Aclaración: el 15 de mayo de 2012 la norma BS 25999-2 fue reemplazada por la norma internacional ISO 22301.¿Qué es ISO 22301?

Conceptos básicos de la BS 25999-2

Una norma líder sobre continuidad del negocio

Gestión de recursos humanos

Análisis de impactos en el negocio y evaluación de riesgos

Definición de la estrategia de continuidad del negocio

Plan de continuidad del negocio

Mantenimiento de planes y sistemas; mejoras

Documentación

Otras normas relacionadas

 

Una norma líder sobre continuidad del negocio

La BS 25999-2 es una norma británica emitida en 2007 que rápidamente se ha convertido en la principal norma para gestión de la continuidad del negocio; aunque se trata de una norma nacional británica, se utiliza también en muchos otros países y se predice que pronto será aceptada como una norma internacional (ISO 22301).

Igual que las normas ISO 27001, ISO 9001, ISO 14001 y otras normas que definen los sistemas de gestión, la BS 25999-2 también define un sistema de gestión de la continuidad del negocio que contiene las mismas cuatro fases de gestión: planificación, implementación, revisión y supervisión; y por último, mejora. El objetivo de estas cuatro fases es que el sistema se actualice y mejore permanentemente para que sea útil si se produjera un desastre.

Los siguientes son algunos de los procedimientos y documentos más importantes requeridos por la BS 25999-2:

  • alcance del SGCN: identificación precisa de la parte de la organización en la cual se aplica la gestión de la continuidad del negocio;
  • política de GCN: definición de objetivos, responsabilidades, etc.;
  • gestión de recursos humanos;
  • análisis de impactos en el negocio y evaluación de riesgos;
  • definición de estrategia de continuidad del negocio;
  • planes de continuidad del negocio;
  • mantenimiento de planes y sistemas; mejoras.

Gestión de recursos humanos

La norma establece la necesidad de determinar los conocimientos y habilidades necesarias, de identificar los cursos de capacitación adecuados, de realizar dichos cursos, de verificar si los conocimientos y habilidades requeridas se han logrado y si es necesario llevar registros

La BS 25999-2 también exige la realización de programas de concienciación y también la comunicación de la importancia de la gestión de la continuidad del negocio a los empleados.

Análisis de impactos en el negocio y evaluación de riesgos

El análisis de impactos en el negocio se encarga de actividades importantes de la organización, define el período máximo tolerable de interrupción, la interdependencia de acciones individuales, determina qué actividades son críticas, analiza los acuerdos existentes con proveedores y socios y, finalmente, establece el objetivo de tiempo de recuperación.

La evaluación de riesgos se efectúa para establecer qué desastres y demás interrupciones en las actividades comerciales podrían producirse y cuáles serían sus consecuencias; pero también para determinar qué vulnerabilidades y amenazas podrían llevar a esas interrupciones comerciales. En base a una evaluación de este tipo, la organización determina cómo reducir la probabilidad de riesgos y cómo se mitigarían en el caso que se produjeran.

Definición de la estrategia de continuidad del negocio

Una estrategia se refiere a definir cómo una organización se recuperará ante el caso de un desastre. La estrategia se determina en base a los resultados de los análisis de la evaluación de riesgos y de impactos en el negocio, y generalmente contempla ubicaciones alternativas, opciones para recuperación de datos, recuperación de recursos humanos, comunicaciones, equipamiento, gestión de proveedores y socios, etc.

Plan de continuidad del negocio

El plan de continuidad del negocio incluye planes de respuesta a los incidentes, procedimientos de activación para el plan de continuidad del negocio, como también planes de recuperación para actividades críticas; todos estos planes se redactan en base a la estrategia de continuidad del negocio.

Un plan de respuesta a los incidentes debe especificar cómo determinar tipos de incidentes, canales de comunicación, tipo de respuesta, responsabilidad, etc.

Los planes de recuperación deben especificar roles y responsabilidades, pasos claves para la recuperación, ubicaciones, recursos que se utilizarán y dónde se ubicarán, prioridades, cómo actuar cuando finaliza la recuperación, etc.

Mantenimiento de planes y sistemas; mejoras

La norma establece lo siguiente:

  • ejercitar y probar regularmente los planes para familiarizar al personal con los planes y para verificar su actualización;
  • realizar auditorías internas periódicas;
  • revisiones por parte de la dirección para asegurarse de que el SGSI funciona y para realizar las mejoras correspondientes;
  • tomar medidas preventivas y correctivas para mejorar no sólo los planes sino también otros elementos del sistema.

Documentación

La norma BS 25999-2 requiere los siguientes documentos:

  • el alcance de GCN;
  • la política de GCN;
  • responsabilidades específicas para la GCN;
  • procedimientos para gestionar documentos y registros y para medidas correctivas y preventivas;
  • metodología para el análisis de impactos en el negocio y resultados del análisis;
  • metodología de evaluación de riesgos;
  • estrategia de continuidad del negocio;
  • plan de continuidad del negocio que incluya planes de respuesta a los incidentes y planes de recuperación;
  • registros.

El volumen de documentación depende de la cantidad de actividades críticas de una organización: una organización con pocas actividades críticas también tendrá poco volumen de documentación relacionada con el análisis de impactos en el negocio, la evaluación de riesgos y los planes de continuidad del negocio; mientras que la documentación de organizaciones más grandes será mucho más extensiva.

Otras normas relacionadas

Además de la norma BS 25999-2, la BS 25999-1 es una norma “auxiliar” que proporciona más información sobre cómo implementar partes específicas de la BS 25999-2.

Otras normas útiles son la ISO 27001, que coloca la continuidad del negocio en un contexto más amplio de seguridad de la información, y la ISO 27005, que ofrece una descripción detallada del proceso de evaluación de riesgos.