El documento describe los aspectos clave de la gestión de la continuidad del negocio, incluyendo la identificación de procesos críticos, el análisis de impacto, la redacción e implantación de planes de continuidad, y la prueba y reevaluación periódica de dichos planes. El objetivo es proteger los procesos críticos del negocio frente a desastres a través de la planificación y el mantenimiento de la continuidad del negocio.
2. Proceso de la gestión de
continuidad del negocio
Continuidad del negocio
Aspectos de la gestión de
y
continuidad del negocio
análisis de impactos
Gestión de Continuidad
del Negocio
Prueba, mantenimiento y
reevaluación de planes de
continuidad Redacción e implantación de
planes de continuidad
Marco de planificación
para la continuidad del
negocio
4. Aspectos de la gestión de continuidad del negocio
Objetivo.-
Reaccionar a la interrupción de actividades del negocio y
protege sus procesos criticos frente a desastres o grandes fallos
de los sistemas de información.
Principios.-
Se debería implantar un proceso de gestión de continuidad
del negocio para reducir, a niveles aceptables, la
interrupción causada por los desastres y fallos de
seguridad (que, por ejemplo, puedan resultar de desastres
naturales, accidentes, fallas de equipos o acciones
deliberadas) mediante una combinación de controles
preventivos y de recuperación.
5. Aspectos de la gestión de continuidad del negocio
Este proceso debería identificar los procesos críticos de negocio e
integrar los requisitos de gestión de la seguridad de información para
la continuidad del negocio.
Se deberían analizar las consecuencias de los desastres, fallas de
seguridad, pérdidas de servicio y la disponibilidad del servicio y
desarrollar e implantar planes de contingencia.
La seguridad de información debería ser una parte integral del plan
general de continuidad del negocio
La gestión de la continuidad del negocio debería incluir
adicionalmente al proceso de evaluación, controles para la
identificación y reducción de riesgos, limitar las consecuencias de
incidencias dañinas y asegurar la reanudación a tiempo de las
operaciones esenciales.
7. Proceso de la gestión de continuidad del negocio
Control:
Se debería desarrollar y mantener un proceso de gestión de la continuidad del
negocio en la organización que trate los requerimientos de seguridad de la
información necesarios para la continuidad del negocio.
Posibles Soluciones a este control:
AENOR.- UNE 71599-1: Norma española de buenas prácticas en gestión de contiuidad
de negocio, basada en BS 25999-1:2006.
ASIS International.- Guía de continuidad de negocio de ASIS International (en inglés).
BCI.- Guía en inglés de buenas prácticas de continuidad de negocio del Business
Continuity Institute.
BSI
(Federal Office for Information Security).- El estándar BSI 100-4 describe un método
sistemático para desarrollar, establecer y mantener un sistema de gestión para la
continuidad del negocio e integrado con estándares como BS 25999, ISO 27001, ISO
20000, PAS 99, GPG del BCI entre otros marcos de refencia.
9. Continuidad del negocio y análisis de impactos
Control:
Se deberían identificar los eventos que puedan causar interrupciones a los procesos
de negocio junto con la probabilidad e impacto de dichas interrupciones y sus
consecuencias para la seguridad de información.
Posibles Soluciones a este control:
CALLIO.- Plantillas, modelos y guías para planificar y desarrollar actividades de
continuidad de negocio (inglés).
direct.gov.uk.- Información sobre continuidad de negocio del gobierno del Reino
Unido.
Government of Saskatchewan.- "Business Continuity Planning Workbook" del
gobierno de la provincia canadiense de Saskatchewan, con especial incidencia en
el análisis de impactos
11. Redacción e implantación de planes de continuidad
Control:
Se deberían desarrollar e implantar planes de mantenimiento o recuperación
de las operaciones del negocio para asegurar la disponibilidad de la
información en el grado y en las escalas de tiempo requeridos, tras la
interrupción o fallo de los procesos críticos de negocio.
Posibles Soluciones a este control:
BCI.- Documento del Business Continuity Institute, en inglés, describiendo las
competencias y tareas de los responsables de continuidad de negocio.
BSI.- PD 25111: documento en inglés de BSI que da directrices sobre
aspectos de continuidad de negocio relativos a las personas.
CALLIO.- Plantillas, modelos y guías para planificar y desarrollar actividades
de continuidad de negocio (inglés)
13. Marco de planificación para la continuidad del negocio
Control:
Se debería mantener un esquema único de planes de continuidad del negocio
para garantizar que dichos planes son consistentes, para tratar los requisitos de
seguridad y para identificar las prioridades de prueba y mantenimiento.
Posibles Soluciones a este control:
• CALLIO.- Plantillas, modelos y guías para planificar y desarrollar actividades
de continuidad de negocio (inglés)
• GARTNER.- Documento con las 10 mejores prácticas para aplicar la
continuidad de negocio y evitar los errores más frecuentes (inglés)
15. Prueba, mantenimiento y reevaluación de planes de
continuidad
Control:
Se deberían probar regularmente los planes de continuidad del negocio para
garantizar su actualización y eficacia.
Posibles Soluciones a este control:
• BSI Shop.- PD 25666:2010 es una guía en inglés publicada por BSI, que
establece buenas prácticas para la realización de pruebas de planes de
continuidad de negocio.
• CALLIO.- Plantillas, modelos y guías para planificar y desarrollar actividades
de continuidad de negocio (inglés)
• Canadian Centre for Emergency Preparedness.- Documento en inglés con
checklists y consejos para el diseño, gestión y evaluación de pruebas de
planes de continuidad de negocio.