estrategias y detalles de control deversiones.

• Verificación y validación de políticas,estrategias y planes BCM

• Identificación e inclusión de cambios en lossistemas y proceso de la organización

• Identificación e inclusión de cambios enlegislación y regulación para la industria.

• Verificación y validación de análisis deimpacto y de riesgos basados en lasestrategias y planes BCM

• Verificación y validación que las estrategias

y planes BCM son actualizados, precisos ycompletos.• Verificación y validación que la capacidad

del BCM (incluyendo planes y estrategias)son actualizadas

• Verificación y validación que los planescontinuidad de negocio siguen unasecuencia lógica, formato, estructuraconforme a las directrices y estándares debuenas practicas.

• Verificación y validación que los cambios

de procedimiento y procesos son puestos.• Verificación y validación que el personal

tiene entendido los roles de responsabilidady le es claro el plan BCM.

Los resultados que se obtendrán con el proceso demantenimiento son de gran utilidad para laorganización, previniendo que los documentosrealizados queden obsoletos con el paso de los años.Para realizarlo es necesario tener una clara

definición y documentación del programa demantenimiento y monitoreo, incluyendo políticas,marcos y procesos así como la estrategia de negociooperacional.

La tecnología de información IT es un gran apoyoen los proceso de una organización, es necesarioque se realice un análisis de la tecnología requeridapor la organización cuando se tienen interrupcionesen el sistema, para este punto el estándar ISO 17999el cual trata sobre la seguridad de IT será de granayuda.

Para la realización de cualquier plan es necesariotener en cuenta la legislación existente, para teneruna base y cumplir con la normatividad que seexige.

El proceso de mantenimiento requiere de unsubconjunto de procesos auditoria ejercicio y



BS-25999

Página 8 de 12

aseguramiento que permiten su fortalecimiento,capacidad de continuidad y soporte a la gestión decontinuidad de negocio en su aplicación a laorganización cuando lo requiera.

2) Auditoria

Luego de haber realizado los procesos deejercicio y mantenimiento sigue un proceso deauditoria que se hace necesaria en cualquier procesoal interior de la organización. El propósito de laauditoria en la gestión de continuidad de negocio esrevisar los estándares del BCM identificandodefectos y dificultades, proporcionandorecomendaciones de acuerdo a estándarespredefinidos.[12]

La auditoria revisara varios aspectos en laorganización algunos de ellos son

• Resistencia (aplicación de planes yestrategias en crisis)

• Políticas, estrategias, marcos y planescontinúa bajo presión de acuerdo aestrategias, prioridades y objetivos.

• Políticas, estrategias, marcos y planescontinúa bajo presión de acuerdo a las

directrices de buenas prácticas.• El BCM es competente de acuerdo al

propósito• Los planes y soluciones son efectivos y

actualizados de acuerdo al propósito• Implementa sus programas• Documenta el control, procesos y

procedimientos operando efectivamente

En la realización de la auditoria como en

cualquier proceso existen componentes. Para el casoel artículo [12] mencionan algunos como son:definición y documentación del programa deauditoria, auditar el plan de auditoria, buscarexpertos internos y externos, aplicar los estándaresde auditoria, actualizar estrategias del BCM, teneren las normas de requerimientos, legislacióndirectrices de buenas prácticas, estándares (ISO17999), realizar programas de conciencia yformación, actualizar análisis de impacto,

estrategias y planes a ser auditados.

Para poder obtener estos resultados el proceso deauditoria debe seguir métodos y/o técnicas queoptimicen este proceso. Algunas técnicas y/ometodologías que se nombran son: Auto evaluación,

auditoria forense, cumplimiento de auditoria,diligencia auditoria, viabilidad de auditoria, controlde auditoria, mejor valor auditado. Con elseguimiento de estas técnicas y la ayuda de losresponsables, el proceso de auditoria podrá cumplirsu propósito y así dar un informe para laorganización en el cual se presenten los resultadosde los procesos auditados.

En el proceso de auditoria intervienen variospasos:

• Clara identificación y documentación deltipo de auditoria

• Clara identificación y documentación deobjetivos de auditoria

• Clara identificación y documentación delmarco de auditoria ISO 17799

• Clara identificación y documentación delalcance de la auditoria.

• Clara identificación y documentación de lapropuesta de auditoria

• Clara identificación y documentación decriterios de evaluación de la auditoria

• Clara identificación y documentación deroles

• Clara identificación y documentación derecursos financieros y otros requeridos

• Requerimientos del programa de auditoriacomunicados a los usuarios

• Actividades de auditoria

Luego de haber realizado el proceso de auditoria laorganización tendrá definido y documentado esteproceso y se preparara para realizar un plan deacción y un programa de monitoreo.

I. COMUNICACIÓN DE CRISIS



BS-25999

Página 9 de 12

La etapa de comunicación de crisis [23] se proponedesarrollar, coordinar, evaluar y ejercitar planespara comunicarlos a directivos, personal, usuarios,proveedores y medios de comunicación, de talforma que el entorno de la organización se entere desu estado y en caso de crisis poder reaccionar deforma adecuada para minimizar los costos deinterrupción de los procesos internos.

Para ello, el BCM debe contener un listado declientes, proveedores y medios de comunicaciónentre otros, en el cual se muestren los datos básicosde cada contacto.

J. COORDINACIÓN CON AUTORIDADESPÚBLICAS

En esta etapa se quiere que la organización tengauna clara definición y documentación de laspolíticas a implementar como un documentoobligatorio en la organización.

Por lo tanto, en este proceso la organización veralos resultados en la mejoría de los procesos de todasu organización, teniendo en cuenta que las políticasestán dirigidas a la organización como un todo.

En el artículo [13] se describen algunos resultadoscomo los siguientes.

• Un efectivo propósito de competencia ycapacidad del BCM.

• Creación de conciencia en toda laorganización.

• Una clara definición y documentación deun conjunto de principios del BCM.

• Una clara definición y documentación de

un conjunto de guías y estándaresmínimos del BCM

• Una clara definición y documentación deestrategias del BCM

• Una clara definición y documentación delmarco operacional del BCM.

• Asegurar el personal apropiado• Una clara definición y documentación de

procesos del programa del BCM de

gestión de la organización• Una clara definición y documentación de

garantía de procesos del programa BCMde gestión de la organización

• Asegurar que los directivos y personal dela organización son concientes y cumplen

con las normas pertinentes y requisitoslegislativos

El documento que contiene las políticas de laorganización deberá estar compuesto por lossiguientes aspectos entre otros.

• El alcance• Declaración del contenido de las políticas• Objetivos

• Roles, responsabilidades• Detalles de otro material pertinente.

Como técnicas o metodologías para el desarrollode este proceso de declaración de políticas semencionan las siguientes [13]

• Revisión de las políticas actuales.• Investigación de origen externo de guías.• Investigación dentro de la organización

para identificar versiones actuales e

información concerniente al BCMrelacionada con declaraciones y políticas.• Identificar y adoptar o modificar una

política BCM de otra organización que esconsiderada de buenas practicas.

• Estado actual de evaluación, análisis yrevisión de políticas internas y externaspara manejar el núcleo de loscomponentes de una política BCM nuevao corregida.

• Organización de gruposmultidisciplinarios.• Consulta de profesionales externos.• Circulación de borradores de una política

BCM para ver reacción y comentarios.

Toda declaración de documentos sigue unproceso, en el caso de declaración de las políticas dela organización se enumeran los siguientes procesos



BS-25999

Página 10 de 12

[13]

• Identificación y documentación de loscomponentes de una política BCM

• Identificación de algunos estándaresrelevantes, guía de buenas prácticas,

regulación y legislación que impactan lapolítica BCM.• Identificar políticas BCM de otras

organizaciones que actuaría como unpunto de referencia.

• Revisar y conducir un análisis deinterrupciones de las políticas BCMactuales de la organización y el punto dereferencia de políticas externas comorequerimientos para una nueva política

BCM.• Desarrollar un borrador de una política

BCM nueva o corregida.• Circulación de políticas borradores para

consulta.• Enmendar el borrador de políticas BCM,

apropiado basada en la reacción de laconsulta.

• Publicar y distribuir Políticas deContinuidad de Negocio usando un

sistema de control de versiones apropiado.III. CONCLUSIONES

• No es necesario realizar todas las fasesdel Plan de Continuidad del Negocio(BCM), ya que éstas serán realizadasdependiendo la necesidad y actividad dela organización.

• Uno de los puntos iniciales y más

importantes para realizar el BCM esconocer y entender de forma detallada elnegocio al que se dedica la organización,para así obtener como resultado un plande continuidad óptimo.

• El desarrollo del Plan de Continuidad delNegocio tiene en cuenta el análisis detodos los recursos (humanos,tecnológicos, datos vitales,infraestructura, etc.).

• Hay que tener en cuenta que una amenazanunca va a desaparecer, siempre estarápresente en todos los procesos de unaorganización. Sin embargo, día a día sedesarrollan técnicas que permiten, enpoco tiempo, mitigar el impacto que

generan estas amenazas.• Para realizar el BCM, es importante

analizar el negocio como un todo mas nocomo procesos, actividades o funcionesindividuales.

• Uno de los primeros pasos para llevar acabo la implementación de un BCM es ladefinición de coordinadores de equipos yequipos, cada uno con responsabilidadesy roles relacionados con cada fase del

BCM.• La fase de evaluación de riesgos permite

a la empresa identificar, analizar yevaluar amenazas internas y externas querepresentan riesgos principalmente a lasactividades criticas de la organización.

• El impacto que genera una interrupcióndebe ser cualificado y cuantificadopermitiendo que la empresa estepreparada económicamente y

operacionalmente brindando estabilidad asu negocio.• El desarrollo de un BCM permite que la

organización este preparada ante unainterrupción de su negocio, por medio dela definición y documentación deprocedimientos y estrategias derecuperación.

• Cuando una organización realiza planesde concientización a sus empleados, lesproporciona seguridad ante una situaciónque requiera el uso del BCM.

• Para estar seguros de la funcionalidad deun plan es necesario que se desarrollenpruebas, mantenimiento yactualizaciones.

• Una vez se haya realizado mantenimientoy actualización del BCM este podrá serusado en cualquier momento.

• Es importante la actualización a un BCM



BS-25999

Página 11 de 12

cuando se presenten cambios en laorganización; además esta actualizacióndebe hacerse mínimo una vez al año.

REFERENCIAS

[1] Avalution Consulting, LLC & BSI ManagementSystems America, Inc. How To Deploy Bs 25999disponible enhttp://www.avalution.com/PDF/How_to_Deploy_BS_25999.pdf

[2] Business Continuity Institute 2007 GoodPractice Guidelines 2007 Section 1. BCM policy &programme management. Version 2007.3 October

2007 disponible enhttp://www.thebci.org/GPG2008V1%20Section1.pdf

[3] Business Continuity Institute 2007. AManagement Guide to Implementing Global GoodPractice in Business Continuity ManagementSection 2 Understanding The Organisation. Version2007.3 October 2007 disponible enhttp://www.thebci.org/GPG2008V1%20Section2.pdf

[4] Business Continuity Institute 2007. AManagement Guide to Implementing Global GoodPractice in Business Continuity ManagementSection 3 Determining BCM Strategy. Version2007.3 October 2007 disponible enhttp://www.thebci.org/GPG2008V1%20Section3.pdf

[5] Business Continuity Institute 2007. AManagement Guide to Implementing Global GoodPractice in Business Continuity ManagementSection 4 Developing and implementing a BCM

response. Version 2007.3 October 2007 disponibleenhttp://www.thebci.org/GPG2008V1%20Section4.pdf

[6] Business Continuity Institute 2007. AManagement Guide to Implementing Global GoodPractice in Business Continuity ManagementSection 5 Exercising, Maintaining & ReviewingBcm Arrangements. Version 2007.3 October 2007

disponible enhttp://www.thebci.org/GPG2008V1%20Section5.pdf

[7] Business Continuity Institute 2007. AManagement Guide to Implementing Global GoodPractice in Business Continuity ManagementSection 5 Embedding Bcm In The Organisation’sCulture. Version 2007.3 October 2007 disponibleenhttp://www.thebci.org/GPG2008V1%20Section6.pdf

[8] Business Continuity Institute 2002.Understanding your business. Version BCI DJS 1.001/11/02. Disponible en:http://www.auckland.ac.nz/security/images/BCI%20GPG%20-%20Stage%201.pdf

[9] Business Continuity Institute 2002. Businesscontinuity management strategies. Version BCI DJS1.0 01/11/02. Disponible en:http://www.auckland.ac.nz/security/images/BCI%20GPG%20-%20Stage%202.pdf

[10] Business Continuity Institute 2002. Developand implement a Business continuity managementresponse. Version BCI DJS 1.0 01/11/02.Disponible en:http://www.auckland.ac.nz/security/images/BCI%2

0GPG%20-%20Stage%203.pdf

[11] Business Continuity Institute 2002. Buildingand embedding a business continuity managementculture. Versión BCI DJS 1.0 01/11/02. Disponibleen:http://www.auckland.ac.nz/security/images/BCI%20GPG%20-%20Stage%204.pdf

[12] Business Continuity Institute 2002. Exercising,maintenance and audit. Versión BCI DJS 1.0

01/11/02. Disponible en:http://www.auckland.ac.nz/security/images/BCI%20GPG%20-%20Stage%205.pdf

[13] Business Continuity Institute 2002. Businesscontinuity management programme Management .Version BCI DJS 1.0 01/11/02. Disponible en:http://www.auckland.ac.nz/security/images/BCI%20GPG%20-%20Stage%206.pdf



BS-25999

Página 12 de 12

[14] DRI International. Introduction/overview.2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Introduction.aspx

[15] DRI International. Project initiation &management. 2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Pro_01_Project.aspx

[16] DRI International. Risk evaluation & control.2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Pro_02.aspx

[17] DRI International. Business Impact Analysis.2004. disponible en:

http://www.drii.org/DRII/ProfessionalPractices/Pro_03.aspx

[18] DRI International. Developing businesscontinuity strategies. 2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Pro_04.aspx

[19] DRI International. Emergency response &operation. 2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Pro

_05.aspx

[20] DRI International. Developing & implementingBC plans. 2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Pro_06.aspx

[21] DRI International. Awareness & trainingprograms. 2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Pro_07.aspx

[22] DRI International. Maintaining & exercisingBC plans. 2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Pro_08.aspx

[23] DRI International. Crisis communication.2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Pro_09.aspx

[24] DRI International. Coordination with externalagencies. 2004. disponible en: http://www.drii.org/DRII/ProfessionalPractices/Pro_10.aspx

Documents

Articulo BS 25999 DEF1