Show me desktop version

 

¿Qué es norma BS 25999?

 

Aclaración: el 15 de mayo de 2012 la norma BS 25999-2 fue reemplazada por la norma internacional ISO 22301.

¿Qué es ISO 22301?

Browse through sections:

Introducción
Procedimientos clave
Documentación
Normas relacionadas

Descargas gratuitas

Búsqueda avanzada

Una norma líder sobre continuidad del negocio

La BS 25999-2 es una norma británica emitida en 2007 que rápidamente se ha convertido en la principal norma para gestión de la continuidad del negocio; aunque se trata de una norma nacional británica, se utiliza también en muchos otros países y se predice que pronto será aceptada como una norma internacional (ISO 22301).

Igual que las normas ISO 27001, ISO 9001, ISO 14001 y otras normas que definen los sistemas de gestión, la BS 25999-2 también define un sistema de gestión de la continuidad del negocio que contiene las mismas cuatro fases de gestión: planificación, implementación, revisión y supervisión; y por último, mejora. El objetivo de estas cuatro fases es que el sistema se actualice y mejore permanentemente para que sea útil si se produjera un desastre.

Los siguientes son algunos de los procedimientos y documentos más importantes requeridos por la BS 25999-2:

  • alcance del SGCN: identificación precisa de la parte de la organización en la cual se aplica la gestión de la continuidad del negocio;
  • política de GCN: definición de objetivos, responsabilidades, etc.;
  • gestión de recursos humanos;
  • análisis de impactos en el negocio y evaluación de riesgos;
  • definición de estrategia de continuidad del negocio;
  • planes de continuidad del negocio;
  • mantenimiento de planes y sistemas; mejorast

Gestión de recursos humanos

La norma establece la necesidad de determinar los conocimientos y habilidades necesarias, de identificar los cursos de capacitación adecuados, de realizar dichos cursos, de verificar si los conocimientos y habilidades requeridas se han logrado y si es necesario llevar registros.

La BS 25999-2 también exige la realización de programas de concienciación y también la comunicación de la importancia de la gestión de la continuidad del negocio a los empleados.

 

Análisis de impactos en el negocio y evaluación de riesgos

El análisis de impactos en el negocio se encarga de actividades importantes de la organización, define el período máximo tolerable de interrupción, la interdependencia de acciones individuales, determina qué actividades son críticas, analiza los acuerdos existentes con proveedores y socios y, finalmente, establece el objetivo de tiempo de recuperación.

La evaluación de riesgos se efectúa para establecer qué desastres y demás interrupciones en las actividades comerciales podrían producirse y cuáles serían sus consecuencias; pero también para determinar qué vulnerabilidades y amenazas podrían llevar a esas interrupciones comerciales. En base a una evaluación de este tipo, la organización determina cómo reducir la probabilidad de riesgos y cómo se mitigarían en el caso que se produjeran.

 

Definición de la estrategia de continuidad del negocio

Una estrategia se refiere a definir cómo una organización se recuperará ante el caso de un desastre. La estrategia se determina en base a los resultados de los análisis de la evaluación de riesgos y de impactos en el negocio, y generalmente contempla ubicaciones alternativas, opciones para recuperación de datos, recuperación de recursos humanos, comunicaciones, equipamiento, gestión de proveedores y socios, etc.

 

Plan de continuidad del negocio

El plan de continuidad del negocio incluye planes de respuesta a los incidentes, procedimientos de activación para el plan de continuidad del negocio, como también planes de recuperación para actividades críticas; todos estos planes se redactan en base a la estrategia de continuidad del negocio.

Un plan de respuesta a los incidentes debe especificar cómo determinar tipos de incidentes, canales de comunicación, tipo de respuesta, responsabilidad, etc.

Los planes de recuperación deben especificar roles y responsabilidades, pasos claves para la recuperación, ubicaciones, recursos que se utilizarán y dónde se ubicarán, prioridades, cómo actuar cuando finaliza la recuperación, etc.

 

Mantenimiento de planes y sistemas; mejoras

La norma establece lo siguiente:

  • Rejercitar y probar regularmente los planes para familiarizar al personal con los planes y para verificar su actualización;
  • realizar auditorías internas periódicas;
  • revisiones por parte de la dirección para asegurarse de que el SGSI funciona y para realizar las mejoras correspondientes;
  • tomar medidas preventivas y correctivas para mejorar no sólo los planes sino también otros elementos del sistema

Documentación

La norma BS 25999-2 requiere los siguientes documentos:

  • el alcance de GCN;
  • la política de GCN;
  • responsabilidades específicas para la GCN;
  • procedimientos para gestionar documentos y registros y para medidas correctivas y preventivas;
  • metodología para el análisis de impactos en el negocio y resultados del análisis;
  • metodología de evaluación de riesgos;
  • estrategia de continuidad del negocio;
  • plan de continuidad del negocio que incluya planes de respuesta a los incidentes y planes de recuperación;
  • registros

El volumen de documentación depende de la cantidad de actividades críticas de una organización: una organización con pocas actividades críticas también tendrá poco volumen de documentación relacionada con el análisis de impactos en el negocio, la evaluación de riesgos y los planes de continuidad del negocio; mientras que la documentación de organizaciones más grandes será mucho más extensiva.

Otras normas relacionadas

Además de la norma BS 25999-2, la BS 25999-1 es una norma “auxiliar” que proporciona más información sobre cómo implementar partes específicas de la BS 25999-2..

Otras normas útiles son la ISO 27001, que coloca la continuidad del negocio en un contexto más amplio de seguridad de la información, y la ISO 27005, que ofrece una descripción detallada del proceso de evaluación de riesgos.

Anterior|Siguiente

Centro de aprendizaje ISO 27001 / ISO 22301 | Descargas gratuitas sobre ISO 27001 / ISO 22301

Herramientas para ISO 27001

 

gap-tool-icon

Calculador del Retorno sobre la Inversión en Seguridad (ROSI)

¿Alguna vez le ha sucedido que le dijeran que sus medidas de seguridad eran demasiado costosas? ¿O le resultó muy difícil explicarle a la dirección cuáles serían las consecuencias si ocurriera un incidente? Probar que merece la pena invertir en seguridad es una tarea ardua, pero nuestro calculador del Retorno sobre la Inversión en Seguridad (ROSI) le puede ayudar. Es completamente gratuito.

 

 

 

Queremos conocer su opinión

¿Preguntas o comentarios acerca de nuestros contenidos? Por favor envíelos ahora.
¡Nos encanta recibir opiniones!
¡Gracias!

Califique qué tan útil le pareció nuestro contenido

Calificado en 0 por 0 personas

 

 

 

Consulta gratuita sobre ISO 27001 e ISO 22301

Nuestros consultores en ISO 27001 e ISO 22301 están listos para hablar con usted sobre la situación de su organización y sobre qué pasos debe tomar a continuación. Sabemos lo complicadas que se pueden poner las cosas y estamos aquí para brindarle asesoramiento en el que usted puede confiar.

 

 

Búsqueda avanzada

Busque aquí cualquier material relacionado
con la implementación de ISO 27001 e
ISO 22301