BS 25999-1: Gestión de la Continuidad del Negocio

El estándar BS 25999-1 presenta los procesos y principios necesarios para una adecuada gestión de la continuidad del negocio que permita cubrir las necesidades de clientes y organizaciones.

La gestión de la continuidad del negocio (Business continuity management – BCM) consiste en la mejora proactiva de la resistencia (resilience) de la organización frente a contingencias. Por otra parte, proporciona mecanismos para restaurar los productos y servicios clave a un nivel aceptable y dentro de un marco temporal limitado, protegiendo la reputación corporativa.

La implantación de un programa de gestión de la continuidad ofrece los siguientes beneficios:

  • Identificación proactiva de los impactos derivados de la interrupción operativa.
  • Respuesta efectiva a interrupciones.
  • Gestión de riesgos no aceptados por las compañías de seguros.
  • Mejora de la reputación corporativa.
  • Ventaja competitiva debido a la demostrada capacidad de mantener la entrega de servicios.

El ciclo de vida de la gestión de la continuidad consta de 5 etapas:



Programa de gestión de la continuidad del negocio

Como primer paso se requiere la definición de una política general que garantice que todas las actividades serán diseñadas e implementadas bajo unos criterios comunes. La política debe definir el alcance, los principios y los recursos dedicados a la gestión de la continuidad.

Una vez definidas las líneas generales, se requiere proceder a la elaboración del programa de gestión de la continuidad. Este deberá asignar responsabilidades (p.ej. encargados de la comunicación a stakeholders, formación, prueba, etc.), diseñar procesos para la implementación de la continuidad y gestionar su actualización, promoción y monitorización.

En definitiva, como resultado se debe obtener la siguiente documentación actualizada:

  • Política de gestión de la continuidad del negocio: alcance, recursos, principios y estándares generales.
  • Análisis del impacto en el negocio (BIA)
  • Planes de emergencia: gestión de la fase inicial de un incidente.
  • Planes de continuidad del negocio: mantener el funcionamiento de los procesos de negocio.
  • Planes de recuperación del negocio: recuperar el estado inicial.
  • Plan de pruebas e informes relacionados
  • Contratos y acuerdos de nivel de servicio
  • Plan de formación para las partes implicadas

Tal y como se ha mostrado en el diagrama inicial, el programa de gestión de la continuidad se encuentra en el centro del ciclo de vida. Esto es debido a que los documentos listados son el resultado de los diferentes análisis realizados en las etapas que comentaremos a continuación.

Comprensión de la organización

El objeto de esta etapa es la identificación de productos y servicios que forman parte de las actividades críticas de la organización. Para ellos es necesario:

  • Identificar los objetivos de la organización y las obligaciones hacia los stakeholders.
  • Identificar las actividades, activos y recursos que soportan la entrega de productos y servicios.
  • Análisis del impacto en el negocio (BIA): documentar el impacto (económico, reputacional, perdida de información, etc.) de la discontinuidad de los diferentes procesos de negocio, determinando:
    • Periodo máximo de tiempo que los procesos pueden encontrarse inoperativos.
    • Nivel mínimo que los procesos deben alcanzar para ser operativos.
    • Relaciones e interdependencias de los procesos y recursos.
  • Identificar y evaluar las potenciales amenazas que podrían causar interrupciones.

A partir de estos análisis, se identificaran las actividades críticas de la organización: actividades que tengan un impacto más grande en un periodo de tiempo más corto y que, por las necesidades del negocio, deben ser recuperadas rápidamente en caso de interrupción.

Por otra parte, el análisis del impacto en el negocio (BIA) debe facilitar a la organización el diseño de medidas que permitan reducir la probabilidad, acortar el periodo o limitar el impacto de potenciales interrupciones. No obstante, la implantación de mecanismos de mitigación del riesgo no es la única opción y la organización podría decantarse por otras alternativas:

  • Aceptación del riesgo: La organización puede asumir el riesgo y sus potenciales consecuencias sin llevar a cabo ninguna acción.
  • Transferencia del riesgo: Mediante la contratación de seguros o acuerdos contractuales es posible traspasar el riesgo a una entidad externa (aunque hay riesgos que no pueden ser transferidos, como el reputacional).
  • Finalización de la actividad: En determinadas circunstancias puede ser apropiado el cambio, la suspensión o finalización de la actividad.

Determinar la estrategia de continuidad o recuperación

Para cada actividad, la estrategia para la continuidad o recuperación de las actividades dependerá del periodo máximo tolerable de interrupción, el coste de implementar medidas y las consecuencias de no llevar a cabo ninguna acción.

Las estrategias deberán definirse a nivel de los diferentes recursos necesarios:

Personas

La organización debe identificar las estrategias apropiadas para mantener las habilidades y el conocimiento clave, como por ejemplo:

  • Documentar como se llevan a cabo las actividades críticas.
  • Formar al personal en habilidades diversas y no exclusivas de su actividades asignadas.
  • Segregación de habilidades clave con tal de evitar la concentración y dependencia de personas.

Locales

La reducción del impacto de la inaccesibilidad a los lugares habituales de trabajo puede llevarse a cabo mediante medidas como las siguientes:

  • Contratar locales alternativos.
  • Facilitar el trabajo remoto.
  • Uso de personal alternativo disponibles en ubicaciones alternativas.

Tecnología

En función de la relación y dependencia entre las actividades críticas y la tecnología, se deberá definir las estrategias de continuidad como por ejemplo la distribución geográfica de los sistemas de información o el mantenimiento de equipos viejos como material de reemplazo.

En general, las medidas a tomar referentes a la tecnología suelen ser complejas y deben considerar los siguientes aspectos:

  • Tiempo y nivel de recuperación objetivo (RTO – Recovery Time objective y RPO – Recovery Point objective) para los sistemas y aplicaciones que dan soporte a las actividades clave identificadas en el análisis BIA.
  • Localización y distancia entre los centros de proceso de datos.
  • Conectividad y redundancia.
  • Sistemas de Alimentación Ininterrumpida – SAI (Uninterruptible Power Supply – UPS)
  • Controles medioambientales (p.ej. medidas anti incendios)
  • Etc.

Información

Resulta fundamental garantizar que la información vital de la organización se encuentra protegida y puede ser recuperada dentro de los tiempos definidos por el análisis BIA.

En definitiva, se trata de garantizar la confidencialidad, integridad y disponibilidad de la información mediante la ejecución de copias de seguridad lo suficientemente frecuentes. Por otra parte, estas copias deben ser protegidas físicamente de potenciales amenazas (p.ej. robos, inundaciones, deterioro del soporte, etc.).

Suministros

La organización debería identificar y mantener un inventario con los suministros que dan soporte a las actividades críticas, con objeto de definir una estrategia:

  • Almacenaje de suministros adicionales en una local alternativo.
  • Acuerdos con terceros para la entrega de material en periodos cortos de tiempo.
  • Mantener stock en almacenes.
  • Identificación de suministros alternativos o substitutos.
  • Incrementar el número de proveedores (p.ej. diversos proveedores de Internet)

Desarrollo e implementación de la respuestas BCM

En esta etapa tiene lugar el desarrollo y la implantación de planes para garantizar la continuidad de actividades críticas y la gestión de incidentes.

Este proceso parte de la información identificada previamente relativa a las actividades críticas, amenazas, medidas de mitigación y estrategias para la continuidad o recuperación.

La organización debe definir una estructura de respuesta a incidentes (en ocasiones denominada Incident Management Team IMT o Crisis Management Team CMT) que permita confirmar la naturaleza del incidente, tomar el control de la situación y comunicar a los stakeholders. Estos equipos deben disponer de planes, procesos y procedimientos para la gestión de incidentes.



En la imagen se observan 3 periodos bien delimitados que corresponden a la respuesta al incidente, la continuidad del negocio y la recuperación del estado normal. Para cada una de estas etapas se debe definir un plan distinto.

Cabe destacar que para todos los planes deben contener al menos:

  • Que actividades críticas deben ser recuperadas y bajo que situaciones debe aplicarse el plan
  • Actividades críticas priorizadas y enmarcadas por los periodos de tiempo, y niveles de recuperación necesarios.
  • Roles y responsabilidades durante el incidente
  • Procedimientos para la activación de la gestión de incidentes, continuidad del negocio o recuperación.
  • Responsable de la actualización de cada plan.
  • Datos de contacto de las personas clave implicadas en cada plan.

Plan de gestión de incidentes

Los planes de emergencia deben cubrir los siguientes aspectos:

  • Lista de tareas y acciones: gestión de las consecuencias inmediatas de la interrupción del negocio.
  • Información de contacto: mediante que mecanismos (p.ej. teléfono) y bajo que circunstancias la organización deberá contactar con empleados, proveedores, personas externas, etc.
  • Actividades del personal: coordinador de evacuación, primeros auxilios, comunicaciones con empleados/clientes, etc.
  • Respuesta a los medios de comunicación: estrategia de comunicación, canales preferidos, personal responsable para la comunicación.
  • Gestión de los stakeholders: comunicación con personas interesadas directa o indirectamente en la organización.
  • Plantillas o formularios para registrar aspectos como el desarrollo en el tiempo del incidente, las decisiones tomadas, las inversiones realizadas, verificaciones de los daños, comunicaciones realizadas y cualquier otro tipo de información de utilidad para revisiones posteriores.

Plan de continuidad del negocio

Los planes de continuidad deben contener los siguientes puntos:

  • Listado de tareas o acciones: mecanismos de activación del plan, que personas pueden tomar la decisión y que personas deben ser informadas de la misma, momento y lugar para la activación de servicios, guías para la recuperación de los sistemas.
  • Recursos requeridos: personas, lugares, elementos tecnológicos o de comunicación, información y suministros.
  • Responsabilidades
  • Información de contacto: mediante que mecanismos (p.ej. teléfono) y bajo que circunstancias la organización deberá contactar con empleados, proveedores, personas externas, etc.
  • Plantillas o formularios para registrar aspectos como las decisiones tomadas y cualquier otro tipo de información de utilidad para revisiones posteriores.

Cabe destacar que, en el caso específico de los sistemas de información, se suele utilizar el término plan de contingencias o recuperación de desastres.

Plan de recuperación

El plan de recuperación dependerá de las características de la organización y de los incidentes sufridos, siendo uno de los puntos más difíciles de definir con anterioridad. En general será necesario llevar a cabo acciones a medida en función de las necesidades del momento concreto.

Validación, mantenimiento y revisión

La prueba de los planes de incidencias, continuidad y recuperación son esenciales para la validación de los mismos. Paralelamente permite desarrollar las competencias, el conocimiento y la confianza necesaria para afrontar las situaciones de contingencias.

Las pruebas pueden variar en su complejidad:

Complejidad Tipo Descripción
Baja Comprobación sobre el papel Revisar el contenido del BCP
Mediana Ensayo Validar el contenido del BCP a partir de entrevistas
Simulación Usar situaciones artificiales para validar que el BCP contiene la información necesaria para una recuperación exitosa.
Prueba de las actividades críticas Invocar los planes en una situación que no haga peligrar el negocio
Alta Prueba completa, incluyendo la gestión de incidentes Prueba real de abandono de edificios, campus, etc.

Las pruebas, especialmente de nivel medio-alto, deben ser realistas, planificadas y acordadas con los stakeholders. En definitiva, el riesgo de provocar un incidente derivado de la prueba del plan debe ser minimizado.

Por otra parte, resulta necesario realizar un análisis a posteriori para identificar aspectos de mejora o puntos desactualizados, acompañado por sistemas de control de versiones y mecanismos para la difusión de los aspectos modificados. Tan importante es la prueba de los planes, como la concienciación de los empleados y la definición de planes de formación para los mismos.

Conclusión

El estándar BS 25999-1 proporciona unos códigos de buenas prácticas en forma de guías generales, las cuales establecen los procesos, principios y la terminología expuesta en el presente artículo. Es posible ampliar la información con las guías de buenas prácticas del Business Continuity Institute, las cuales se pueden descargar gratuitamente.

Cabe destacar que, el estándar dispone de una segunda parte BS 25999-2 que especifica los requisitos auditables para la implementación de un sistema para la gestión continua del negocio.

En relación a artículos pasados, con BS 25999 podemos cubrir el proceso de “Gestión de la continuidad de los servicios IT” (IT Service Continuity Management) correspondiente a la etapa de “Diseño del servicio” de ITIL o el proceso “DS4 – Asegurar la continuidad del servicio” del dominio “Entrega y soporte” del estándar Cobit.

14 thoughts on “BS 25999-1: Gestión de la Continuidad del Negocio

  1. Sí, hombre, y a mi que me manden a mi correo personal además una pizza para comer mientras me los leo.

    De verdad que lo flipo, la gente no es más vaga porque no entrena… eso sí, si me pagas €€€€ estaría encantado de mandarte más artículos de este estilo, o ya puestos en Amazon seguro que encuentras libros enteros dedicados a esto.

    Deberías probar una de esas webs que te avisan si una página que te gusta tiene cambios, o Google para buscar \"articulos de este estilo\".

    PD: El artículo está genial y no quiero crear con este post un flamewar, pero es que no me he podido resistir.

  2. Actualmente BSI Management Systems Mexico se imparten cursos de Interpretacion, implementacion, Auditor Interno y Auditor Lider de BS25999 Este ultimo ya cuanta con acreditacion internacional de IRCA. Asi como la certificacion del sistema de gestion tambien ya con acreditacion internacional.

    Si requieren mayor informacion con gusto contactenme.

    Antonio Silva.
    antonio.campos@axtel.net

  3. Estimados, me podrían indicar dónde puedo conseguir el estándar BS25999 completo en español, en caso que no exista, igual me serviría en inglés. Favor contactar por mail.

    Muchas Gracias.

  4. Estimados, alguien tiene información respecto a indicadores de gestión para riesgo operacional (KRI) ??

    Saludos,
    Cristian.

  5. Estamos trabajando en el desarrollo de BCP, y el punto mas importante es la definiciòn de la “Política de gestión de la continuidad del negocio: alcance, recursos, principios y estándares generales”.

    Podrias conseguirme ejemplos de enunciados de politicas para negocios financieros.

    Arturo

  6. Hola Marble, muy interesante la información que publicas sobre BCM. Actualmente en mi trabajo desarrollo todo este tema y esta información me ha servido mucho.

    Al igual que tu también me interesa armar una web similar a esta y otros. Me puedes orientar al respecto: ¿si es que la desarrollaste por tu cuenta o pagas a una empresa para que te de el servicio y cómo haces para que se te pueda encontrar en cualquier buscador o es automático?

  7. Muy intersante el artículo y sobre todo muy útil, por favor si pudiera enviarme la metodología a mi correo estare muy agradecida

  8. Hola la información está bien interesante,

    Entiendo que en los planes de continuidad se crean comités como sería su estructua, su manejo ante una eventualidad y cuántos debiesen existir???

    Gracias.

Leave a Reply

Your email address will not be published.