Conjunto de plantillas de documentación para la implementación de ciberseguridad conforme a ISO 22301.
Conjunto de plantillas de documentación para la implementación de la continuidad del negocio conforme a ISO 22301.
Software de cumplimiento todo en uno que haráel 90% del trabajo por usted y pondráen piloto automático el cumplimiento de ISO 27001.
Para principiantes: aprenda la estructura del estándar y los pasos para su implementación.
Para auditores internos: Conozca el estándar + cómo planificar y realizar la auditoría.
Para consultores: aprenda a ejecutar proyectos de implementación.
Para auditores y consultores: aprenda a realizar una auditoría de certificación.
Explicación sencilla pero detallada de ISO 27001.
Descargue de forma gratuita libros blancos, listas de verificación, plantillas y diagramas.
Webinars gratuitos sobre ISO 27001 e ISO 22301 impartidos por expertos.
Auditores, instructores y consultores con experiencia en ISO 27001 e ISO 22301 listos para ayudarlo en la implementación.
Hacemos que los estándares y regulaciones sean fáciles de entender y simples de implementar.
Pregunte cualquier duda sobre la implementación, documentación, certificación, formación, etc.
La BS 25999-2 era una norma británica publicada en 2007, y rápidamente se convirtió en la norma principal para la gestión de la continuidad del negocio: fue reemplazada por ISO 22301 en 2012.
Igual que las normas ISO 27001, ISO 9001, ISO 14001 y otras normas que definen los sistemas de gestión, la BS 25999-2 también define un sistema de gestión de la continuidad del negocio que contiene las mismas cuatro fases de gestión: planificación, implementación, revisión y supervisión; y por último, mejora. El objetivo de estas cuatro fases es que el sistema se actualice y mejore permanentemente para que sea útil si se produjera un desastre.
Los siguientes son algunos de los procedimientos y documentos más importantes requeridos por la BS 25999-2:
La norma establece la necesidad de determinar los conocimientos y habilidades necesarias, de identificar los cursos de capacitación adecuados, de realizar dichos cursos, de verificar si los conocimientos y habilidades requeridas se han logrado y si es necesario llevar registros.
La BS 25999-2 también exige la realización de programas de concienciación y también la comunicación de la importancia de la gestión de la continuidad del negocio a los empleados.
El análisis de impactos en el negocio se encarga de actividades importantes de la organización, define el período máximo tolerable de interrupción, la interdependencia de acciones individuales, determina qué actividades son críticas, analiza los acuerdos existentes con proveedores y socios y, finalmente, establece el objetivo de tiempo de recuperación.
La evaluación de riesgos se efectúa para establecer qué desastres y demás interrupciones en las actividades comerciales podrían producirse y cuáles serían sus consecuencias; pero también para determinar qué vulnerabilidades y amenazas podrían llevar a esas interrupciones comerciales. En base a una evaluación de este tipo, la organización determina cómo reducir la probabilidad de riesgos y cómo se mitigarían en el caso que se produjeran.
Una estrategia se refiere a definir cómo una organización se recuperará ante el caso de un desastre. La estrategia se determina en base a los resultados de los análisis de la evaluación de riesgos y de impactos en el negocio, y generalmente contempla ubicaciones alternativas, opciones para recuperación de datos, recuperación de recursos humanos, comunicaciones, equipamiento, gestión de proveedores y socios, etc.
El plan de continuidad del negocio incluye planes de respuesta a los incidentes, procedimientos de activación para el plan de continuidad del negocio, como también planes de recuperación para actividades críticas; todos estos planes se redactan en base a la estrategia de continuidad del negocio.
Un plan de respuesta a los incidentes debe especificar cómo determinar tipos de incidentes, canales de comunicación, tipo de respuesta, responsabilidad, etc.
Los planes de recuperación deben especificar roles y responsabilidades, pasos claves para la recuperación, ubicaciones, recursos que se utilizarán y dónde se ubicarán, prioridades, cómo actuar cuando finaliza la recuperación, etc.
La norma establece lo siguiente:
La norma BS 25999-2 requiere los siguientes documentos:
El volumen de documentación depende de la cantidad de actividades críticas de una organización: una organización con pocas actividades críticas también tendrá poco volumen de documentación relacionada con el análisis de impactos en el negocio, la evaluación de riesgos y los planes de continuidad del negocio; mientras que la documentación de organizaciones más grandes será mucho más extensiva.
Además de la norma BS 25999-2, la BS 25999-1 es una norma “auxiliar” que proporciona más información sobre cómo implementar partes específicas de la BS 25999-2..
Otras normas útiles son la ISO 27001, que coloca la continuidad del negocio en un contexto más amplio de seguridad de la información, y la ISO 27005, que ofrece una descripción detallada del proceso de evaluación de riesgos.