Gestión de la Continuidad del negocio

BS 25999BCI

Andrés Felipe Serna Zuluaga

BCM (Gestión de continuidad del negocio)La continuidad del servicio involucra

capacidades estratégicas y tácticas, preaprobadas por la dirección de una organización, para responder a incidentes e interrupciones del servicio con el fin de poder continuar con sus operaciones a un nivel aceptable previamente definido

Es importante disponer de planes que garantice la continuidad del negocio ante desastres ya sean de origen internos o por factores externos, puesto que estos permiten minimizar el impacto sobre la organización y permite recuperarse de las pérdidas en un tiempo razonable.

Por qué implementar planes de continuidad?

Atentados Terroristas

Desastres ambientales

Actualmente existen normas para abordar esta tarea de forma metódica, documentada y basada en unos objetivos claros de seguridad, entre las normas existentes están la británica BS 25999, la ISO 27002, ISO 27006, el proceso “DS4 – Asegurar la continuidad del servicio” del dominio “Entregar y Dar soporte” del estándar Cobit, que permiten incluir controles para identificar y reducir los riesgos.

Cómo se gestiona la continuidad del Negocio?

Programa de GCN

• Política de continuidad del negocio• Estructura organizacional• Roles y responsabilidades• Competencias• Control documental

Entender la organización

• Identificar los objetivos de la organización • Identificar las actividades, activos y recursos

que soportan la entrega de productos y servicios.

• Relaciones e interdependencias de los procesos y recursos.

• Identificar y evaluar las potenciales amenazas que podrían causar interrupciones.

elementos claves:• Análisis de Impacto al Negocio (BIA)– MTPOD (Máximo Periodo de Interrupción

Tolerable)– RTO( Tiempo de recuperación objetivo)– RPO (Punto de recuperación objetivo)

• Análisis de Riesgos

Determinar la estrategia de GCN

La estrategia para la continuidad o recuperación de las actividades dependerá del periodo máximo tolerable de interrupción, el coste de implementar medidas y las consecuencias de no llevar a cabo ninguna acción.

• acciones para reducir la probabilidad de incidentes

• acciones para reducir efecto de incidentesLas estrategias deben definirse a nivel de los

diferentes recursos:-Personas-Instalaciones-Tecnología-Información-Suministros

Desarrollar e implantar la respuesta

• Plan de continuidad del negocio– Acciones a tomar– Requerimientos de recursos– Responsabilidades

Probar, Mantener y RevisarEs necesario realizar pruebas para determinar

la eficacia con la que puede continuar el negocio ante la presencia de una posible interrupción.

Los propósitos de realizar el ejercicio son evaluar y permitir el continuo mejoramiento del BCM en la organización y permitiendo evaluar y mejorar la capacidad de competencia ante la gestión de crisis

Implantación de GCN en la culturaorganizacional

Factores críticos de éxito• Definición de reservas para atención de

incidentes• Programa de concientización continuo• Ejecución de pruebas unitarias e integrales• Actualización• Auditoría• Control documental

BS 25999

El estándar BS 25999 se basa en BCM, este proporciona una base para comprender, desarrollar e implantar la continuidad de negocio. De igual forma, contiene un conjunto exhaustivo de controles basados en las mejores prácticas y abarca todo el ciclo de vida de la gestión de continuidad de negocio.

BS 25999-1 2006 es un código de prácticas establece el proceso, los principios y la terminología de la gestión de la continuidad del negocio. proporciona una base para entender, desarrollar e implementar la continuidad del negocio dentro de una organización

en la norma BS 25999-2 se especifican requisitos genéricos y pretende que sean aplicables a todas las organizaciones, independientemente del tipo, tamaño y naturaleza del negocio.

• El BS 25999-2 puede ser utilizado por las partes internas y externas, incluyendo organismos de certificación, para evaluar la capacidad de una organización para satisfacer sus propias necesidades de continuidad de negocio, así como cualquier cliente, las necesidades legales o reglamentarias.

• BCI es el Instituto que proporciona reconocimiento internacional y competencia para llevar a cabo la gestión de continuidad del negocio a un alto nivel.