bcm business continuity management, bs 25999, bci ... este tema se dio en japón, australia,...
Post on 28-May-2018
220 Views
Preview:
TRANSCRIPT
1
BCM Business continuity management, BS
25999, BCI (Business continuityinstitute)
Auditoria de Sistemas
Presentado a:
Ing. Carlos Hernán Gómez
Presentado por:
Jeferson Arango López
Cód. 1700620355
Universidad de Caldas
Ingeniería de Sistemas y Computación
Manizales
2010
2
CONTENIDO
CONTENIDO .........................................................................................................................2
INTRODUCCIÓN ...................................................................................................................3
MARCO TEORICO .................................................................................................................4
HISTORIA .............................................................................................................................5
DESCRIPCIÓN GENERAL .......................................................................................................6
DESARROLLO DE LA TEMÁTICA .............................................................................................7
BCM.................................................................................................................................7
Definición .....................................................................................................................7
Elementos Básicos del BCM .........................................................................................11
Análisis de Impacto del Negocio (BIA) ..........................................................................11
Desarrollo de Estrategias Para la Continuidad del Negocio. ...........................................12
Desarrollo e Implementación del BCM..........................................................................13
Mantenimiento y Ejercicio del BCM..............................................................................13
BS 25999 ........................................................................................................................17
¿Para quién es significativo? ........................................................................................17
El futuro .....................................................................................................................17
Ventajas .....................................................................................................................18
BCI.................................................................................................................................19
COMPARACIÓN CON COBIT .............................................................................................20
RESUMEN .........................................................................................................................21
CONCLUSIONES .................................................................................................................24
BIBLIOGRAFIA...................................................................................................................25
3
INTRODUCCIÓN
Las consecuencias que pueden traer a una empresa un desastre natural,
terrorismo, o cualquier evento que no se pueda plantear en un plan
estratégico, pueden causar la quiebra de la misma o la paralización.
Pues un evento de este nivel puede destruir la planta física, servidores
donde se guarda la información, etc.
Para evitar al máximo que estos eventos lleven a la empresa a una
situación de inestabi lidad económica o de producción, se debe cumplir
en la empresa con estándares de administración de continuidad del
negocio (BCM – Business Continuity Magnament). Estos estándares se
plasman en un plan de continuidad del negocio, este debe estar listo en
para entrar en acción en cualquier momento, ya que los eventos de
terrorismo ó naturales no dan aviso. Este plan en conjunto con seguros
puede convertirse en la carta de salvación de la empresa y así evitar su
cierre o caída en el mercado.
Implantando BCM de buena manera en la empresa, y cumpliendo con
sus normas según cada área de la empresa, puede llegar a revertir el
impacto negativo que puede provocar un evento de los antes
mencionados, pues si se tiene un buen plan se puede llegar a tomar
partido de la desgracia de otros y posicionarse de mejor manera en el
mercado después de la confusión provocada por el desastre (natural o
terrorismo).
A BCM se le unen algunos estándares que apoyan sus objetivos en cada
área de la empresa, como lo es el BS 25999, que trata a la continuidad
del negocio como un sistema de gestión. Esta norma a pesar de que no
está muy extendida a nivel mundial si lleva varios años de
funcionamiento con muy buenos resultados.
4
MARCO TEORICO
A pesar de lo poco extendida que está la norma BS 25999, no es
nueva, puesto que fue publicada en 2006 y 2007 respectivamente.
Consta de dos partes, la primera BS259991 propone un código
de buenas prácticas para la gestión de la continuidad de
negocio, mientras que la norma BS25999 propone especificaciones
para la implantación de SGCN (Sistema de Gestion de Continuidad del
Negocio).
El BCM, presenta un marco de referencia sistemático, basado en
traducir los objetivos empresariales en objetivos de mantenimiento,
que persiguen formular planes de vida de equipos y programas de
mantenimiento de planta, diseñando la organización respectiva y
estableciendo los sistemas apropiados de documentación y control.
Esta metodología propone una metodología de aproximación orientada
a optimizar los costos totales de mantenimiento en el ciclo de vida
asociado al equipamiento, en contraposición al proceso de adquisición
de activos limitado a consideraciones de performance y costo de capital.
5
HISTORIA
BCM fue visto en sus inicios como parte del sector de las TI, desarrollado por
organizaciones tales como el BCI y Survive a lo largo de 1980 y 1990 como
algunas de las mejores prácticas. El creciente conocimiento internacional
sobre este tema se dio en Japón, Australia, Singapur y Austria, todos por delante
del Reino Unido en la elaboración de guías o normas nacionales en este ámbito.
El BSI (British Standards Institute) publicó en 2006 la norma BS 259991, un
código de buenas prácticas dedicado a la gestión de la continuidad de negocio.
Para las empresas resulta cada vez más importante disponer de planes de
continuidad de negocio para que, en caso de un desastre o cualquier otro tipo de
interrupción, la inactividad de la organización sea reducida, y por el contrario
aprovechar estos momentos para que la empresa tome mayor posicionamiento.
El Instituto de Continuidad de Negocio (Business Continuity Institute, en adelante
BCI) fue establecido en 1994 con el objetivo de apoyar a sus socios y para orientar
los profesionales de la continuidad de negocio.
A través de su plan de certificación, el instituto proporciona a sus miembros un
estatus internacionalmente reconocido puesto que la afiliación profesional del BCI
demuestra la capacidad de sus miembros a llevar a cabo una gestión
de continuidad de negocio a un nivel muy elevado.
De manera más amplia, el papel del BCI consiste en promocionar las normas más
elevadas en materia de competencias profesionales y ética de las prestaciones y
del mantenimiento de servicios y planificación de la continuidad de negocios.
6
DESCRIPCIÓN GENERAL
La Gestión de la Continuidad del Negocio (BCM) Es el Proceso del Negocio,
responsable de gestionar el riesgo que puede tener un alto impacto en el Negocio.
BCM protege los intereses de los principales interesados, la reputación, la marca y
las actividades que aportan valor al Negocio. Los Procesos de BCM incluyen
reducir el Riesgo a un nivel aceptable y planificar el restablecimiento de los
Procesos de Negocio ante una situación. BCM establece los Objetivos, el ámbito y
los requerimientos para una gestión de la continuidad del servicio.
BS 25999 ha sido desarrollada por un amplio grupo de expertos de primera
categoría que constituyen una muestra representativa de sectores de la industria y
de la Administración para establecer el proceso, los principios y la terminología de la
gestión de continuidad de la actividad comercial. El estándar se basa en BCM (Plan
de Continuidad del Negocio), el BCM al ser implementado en una organización,
se le debe hacer un seguimiento para conocer la evolución permanente de los
procesos de la empresa, el BS 25999 proporciona una base para comprender,
desarrollar e implantar la continuidad de negocio en una. Asimismo, contiene un
conjunto exhaustivo de controles basados en las mejores prácticas de BCM y
abarca todo el ciclo de vida de la gestión de continuidad de negocio.
7
DESARROLLO DE LA TEMÁTICA
BCM
Definición
Business Continuity Management (BCM), o Administración de Continuidad del
Negocio, es una forma de actividad de administración de riesgos para evaluar y
cuando sea apropiado tratar el riesgo de una interrupción que pueda impedir u
obstaculizar que una organización pueda alcanzar sus objetivos estratégicos,
operacionales y de proyectos. En consecuencia, contribuye a hacer a las
organizaciones más resistentes y con mayor poder de recuperación y en
consecuencia puede brindar ventajas tácticas y estratégicas.
Un BCM eficaz requiere una profunda comprensión de los objetivos y entorno
operativo de la organización (incluyendo sus dependencias) para identificar las
fuentes de este tipo de riesgos y los mecanismos a través de los cuales pueda ser
perturbado el desarrollo de los objetivos de la organización. Tal comprensión permite
también a la organización realizar preparaciones anticipadas para minimizar los
efectos de lo que de otra forma serían eventos quebrantadores, particularmente
aquellos de una escala que (sin técnicas BCM) estarían fuera de la capacidad de los
enfoques administrativos de rutina para tratarlos con eficacia. Las preparaciones
tienen la intención de:
Una estabilización temprana.
Continuación o temprana reasunción de las operaciones, particularmente
aquellas que son más críticas para los objetivos de la organización.
Minimización y pronto recupero de los efectos adversos.
Detectar y aprovechar las oportunidades creadas por el evento.
Adicionalmente, el conocimiento profundo que provee el proceso BCM,
frecuentemente apuntará a medidas eficaces en costo que reducirán, ya sea la
magnitud o la probabilidad de eventos que pueden causar interrupciones. En
muchos casos será un medio más efectivo en costos y exitoso para asegurar la
continuidad del negocio implementar tales tratamientos, que lo que sería confiar en el
planeamiento contingente. Esto enfatiza la importancia de integrar la actividad de
BCM en la actividad global de administración de riesgos, y en consecuencia en los
sistemas de gobierno y administración de la organización.
8
Por esta razón, la metodología BCM sigue la metodología general de administración
de riesgos tal como se describe en la ISO 31000:2009 y está fuertemente focalizada
en los objetivos de la organización.
A raíz de los acontecimientos del 11-01, casi todos los requisitos BCM en la
reglamentación o las normas han sido mejorados o ampliados para hacer frente al
creciente número de amenazas, así como un enfoque en el liderazgo empresarial.
Un gran número de organizaciones se basan en una forma documentada de la
política de continuidad de negocio (PCN) para impulsarlo. Aunque el contenido y
el formato de las PCN son diferentes al basarse en las normas existentes y la
cultura de la organización, se recomiendan los siguinetes elementos clave para
impulsar este proceso hacia un nivel óptimo de madurez y preparación:
1- Rendición de cuentas: Nombres de los ejecutivos o directivos responsables
de la planificación del programa BCM y de ejecución, a fin de incluir la
responsabilidad de Los recursos y la estrategia en la toma de decisiones.
2- Funciones y responsabilidades: La política establece las funciones y
responsabilidades para todos los empleados en materia de planificación, así
como las actividades antes, durante y después del desastre.
3- Análisis: Establece la necesidad y las normas asociadas con las
evaluaciones de riesgos y análisis de impacto en el negocio (las piedras
angulares de los esfuerzos de planificación).
4- Parte legal, reglamentaria y contractuales de Evaluación:
Requiere la participación del abogado general de la organización en
el análisis de las autoridades federales, estatales y locales, así como
los requisitos de los clientes contractuales que afectan las estrategias de
continuidad de negocio.
5- Continuidad de Ejecución: Identifica las acciones específicas necesarias
para desarrollar estrategias de continuidad óptima de negocios que
cumplen con los requisitos de negocio, así como la forma en que la
organización tiene la intención de gestionar la crisis y las interrupciones de
negocio.
6- Continuidad del negocio Estrategia y Plan de Mantenimiento:
especifica las normas relativas a la revisión y mantenimiento de un análisis
de continuidad de negocio, las estrategias y documentación.
7- Participación de Auditoría Interna: Requiere la participación de la
auditoría interna en el proceso de planificación y / o la revisión del
cumplimiento de los requisitos establecidos en la política de BCM.
9
En conjunto, los elementos mencionados de una política de continuidad del
negocio ayudarán al equipo de planificación de una organización con los recursos
necesarios para gestionar eficazmente el programa de BCM.
Para la implementación del BCM en una organización se deben tener en cuenta
varios estados o fases que son necesarias para el funcionamiento eficaz y ágil de
las actividades en una empresa. Estas fases son:
Inicio y gestión del proyecto.
Evaluación y control del riesgo.
Análisis de impacto del negocio (BIA).
Desarrollo e implementación de BCM.
Programa de concientización y capacitación.
Mantenimiento y ejercicio del BCM.
Comunicación de crisis.
Coordinación con Autoridades públicas.
La realización del BCM en la organización traerá grandes ventajas como por
ejemplo:
Administrar la continuidad del negocio.
Resistencia del negocio ante interrupciones.
Protege y asegura la imagen de la empresa.
Abre nuevas oportunidades de mercado y ayuda a ganar nuevos
negocios.
Aumenta la disponibilidad del negocio.
La ejecución de una evaluación del riesgo:
La mayoría de las disciplinas de gestión del riesgo utilizan una evaluación de
riesgos para identificar y priorizar las amenazas. Dentro de BCM se utilizan una
gran variedad de procesos de gestión de riesgos, la mayoría identifican y priorizan
los riesgos utilizando una combinación de probabilidad e impacto. Además de la
probabilidad y la gravedad, otra característica que pueda tenerse en cuenta en el
esfuerzo de priorización es la detección de estos riesgos. Una diferencia
importante de las disciplinas de gestión de riesgos es que BCM evalúa los
riesgos relacionados teniendo en cuenta los controles de mitigación de los mismos.
10
Independientemente del proceso utilizado para dar prioridad a un proceso de
recopilación de datos, estos deben ser definidos para obtener información acerca de
la probabilidad, la gravedad y posiblemente la detección. Los datos pueden provenir
de una amplia variedad de fuentes. La investigación histórica y las
entrevistas son dos de los datos más eficaces en la reunión de técnicas
de evaluación de riesgos.
Las organizaciones suelen ofrecer liderazgo para el programa de continuidad
del negocio a través de tres funciones:
1- Patrocinio: suministrar o garantizar el apoyo organizativo y financiero.
2- La propiedad: la responsabilidad directa de garantizar el apoyo, así
como la ejecución del programa en general.
3- Custodia: la responsabilidad de la coordinación de las tareas BCM
que se ejecutan en toda la organización.
El patrocinio y la continuidad del negocio son funciones del programa el cual
continuará con una tendencia hacia los elementos de la organización con una
visibilidad de todo el negocio. Con base en estas tendencias, se ha elaborado una
lista de los patrocinadores y los propietarios en un orden decreciente de
efectividad:
Finanzas El director financiero, para incluir la gestión del riesgo o la
pérdida de la prevención.
Consejo Ejecutivo: Un miembro del equipo directivo, para incluir
el consejo general, director de recursos humanos o el gerente de
comunicaciones corporativas.
Operaciones: El director de operaciones, para incluir la seguridad
y el medio ambiente, salud.
Tecnología de la Información: El CIO o un informe directo de las
operaciones de centro de datos (algunas organizaciones tienen un
programa / oficina de gestión de proyectos, donde puede residir
BCM).
Auditoría Interna: El director de auditoría interna debe cumplir las
políticas de la continuidad de la empresa de negocios a través de la
ejecución descentralizada de los recursos dedicados o de auditoría
interna.
11
Un BCM involucra todos los recursos de la organización. Por lo cual con su
realización se podrán establecer estrategias que garanticen una continuidad del
negocio, buscando minimizar la dependencia directa con los proveedores de los
recursos con los que cuenta la empresa brindando una alta disponibilidad de los
servicios ofrecidos.
Elementos Básicos del BCM
La gestión de crisis el cual es un proceso diseñado para permitir una
respuesta eficaz a un evento. Los procesos de gestión de crisis se
centran en la estabilización de la situación y preparar la empresa para
las operaciones de recuperación.
Reanudación de Planificación de Negocios o Business Recovery
Planning, implica la recuperación de las funciones críticas de negocio y los
procesos que se refieren a la entrega de productos y servicios básicos a un
cliente.
La recuperación de desastres de TI se refiere a la recuperación de los
activos de TI críticos, incluidos los sistemas, aplicaciones, bases de datos,
y activos de almacenamiento de red.
Análisis de Impacto del Negocio (BIA).
Consiste en técnicas y metodologías que pueden ser usadas para identificar,
cuantificar y cualificar los impactos de negocio y sus efectos en una organización,
es necesario analizar el negocio como un todo.
El BIA tiene en cuenta el RTO y el RPO los cuales deben ser establecidos por la
organización. Están definidos como:
- RTO (Recovery Time Objetive): el tiempo entre el punto de interrupción y el
punto en el cual los sistemas sensibles en el tiempo deben estar
funcionando nuevamente.
12
- RPO (Recover Point Objetive): es el punto en el cual fueron
interrumpidas las actividades del sistema.
El BIA se encarga de identificar las actividades de misión critica de la
organización, sus dependencias y sus puntos de fallas así como analizar el
impacto y el efecto que se generaría en caso de la perdida e interrupción de las
actividades de misión critica.
El análisis de impacto del negocio posee unos determinados componentes clave
- Cuestionarios de autoevaluación.
- Listas de comprobación.
- Matriz de análisis de impacto del negocio.
Después de realizado el BIA, se obtendrán como resultados, la identificación y
documentación de lo siguiente:
- Objetivos y salidas.
- Actividades de misión critica, dependencias y puntos de fallas.
- Impactos y efectos financieros y no financieros.
- Objetivos del BCM para cada actividad de misión crítica
y sus dependencias.
- Priorización mínima y aceptable de la recuperación de los recursos.
- Revisión de los datos vitales.
- Usuarios y clientes clave.
- Proveedores.
Desarrollo de Estrategias Para la Continuidad del Negocio.
Consiste en identificar las alternativas de recuperación de las operaciones en los
marcos de tiempo definidos.
El desarrollo de las estrategias involucra los siguientes aspectos:
- Identificar los requerimientos de continuidad de la organización.
- Evaluar la compatibilidad de las estrategias contra los resultados del BIA.
- Presentar el análisis costo / beneficio de las estrategias de continuidad.
- Seleccionar los sitios alternos y almacenamiento externo.
- Entender los términos contractuales de los servicios de continuidad del
negocio.
13
Desarrollo e Implementación del BCM.
Se involucra el diseño, desarrollo e implementación de planes de continuidad
del negocio para evitar interrupciones de acuerdo a los marcos establecidos
por RTO y RPO. La implementación de BCM incluye:
Identificar los requerimientos para el desarrollo de los planes.
Definir requerimientos de control y administración de la continuidad.
Identificar y definir la estructura principal de los componentes de los
plantes.
Elaborar un borrador de los planes.
Definir procedimientos de gestión de crisis y continuidad del negocio.
Definir las estrategias de evaluación de daños y reanudación.
Desarrollar una introducción general a los planes.
Desarrollar la documentación de los equipos de operación del negocio y
la recuperación tecnológica de la información.
Desarrollar el sistema de comunicaciones y los planes de los
usuarios finales.
Implementar planes.
Establecer los procedimientos de control y distribución de los planes.
Las organizaciones siempre tienen que estar sujetas a cambios, aunque por lo
general estos al realizar los cambios hay un porcentaje de resistencia al cambio
relacionado con el personal, para esto es necesario que la organización prepare a
sus empleados logrando minimizar la resistencia y obteniendo mejores situaciones
creando cultura y aceptación.
Este proceso de adaptación es necesario que se realice en toda la organización
logrando aumentar la resistencia ante riesgos.
Mantenimiento y Ejercicio del BCM
Una vez declaradas y documentadas las estrategias y planes, que contribuyen al
proceso de normalización ante una situación de crisis, es necesario realizar
pruebas para determinar la eficacia con la que puede continuar el negocio ante la
presencia de una posible interrupción.
14
Los propósitos de realizar el ejercicio son evaluar y permitir el continuo
mejoramiento del BCM en la organización y permitiendo evaluar y mejorar la
capacidad de competencia ante la gestión de crisis, para la realización del ejercicio
se pueden determinar varios aspectos los cuales se listan a continuación:
Identificar el nivel de madures del BCM de la organización.
Verificación y validación de la continuidad del negocio y los planes
de gestión de crisis.
Verificación y validación en la gestión de crisis de la organización.
Verificación y validación de que los miembros y el personal se
familiaricen con el entendimiento de los roles, responsabilidades y
autoridades en la operación de la continuidad del negocio.
Adaptación, involucrando individuos usando la continuidad del negocio y
los planes de gestión de crisis.
Familiarización de los miembros del equipo y el personal con sus
roles, responsabilidad y autoridad en la operación de la continuidad del
negocio.
Pruebas técnicas, logísticas, de administración y otras de
sistemas operacionales de continuidad del negocio y planes de gestión de
crisis.
Centros de comando, aéreas de trabajo, recursos de recuperación
de tecnología y telecomunicaciones.
Ensayo de la disponibilidad y traslado del personal.
Disposición de mecanismos para reforzar la continuidad del
negocio, auditoria y mantenimiento de la gestión de crisis.
Documentar resultados.
Incrementar la cultura de los procedimientos de conciencia y el
significado de BCM.
Oportunidad de identificar defectos y mejoras de la organización del
BCM y administración de crisis.
Documentación y evaluación del ejercicio.
Para lograr estos objetivos es necesario seguir un proceso en la elaboración de
una prueba, es necesario establecer directores de cada área de la
organización, luego se planifican los escenarios en los cuales se va a llevar a cabo
las pruebas. Estas pruebas deben tener un grupo de administración, logística,
recursos, listas de verificación y estructura, se documentará el ejercicio junto con la
información de los participantes, se procederá a la realización del ejercicio luego se
15
evaluara y se hará un análisis de los resultados con el objetivo de tenerlos en cuenta
en pruebas posteriores junto con sus recomendaciones.
En el proceso de mantenimiento se asegura que la gestión de continuidad del
negocio incluyendo la gestión de crisis permanezca efectivo, con el objetivo de ser
capaz de lograr la recuperación de actividades de misión critica y sus
dependencias dentro de los objetivos de tiempo de recuperación y los objetivos
de punto de recuperación asegurando una continuidad de sus servicios y
productos.
Con la realización del BCM se puede obtener lo siguiente:
Pruebas definidas y documentadas para la gestión y gobierno pro activo
del programa de mantenimiento y monitoreo del BCM respecto a
actividades de misión critica y sus dependencias.
Detalles de todos los cambios de estrategias del BCM y planes de
continuidad de negocio documentados con toda la historia de entregas
y detalles de control de versiones.
Verificación y validación de políticas, estrategias y planes BCM.
Identificación e inclusión de cambios en los sistemas y procesos de
la organización.
Identificación e inclusión de cambios en la legislación y regulación
para la industria.
Verificación y validación de análisis de impacto y riesgos basados en
las estrategias y planes BCM.
Verificación y validación que las estrategias y planes BCM son
actualizados, precios.
Verificación y validación que la capacidad del BCM sean actualizados.
Verificación y validación que los planes de continuidad de negocio sigan
una secuencia lógica, formato, estructura conforme a las
directrices y estándares de buenas prácticas.
Verificación y validación que los cambios de procedimiento y procesos
son puestos.
Verificación y validación que el personal tiene entendido los
roles de responsabilidad y le es claro el plan BCM.
Los resultados que se obtendrán con el proceso de mantenimiento son de gran
utilidad para la organización, previniendo que los documentos realizados
queden obsoletos con el paso de los años. Para realizarlo es necesario tener
una clara definición y documentación del programa de mantenimiento y monitoreo
monitoreo, incluyendo políticas, marcos y procesos así como la estrategia de
negocio operacional. El proceso de mantenimiento requiere de un subconjunto de
procesos de auditoría.
16
Luego de los procesos de ejercicio y mantenimiento sigue un proceso de auditoría
que se hace necesaria en cualquier proceso al interior de la organización. El
propósito de la auditoria en la gestión de continuidad de negocio es revisar los
estándares del BCM identificando defectos y dificultades.
La auditoria revisara varios aspectos en la organización algunos de ellos son:
Resistencia (aplicación de planes y estrategias en crisis).
Políticas, estrategias, marcos y planes.
El BCM es competente de acuerdo al propósito.
Los planes y soluciones son efectivos y actualizados de acuerdo
al propósito.
Implementar programas.
Documentar el control, procesos y procedimientos operando
efectivamente.
Para obtener buenos resultados en el proceso de auditoría se deben seguir
métodos y/o técnicas que optimicen este proceso. Algunas técnicas y /o
metodologías que se nombran son: auto evaluación, auditoria forense,
cumplimiento de auditoría, diligencia auditoria, viabilidad de auditoría, control
de auditoría, mejor valor auditado. Con el seguimiento de estas técnicas y la
ayuda de los responsables, el proceso de auditoría podrá cumplir su propósito y
así dar un informe para la organización en el cual se presenten los resultados de
los procesos auditados.
Se propone desarrollar, coordinar, evaluar y ejercitar planes para comunicarlos
a directivos, personal, usuarios, proveedores y medios de comunicación, de tal
forma que el entorno de la organización se entere de su estado y en caso de crisis
poder reaccionar de forma adecuada para minimizar los costos de interrupción de
los procesos internos.
Se requiere que la organización tenga una clara definición y documentación de las
políticas a implementar como un documento obligatorio en la organización.
En este proceso la organización observara los resultados en la mejoría de los
procesos de toda su organización, teniendo en cuenta que las políticas están
dirigidas a la organización como un todo.
17
BS 25999
La continuidad de la actividad en caso de una interrupción, ya sea debido a un
siniestro o catástrofe importante o bien debido a un incidente menor, es un requisito
fundamental para cualquier organización. BS 25999, la primera norma británica del
mundo para la gestión de continuidad de la actividad comercial (BCM), se ha
concebido para ayudar a minimizar el riesgo de interrupciones de estas
características.
La norma ayuda a establecer las bases de un sistema BCM y se ha concebido para
mantener en marcha las actividades durante las circunstancias más inesperadas y
desafiantes: protege a los empleados, su reputación y proporciona la capacidad de
continuar con la actividad y el comercio.
BS 25999 ha sido desarrollada por un amplio grupo de expertos de primera
categoría que constituyen una muestra representativa de sectores de la industria y
del Estado para establecer el proceso, los principios y la terminología de la gestión
de continuidad de la actividad comercial.
Proporciona una base para comprender, desarrollar e implantar la continuidad de la
actividad comercial en una organización y otorga confianza en los negocios de
empresa a empresa y de empresa a cliente. Asi mismo, contiene un conjunto
exhaustivo de controles basados en las mejores prácticas de BCM y abarca todo el
ciclo de vida de la gestión de continuidad de la actividad comercial.
¿Para quién es significativo?
BS 25999 es una norma adecuada para toda organización, grande o pequeña, de
cualquier sector. Es especialmente apropiada para organizaciones que operan en
entornos de alto riesgo, como las finanzas, telecomunicaciones, transporte y el
sector público, donde la capacidad de continuar la actividad comercial es primordial
para la organización en sí, así como para sus clientes y partes interesadas.
El futuro
BS 25999 se está desarrollando en dos partes: la parte 1, el código profesional, ya
está publicada y la parte 2, la especificación, está prevista para publicarse a
mediados de 2007. La norma de especificación detallará los requisitos para los
sistemas de gestión de continuidad de la actividad comercial y será auditable, de
modo que las organizaciones podrán demostrar la conformidad con la norma. El
hecho de obtener un certificado para la especificación procedente de un tercero
independiente, como BSI Management Systems, se convertirá en la garantía
definitiva de que se cumple con las mejores prácticas de BCM.
18
Ventajas
Las ventajas de BS 25999 son muchas particularmente cuando se trata de la
certificación de BSI.
Estructura
Provee una estructura consistente, basada en una mejor práctica, para
administrar la continuidad del negocio.
Resilencia
Proactivamente incrementa la resiliencia (capacidad de proyectarse en un
futuro) cuando se enfrenta con una interrupción de la capacidad de alcanzar
los objetivos clave.
Reputación
Ayuda a proteger y asegurar su reputación e imagen
Ventaja competitiva
Abre nuevas oportunidades de mercado y ayuda a ganar nuevos negocios.
Gana más contratos-costo efectivo
Provee una mercadotecnia fuerte y usando la certificación puede ayudarle a
reducir los costos.
Mejora del negocio
La certificación requiere de un claro entendimiento de su organización que
puede identificar las oportunidades y puntos de mejorar.
Mejora continua
El proceso de certificación involucra auditorías continuas que garantizan que
su sistema de gestión está siendo actualizado.
Cumplimiento
Demuestra que las leyes aplicables y regulaciones siempre son tomadas en
cuentas
Reducir costos
Crea oportunidades para reducir costos de auditoría de su Sistema de
Continudad del negocio (BCM) y reduciendo también los costos de pólizas
de seguros.
Capacidad de recuperación
Mejora de forma proactiva la capacidad de recuperación al enfrentarse a
una interrupción de la aptitud de alcanzar los objetivos clave.
Entrega
Proporciona un método ensayado para restablecer la capacidad de
suministrar productos y prestar servicios de importancia fundamental con un
nivel y en un plazo acordados después de la interrupción.
19
Gestión
Aporta la capacidad comprobada para gestionar una interrupción y proteger
la reputación y la marca.
BCI
El Instituto de Continuidad de Negocio (Business Continuity Institute) fue establecido
en 1994 con el objetivo de apoyar a sus socios y para orientar los profesionales de la
continuidad de negocio.
A través de su plan de certificación, el instituto proporciona a sus miembros un
estatus internacionalmente reconocido puesto que la afiliación profesional del BCI
demuestra la capacidad de sus miembros a llevar a cabo una gestión de continuidad
de negocio a un nivel muy elevado.
De manera más amplia, el papel del BCI consiste en promocionar las normas más
elevadas en materia de competencias profesionales y ética de las prestaciones y del
mantenimiento de servicios y planificación de la continuidad de negocios.
El papel más amplio de la Asociación de BCI es el de promover los más altos
estándares de competencia profesional y la ética comercial en el suministro y
mantenimiento de la planificación de continuidad de negocio y servicios.
El BCI es en el mundo el instituto de BCM más importante y su nombre es
reconocido como referente para una buena práctica y profesionalismo.
20
COMPARACIÓN CON COBIT
COBIT (Control Objectives for Information Systems and related Technology) es un
modelo para auditar la gestión y control de los sistemas de información y tecnología,
orientado a todos los sectores de una organización, es decir, administradores IT,
usuarios y por supuesto, los auditores involucrados en el proceso, evaluando los
requerimientos del negocio, los recursos y procesos IT desde una perspectiva de
negocios. Es decir, controla procesos internos de la empresa que tengan que ver
con TI, mientras que BCM se dedica a velar por las estrategias que se pueden llevar
a cabo para seguir con la operación de la empresa después de un evento
catastrófico que pueda poner en riesgo la sostenibilidad de la misma tanto en la parte
física como económica.
21
RESUMEN
BCM
Business Continuity Management (BCM), o Administración de Continuidad del
Negocio, es una forma de actividad de administración de riesgos para evaluar y
cuando sea apropiado tratar el riesgo de una interrupción que pueda impedir u
obstaculizar que una organización pueda alcanzar sus objetivos estratégicos,
operacionales y de proyectos. En consecuencia, contribuye a hacer a las
organizaciones más resistentes y con mayor poder de recuperación y en
consecuencia puede brindar ventajas tácticas y estratégicas.
Un BCM eficaz requiere una profunda comprensión de los objetivos y entorno
operativo de la organización (incluyendo sus dependencias) para identificar las
fuentes de este tipo de riesgos y los mecanismos a través de los cuales pueda ser
perturbado el desarrollo de los objetivos de la organización. Tal comprensión permite
también a la organización realizar preparaciones anticipadas para minimizar los
efectos de lo que de otra forma serían eventos quebrantadores, particularmente
aquellos de una escala que (sin técnicas BCM) estarían fuera de la capacidad de los
enfoques administrativos de rutina para tratarlos con eficacia. Las preparaciones
tienen la intención de:
Una estabilización temprana.
Continuación o temprana reasunción de las operaciones, particularmente
aquellas que son más críticas para los objetivos de la organización.
Minimización y pronto recupero de los efectos adversos.
Detectar y aprovechar las oportunidades creadas por el evento.
Adicionalmente, el conocimiento profundo que provee el proceso BCM,
frecuentemente apuntará a medidas eficaces en costo que reducirán, ya sea la
magnitud o la probabilidad de eventos que pueden causar interrupciones. En
muchos casos será un medio más efectivo en costos y exitoso para asegurar la
continuidad del negocio implementar tales tratamientos, que lo que sería confiar en el
planeamiento contingente. Esto enfatiza la importancia de integrar la actividad de
BCM en la actividad global de administración de riesgos, y en consecuencia en los
sistemas de gobierno y administración de la organización.
Por esta razón, la metodología BCM sigue la metodología general de administración
de riesgos tal como se describe en la ISO 31000:2009 y está fuertemente focalizada
en los objetivos de la organización.
22
A raíz de los acontecimientos del 11-01, casi todos los requisitos BCM en la
reglamentación o las normas han sido mejorados o ampliados para hacer frente al
creciente número de amenazas, así como un enfoque en el liderazgo empresarial.
La realización del BCM en la organización traerá grandes ventajas como por
ejemplo:
Administrar la continuidad del negocio.
Resistencia del negocio ante interrupciones.
Protege y asegura la imagen de la empresa.
Abre nuevas oportunidades de mercado y ayuda a ganar nuevos
negocios.
Aumenta la disponibilidad del negocio.
Elementos Básicos del BCM
La gestión de crisis el cual es un proceso diseñado para permitir una
respuesta eficaz a un evento. Los procesos de gestión de crisis se
centran en la estabilización de la situación y preparar la empresa para
las operaciones de recuperación.
Reanudación de Planificación de Negocios o Business Recovery
Planning, implica la recuperación de las funciones críticas de negocio y los
procesos que se refieren a la entrega de productos y servicios básicos a un
cliente.
La recuperación de desastres de TI se refiere a la recuperación de los
activos de TI críticos, incluidos los sistemas, aplicaciones, bases de datos,
y activos de almacenamiento de red.
BS 25999
La continuidad de la actividad en caso de una interrupción, ya sea debido a un
siniestro o catástrofe importante o bien debido a un incidente menor, es un requisito
fundamental para cualquier organización. BS 25999, la primera norma británica del
mundo para la gestión de continuidad de la actividad comercial (BCM), se ha
concebido para ayudar a minimizar el riesgo de interrupciones de estas
características.
¿Para quién es significativo?
BS 25999 es una norma adecuada para toda organización, grande o pequeña, de
cualquier sector. Es especialmente apropiada para organizaciones que operan en
23
entornos de alto riesgo, como las finanzas, telecomunicaciones, transporte y el
sector público, donde la capacidad de continuar la actividad comercial es primordial
para la organización en sí, así como para sus clientes y partes interesadas.
El futuro
BS 25999 se está desarrollando en dos partes: la parte 1, el código profesional, ya
está publicada y la parte 2, la especificación, está prevista para publicarse a
mediados de 2007. La norma de especificación detallará los requisitos para los
sistemas de gestión de continuidad de la actividad comercial y será auditable, de
modo que las organizaciones podrán demostrar la conformidad con la norma. El
hecho de obtener un certificado para la especificación procedente de un tercero
independiente, como BSI Management Systems, se convertirá en la garantía
definitiva de que se cumple con las mejores prácticas de BCM.
BCI
El Instituto de Continuidad de Negocio (Business Continuity Institute) fue establecido
en 1994 con el objetivo de apoyar a sus socios y para orientar los profesionales de la
continuidad de negocio.
A través de su plan de certificación, el instituto proporciona a sus miembros un
estatus internacionalmente reconocido puesto que la afiliación profesional del BCI
demuestra la capacidad de sus miembros a llevar a cabo una gestión de continuidad
de negocio a un nivel muy elevado.
De manera más amplia, el papel del BCI consiste en promocionar las normas más
elevadas en materia de competencias profesionales y ética de las prestaciones y del
mantenimiento de servicios y planificación de la continuidad de negocios.
El papel más amplio de la Asociación de BCI es el de promover los más altos
estándares de competencia profesional y la ética comercial en el suministro y
mantenimiento de la planificación de continuidad de negocio y servicios.
El BCI es en el mundo el instituto de BCM más importante y su nombre es
reconocido como referente para una buena práctica y profesionalismo.
24
CONCLUSIONES
- No siempre la empresa con la mejor producción, las mejores ventas, etc. Es
la que tiene un futuro prometedor, pues si no tiene implementado BCM de un
momento a otro todas estas buenas características se pueden ir al piso.
- Las empresas deben pensar además de su plan estratégico y de negocios en
un plan de continuidad del negocio, siendo este de alta importancia en la
proyección futura de la misma.
- No siempre de un desastre puede salir cosas malas, pues una empresa que
tenga un buen plan de continuidad de negocio puede aprovechar esta
situación para posicionarse de mejor manera en el mercado, demostrando su
fortaleza para afrontar estas situaciones.
25
BIBLIOGRAFIA
BSI Mexico. BS 25999 Continuidad del Negocio [en línea]. Disponible en
http://www.bsigroup.com.mx/es-mx/Auditoria-y-Certi ficacion/Sistemas-de-
Gestion/Normas-y-estandares/BS-25999/.
Business Continuity Insti tute. Promoting the art science of business
continuity magnament world wide [en línea]. Disponible en
http://www.thebci.org/
TOMKINSON, ANDY. La BS 25999 y otras normas de la continuidad de los
negocios [en línea]. IRCA ezine Inform, abril. 2009. [citado 27 de marzo
de 2010]. Disponible en [http://spain.irca.org/inform/issue19/LBird.html].
Provide by Proviti . Guide to business Continuity Management [en línea].
knowledgeLeader, octubre 23, 2006. [Citado 27 de marzo de 2010].
Disponible en
[http://www.knowledgeleader.com/KnowledgeLeader/content.nsf/Web+Cont
ent/WhitePapersArticlesBCMFAQGuide!OpenDocument] .
Etek. El modelo COBIT para auditoría y control de sistemas de información
[en línea]. channelPlanet, febrero 07 de 2005. [Citado 27 de marzo de
2010]. Disponible en [http://www.channelplanet.com/index.php?
idcategoria=13932].
top related