Este documento describe los aspectos clave de la gestión de la continuidad del negocio (BCM) según la norma británica BS 25999. Explica las etapas del programa de BCM, incluyendo establecer la política, asignar responsabilidades, entender la organización, determinar la estrategia, desarrollar la respuesta, y realizar pruebas. También cubre la documentación requerida como el análisis de impacto, los planes de gestión de incidentes, continuidad y recuperación, y los registros de pruebas. Finalmente
3. Qué es BS 25999
• Es una norma británica (BS por British Standard) desarrollada en 2006 y
2007 y por BSI (British Standards Institution) en cooperación con un
importante número de asociaciones civiles, instituciones, universidades
y agencias de seguridad.
• Tiene dos partes: BS 25999-1 (parte 1, una recopilación de las mejores
prácticas), y BS 25999-2 (parte 2, especificación de los requisitos que una
organización debe cumplir para poder declarar conformidad con el
estándar).
• Fuertemente basada en ISO 9001 (requisitos sobre Calidad de los
procesos de producción de bienes y prestación de servicios) y en ISO/IEC
27001 (requisitos para la gestión de la Seguridad de la Información).
• Todavía no es un estándar internacional ISO, pero se ha convertido en el
estándar de facto de la Continuidad del Negocio y se espera en el corto
plazo el surgimiento de una norma ISO (ISO 9001 e ISO/IEC 27001 fueron
primero una norma BS).
3° Foro Global Crossing de Tecnología y Negocios
4. Etapas de la Gestión de un Programa de
BCM (BCMP) según BS 25999
• Establecer la Política de BCM
• Asignar responsabilidades
• Definir, documentar, implementar y mantener las actividades del Ciclo
de Vida de BCM
• Entender la organización
• Determinar la estrategia de BCM
• Desarrollar e implementar la respuesta de BCM
• Pruebas, mantenimiento y revisión
• Concientizar y entrenar a los involucrados
3° Foro Global Crossing de Tecnología y Negocios
5. Ciclo de Vida de BCM
Lecciones Entender la BIA / Gestión de
Aprendidas Organización Riesgos
Insertar al
Pruebas, Gestión del Determinar la
BCM en la
mantenimiento Programa de estrategia de
cultura de la
y revisión BCM BCM
organización
Desarrollar e
implementar la
IMP / BCP / BRP Estrategia
respuesta de
BCM Documentada
de BCM
3° Foro Global Crossing de Tecnología y Negocios
6. Marco de Trabajo de BCM
BCM
BCMP IMP/BCP/BRP
3° Foro Global Crossing de Tecnología y Negocios
7. Estrategia de BCM
PERSONAS
PARTES
INSTALACIONES
INTERESADAS
Es el enfoque para asegurar el
recupero y continuidad del negocio
de la organización en caso de
desastre, incidente o interrupción
de las actividades
INSUMOS TECNOLOGÍA
INFORMACIÓN
3° Foro Global Crossing de Tecnología y Negocios
8. Estados de Operación del Negocio
• Estado normal: preparación y mantenimiento del Programa de Gestión de la Continuidad del
Negocio
• Estado de emergencia: invocación de los Planes de Gestión de Incidentes, Continuidad y
Recupero del Negocio (IMP, BCP y BRP)
Incidente Línea temporal
Respuesta al Incidente
invocar Continuidad del Negocio
IMP invocar
BCP invocar Recupero - Vuelta a la Normalidad
BRP
3° Foro Global Crossing de Tecnología y Negocios
9. Documentación de BCM
• Política de BCM
• Alcance de BCM
• Referencia a normativa relevante
• Análisis de Impacto en el Negocio (BIA)
• Análisis y Evaluación de Riesgos
• Estrategia de BCM
• Programa de Concientización
• Programa de Entrenamiento
• Plan de Gestión de Incidentes (IMP)
• Plan de Continuidad del Negocio (BCP)
• Plan de Recupero del Negocio (BRP)
• Programa de Pruebas y Registros
• SLAs y Contratos
3° Foro Global Crossing de Tecnología y Negocios
10. Caso de estudio ISO 9001
• BCM en el contexto de una implementación ISO 9001 en una empresa de
servicio
• Requisito 6.3 - Infraestructura. La organización debe determinar,
proporcionar y mantener la infraestructura necesaria para lograr la
conformidad con los requisitos del producto. La infraestructura incluye,
cuando sea aplicable:
a) edificios, espacio de trabajo y servicios asociados,
b) equipo para los procesos (tanto hardware como software), y
c) servicios de apoyo tales (como transporte o comunicación).
3° Foro Global Crossing de Tecnología y Negocios
11. Caso de estudio ISO 27001
A.14 Gestión de la continuidad del negocio
Aspectos de seguridad de la Contrarrestar las interrupciones a las actividades del negocio y proteger los procesos críticos
A.14.1 información de la gestión de la del negocio de los efectos de fallas graves de los sistemas de información o desastres, y
continuidad del negocio asegurar su adecuada reanudación.
Inclusión de la seguridad de la Se debe desarrollar y mantener un proceso de gestión para la continuidad del negocio a lo
A.14.1.1 información en el proceso de gestión largo de toda la organización que trate los requerimientos de seguridad de la información
de la continuidad del negocio. necesarios para la continuidad del negocio de la organización.
Se deben identificar los eventos que puedan causar interrupciones a los procesos del negocio,
Continuidad del negocio y evaluación
A.14.1.2 junto con la probabilidad y el impacto de tales interrupciones y sus consecuencias en la
de riesgo
seguridad de la información.
Desarrollo e implementación de planes Se deben desarrollar e implementar planes para mantener o restaurar operaciones y asegurar
A.14.1.3 de continuidad incluyendo la seguridad la disponibilidad de la información al nivel requerido y en las escalas de tiempos requeridas,
de la información luego de ocurridas interrupciones o fallas sobre los procesos críticos del negocio.
Se debe mantener un único marco de planes de continuidad del negocio para asegurar que
Marco del plan de continuidad del
A.14.1.4 todos ellos son consistentes, para tratar consistentemente los requerimientos de seguridad de
negocio
la información, y para identificar prioridades para su prueba y mantenimiento.
Prueba, mantenimiento y reevaluación
Los planes de continuidad del negocio se deben probar y actualizar regularmente para
A.14.1.5 de los planes de continuidad del
asegurar que estén al día y sean efectivos.
negocio
3° Foro Global Crossing de Tecnología y Negocios
12. Por dónde empezar a documentar
• Política de BCM
• Alcance de BCM
• Referencia a normativa relevante
• Análisis de Impacto en el Negocio (BIA)
• Análisis y Evaluación de Riesgos “BIA extendido”
• Estrategia de BCM
• Programa de Concientización
• Programa de Entrenamiento
• Plan de Gestión de Incidentes (IMP)
• Plan de Continuidad del Negocio (BCP)
“BCP extendido”
• Plan de Recupero del Negocio (BRP)
• Programa de Pruebas y Registros
• SLAs y Contratos
3° Foro Global Crossing de Tecnología y Negocios
13. Por dónde empezar a documentar
• Instructivo de trabajo sobre BCM
• Registro de BCM
• Funciones Críticas (de los procesos dentro del alcance del SGC)
• Impacto (de una interrupción, en términos cuantitativos y/o cualitativos)
• Tolerancia (tiempo máximo de interrupción)
• Recovery Time Objective (objetivo de tiempo para la recuperación de la
función crítica)
• Recursos Requeridos (para cumplir con los RTOs)
• Mención a los Procedimientos Operativos de Respuesta (IMP, BCP y BRP) y
Prueba; y Registros de Prueba asociados
3° Foro Global Crossing de Tecnología y Negocios
14. Por dónde empezar a documentar
• Instructivo de trabajo sobre redacción de Procedimientos Operativos
• Procedimientos Operativos
• Se pueden agrupar en torno a las funciones críticas, o a los tipos de amenaza a
las funciones.
• Sección Gestión del Incidente: pasos a seguir para contener el incidente,
incluyendo manejo de partes interesadas.
• Sección Continuidad del Negocio: pasos a seguir para continuar con las
operaciones del negocio en un nivel mínimo aceptable.
• Sección Recupero: pasos a seguir para volver a las condiciones normales de
operación.
• Sección Pruebas: cómo se va a evidenciar que los pasos de emergencia y
recupero son realmente adecuados si ocurriese un incidente.
• Registros de prueba
3° Foro Global Crossing de Tecnología y Negocios
15. Pruebas de BCM
• Prueba de Recorrido (walkthrough): reunir en una sala a los equipos de
trabajo que correspondan de acuerdo al escenario de contingencia
establecido para revisar los procedimientos de emergencia y recupero.
• Prueba de Recupero de las Aplicaciones (Application Recovery Test): se
chequea el funcionamiento de las aplicaciones críticas a partir de la
restauración de datos provenientes del backup fuera del sitio principal. En
el día de la prueba se hace una restauración (restore) del software
aplicativo y datos asociados usando el backup traído de fuera del sitio
principal y se compara los resultados obtenidos con la misma corrida en
producción.
3° Foro Global Crossing de Tecnología y Negocios
16. Pruebas de BCM
• Prueba de Notificación de Alertas: se realizan llamados a todos los
integrantes de los equipos de trabajo, para chequear que las listas estén
actualizadas y que se puede localizar a la mínima cantidad de gente
necesaria.
• Prueba Integral de Recupero: a partir de un escenario dado, se simula un
incidente y se realizan las tareas requeridas por los procedimientos de
emergencia y recupero, preferentemente fuera del horario de operación.
3° Foro Global Crossing de Tecnología y Negocios
17. Esquema documental
Instructivo
de Trabajo Explica cómo llevar a cabo la actividad
de BCM
“BIA extendido”
Pruebas
La actividad se evidencia en
Evidencian su
adecuado
mantenimiento en
Registro de BCM
Procedimientos
Operativos
Hace referencia a Registros
de pruebas
“BCP extendido”
3° Foro Global Crossing de Tecnología y Negocios