- Implemente y aprenda
- RecursosRecursos
- Para consultores
- Acerca de nosotros
Experto en ISO 22301 - Contáctenos
La BS 25999-2 era una norma británica publicada en 2007, y rápidamente se convirtió en la norma principal para la gestión de la continuidad del negocio: fue reemplazada por ISO 22301 en 2012.
Igual que las normas ISO 27001, ISO 9001, ISO 14001 y otras normas que definen los sistemas de gestión, la BS 25999-2 también define un sistema de gestión de la continuidad del negocio que contiene las mismas cuatro fases de gestión: planificación, implementación, revisión y supervisión; y por último, mejora. El objetivo de estas cuatro fases es que el sistema se actualice y mejore permanentemente para que sea útil si se produjera un desastre.
Los siguientes son algunos de los procedimientos y documentos más importantes requeridos por la BS 25999-2:
La norma establece la necesidad de determinar los conocimientos y habilidades necesarias, de identificar los cursos de capacitación adecuados, de realizar dichos cursos, de verificar si los conocimientos y habilidades requeridas se han logrado y si es necesario llevar registros.
La BS 25999-2 también exige la realización de programas de concienciación y también la comunicación de la importancia de la gestión de la continuidad del negocio a los empleados.
El análisis de impactos en el negocio se encarga de actividades importantes de la organización, define el período máximo tolerable de interrupción, la interdependencia de acciones individuales, determina qué actividades son críticas, analiza los acuerdos existentes con proveedores y socios y, finalmente, establece el objetivo de tiempo de recuperación.
La evaluación de riesgos se efectúa para establecer qué desastres y demás interrupciones en las actividades comerciales podrían producirse y cuáles serían sus consecuencias; pero también para determinar qué vulnerabilidades y amenazas podrían llevar a esas interrupciones comerciales. En base a una evaluación de este tipo, la organización determina cómo reducir la probabilidad de riesgos y cómo se mitigarían en el caso que se produjeran.
Una estrategia se refiere a definir cómo una organización se recuperará ante el caso de un desastre. La estrategia se determina en base a los resultados de los análisis de la evaluación de riesgos y de impactos en el negocio, y generalmente contempla ubicaciones alternativas, opciones para recuperación de datos, recuperación de recursos humanos, comunicaciones, equipamiento, gestión de proveedores y socios, etc.
El plan de continuidad del negocio incluye planes de respuesta a los incidentes, procedimientos de activación para el plan de continuidad del negocio, como también planes de recuperación para actividades críticas; todos estos planes se redactan en base a la estrategia de continuidad del negocio.
Un plan de respuesta a los incidentes debe especificar cómo determinar tipos de incidentes, canales de comunicación, tipo de respuesta, responsabilidad, etc.
Los planes de recuperación deben especificar roles y responsabilidades, pasos claves para la recuperación, ubicaciones, recursos que se utilizarán y dónde se ubicarán, prioridades, cómo actuar cuando finaliza la recuperación, etc.
La norma establece lo siguiente:
La norma BS 25999-2 requiere los siguientes documentos:
El volumen de documentación depende de la cantidad de actividades críticas de una organización: una organización con pocas actividades críticas también tendrá poco volumen de documentación relacionada con el análisis de impactos en el negocio, la evaluación de riesgos y los planes de continuidad del negocio; mientras que la documentación de organizaciones más grandes será mucho más extensiva.
Además de la norma BS 25999-2, la BS 25999-1 es una norma “auxiliar” que proporciona más información sobre cómo implementar partes específicas de la BS 25999-2..
Otras normas útiles son la ISO 27001, que coloca la continuidad del negocio en un contexto más amplio de seguridad de la información, y la ISO 27005, que ofrece una descripción detallada del proceso de evaluación de riesgos.
