• (0)
    ISO-27001-ISO-22301-blog

    Blog de ISO 27001 e ISO 22301

    Lista de apoyo para implementación de la norma BS 25999-2

    ¿Su gerencia le ha asignado la tarea de implementar la continuidad del negocio pero usted no sabe muy bien cómo hacerlo? Aunque no se trata de una tarea sencilla, puede utilizar la metodología de la norma BS 25999-2 para facilitar las cosas. Los siguientes son los pasos principales que necesita seguir para implementar esta norma:

    1. Obtener el apoyo de la dirección

    Si bien no es un paso obligatorio de la norma BS 25999-2, sí se trata de un paso crucial al inicio: si la dirección no comprende los beneficios de la continuidad del negocio y no se compromete con el proyecto, lo más probable es que su proyecto fracase.

    2. Tomarlo como un proyecto

    La creación de su sistema de gestión de la continuidad del negocio (SGCN) le demandará bastante tiempo y recursos ya que debe definir claramente qué se necesita hacer, dentro de qué plazos y cuáles son las funciones en la implementación del proyecto. En otras palabras, debe aplicar métodos de gestión de proyectos.

    3. Definir objetivos y alcance; redactar una Política de GCN

    Debe definir qué es lo que usted desea lograr con el SGCN; es decir, cumplir, disminuir el nivel de riesgo, requisitos de sus clientes o socios, etc. También debe definir qué incluirá en su SGCN, si a toda la organización o solamente a una parte. Por ejemplo, puede decidir que incluirá sólo el centro de datos si usted suministra servicios de alojamiento a sus clientes. Todo esto tiene que estar documentado en la Política de GCN.


    4. Definir las funciones y las responsabilidades para el SGCN

    Como el SGCN se convertirá en una actividad permanente en su organización, es necesario asignar responsabilidades precisas, especialmente para el “promotor” del SGCN (alguien que sea responsable por el SGCN pero que no esté involucrado en las actividades diarias del mismo) y para el “coordinador de GCN”, “gerente de GCN” o similar (una o más personas con tareas activas relacionadas con el SGCN). Lo mejor es documentar estas funciones y responsabilidades en su Política de GCN.

    5. Implementar procedimientos obligatorios

    La norma BS 25999-2 requiere que se implementen los siguientes cuatro procedimientos obligatorios: control de documentos y registros, auditoría interna, medidas preventivas y correctivas. Estos procedimientos son, en realidad, la base de su sistema de gestión, igual que con las normas ISO 27001 o ISO 9001.

    6. Realizar un análisis de impactos en el negocio y evaluación de riesgos

    Mediante el análisis de impactos en el negocio usted debe identificar las actividades críticas, su período máximo tolerable de interrupción, sus dependencias (incluidas las dependencias con proveedores y socios externos) y debe establecer objetivos de tiempo de recuperación.

    Al realizar la evaluación de riesgos encontrará realmente cuáles pueden ser las causas de interrupción de sus actividades críticas; pueden ser naturales pero también puede tratarse de actividades realizadas por personas (ya sea en forma maliciosa o accidental). También tendrá que llevar a cabo el tratamiento de riesgos, que implica que debe decidir cómo disminuir la posibilidad de que algo funcione mal. Desafortunadamente, la evaluación y el tratamiento de riesgos no están muy bien definidos en esta norma; por lo tanto, podría consultar la norma ISO 27001, que los describe mucho más detalladamente.

    7. Determinar la estrategia de continuidad del negocio

    Antes de continuar con la redacción de planes de continuidad del negocio, en realidad debe determinar qué recursos necesitará para retomar sus actividades críticas: qué empleados, ubicaciones, datos, hardware, software, proveedores, socios externos, etc.

    La estrategia de continuidad del negocio no sólo debe determinar lo que usted necesita, sino también cómo hará para asegurar esos recursos.

    8. Desarrollar planes de gestión de incidentes y planes de continuidad del negocio

    El objetivo de los planes de gestión de incidentes es describir cómo se responderá directamente ante la ocurrencia de un incidente (por ej., incendio, terremoto, amenaza de bomba, corte de electricidad, etc.) para evitar que se agrande y para intentar disminuir sus efectos directos.

    Por otro lado, el objetivo de los planes de continuidad del negocio es describir cómo se recuperarán las actividades críticas, cómo se harán funcionar conjuntamente todos los recursos que se han preparado. Esto quiere decir que es necesario detallar quién hará qué cosa, en qué plazo, utilizando qué datos y tecnología, para poner nuevamente a su organización en funcionamiento.

    Todos esto planes tienen ser redactados detalladamente porque deben ser ejecutados aún en el caso que los principales empleados no se encuentren disponibles; por lo tanto, es necesario redactarlos de tal forma que otra persona pueda ejecutarlos.

    9. Capacitación y concienciación

    Necesita definir el nivel de competencias necesario para la ejecución de los planes de continuidad del negocio ante el caso de una interrupción y, luego, debe capacitar a todo el personal (tanto empleados como socios externos) para llegar a este nivel de competencias.

    Sin embargo, esto no es suficiente. También debe explicarle a su personal por qué es necesaria la GCN. Aceptémoslo, sus planes de continuidad del negocio se utilizarán, con suerte, una única vez; por lo tanto, la mayoría de las personas lo consideran una pérdida de tiempo. Por eso, debe explicarles por qué debe existir esta planificación. (Consultar Cómo abordar a quienes no creen en la GCN)

    10. Ensayo de GCN

    Si piensa que ha redactado los planes de manera perfecta, probablemente se equivoque. Es casi imposible redactar un plan sin errores en el primer intento. Por eso resulta obligatorio ensayar parte del SGCN; debe verificar sus planes en una situación que, más o menos, se asemeje a una interrupción real. Solamente allí podrá determinar qué planificó correctamente y qué no.

    11. Mantenimiento y revisión del SGCN

    Otra forma de mantener actualizado su SGCN es definiendo intervalos en los que revisará sus planes de continuidad del negocio, pero también otras cuestiones (por ej., contratos con proveedores y socios externos, capacitación y concienciación, etc.). Existe toda clase de cambios en el entorno que amenazan con hacer obsoleta su documentación: es suficiente que un empleado abandone la empresa para tener un número telefónico inservible en un plan si esa persona cumplía una función en el SGCN.

    S i se produjo un incidente real, también es obligatorio realizar revisiones después de ocurrido el mismo para ver cómo reaccionó la organización, si siguió los planes o no.

    12. Auditoría interna

    El objetivo de la auditoría interna es averiguar si hay algo que se está haciendo mal, de manera objetiva. El auditor debe ser una persona que pueda descubrir si algo se hace mal dentro de su SGCN para poder corregirlo. Si se realiza correctamente, la auditoría interna puede ser una de las mejores formas para mejorar su SGCN. (Leer Dilemas con los auditores internos de las normas ISO 27001 y BS 25999-2)

    13. Revisión por parte de la dirección

    Como se mencionó anteriormente, es muy importante que la dirección se involucre en el proyecto. La revisión por parte de la dirección está diseñada justamente para eso. La norma requiere que la dirección examine todos los hechos importantes sobre la GCN y que decida si ha cumplido su objetivo. Una vez que está hecha, la dirección debe decidir qué mejoras se deben implementar.

    14. Medidas preventivas y correctivas

    Lo mejor sería evitar que se produzcan errores (o, en términos de BS 25999-2, las “no conformidades”); para esto es que se utilizan las medidas preventivas, representan una forma sistemática de corregir las cosas antes de que generen problemas. Similares a las medidas preventivas, también hay medidas correctivas que solucionan los problemas que ya se han producido.

    Ahora la pregunta es ¿por qué usaría usted la norma BS 25999-2? Aunque (todavía) no es una norma internacional, es la norma más reconocida a nivel mundial para la continuidad del negocio. Los pasos mencionados arriba están diseñados por los mejores especialistas en este tema. Por eso, si desea implementar las prácticas más aceptadas para continuidad del negocio, no busque más.

    Aquí puede descargar el diagrama del proceso de implementación de la norma BS 25999-2 que muestra todos estos pasos junto con la documentación requerida (requiere inscripción).

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan tiene varias certificaciones, entre las que se incluyen la de Consultor certificado en gestión, Auditor principal para ISO 27001, Auditor principal para ISO 9001 y Profesional asociado en gestión de la continuidad del negocio. Dejan lidera nuestro equipo a través de la gestión de varios sitios web especializados que brindan apoyo a profesionales de TI y de ISO para comprender e implementar con éxito las principales normas internacionales. Dejan cuenta con un Máster de Gestión Empresarial (MBA) de Henley Management College y posee amplia experiencia en inversiones, seguros y bancos. Es conocido por su experiencia en normas internacionales para continuidad del negocio y seguridad de la información (ISO 22301 e ISO 27001) y por la creación de diversos tutoriales Web, paquetes de documentación y libros sobre los mismos temas.