investigacion iso 22301 2012
DESCRIPTION
investigacion de la normativa iso 22301:2012TRANSCRIPT
Auditoria Informática
Investigación: ISO 22301:2012
Ingeniero: Juan Carlos Inestroza Lozano
Integrantes del Grupo:
Nelson David Solórzano López Cuenta: 312111326
Freddy Raúl Irías Dubon Cuenta: 30841616
Odis Xavier Zavala Hernández Cuenta: 30911497
Víctor Manuel Figueroa Palma Cuenta: 32211192
Joel David Ferman Pérez Cuenta: 30751471
Fecha: 15/10/2015
1
Índice
ContenidoIntroducción......................................................................................................................................4
Objetivos Generales........................................................................................................................5
Objetivos Específicos......................................................................................................................5
Naturaleza del ISO 22301:2012....................................................................................................6
Documentación Requerida Por El ISO 22301:2012...................................................................9
Transición De BS 25999-2:2007 a ISO 22301-2012..................................................................9
Principales Adiciones Al ISO 22301-2012.................................................................................10
Implantación del ISO 22301:2012...............................................................................................13
Beneficios de la Certificación ISO 22301: 2012........................................................................14
El Ingreso y Uso de ISO 22301 como marco para BCM..........................................................14
Cómo las herramientas en línea están revolucionando la implementación de ISO 27001 e ISO 22301......................................................................................................................................15
Lista de documentación obligatoria para ISO 22301................................................................19
Determinación del contexto de la organización (4.1)...........................................................20
Procedimiento para identificación de requerimientos legales y normativos aplicables y Lista de requisitos legales, normativos y de otra índole (4.2.2)..........................................20
Alcance del SGCN y explicación de las exclusiones (4.3)...................................................20
Política y objetivos de la continuidad del negocio (5.3, 6.2)................................................21
Plan de capacitación y concienciación; competencias del personal (7.2, 7.3).................21
Comunicación con las partes interesadas (7.4)....................................................................21
Procedimiento para control de información documentada (7.5).........................................21
Contratos y acuerdos de niveles de servicio (8.1)................................................................22
Proceso para análisis de impactos en el negocio y sus resultados (8.2.1, 8.2.2)............22
Proceso para evaluación de riesgos y sus resultados (8.2.1, 8.2.3)..................................22
Estrategia de la continuidad del negocio (8.3)......................................................................22
Mitigación de riesgos y plan de implementación para el logro de los objetivos de continuidad de negocio (6.2, 8.3.3).........................................................................................22
Procedimientos para continuidad del negocio (8.4.1)..........................................................23
Procedimientos de respuesta ante incidentes y registros sobre un incidente (8.4.2, 8.4.3)...........................................................................................................................................23
Procedimientos de comunicación (8.4.2, 8.4.3)....................................................................23
Procedimientos para respuesta ante incidentes disruptivos (8.4.4)...................................23
2
Procedimientos para restaurar y reiniciar actividades a partir de las medidas temporales (8.4.5)..........................................................................................................................................24
Escenarios de incidentes (8.5)................................................................................................24
Planes de pruebas y verificación e informes posteriores (8.5)............................................24
Resultados de las acciones que abordan tendencias o resultados adversos (9.1.1)......24
Programa de mantenimiento del SGCN (9.1.1)....................................................................24
Métodos para supervisión, medición, análisis y evaluación (9.1.1)....................................25
Datos y resultados de seguimiento y medición (9.1.1).........................................................25
Resultados de la revisión posterior al incidente (9.1.2)........................................................25
Procedimiento, programa y resultados de auditoría interna (9.2).......................................25
Resultados de la revisión por parte de la dirección (9.3).....................................................25
No conformidades y medidas correctivas (10.1)...................................................................26
ISO 22301:2012, para garantizar continuidad operativa de organizaciones ante contingencias………………………………………………………………………………..……………………………………………26
Escenario de la Situación……………………………………………………………………….…………………………….29
Conclusiones..................................................................................................................................42
Anexos………………………………………………………..…………………………………..………………………………………….43
Bibliografía......................................................................................................................................60
3
Introducción
El Sistema de Gestión de la Continuidad del Negocio (SGCN) se ha convertido en una exigencia para las empresas que compiten el día de hoy en los mercados globalizados. La tendencia mundial es que ya las empresas no compitan entre sí: la competencia es entre cadenas de suministros. Una cadena de suministros, para mantenerse operando, no puede tener ningún eslabón débil; ninguno de sus componentes puede dejar de operar ya que si un elemento del todo dejara de funcionar se paraliza toda la serie, generando el caos. Cada miembro del sistema tiene que demostrar que es un proveedor confiable. Esto se logra teniendo en cada empresa un SGCN que proteja a los procesos esenciales que permiten originar los productos o servicios que desea el cliente. ¿Qué es un SGCN? Es parte del sistema de gestión gerencial que establece, implementa, opera, evalúa, mantiene y mejora la continuidad del negocio. “Un SGCN da confianza a terceros ya que ha identificado los procesos esenciales que soportan a los productos o servicios que se desean proteger de escenarios de amenazas producto del análisis del riesgo” (Alexander, 2007). Cada escenario de amenazas tiene una estrategia de continuidad que se materializa a través de planes de reanudación de operaciones que son ensayados regularmente. Una empresa con un SGCN ensayado periódicamente es muy difícil que deje de operar y no pueda suministrar sus productos o servicios.
4
Objetivos Generales
Al finalizar la lectura de esta investigación podrá conocer los estándares que están dentro de la norma internacional ISO 22301:2012 que proporciona a las empresas y todo tipo de organizaciones soluciones y prácticas para asegurar la marcha del negocio ante posibles contingencias.
Objetivos Específicos
Usted podrá implementar las normar descritas en el documento para una mejor dirección de su empresa.
5
Naturaleza del ISO 22301:2012
El nuevo estándar ISO 22301:2012 tiene por nombre “Seguridad de la Sociedad: Sistemas de Continuidad del Negocio”. Este modelo aparece como producto de una evolución de lineamientos, buenas prácticas y estándares en continuidad del negocio.
En la Figura Nº 1, se presenta un bosquejo de la evolución. El lineamiento más antiguo es el NFPA 1600, publicado en 1995, el cual estableció una serie de conjuntos de criterios para la gestión de desastres, emergencias y programas de continuidad para las organizaciones.
En 1997 el Disaster Recovery Institute International (DRII), publicó las “Prácticas Profesionales para la Gestión del Negocio”. En el año 2002, el Business Continuity Institute publicó los lineamientos de “Buenas Prácticas para la Continuidad del Negocio”.
En 2003, se publica el lineamiento PAS 56. Esta guía estableció el proceso, principios y terminología de un sistema de gestión de continuidad del negocio. Describió las actividades y resultados involucrados en el establecimiento de un proceso de gestión de continuidad del negocio. Desarrolló una serie de recomendaciones para las buenas prácticas para la anticipación a incidentes, y respuesta y técnicas para la evaluación. En 2006, se publicó el lineamiento BS 25999-1, el cual describió de manera concreta el ciclo de vida de la continuidad del negocio. Su enfoque representó las opciones continuas del programa de continuidad del negocio en la organización.
6
En el año 2007, se publicó el estándar BS 25999-2:2007, el primer estándar internacional certificable y auditable. Fue elaborado con el objetivo de definir los requisitos para un enfoque de sistemas de gestión para la gestión de la continuidad del negocio basado en buenas prácticas, para su uso por organizaciones grandes, medianas y pequeñas que operan en los sectores industrial, comercial, público y de beneficencia.
En el mismo año se publicó el ISO/PAS 22399, el cual generó los lineamientos genéricos para una organización interesada en desarrollar un sistema de gestión con criterios para el desempeño de preparación ante incidentes y continuidad operacional.
En el año 2008, se publicó el lineamiento ISO/IEC 24762 que desarrolló guías para la provisión de información y comunicación frente a la recuperación de desastres. Ese mismo año, se publicó el BS 25777, un código de buenas prácticas sobre gestión de la continuidad.
Una norma que, emparentada con la BS 25999 sobre continuidad de negocio, definió un código de buenas prácticas sobre continuidad centrado en las infraestructuras TIC de las organizaciones.
En el año 2010, se publicó el “ASIS/BSI Business Continuity Management Standard.” Este lineamiento, basado en el BS 25999, especifica los requerimientos para un sistema de gestión de continuidad del negocio, para permitir a las organizaciones identificar, desarrollar e implementar políticas, objetivos, capacidades, procesos y programas para poder atender eventos alteradores que pudieran paralizar a la organización.
En 2011, se publicó el PAS 200, “Gestión de Crisis - Lineamiento y Buena Práctica”. Es un lineamiento diseñado para ayudar a las empresas a tomar pasos
7
prácticos para mejorar su habilidad de manejar crisis. También en el año 2011, se publicó el lineamiento ISO/ IEC 27031, el cual describe los conceptos y principios de tecnología de información y comunicación (ICT) para preparar a una organización para la continuidad del negocio.
Es aplicable a todo tipo de empresa. Finalmente, en el año 2012, la Organización Internacional para la Normalización (ISO) publicó el estándar “Seguridad de la Sociedad: Sistemas de Continuidad del Negocio-Requisitos”. Este estándar certificable y auditable capta los principales conceptos de los demás lineamientos publicados desde 1995.
El estándar ISO 22301:2012 “Seguridad de la Sociedad: Sistemas de Continuidad del Negocio-Requisitos” aplica el ciclo Plan-Do-Check-Act (PDCA por sus siglas en inglés) para la planificación, establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y la mejora continua de su efectividad. El modelo ha sido creado con consistencia con otros estándares de gestión, tales como: ISO 9001:2008, ISO 27001:2005, ISO 20000-1:2011, ISO 14001:2004 y con el ISO 28000:2007.
En la figura Nº 2, se puede apreciar como el “SGCN toma insumos de las partes interesadas, requerimientos para la gestión de la continuidad, y a través de las necesarias acciones y procesos produce resultados de continuidad para cumplir con los requerimientos”. (ISO 22301:2012). En esta misma figura, se observa cada componente del modelo. El “establecimiento” es el Plan. Allí se aprecian los principales requerimientos. Las secciones 4, 5, 6 y 7 de la norma corresponden al establecimiento. Seguidamente se tiene la “implementación y operación”, el cual es el Do; esta etapa del proceso está compuesta por los requerimientos de la sección 8. Contemplamos en la figura Nº 2 sus principales requerimientos. Luego
8
se tiene la fase “monitoreo y revisión”, la cual representa al Check. Allí se pueden apreciar los principales requerimientos de esta sección. Esta fase comprende los requerimientos de la sección 9 de la norma. Finalmente, se tiene la fase de “mantenimiento y mejora”, representando a la fase Act, la cual engloba todos los requerimientos de la cláusula 10 de la norma.
Documentación Requerida Por El ISO 22301:2012
El nuevo modelo exige cierta documentación obligatoria. La documentación obligatoria que una empresa de acuerdo a su alcance debe desarrollar es la siguiente:
Lista de requisitos legales, normativos y de otra índole. Alcance del SGCN. Política de la continuidad del negocio. Objetivos de la continuidad del negocio. Evidencia de competencias del personal. Registros de comunicación con las partes interesadas. Análisis del impacto en el negocio. Evaluación de riesgos, incluido un perfil del riesgo. Estructura de respuesta a incidentes. Planes de continuidad del negocio. Procedimientos de recuperación. Resultados de acciones preventivas. Resultados de supervisión y medición. Resultados de la auditoría interna. Resultados de la revisión por parte de la dirección. Resultados de acciones correctivas.
9
Transición De BS 25999-2:2007 a ISO 22301-2012
En la Figura Nº 3, se tiene una representación gráfica del proceso de transición del estándar BS 25999-2:2007 al ISO 22301:2012. El United Kingdom Accreditation Service (UKAS) ha dado las pautas para la transición del BS 25999-2:2007 al nuevo modelo ISO 2301:2012. Como se puede apreciar en la Figura Nº 3, las empresas podrán certificarse al estándar BS 25999-2:2007 hasta noviembre de 2012. A partir de esa fecha el estándar desaparece y solo prevalecerá el ISO 22301:2012. Las empresas que obtuvieron la certificación al BS 25999-2:2007 tienen hasta mayo de 2014 para realizar la transición y realizar su ascenso al nuevo modelo. (Sharp, 2012).
Principales Adiciones Al ISO 22301-2012
El nuevo estándar tiene 106 requerimientos versus 56 que tiene el BS 25999-2:2007. El modelo tiene una serie de cláusulas adicionales que a continuación se detallan:
Clausula 4: Contexto de la Organización
Esta cláusula introduce los requerimientos necesarios para establecer el contexto del SGCN tal como debe aplicar a los requerimientos y necesidades de la organización dentro de un alcance determinado. La cláusula también requiere que la organización determine su apetito al riesgo, así como los aspectos legales y regulatorios que apliquen a la organización.
Clausula 5: Liderazgo
Esta cláusula hace un buen resumen de las exigencias a la alta gerencia de la empresa, en relación a su rol en el SGCN. Hay nuevos requerimientos para la alta gerencia, tales como:
Asegurarse que el SGCN es compatible con la dirección estratégica de la organización.
Integración de los requerimientos del SGCN en los procesos de negocios. Comunicar la importancia de una eficaz gestión de la continuidad del
negocio.
Clausula 6: Planeación
10
Esta cláusula requiere que la organización claramente defina los objetivos de continuidad del negocio y desarrolle proyectos para alcanzarlos. Estos objetivos deben estar relacionados a la política de continuidad del negocio y deben ser conmensurables. Al establecer los objetivos se debe considerar el nivel mínimo de productos y servicios que serían aceptables para que la organización pueda alcanzar sus objetivos globales de negocio.
11
Clausula 7: Soporte
La cláusula 7 detalla el soporte requerido para establecer, implementar y mantener un eficaz SGCN. Esto cubre los recursos requeridos, las competencias humanas, toma de conciencia y comunicaciones con partes interesadas, así como requerimientos para la gestión documentaria. Esta sección, al cubrir toma de conciencia, es bastante específica ya que exige que todas las personas bajo el control de la organización estén conscientes de la política de continuidad del negocio, entender su contribución al logro de eficacia del SGCN y las implicancias de no tener conformidad con sus requerimientos. También, las personas deben conocer su rol en un momento de alteración. La mayor adición en la cláusula 7 es el tema de comunicaciones. Este es un punto importantísimo al gestionar cualquier alteración en la organización.
Clausula 8: Operación
Cláusula 8.1
La cláusula planificación operacional y control es nueva. Esta cláusula requiere que la organización asegure la existencia de procesos que hayan sido desarrollados para gestionar que los riesgos al SGCN estén correctamente implementados.
Cláusula 8.2.2
El Business Impact Analysis, introduce un nuevo término: “esquemas de tiempo priorizados”. Este término se relaciona con el conocido Recovery Time Objective (RTO) y define el orden y los tiempos para la recuperación de actividades críticas que soportan los productos y servicios claves. El término Maximum Tolerable Period of Disruption (MTPD), el cual es definido en la sección 3 del estándar, no es usado en la norma. Pero en la cláusula 8.2.2 (c) plantea que la “organización debe establecer esquemas de tiempo priorizados para reanudar operaciones que apoyan los productos/servicios claves, en un nivel específico aceptable, tomando en consideración el tiempo en el cual, los impactos, de no reanudar operaciones se convertirían en inaceptables”. Como se puede apreciar, el concepto del MTPD sigue vigente.
Cláusula 8.2.3
La evaluación del riesgo le presta atención de que ciertos aspectos “financieros y obligaciones gubernamentales” requieren de comunicación, a distintos niveles de detalle, de los riesgos que pudieran alterar las actividades priorizadas.
Cláusula 8.4.2
12
La estructura para respuesta a incidentes ha expandido sus requerimientos; específicamente la necesidad para “identificar impactos de amenazas que justifican la iniciación de una respuesta formal y la necesidad de utilizar la salvaguarda de vidas humanas como primera prioridad, al establecer comunicados internos y/o externos”.
Cláusula 8.4.5
Recuperación es un nuevo requerimiento. El estándar plantea que la “organización debe tener procedimientos documentados para poder restablecer y retornar las actividades del negocio de medidas temporales creadas para soportar los requerimientos normales de la organización”.
Implantación del ISO 22301:2012
Cuando una organización desea iniciar la implantación del modelo ISO 22301:2012 siempre se genera la interrogante de ¿por dónde empezar? ¿Será conveniente iniciar con el Business Impact Analysis? ¿O con la estructura para responder a incidentes? En fin, hay una serie de opciones disponibles.
La manera adecuada es ir de lo general a lo particular. En la figura Nº 4, se han categorizado las cláusulas de la norma en “globales” y “focales”. Para el inicio del proceso de implantación es recomendable atender primero a las cláusulas globales y luego iniciar las focales.
Las cláusulas globales, permiten crear la plataforma inicial en la construcción del SGCN. Las cláusulas focales son la parte netamente técnica de la norma y requieren para su desarrollo de la infraestructura que desarrollan las globales.
El comité 223 de ISO está actualmente trabajando en la elaboración del Lineamiento 22313. Este documento consistirá en buenas prácticas y recomendaciones, indicando qué prácticas una organización debiera desarrollar para implementar un SGCN eficaz. Este documento podrá ser utilizado como guía para la implantación del modelo, o también para efectos de usarlo como autoevaluación. Se estima que este documento estará publicado a finales de 2012 o primer trimestre de 2013
13
Beneficios de la Certificación ISO 22301: 2012
Políticas y Procedimientos conformes a criterios, estructura y metodología con reconocimiento internacional.
Proporciona un marco de continuidad del negocio como soporte fundamental para el Gobierno Corporativo.
Las auditorías realizadas con criterios internacionales armonizados tienen como ventaja el reconocimiento mutuo de los resultados de las evaluaciones.
Asegura que el compromiso con la continuidad del negocio existe en todos los niveles de la organización
Aporta una diferenciación en el mercado debido a la influencia positiva en la imagen corporativa, prestigio y actitud proactiva.
Demuestra credibilidad y confianza – satisfacción y confianza con las partes interesadas, socios, ciudadanos y clientes.
Reduce la responsabilidad con el riesgo, demuestra debida diligencia
El Ingreso y Uso de ISO 22301 como marco para BCM
El uso de ISO 22301 como marco para la aplicación BCM ha aumentado este año, con un 52% utilizando el estándar en comparación con 44% en 2014. Las organizaciones en el Reino Unido (61%) y Asia (64%) son más propensos a reportar el uso de ISO 22301 como un marco así, lo que refleja la creciente madurez de la norma en estas áreas
14
El porcentaje de organizaciones que tengan la intención de utilizar la norma ISO 22301 este año ha disminuido, sin embargo, del 24% al 17%. Las pequeñas y medianas (50%) también son menos propensos a utilizar la norma ISO 22301 que las grandes empresas (53%), pero se puede notar que la diferencia es bastante estrecha. La figura resume los datos generales sobre el uso de ISO 22301.
Esta imagen mixta puede atribuirse a la creciente madurez de la norma que se refleja por el crecimiento en el porcentaje de organizaciones alinear hacia la ISO 22301. El reciente apoyo de estudios de BCI estos datos. Según la última encuesta de la cadena de suministro BCI Resiliencia, 45% de las organizaciones buscan alineación hacia una norma como requisito para los proveedores, un cambio de la media histórica de 38% 15. El 2013 BCI ISO 22301.
La Encuesta Benchmarking revela que el 71% de las organizaciones buscan alinear hacia la ISO 22301 en los próximos 24 meses. Se observa una cifra inferior al 30% para la certificación contra obstante la norma. Estas cifras demuestran que, si bien en general ISO 22301 está ganando reconocimiento como una herramienta para apoyar la continuidad del negocio, las organizaciones aún no están comprometerse con la evaluación independiente de sus sistemas.
Cómo las herramientas en línea están revolucionando la implementación de ISO 27001 e ISO 22301
15
Antiguamente, solo había dos opciones disponibles: navegar Internet de arriba a abajo para juntar toda la información y documentación necesarias para llevar adelante un proyecto de implementación; o contratar un consultor que vaya a la empresa para ayudar a ejecutar todos los pasos necesarios.
1. Intentar Hacer La Implementación Sin Ayuda
En el pasado, sin las nuevas herramientas y plataformas que tenemos actualmente, intentar recolectar toda la información necesaria, desde diversas fuentes en línea, era una tarea pesada. Además, no garantizaba resultados consistentes y de calidad. Este enfoque presentaba varios inconvenientes:
Documentos de baja calidad: al no tener un solo lugar con buena reputación para obtener plantillas de documentación, la gente tenía que buscar entre un sinnúmero de fuentes y renegar para encontrar documentos confiables, consistentes y con el formato necesario.
Sin asesoramiento para la implementación: sin una estructura clara y una planificación para implementar ISO 27001 e ISO 22301, el proyecto puede escaparse de las manos y resultar mucho más caro.
Sin ayuda si el proyecto se complica: los proyectos de implementación pueden ser un gran desafío; por eso, es muy probable que en algún momento necesite ayuda. Las respuestas se pueden encontrar en diversos foros de Internet, pero muchas veces esto implica confiar en consejos de dudosa credibilidad.
Demanda mucho tiempo: cuando no se está seguro sobre cómo hacer algo, todo lleva más tiempo que el previsto. Por eso, aunque no se vean los costos, obvios como pagarle a un consultor, el proceso igualmente puede tornarse muy caro (simplemente piense en el valor del tiempo).
Por último, puede ser una opción frustrante por no saber qué hacer después, o incluso dónde comenzar, y por nunca estar seguro si la documentación es la correcta. Y hacer todo sin ayuda en todo momento.
2. Contratación De Un Consultor
Contratar un especialista, con experiencia en implementación de ISO 27001 e ISO 22301, ayudará a que el trabajo se termine. Sin embargo, los consultores no trabajan gratis, lo que transforma esta opción en una alternativa cara. Y con el incremento de las nuevas herramientas en línea que han disminuido drásticamente el costo de implementación (principalmente evitando la necesidad de consultores), la ecuación costo-beneficio empieza a ser menos atractiva. Los problemas con esta opción son los siguientes:
16
Los consultores son caros: se trata del tiempo de un especialista y en la factura lo verá reflejado. Y con la cantidad de tiempo necesario para un proyecto típico de implementación, esta factura puede subir meteóricamente.
No hay transferencia de conocimientos : un consultor puede ayudar a una
empresa a implementar más rápido ISO 27001 e ISO 22301 (aunque como el avance sigue siendo responsabilidad de la empresa, la velocidad no es una garantía). Sin embargo, cuando un consultor se va, se lleva todo el conocimiento y la experiencia. El consultor tiene poca iniciativa para transferir su conocimiento porque es su medio de subsistencia; siempre le va a interesar ser requerido más adelante. Es mucho mejor que la base de conocimientos del proceso de certificación de ISO 27001 e ISO 22301 permanezca dentro de la organización.
S in garantías de certificación: ningún consultor, independientemente de la experiencia que pueda tener, puede prometer la certificación en ISO 27001 o ISO 22301. Lo que a menudo se olvida acerca de la contratación de consultores es que, aunque ofrezcan una guía durante el proceso, ellos simplemente están allí para asesorar. El éxito de la implementación y de la certificación sigue dependiendo de la empresa.
Este informe no tiene la intención de fustigar el trabajo de los consultores. Hay muchos consultores experimentados y eficientes que llegarán a la empresa y brindarán su ayuda durante todo el proceso de preparación para obtener la certificación. No obstante, el argumento planteado aquí es que ahora una empresa proactiva puede hacer el mismo trabajo por una fracción del costo de contratación de estos expertos. Sin ser una solución milagrosa, las nuevas herramientas en línea sí ofrecen una alternativa eficiente.
¿Qué deberían proporcionar las herramientas en línea?
La información necesaria: la mejor de las herramientas en línea debería brindar una amplia base de recursos, plantillas, asesoramiento y soporte (todo orientado a ayudar en la implementación). Al no tener que ir cazando información, se puede ahorrar mucho tiempo y evitar muchos problemas.
Ayuda oportuna: a menos que tenga experiencia en implementación de ISO 27001 e ISO 22301, probablemente necesite algo de ayuda. Estas herramientas deberían cumplir la mayoría de las funciones de un consultor, avanzando paso a
17
paso a lo largo de todo el proceso (incluso proporcionando soporte en vivo con un especialista). No es exactamente lo mismo que tener un consultor sentado en la oficina, pero las herramientas deberían suministrar todo el asesoramiento necesario (y, lo más importante, estar disponible cuando realmente se lo necesita).
No es necesario estar calificado en ISO 27001 o ISO 22301: el proceso debería ser diseñado para que hasta un principiante pueda transitar de punta a punta un proyecto de implementación. Esto significa que no es necesario tener conocimientos previos en ISO 27001 ni en ISO 22301 para entender todo (aunque tenerlos, sería grandioso). Con un enfoque lógico y motivación suficiente, debería ser sencillo seguir el proceso estructurado.
Plantillas listas para usar: el acceso a todas las plantillas necesarias para la implementación de ISO 27001 y/o ISO 22301 es una gran ventaja. Los servicios en línea deberían proporcionar plantillas casi completas (además de ofrecer, al mismo tiempo, la flexibilidad de adaptarlas a las necesidades específicas de la empresa).
Comunidad de soporte: durante un proyecto de implementación es muy útil poder comunicarse con especialistas, pero también con otras personas que se encuentran en su misma situación. Las buenas herramientas en línea deberían permitir conversaciones con especialistas reales, pero también con colegas o pares, para compartir ideas y conseguir ayuda vital.
Herramientas adicionales: además del asesoramiento, de las plantillas de documentación y del servicio de soporte, los mejores sitios también deberían ofrecer otras herramientas útiles para ayudar a tomar decisiones. Por ejemplo, herramientas que ayuden a determinar específicamente qué se necesita para la implementación, qué documentos e información necesarios hacen falta y cuánto puede demorar el proyecto
El camino que tome para la implementación de ISO 27001 e ISO 22301 depende exclusivamente de su situación específica. Por eso, para ayudarle a decidir cuál es el mejor enfoque para usted, le presentamos a continuación una guía rápida con las distintas opciones:
Contratar un consultor:
Si el tiempo es un factor importante para usted. La contratación de un consultor le ayudará a tener éxito dentro de un plazo ajustado.
Si no cuenta con gente que pueda dedicar tiempo a un proyecto de implementación. Un consultor puede ser la persona de campo.
Si los costos no son su principal preocupación.
18
Si está seguro que conseguirá un consultor de primer nivel, ya que esta es la mejor forma de asegurarse que aportará valor al trabajo.
Hacerlo usted mismo sin ayuda si:
Si tiene mucho tiempo para dedicarle al proyecto. Si no cuenta con fondos suficientes o si su presupuesto es casi nulo. Si el alcance de su proyecto es muy acotado; de otra forma se le puede
complicar. Si ya tiene gente en la empresa que esté familiarizada con los temas de
ISO 27001 e ISO 22301.
Usar las herramientas en línea:
Cuando necesita hacer la implementación rápidamente. Si el alcance de su proyecto es amplio o involucra diversos procesos. Aunque la experiencia y conocimientos de su personal sobre el tema sean
escasos. Si tiene algo de tiempo para dedicarle, pero no quiere que se genere un alto
impacto sobre la rutina diaria de todo el mundo. Si su presupuesto es bajo. Si desea retener en la empresa los conocimientos de la implementación de
ISO 27001 e ISO 22301.
Lista de documentación obligatoria para ISO 22301
Documentos y registros Punto en ISO 22301 Determinación del contexto de la organización
4.1
Procedimiento para identificación de requerimientos legales y normativos aplicables
4.2.2
Lista de requisitos legales, normativos y de otra índole
4.2.2
Alcance del SGCN (Sistema de gestión de la continuidad del negocio) y explicación de las exclusiones
4.3
Política de la continuidad del negocio 5.3 Objetivos de la continuidad del negocio
6.2
Competencias del personal 7.2 Comunicación con las partes interesadas
7.4
19
Proceso para análisis de impactos en el negocio y evaluación de riesgos
8.2.1
Resultados del análisis del impacto en el negocio
8.2.2
Resultados de la evaluación de riesgos
8.2.3
Procedimientos de la continuidad del negocio
8.4.1
Procedimientos de respuesta a incidentes
8.4.2
Decisión sobre si los riesgos e impactos se deben comunicar externamente
8.4.2
Comunicación con las partes interesadas, incluido el sistema
8.4.3
Procedimientos para restaurar y reiniciar actividades a partir de las medidas temporales
8.4.5
Resultados de las acciones que abordan tendencias o resultados adversos
9.1.1
Datos y resultados de seguimiento y medición
9.1.1
Resultados de la revisión posterior al incidente
9.1.2
Resultados de la auditoría interna 9.2 Resultados de la revisión por parte de la dirección
9.3
Naturaleza de las no conformidades y acciones tomadas
10.1
Resultados de acciones correctivas 10.1
Determinación del contexto de la organización (4.1)
En general, el contexto se determina a través de varios documentos; por ejemplo, el Procedimiento para identificación de requerimientos, la Política de continuidad del negocio, la Metodología de análisis de impactos en el negocio, la Metodología de evaluación de riesgos, etc. En otras palabras, generalmente no se confecciona un único documento para determinar un contexto, sino que se lo debe dejar plasmado a través de varios otros documentos.
20
Procedimiento para identificación de requerimientos legales y normativos aplicables y Lista de requisitos legales, normativos y de otra índole (4.2.2)
Este suele ser un procedimiento bastante corto que define quién es responsable del cumplimiento: ¿quién debe identificar todas las partes interesadas, quién tiene que respetar todas las leyes y normativas y demás requisitos de las partes interesadas, quiénes serán responsables de cumplir los requerimientos, cómo se comunicarán estos requerimientos, etc. Este procedimiento, y el listado resultante, deben ser definidos bien al comienzo del proyecto, ya que proporcionará datos para todo el SGCN.
Alcance del SGCN y explicación de las exclusiones (4.3)
Este documento también es muy breve y debe ser confeccionado al inicio del proyecto de continuidad del negocio. Debe definir claramente a qué partes de su organización se aplicará el BCMS en base a las necesidades identificadas y a las pretensiones de la organización. También debe explicar los motivos por los que fueron excluidos del alcance algunas partes de su organización. Muy a menudo, este documento se fusiona con la Política de continuidad del negocio.
Política y objetivos de la continuidad del negocio (5.3, 6.2)
Este es el documento central en el que la alta dirección debe indicar lo que quiere lograr con el SGCN y cómo lo controlarán. Habitualmente, la alta dirección aprobará solamente este documento de alto nivel, mientras que los demás documentos del SGCN son aprobados por administradores de nivel inferior.
Este documento es más bien corto y las organizaciones pequeñas y medianas, por lo general, incluyen aquí el alcance y los objetivos del SGCN; mientras que las organizaciones más grandes, habitualmente, confeccionan documentos separados para el alcance y los objetivos. Los objetivos SGCN no deben mezclarse con los objetivos de tiempo de recuperación (OTR). Los objetivos del SGCN se establecen para todo el sistema, no para las actividades.
Plan de capacitación y concienciación; competencias del personal (7.2, 7.3)
Estos planes normalmente son desarrollados anualmente por la persona responsable de la continuidad del negocio junto con el departamento de recursos humanos (si hay). Es el departamento de recursos humanos el que generalmente se encarga de llevar los registros de las competencias. Si usted no tiene un sector de este tipo, cualquier persona que habitualmente se encargue de los registros de los empleados debería ser quien realice este trabajo. Básicamente, sería suficiente una carpeta en la que se encuentren todos los documentos.
21
Comunicación con las partes interesadas (7.4)
Este tipo de comunicación se hace de diferentes formas: correo electrónico, correo postal, por teléfono, etc. Documentar este tipo de comunicación es bastante sencillo, solo tiene que guardar copias de estos mensajes de correo electrónico, cartas, documentos, etc. en algún tipo de un archivo. Si la comunicación se realiza a través del teléfono, se debe hacer y archivar una nota de acuerdo a reglas predefinidas.
Procedimiento para control de información documentada (7.5)
En general, este es un procedimiento independiente, de 2 o 3 páginas de extensión. Si usted ya implementó alguna otra norma como ISO 9001, ISO 14001, ISO 22301 o similar, puede utilizar el mismo procedimiento para todos estos sistemas de gestión. A veces es mejor redactar este procedimiento como el primer documento de un proyecto.
Contratos y acuerdos de niveles de servicio (8.1)
Es crucial que sus proveedores y socios externos reaccionen de la manera esperada cuando ocurre un incidente; por eso es conveniente confeccionar una plantilla con los requerimientos mínimos de continuidad del negocio que debería incluirse en cada uno de los contratos que firme con ellos.
Proceso para análisis de impactos en el negocio y sus resultados (8.2.1, 8.2.2)
Antes de empezar a hacer su análisis de impactos en el negocio (AIN), es necesario que defina las reglas sobre cómo hacerlo; esto, generalmente, se lleva a cabo con la metodología de análisis de impactos en el negocio. Dicha metodología debe ser redactada en 4 o 5 páginas, debe ser lo suficientemente breve como para que se pueda leer fácilmente, pero no demasiado corta como para que termine siendo imprecisa. La recopilación de datos para dicho análisis se realiza a través de los cuestionarios de AIN, que pueden ser en un formato sencillo de Excel o también se puede usar alguna herramienta GCN. Los resultados del proceso de AIN son documentados en el Informe de análisis de impactos en el negocio (para las grandes empresas) o puede ser incluidos en la Estrategia de continuidad del negocio (esta es la versión más corta, más aplicable en organizaciones pequeñas y medianas).
Proceso para evaluación de riesgos y sus resultados (8.2.1, 8.2.3)
Igual que el análisis de impactos en el negocio, la evaluación de riesgos también debe ser definida en una metodología antes de empezar a realizarla. Como ISO 22301 no especifica realmente los requerimientos para la evaluación de riesgos, puede utilizar la metodología de ISO 27001 e ISO 27005 ya que estas normas
22
proporcionan, probablemente, la mejor metodología para la evaluación de riesgos en la continuidad del negocio. Los resultados de la evaluación de riesgos deben ser documentados en el Informe sobre la evaluación de riesgos.
Estrategia de la continuidad del negocio (8.3)
Este es un enlace clave entre el análisis de impactos en el negocio, la evaluación de riesgos y los planes; su finalidad es garantizar que todos los recursos estén disponibles si se produce una interrupción. Esto es crucial, porque sin todos los recursos necesarios el plan de continuidad del negocio no se podrá realizar. Generalmente, la estrategia de continuidad del negocio es un documento de alto nivel que contiene estrategias para cada actividad bajo la forma de apéndices.
Mitigación de riesgos y plan de implementación para el logro de los objetivos de continuidad de negocio (6.2, 8.3.3)
La mitigación de riesgos normalmente está documentada a través del Plan de tratamiento del riesgo; sin embargo, resulta más práctico fusionarla en un plan de implementación más integral que incluya todas las actividades necesarias para implementar todos el SGCN.
Procedimientos para continuidad del negocio (8.4.1)
En términos generales, los procedimientos para continuidad del negocio incluyen los planes de respuesta ante incidentes, planes de recuperación de negocios, planes de recuperación ante desastres, planes de comunicación, etc. Usted puede organizar todos esos documentos dentro de un único plan de continuidad del negocio con apéndices para cada elemento mencionado.
Procedimientos de respuesta ante incidentes y registros sobre un incidente (8.4.2, 8.4.3)
En estos procedimientos se deben abordar todos los principales riesgos que enfrenta su organización y cómo responder inicialmente si ocurre un incidente de ese tipo. Puede redactar estos procedimientos en un único documento o como procedimientos separados, con un documento para cada posible incidente. Muy a menudo, se confeccionan en un documento denominado plan de respuesta ante incidentes; estos documentos también pueden incluir procedimientos de comunicación, planes de transporte, etc. En otras palabras, estos procedimientos pueden terminar siendo bastante largos. Un plan de respuesta ante incidentes debe definir la forma de registrar los hechos del incidente; puede ser algo sencillo, como notas manuscritas en el plan junto a cada paso que se ejecuta.
23
Procedimientos de comunicación (8.4.2, 8.4.3)
Estos procedimientos deben incluir las decisiones relacionadas con si los impactos y riesgos deben ser comunicados externamente y con cómo realizar la comunicación con las partes interesadas, particularmente con el sistema nacional o regional de asesoramiento de riesgos (por ejemplo, los tsunamis). Para las pequeñas y medianas empresas, estos procedimientos formarán parte del plan de respuesta ante los incidentes, mientras que en las grandes empresas serán documentos separados. El punto principal aquí es definir claramente quién es responsable de comunicarse con quién, especialmente quién está autorizado a comunicarse con los medios públicos y con las autoridades. También se pueden desarrollar plantillas para enviar información a los medios de comunicación, que le ayudarán a emitir comunicados de prensa rápidamente en caso que sea necesario.
Procedimientos para respuesta ante incidentes disruptivos (8.4.4)
Generalmente, estos son procedimientos de recuperación ante desastres (orientados a cómo recuperar la infraestructura de tecnología de información y de comunicación) y procedimientos de recuperación de actividades (orientados a recuperar el aspecto comercial de la organización). Junto con el plan de respuesta ante incidentes, estos procedimientos conforman la mayor parte de los procedimientos de continuidad del negocio.
Procedimientos para restaurar y reiniciar actividades a partir de las medidas temporales (8.4.5)
En la mayoría de los casos, estos procedimientos no serán muy detallados porque usted no puede saber por adelantado qué tipo de daños sufrirán sus instalaciones. Por lo tanto, puede definir brevemente quién será el responsable de evaluar los daños y de tomar las decisiones necesarias; puede incluir estos procedimientos en el plan principal de continuidad de negocio.
Escenarios de incidentes (8.5)
Estas son breves descripciones (o historias) de cómo puede desarrollarse un determinado incidente y cómo afectaría las actividades de su empresa. Deben ser desarrollados en base a los resultados de la evaluación de riesgos (deben reflejar los riesgos principales) y se los puede agregar al Plan de prueba y verificación o a la Estrategia de continuidad del negocio.
24
Planes de pruebas y verificación e informes posteriores (8.5)
Las pruebas y verificaciones son cruciales para la mejora de los procedimientos de continuidad del negocio; normalmente, se deberían realizar al menos una vez al año y deberían ser cada vez más rigurosos cada año. Cada plan debe definir los escenarios y objetivos que se deben cumplir; mientras que el informe debe indicar en qué nivel se han logrado esos objetivos.
Resultados de las acciones que abordan tendencias o resultados adversos (9.1.1)
Estas acciones se reflejan de dos formas: (1) plan de tratamiento del riesgo (mencionado anteriormente) y (2) medidas preventivas. Las medidas preventivas no son obligatorias en ISO 22301, pero sí existen en ISO 27001, ISO 9001 y en otros sistemas de gestión; por lo tanto, si usted ya tiene un procedimiento para medidas preventivas de otros sistemas, también lo puede utilizar para su SGCN.
Programa de mantenimiento del SGCN (9.1.1)
Como la documentación del SGCN puede ser bastante amplia, y se puede convertir en obsoleta muy fácilmente, una buena práctica es definir exactamente cuándo se revisará cada documento. Esto puede ser una simple tabla que determine cuándo debe ser revisado cada documento y por quién.
Métodos para supervisión, medición, análisis y evaluación (9.1.1)
La forma más sencilla de describir cómo se mide el sistema es a través de cada política y procedimiento. En general, esta descripción puede ser realizada al final de cada documento, y cada descripción tiene que definir los tipos de KPI (indicadores clave de desempeño) que se debe medir para cada documento.
Datos y resultados de seguimiento y medición (9.1.1)
Estos son todos los informes, KPI, resultados no oficiales enviados por correo electrónico, decisiones, etc. que deben ser guardados durante un período de tiempo especificado.
Resultados de la revisión posterior al incidente (9.1.2)
El mejor método sería crear un formulario con todos los datos necesarios que se deben tener en cuenta después de que ha ocurrido un incidente. Cuando se completa este formulario y se realizan las conclusiones correspondientes (si los
25
planes de continuidad del negocio funcionaron bien o no), se debe guardar el formulario durante un período de tiempo especificado.
Procedimiento, programa y resultados de auditoría interna (9.2)
Habitualmente el procedimiento para auditoría interna es un procedimiento independiente que puede tener entre 2 y 3 páginas y que debe ser confeccionado antes de que comience la auditoría interna. En cuanto al procedimiento para control de documentos, un procedimiento para auditoría interna puede ser utilizado para cualquier sistema de gestión. Un programa de auditoría interna podría ser un simple documento de una página que describa cuándo se llevará a cabo cada auditoría y quién la realizará. Los resultados de la auditoría interna se documentan a través del informe de auditoría interna; este informe debe incluir todas las no conformidades y las observaciones.
Resultados de la revisión por parte de la dirección (9.3)
Estos registros se presentan, normalmente, bajo la forma de actas de reunión y deben incluir todo el material tratado durante la reunión de la dirección, como también todas las decisiones que se tomaron. Estas actas pueden ser en papel o en formato digital.
No conformidades y medidas correctivas (10.1)
Generalmente, esta parte está cubierta en el Procedimiento para medidas correctivas; si usted ya tiene ISO 27001, ISO 9001 u otra norma de gestión, puede utilizar el procedimiento existente. En general, este procedimiento no tiene más que 2 o 3 páginas. Este procedimiento puede ser confeccionado al final del proyecto de implementación, aunque es mejor hacerlo antes para que los empleados puedan familiarizarse con él. Los resultados de las medidas correctivas son incluidos en los formularios para medidas correctivas (FMC). Sin embargo, es mucho mejor agregar estos registros en alguna aplicación que ya esté en uso en la organización; por ejemplo, la Mesa de ayuda, porque las medidas correctivas no son más que listas de actividades a realizar con responsabilidades, tareas y plazos bien definidos.
26
ISO 22301:2012, PARA GARANTIZAR CONTINUIDAD OPERATIVA DE
ORGANIZACIONES ANTE CONTINGENCIAS
De acuerdo con un comunicado emitido por el organismo internacional, los requerimientos de la norma ISO 22301:2012, Societal security – Business continuity management systems – Requirements (sistemas de gestión para la continuidad de los negocios), ayudará a las organizaciones, independientemente de su tamaño, ubicación o actividad, a estar mejor preparados y con más confianza para manejar contingencias de cualquier tipo: ambientales, legales, económicas, sociales, entre otras.Los incidentes pueden afectar a una organización en cualquier momento, pero la aplicación de la norma ISO 22301 asegurará que las organizaciones puedan responder de manera eficiente ante tales contratiempos, y no detener su operación y la de las partes involucradas.Dicha norma contempla incidentes de gran escala como desastres naturales, actos terroristas en sistemas tecnológicos y contingencias ecológicas. Aunque la mayoría de los casos los problemas que se presentan son menores, pueden tener un impacto significativo en las empresas; por ello es de gran relevancia contar con un sistema de gestión de continuidad de la organización en todo momento.
Esto ha llevado a una conciencia global de que las organizaciones de los sectores público y privado deben saber cómo prepararse y responder a incidentes inesperados y perjudiciales.
ISO 22301 proporciona un marco para planificar, establecer, implementar, operar, verificar, revisar, mantener y mejorar continuamente un sistema de gestión de la continuidad del negocio (BCMS). Se espera que esto ayude a las organizaciones a protegerse contra incidentes perturbadores inesperados mediante estrategias de preparación, respuesta y recuperación ante tales circunstancias.El Dr. Stefan Tangen, secretario del comité técnico de ISO que desarrolló la nueva norma, establece que “las organizaciones que implementan la norma ISO 22301 serán capaces de demostrar a los legisladores, reguladores, clientes, posibles clientes y otras partes interesadas que han incorporado las buenas prácticas en la Gestión de Continuidad de la Organización o Empresa (BCM, por sus siglas en inglés: Business Continuity Management).”Añade que la norma “también puede ser utilizada dentro de una organización para evaluar las buenas prácticas, así como para los auditores que deseen informar a la gerencia.”
27
ISO 22301 ayudará a las organizaciones en el diseño de un Sistema de Gestión de Continuidad de las Empresas u Organizaciones (BCMS) que sea apropiado para sus necesidades y cumpla con los requisitos de los grupos de interés.”Estas necesidades están determinadas por factores legales, reglamentarios, organizativos, de la industria y de los productos; además de los servicios, el tamaño, la estructura, los procesos y los grupos de interés de cada organización.
Por su parte, David Austin, líder del proyecto el responsable de redactar la norma ISO 22301, explica que “para que la norma ISO 22301 funcione adecuadamente, es necesario que las organizaciones hayan entendido completamente los requerimientos de la misma.”“En lugar de ser simplemente un proyecto o el desarrollo de ‘un plan’, la gestión para la continuidad de una empresa es un proceso de gestión continuo que requiere de personas competentes que trabajen en el desarrollo de estructuras y soportes adecuados cuando estos sean necesarios. Enfatiza”Además indica que “la norma ISO 22301 es la primera que se publica de acuerdo con el nuevo formato ISO para la escritura de normas de sistemas de gestión. Esto facilitará la comprensión y garantizará la coherencia con otros sistemas de gestión, tales como ISO 9001 (gestión de calidad), ISO 14001 (gestión medioambiental) e ISO / IEC 27001 (gestión de seguridad de la información).”ISO 22301 puede ser utilizada con propósitos de certificación, así como para la autoevaluación. Además incluye un apartado breve y conciso que describe los elementos centrales de la gestión para la continuidad de las empresas que permitirá a los usuarios sacar el máximo provecho de la norma.
28
Escenario de la Situación
Cada día la economía global se torna más compleja e interdependiente, es por ello que los incidentes que ocurren en el negocio o entorno pueden frenar o inclusive paralizar las actividades de las organizaciones, impactando directamente en los clientes finales y en los procesos críticos del negocio. Esto, especialmente cierto en sectores como; TIC´S, sanitario, administración pública, financiero e industrial.
Es entonces esencial anticiparse a los eventos no deseados y diseñar e implantar planes de contingencia efectivos para mantener la actividad de su negocio, sin importar qué pueda ocurrir.
Hechos ocurridos en el último año en el mundo, han dado vía libre para que se haya creado este estándar enfocado a la continuidad de los negocios, algunos de ellos son:
1. Averías en cableado submarino afectando los servicios de internet de países como la india, Bahrain, Emiratos árabes, Arabia saudí
2. Evacuación de más de 2,700 empleados en la torre de Londres por un vehículo sospechoso en el estacionamiento.
3. Huelgas en los sistemas de transporte público de países como; Francia, España, Alemania, Hungría y Grecia.
4. Eventos múltiples, terremotos, huelgas, temporales de nieve, explosiones, cortes internacionales del fluido eléctrico, incendios, afectando Atenas (Grecia).
5. Fallos en red/telefonía en países como Italia, Venezuela, y Colombia.
El sistema de gestión de la continuidad del negocio (BCMS, en inglés), le permitirá a las Empresas del país, revisar continuamente los riesgos de su negocio y conocer el grado “real” de preparación para responder a situaciones imprevistas, por ende la continuidad del negocio es parte integral de la estrategia de gestión de riesgos.
El Sistema de gestión en continuidad del negocio le permitirá además, minimizar el impacto en el negocio de las posibles interrupciones, construyendo una cadena de suministro más resistente y fiable, preservando y mejorando la imagen corporativa de las organizaciones, reduciendo sus costos globales.
29
Mediante el cumplimiento de los requisitos establecidos en la norma técnica, las empresas pueden asegurar el buen gobierno corporativo, creando un clima de confianza con los empleados, proveedores, clientes y demás stakeholders (grupos de interés).
¿Por qué el BCMS debe ser integrado con la gestión de riesgos empresarial?
El BCMS proporciona a la gestión de riesgos una mejor comprensión de las actividades más importantes (productos y servicios), y los recursos necesarios que les dan soporte, estableciendo un marco para la mitigación de dichos riesgos.
Permite establecer una interacción más directa con el negocio y mediante un enfoque pragmático para comprender los desafíos del día a día, por su parte. Por la otra, la gestión de riesgos le aporta a la continuidad del negocio una visión global del riesgo, le da acceso a la gestión del negocio, a sistemas de monitoreo, y proporciona una mejor visión de las amenazas existentes.
La integración y armonización de estos sistemas permite una mejor priorización, un método para dar tratamiento a los riesgos de una manera más sistemática, pragmática aportando mayor eficiencia en la inversión en la gestión de los riesgos.
El impacto en las partes interesadas requiere que las Empresas sean proactivas para afrontar los incidentes e interrupciones del negocio, con el fin de evitar la paralización de servicios y proceso clave de negocio, y que, en el caso de que se generen, existan mecanismos internos para restaurar los productos y procesos a la mayor rapidez en función de lo dependiente que sean de ellos.
30
Gráfica 1 Esquema de Recuperación del negocio
La Base de Madurez Empresarial
Las Organizaciones afectadas por catástrofes pueden agruparse en dos categorías: “recuperables” y “no recuperables”. Cuando una Empresa ha afrontado con éxito una situación de crisis (ejemplo; El incendio del Edificio Windsor donde funcionaban las oficinas corporativas de DELOITTE en Madrid, España) el valor de sus acciones se incrementa en el largo plazo en comparación con aquellas que no lo hicieron y cuyo valor de las acciones disminuyó y después de un año no fue posible su recuperación.
31
Gráfica 2 Caso Windsor - Deloitte
Las investigaciones más recientes han demostrado que aquellas organizaciones que incluyen en sus presupuestos la gestión del riesgo, continuidad del negocio, principios de buen gobierno corporativo, y modelos de gestión eficaces son más rentables en sus sectores. Por tanto modelos de gestión como el BCMS, son una inversión y no un coste.
Es común escuchar frases como:
No nos va a pasar…
32
Le haremos frente, siempre lo hacemos… Somos demasiado grandes para quebrar… No somos un objetivo terrorista… La compañía de seguros pagará todo… No tenemos tiempo suficiente para prepararnos para algo que nunca va a ocurrir…
Ahora bien, la definición de la continuidad del negocio es: “proceso de gestión holístico que identifica las amenazas potenciales de una organización y los impactos que pueden causar en las operaciones de negocio si esas amenazas se materializan, además de proporcionar un marco de trabajo para construir una empresa más resistente con capacidad de respuesta efectiva y proteger los intereses de las partes interesadas, su reputación, imagen de marca y actividades de valor añadido”. El BCMS es más que una gestión de crisis o emergencias y se inicia con la identificación de actividades críticas y un análisis de impactos en el negocio.
La norma técnica ISO 22301:2012 es a nivel mundial el primer estándar internacional para la gestión de la continuidad del negocio, y ha sido desarrollada para ayudar a las empresas a minimizar el riesgo de este tipo de interrupciones. ISO realizó el lanzamiento de la norma ISO 22301:2012 “seguridad de la sociedad – sistema de gestión de la continuidad del negocio – requisitos” . La cual reemplaza a la norma británica BS25999.
Esta norma específica los requisitos para planificar, establecer, implementar, operar, monitorear, revisar, mantener y mejorar de forma continua un sistema de gestión documentado para prepararse, responder y recuperarse de eventos que generan interrupciones, cuando estos se materializan en las organizaciones. Los requisitos especificados en la norma 22301 son genéricos y pretenden ser aplicables a todo tipo de organizaciones, sin importar su tipo, tamaño, naturaleza, el grado de aplicación de dichos requisitos dependerá del ambiente operativo y del grado de complejidad de las organizaciones.
Se agrega un mayor énfasis en el establecimiento de objetivos, el seguimiento del desempeño y los KPI (indicadores de desempeño), requiere de una mayor claridad sobre las expectativas de la dirección, la planificación y preparación más cuidadosa de los recursos para el aseguramiento de la continuidad del negocio.
La continuidad del negocio tiene un ciclo de vida conformado por las siguientes etapas:
33
Comprensión de la organización en su contexto Definición de la estrategia de continuidad del negocio Desarrollar e implementar un plan de continuidad del negocio (BCP – Business
continuity Plan) Probar, mantener y revisar
Para lograr lo anterior la norma conserva el enfoque basado en procesos PHVA, Planear, Hacer, Verificar y Actuar, el cual se debe aplicar a toda la estructura de procesos y al BCP.
Gráfica 3 Modelo BCM articulado con el ciclo PHVA
Siguiendo la nueva estructura de la Guía ISO 83, la norma ISO 22301 está organizada en las siguientes cláusulas principales:
Capítulo 4 Contexto de la organización Capítulo 5 Liderazgo
34
Capítulo 6 Planificación Capítulo 7 Soporte Capítulo 8 Operación Capítulo 9 Evaluación del desempeño Capítulo 10 Mejora
Cada una de estas actividades principales se describe a continuación.
Gráfica 4 Enfoque de Gestión del BCMS
CAPITULO 4 CONTEXTO DE LA ORGANIZACIÓN
En este acápite se debe determinar los temas internos y externos de la organización que son relevantes y que afectan su capacidad para alcanzar los
35
resultados esperados en el sistema de gestión de la continuidad del negocio, como son: actividades operacionales, funciones, servicios, productos, cadena de suministro, relaciones con grupos de interés y el impacto potencial relacionado con un incidente que genere una interrupción.
CAPITULO 5 y 6 PLANIFICACIÓN Y LIDERAZGO
En este capítulo se deberá establecer la interacción o vínculos entre la política de continuidad del negocio y los objetivos de la empresa, y la alineación o armonización con otras políticas incluyendo la estrategia de gestión de riesgos, el apetito de riesgo, las necesidades y expectativas de las partes interesadas, el marco normativo, las regulaciones y otros requisitos aplicables al negocio.
Además de identificar el alcance del sistema de gestión de continuidad del negocio, tomando como referencia los objetivos estratégicos de la organización, sus productos, servicios, su tolerancia al riesgo, y cualquier obligación contractual o de partes interesadas.
Gráfica 5 Enfoque de Planificación del BCMS
36
La alta dirección debe demostrar un compromiso continuo con el sistema de gestión de la continuidad del negocio, mediante su liderazgo y acciones, la dirección deberá crear un ambiente en el cual los distintos miembros de la organización estén involucrados totalmente, el sistema de gestión pueda funcionar eficazmente en sinergia con los objetivos estratégicos. La dirección es responsable de:
Asegurar que el sistema de gestión es compatible con el mapa estratégico organizacional.
Integrar y armonizar los requisitos del sistema de gestión con los procesos Suministrar los recursos necesarios para el funcionamiento eficaz del sistema de
gestión Comunicar la importancia de la gestión de continuidad del negocio de manera
eficaz, asegurando que se logran los resultados esperados Dirigir y apoyar la mejora continua Establecer y comunicar la política de continuidad del negocio Asegurar que los objetivos y el plan de continuidad del negocio se establezcan Asegurar que las responsabilidades y autoridades para las funciones sean
asignadas.Esta es una etapa crítica en la que se deberán establecer los objetivos estratégicos, principios para la orientación del sistema de gestión en su totalidad. Los objetivos del sistema son una expresión del propósito de la empresa para el tratamiento de los riesgos identificados y/o para cumplir con los requisitos de las necesidades de la empresa, los objetivos de la continuidad del negocio deben:
Ser coherentes y consistentes con la política de continuidad del negocio Tomar como referencia el nivel mínimo de productos y servicios que es aceptable
para que la empresa alcance los objetivos trazados Ser mesurables Tomar los requisitos aplicables como marco de referencia Ser controlados y actualizados
La gestión de un sistema de continuidad del negocio, se basa en el uso de recursos apropiados para cada actividad, estos recursos incluyen personal competente con base en formación, experiencia y habilidades, toma de conciencia, comunicaciones pertinentes, servicios de soporte (con evidencia demostrable y objetiva), esto debe ser apoyado por información documentada y adecuadamente gestionada (plan de continuidad del negocio, entre otros documentos).
Las comunicaciones, tanto internas como externas deberán ser consideradas en este numeral, incluyendo su formato, contenido y frecuencias. Los requisitos para
37
la creación, actualización y control de la documentación son igualmente especificados en este numeral. Después de que se planifica el sistema de gestión de la continuidad del negocio, la empresa debe ponerlo en funcionamiento.
CAPITULO 7 Y 8 SOPORTE Y OPERACIÓN
Gráfica 6 Operación del BCMS
En estos numerales se incluyen las siguientes actividades:
Análisis de impacto en el negocio: Esta actividad se enfoca en la identificación de los procesos críticos que soportan a los productos y servicios clave, las interdependencias entre los procesos y recursos necesarios para asegurar la operación de los procesos en niveles aceptables.
Evaluación del riesgo: La norma propone apoyarse en el estándar ISO 31000 para la administración del riesgo, con el fin de implementar el proceso de gestión del riesgo, la finalidad de este requisito es establecer, implementar y mantener un proceso formal y documentado de valoración de riesgos que identifique, analice y evalúe sistemáticamente el riesgo de todos los posibles incidentes que generen interrupciones en la organización.
Estrategia de continuidad del negocio: Una vez que los requisitos se han establecido, mediante el análisis de impacto la evaluación de los riesgos, las
38
estrategias se deben desarrollar para identificar disposiciones que permitan proteger y recuperar actividades críticas, basadas en el grado de tolerancia y apetito de riesgo de la empresa, estableciendo frecuencias de recuperación, con el fin de armonizar la continuidad del negocio con la estrategia global de la organización.
Procedimientos de continuidad del negocio: La empresa debe documentar los procedimientos necesarios para asegurar la continuidad del negocio de las actividades, la gestión de incidentes que generen interrupciones, los procedimientos deben establecer protocolos de comunicación internas y externas, ser específicos en función de las actividades inmediatas a ser tomadas durante las interrupciones, ser flexibles para responder a amenazas no anticipadas y a condiciones internas y externas cambiantes, enfocarse en el impacto de los eventos que puedan potencialmente interrumpir operaciones, ser desarrollados bajo las hipótesis establecidas del entorno de riesgo y análisis de interdependencias, ser efectivos para minimizar consecuencias a través de la implementación de estrategias de mitigación adecuadas.
Ejercicios y pruebas: Con el fin de asegurar que los procedimientos de continuidad del negocio son consistentes con los objetivos de continuidad, las organizaciones deben efectuar pruebas regularmente, los ejercicios y las pruebas son procesos de validación de planes y procedimientos de la continuidad del negocio, para asegurar que las estrategias seleccionadas son capacees de proveer resultados de respuesta y recuperación dentro de plazos acordados con la alta gerencia.Tabla 1 Pruebas posibles a aplicar al BCMS
39
CAPITULO 9 EVALUACIÓN DEL DESEMPEÑO
Una vez que el sistema de gestión de continuidad del negocio se ha implementado, se requiere permanentemente hacer seguimiento al sistema, así como efectuar revisiones periódicas para mejorar continuamente su operación, se debe hacer seguimiento al grado de contribución a la política, objetivos, metas de continuidad con respecto al BCP (plan de continuidad) y ver si son cumplidos. Adicionalmente, se deberá hacer seguimiento a la medición de los procesos, procedimientos y funciones que protegen las actividades priorizadas y el seguimiento histórico de evidencia de desempeño deficiente del sistema de gestión de la continuidad del negocio y efectuar con base en los criterios de la ISO
40
19011:2011, los ciclos de auditoría interna a intervalos planificados y realizar la revisión por la dirección.
CAPITULO 10 MEJORA
La mejora continua puede ser definida como todas las acciones realizadas a lo largo de los procesos planeados para incrementar la eficacia (cumplimiento de objetivos) y la eficiencia (proporción costo/beneficio optima) de los procesos, controles de seguridad para brindar más beneficios a la organización y a las partes interesadas. La Empresa, puede mejorar continuamente la eficacia de su sistema de gestión a través del uso de la política de continuidad del negocio, los objetivos, los resultados de las auditorias, el análisis de eventos controlados, los KPI de desempeño, las acciones correctivas y preventivas y la revisión por la dirección.
41
Conclusiones El incremento de estas nuevas herramientas en línea ha logrado, por
primera vez, que el enfoque de implementación "hágalo usted mismo" sea una alternativa posible. Pero el simple hecho de que ahora puede conseguir los documentos, el asesoramiento y el soporte, todo en un solo lugar, no significa que ésta sea la alternativa ideal para usted.
Antes de embarcarse en un proyecto de implementación es vital elegir el método que mejor se ajusta a sus necesidades. Y eso depende en gran medida de su situación particular. Para algunos, la contratación de un consultor será la mejor opción; para otros, las nuevas herramientas en línea son una opción atractiva.
El estándar ISO 22301:2012 engloba las distintas metodologías y buenas prácticas en continuidad del negocio generadas en los últimos casi 20 años.
Las empresas que hayan implementado y certificado el BS 25999-2:2007 tienen un límite de tiempo para realizar la migración al nuevo modelo.
Las organizaciones que estén implementando un SGCN bajo el esquema BS 25999-2:2007 deben iniciar la transición hacia el ISO 22301:2012.
42
Anexos
ISO 22301: consejos prácticos
La preocupación por la continuidad del negocio es sin duda uno de los puntos principales en las iniciativas estratégicas de las empresas del sector de las tecnologías de la Información, que valoran más que nadie, los gravísimos inconvenientes, tanto económicos como empresariales que se podrían causar debido a un tiempo de inactividad. En este artículo se resumen algunas de las mejores recomendaciones publicadas por “SYMANTEC” sobre políticas de continuidad del Negocio, para tener en cuenta a la hora de implementar un sistema de Continuidad del negocio. Según SYMANTEC, los principales puntos que debemos proteger con un Sistema de Continuidad del Negocio son:
Recuperación ante interrupciones imprevistas. Posibles bloqueos económicos o legales. Daños en la reputaciones responsabilidades
Una vez establecidos los objetivos de la política de continuidad del NEGOCIO, no solamente deberemos tener en cuenta la protección de las aplicaciones, los datos y servicios de nuestra empresa contra una amplia gama de amenazas, si no que deberemos además evaluar otros aspectos prácticos a tener en cuenta como son:
Las limitaciones de presupuesto, Las limitaciones de recursos de personal Las políticas de nuestros proveedores y su resistencia a adoptar
sistemas de protección y recuperación ante interrupciones imprevistas.
LOS RIESGOS Uno de los capítulos que no se nos debe pasar por alto, son los estudios de las posibles amenazas de ataques cibernéticos maliciosos, desastres naturales y por su puesto lo errores humanos. Esto nos hace pensar, que en las organizaciones deben pertrechar de sistemas que las mantengan siempre alerta, sobre cómo estas amenazas podrían afectar a su infraestructura, aplicaciones, datos esenciales y disponibilidad de la Información.
43
Estas son algunas de las mejores prácticas a tener en cuenta en el diseño e implementación de una continuidad del negocio:
1.- AUTOMATIZAR En los tiempos que corren no podemos seguir dependiendo de un manual donde tengamos que consultar los procesos humanos y tecnológicos para recuperarse de los cortes y restaurar el acceso a los datos y aplicaciones.La experiencia de recuperación ante desastres naturales ocurridos en la última década, impone a las empresas el implantar sistemas automatizados de recuperación, incluso para las organizaciones que se hayan planeado para la recuperación disponer de centros de datos a distancia. Otro motivo para ello es la disponibilidad del personal que tiene que realizar las tareas de recuperación. En situaciones de desastres naturales, es común que el personal no llegue a tiempo a los centros de recuperación, bien por quedar atrapada en los atascos o por la indisponibilidad de trasporte público etc... 2.- LAS MAQUINAS VIRTUALES FALLAN Debemos hacer frente a la posibilidad de que las máquinas virtuales, por mucho nivel de protección que queramos tener, pueden estar sujetas a fallos e indisponibilidades. Es por ello que nuestro plan de continuidad debe de ser un plan mixto, donde se contemple la copia de seguridad de nuestros servidores virtuales. 3.- LA IMPORTANCIA DE LAS PRUEBAS Un buen plan de continuidad, sin duda será imperfecto si no realizamos pruebas de su funcionamiento. Las pruebas son tanto o más importantes que tener un buen plan de comunidad. Este factor, es uno de los más críticos a la hora de enfrentarnos a un sistema que realmente responda cuando lo necesitemos. Las pruebas además de ser planificadas con periodicidades adecuadas, deben contemplar aspectos de fiabilidad en la conmutación a los sistemas de copia de seguridad que nos garanticen la continuidad de los trabajos críticos 4.- DESLOCALIZACION DEL CENTRO DE DATOS El primer consejo es establecer una distancia razonable entre la producción y Sitios de recuperación con el fin de mantenerse alejado de los problemas regionales. Sin embargo, muchas pequeñas y medianas empresas poseen un solo centro de datos, por lo que es aconsejables que negocien con sus proveedores de Servicios en la Nube para disponer de una opción de respaldo en una instalación remota.
44
5.- ESTABLEZCA PRIORIDADES Un Sistema de Continuidad del negocio evidentemente es un impacto económico que normalmente no pasa por ser insignificante. Es por ello, que en orden a implementar una solución económicamente viable es necesario establecer prioridades, analizando los procesos del negocio en profundidad para establecer cuales son aquellas aplicaciones que necesitan estar disponibles de inmediato y cuales pueden esperar unas horas. 6.- CONTINUIDAD DEL NEGOCIO COMO UN SERVIOCIO MÁS
Nuestro sistema de Continuidad del negocio podría ser considerado como un “servicio gestionado”, dentro de todos los demás que componen la cartera de Servicios TI. Para ello debemos aprovechar la experiencia en la selección de proveedores de TI, para seleccionar los sistemas que nos ayudarán en la recuperación ante interrupciones del servicio. 7.- IMPULSAR LA MOVILIDAD
Está claro que las empresas que promocionan el BYOD (“Trabaje desde su propio dispositivo”), favorecen la implantación de políticas de continuidad del negocio. Para ello, es suficiente con tener una conexión a Internet fiable, por lo que es un factor que contribuye a la facilidad de que un porcentaje relevante de nuestros empleados no sean interrumpidos en sus tareas por necesidad de desplazarse. Con ello, nos estamos protegiendo directamente de las incidencias climáticas y otros imprevistos.
45
Elementos del Ciclo de Vida del BCM
Lo conforman un conjunto de actividades de la Continuidad del Negocio que colectivamente cubren todos los aspectos y fases del BCM, que se repite como objetivo general de mejorar la residencia organizacional. Se divide en seis prácticas profesionales:
Prácticas de Gestión
1. Política y Gestión de Programas
Es el inicio del ciclo de vida del BCM y se trata de la práctica profesional que define la política de la organización y la forma en que la política se llevará a cabo, controladas y validadas a través de un programa de BCM.
La política BC incluye: La definición de BC para la organización y del ámbito de aplicación del BCM, asignar roles y responsabilidades de BC; un framework para la gestión del BCM; un conjunto de principios, directrices y estándares mínimos; una definición clara de presupuesto, auditoría y responsabilidades de gobernanza.
2. Incorporación de Continuidad de Negocio
Es la práctica profesional que continuamente busca integrar BC en las actividades empresariales del día a día y la cultura organizacional. Esta actividad no es exclusiva de BC; otras disciplinas también deben incorporarse en la organización de una manera similar. Disciplinas como la Calidad, Salud y Seguridad, Servicios
46
Ambientales, Seguridad y Gestión de Riesgos tiene retos similares. Así que la oportunidad de compartir experiencias y oportunidades de aprendizaje a través de diversas disciplinas relacionadas es importante.
Prácticas Técnicas
3. Análisis
Es la práctica profesional dentro del ciclo de vida de BCM que revisa y evalúa una organización en términos de cuáles son sus objetivos, su funcionamiento y las limitaciones del entorno en el que opera.
La información recogida permite determinar la mejor manera de preparar una organización para ser capaz de manejar las interrupciones que de otro modo podrían seriamente o fatalmente dañarlo.
La principal técnica utilizada para el análisis de una organización para la continuidad del negocio (BC) fines es el análisis del impacto del negocio (BIA). A nivel estratégico, puede hacer preguntas a la Alta Dirección que se refieren a la misión de la organización, sus objetivos, los objetivos y las prioridades. También se pueden utilizar los niveles táctico y operacional para profundizar e identificar información más detallada.
Esta práctica profesional cubrirá la estimación de los recursos, instalaciones y servicios externos que requerirá cada actividad, tanto en la reanudación y volver a las operaciones normales. Dentro del programa de BCM, esta etapa debe centrarse en las amenazas inherentes a las actividades de negocios identificados como más urgentes en el BIA, en lugar de todas las amenazas a la organización.
4. Diseño
Es la práctica profesional dentro del ciclo de vida de BCM que identifica y selecciona las estrategias y tácticas para determinar la continuidad y recuperación de las pérdidas que se lograrán. La información obtenida de la etapa de análisis y decisiones tomadas en la etapa de Políticas y Gestión de Programas se utilizan para diseñar soluciones en las siguientes tres áreas:
Continuidad y estrategias de recuperación y tácticas
El propósito de diseñar estrategias de recuperación y tácticas es fijar plazos para la recuperación e identificar los medios para que estos objetivos sean alcanzados. Esto puede llevarse a cabo en tres niveles de organización:
Estratégico - productos y servicios; Táctica - Infraestructura de proceso y;
47
Operacional - actividades que ofrecen los productos y servicios.
A nivel táctico, el proceso consiste en la infraestructura de los servicios e instalaciones necesarias para ofrecer un producto o servicio. Es donde:
Las soluciones que harán planes viables en la práctica se han diseñado y Las decisiones probablemente incurrirán en la mayoría de los gastos.
El diseño de soluciones operativas puede requerir conocimientos técnicos más allá de las de un profesional. Asesoramiento técnico que tenga que ser solicitada a expertos en otros campos.
Medidas de mitigación de amenazas
El propósito de diseñarlas es identificar y seleccionar las medidas preventivas que se pueden implementar para reducir la probabilidad y/o el impacto de la interrupción de las actividades de la organización, la mayoría de tiempo crítico y urgente.
Estructura de respuesta a incidentes
El propósito de diseñar una estructura de respuesta a incidentes es asegurar que existe un mecanismo documentado y entendido por completo para responder a un incidente que tiene el potencial de causar la interrupción de la organización, independientemente de su causa.
5. Implementación
Es la práctica profesional dentro del ciclo de vida del BCM que ejecuta las estrategias acordadas y tácticas a través del proceso de elaboración del Plan de Continuidad de Negocios (BCP).
El objetivo es identificar y documentar las prioridades, procedimientos, responsabilidades y recursos para ayudar a la organización en la gestión de un incidente perturbador, mientras que la aplicación de estrategias de continuidad y recuperación a un nivel predeterminado de servicio.
Los requisitos fundamentales para una respuesta eficaz por parte de la organización son los siguientes:
La capacidad de reconocer y evaluar las amenazas existentes y potenciales cuando se producen y para determinar una respuesta adecuada;
Un procedimiento claro y entendido por la activación, la escalada y la estructura de respuesta a incidentes;
48
Contar con el personal responsable y la capacidad para poner en práctica las estrategias de continuidad acordada (u objetivos) tal como se definen en los planes de la organización
Seguir y recuperar las actividades interrumpidas;
La capacidad de comunicarse de manera efectiva con las partes interesadas internas y externas.
Los resultados se pueden lograr por varios métodos y técnicas, y es importante que sea adecuado para las necesidades de la organización. Las acciones descritas en los planes no están destinadas a cubrir todas las eventualidades que, por su naturaleza, todos los incidentes son diferentes. Los procedimientos pueden ser necesarios adaptar el evento específico que se ha producido y las oportunidades que pueda haber creado.
6. Validación
Es la práctica profesional dentro del ciclo de vida de BCM que confirma que el Programa de BCM responde a los objetivos establecidos en la Política de BC y que el BCP de la organización es apto para el propósito.
El objetivo de la validación es garantizar que la capacidad BC refleja la naturaleza, escala y complejidad de la organización que apoya y que es actual, precisa y completa, y que se adopten medidas para mejorar continuamente la re silencia organizacional.
La validación se logra a través de las siguientes tres actividades:
Hacer ejercicio:
Un programa de ejercicio planificado es necesario para asegurar que todos los aspectos de la respuesta a un incidente que se han ejercido. En particular: toda la información en los planes se verifica; todos los planes se ensayan, y todo el personal pertinente (incluyendo diputados) se ejercen.
La capacidad de una organización no puede ser considerada fiable hasta que se haya ejercido. No importa lo bien diseñado una estrategia BC o Plan de Continuidad de Negocios (BCP), parece ser, los ejercicios fuertes y realistas que identificar problemas y supuestos que requieren atención.
Para tener éxito un programa de ejercicio debe empezar sencillamente y escalar gradualmente en términos de complejidad y desafío
49
Mantenimiento:
Mantiene acuerdos de la organización hasta la fecha, permite asegurar que la organización está preparada para responder a gestionar eficazmente los incidentes, a pesar del cambio constante.
Una parte importante del ciclo de vida de BCM es la gestión de la documentación, y el mantenimiento del programa de BCM se asegura de que esta documentación se mantiene actualizada y que la documentación actual y relevante es distribuido a las partes interesadas pertinentes.
Revisar:
El objetivo de revisar es evaluar el programa de BCM e identificar las mejoras que tanto la ejecución de la organización del ciclo de vida del BCM y el nivel de resilencia organizacional.
Hay cinco tipos básicos de opinión:
o Auditoría (interna y externa) - un proceso formal de revisión que mide programa BCM frente a un estándar acordado previamente;
o Auto-evaluación - una evaluación del programa de BCM a sí misma; o Garantía de calidad (QA) - un procedimiento que garantice que las
diferentes salidas del programa de BCM cumplen con los requisitos; o Evaluación del Desempeño - una revisión de la actuación de las personas
encargadas de las funciones y responsabilidades; y o Rendimiento Proveedor - un proveedor clave o una revisión del desempeño
de un proveedor de servicios de recuperación.
Beneficios de un programa BCM eficiente:
Ser capaz de entender a la empresa, de los procesos y ayudar a mejorarlos
Identificar los diversos eventos que podrían impactar a la continuidad de las operaciones y su impacto financiero, humano y de reputación.
Prevenir o minimizar las pérdidas para el negocio en caso de desastre.
Clasificar los activos para priorizar su protección en caso de desastre.
Evitar que los incidentes se conviertan en una verdadera crisis, ya que se asegura una mínima interrupción del flujo de trabajo.
Implicar a los recursos humanos de la compañía en las actividades de continuidad.
50
Mejorar una reputación corporativa y ventajas competitivas debido a la demostrada capacidad de mantener la entrega de servicios.
Plan- Do- Check- Act (PDCA)
Es un modelo para la planificación, establecimiento, implementación, operación, supervisión, revisión y mantenimiento de la mejora continua de la eficacia de un BCMS de la organización.
Las fases del modelo Planificación- Implementación- Verificación- Mantenimiento son:
Plan
(Establecer): Establecer la política, objetivos, controles, procesos y procedimientos de continuidad de negocio con el fin de obtener resultados que se alinean con las políticas generales y los objetivos de la organización.
Do (Implementar y Operar): Implementar y operar la política de la continuidad de negocios, controles proceso y procedimientos.
Check (Monitorear y Revisar): Monitorear y evaluar el desempeño de la política de continuidad de negocio y los objetivos, informando de los resultados a la gerencia
51
para su revisión, y determinar y autorizar las acciones de remediación y mejoramiento.
Act (Mantener y Mejorar): Mantener y mejorar los BCMS mediante la adopción de medidas correctivas, con base en los resultados de la revisión de la gestión y la revalorización del alcance de las BCMS y la política y objetivo de continuidad de negocio.
BIA (Business ImpactAnalysis)
BIA es el proceso que consiste en analizar las funciones del negocio y el efecto que una interrupción del negocio pudiera causar sobre ellas. De acuerdo al BCIes “el análisis a nivel de gestión por el cual una organización evalúa los impactos cuantitativos y cualitativos, los efectos y la pérdida que podría resultar si se tuviera que sufrir una emergencia, incidente o crisis. Los hallazgos de un BIA se utiliza para tomar decisiones sobre la estrategia de Continuidad del Negocio y soluciones”.
Un BIA ayuda a identificar lo que se perderá si el negocio se interrumpe, lo que podría costar la pérdida de beneficios e ingresos, el deterioro de las relaciones con los clientes, pérdida de reputación. También es un proceso clave para entender cuánto de una interrupción cada proceso o tarea puede tolerar antes de que el daño sea irremediable y de cuales recursos (personas, máquinas, documentos u otros procesos) depende la empresa.
Los propósitos de un BIA para cada actividad, producto o servicio son:
Documentar los impactos en tiempo que se derivarán de su pérdida o interrupción.
Identificar el Máximo Periodo Tolerable de Interrupción (MTPD).
Identificar las dependencias‒tanto internas como externas‒ que son necesarias para que la actividad funcione de forma eficaz.
BIA es la base para la toma de decisiones y la planificación estratégica de recuperación en la cual la estructura de gestión de la continuidad reside y es sin duda uno de los resultados más importantes y fundamentales del ciclo de vida de la continuidad del negocio. Es a través del BIA que las necesidades de la organización en respuesta a un desastre pueden ser adecuadamente evaluadas y priorizadas.
Business Continuity Plan (BCP)
52
El plan de continuidad de negocios es un conjunto de procedimientos documentados e información que ha sido desarrollada, recopilada y mantenida a disposición para su uso durante un incidente, para permitir a la organización continua con la entrega de sus actividades más importantes y urgentes a un nivel aceptable predefinido. El plan de continuidad de negocios se actualiza y mantiene a través del proceso de BCM que se definió anteriormente. Este reducirá el número y la magnitud de las decisiones que se toman durante un período en que los errores pueden resultar mayores. El Plan establecerá, organizará y documentará los riesgos, responsabilidades, políticas y procedimientos, acuerdos con entidades internas y externas.
Un claro ejemplo de la ausencia de un plan de continuidad de negocios es cuando se malogra el disco duro de una computadora, en realidad no cuesta nada repararlo, pero el daño y el impacto que puede causar es inmensurable si es que no hay ningún plan de mitigación ante su pérdida (mitigación podría ser alguna forma de copia de seguridad, por ejemplo).
Como menciona Hotchkiss [2010, p. 26.]. “Eventos13de pequeño impacto también pueden causar daño en términos de tiempo de reparación”, como en el ejemplo antes mencionado, una pequeña deficiencia puede causar un impacto bastante limitado en negocio, pero puede llegar a costar un montón de dinero para reparar debido a la falta de planificación. Esto significa que se debe tener en cuenta el impacto y el daño, así como el costo de recuperación llegar a una idea razonable del costo de no tener un plan de continuidad.
Los elementos claves de un BCP son:
Respuesta a la emergencia: Respuesta inmediata a una emergencia. Por ejemplo un Plan de Evacuación.
Gestión del Incidente: La gestión de Respuesta al incidente como por ejemplo un Plan de Continuidad en Crisis.
Continuidad: La repuesta inicial del negocio para asegurar que las actividades esenciales pueden continuar operando a un nivel mínimo aceptable.
Recuperación: Un plan para recuperar actividades a un nivel sostenible.
Reanudación: Un plan para reanudar las operaciones de la organización.
Un Plan de Continuidad de Negocio (BCP) está formado por los siguientes planes: Plan de Emergencia, Plan de Comunicación de Crisis, Plan de Gestión de Crisis y Plan de Recuperación de Desastres
DisasterRecovery Plan (DRP)
53
Es un proceso documentado o conjunto de procedimientos o acciones para recuperar y proteger la infraestructura de TI de una organización en caso de un desastre. Refiriéndose con desastre a todo evento súbito, imprevisto catastrófico que interrumpe los procesos de negocio lo suficiente como para poner en peligro la viabilidad de la organización .Un desastre podría ser el resultado de un daño importante a una parte de las operaciones, la pérdida total de una instalación, o la incapacidad de los empleados para acceder a esa instalación. EL DRP es "una declaración exhaustiva de acciones coherentes que deben tomarse antes, durante y después de un desastre". [Geoffrey, 2012]
El Plan de Recuperación de Desastres tiene como objetivo proporcionar un marco para la reconstrucción de las operaciones vitales de la organización, para garantizar la seguridad de los empleados y la reanudación de las operaciones sensibles a tiempo y los servicios en caso de una emergencia.
El DRP incluye la planeación de pasos para evitar riesgos y mitigarlos, DRP es aplicable en todos los aspectos de un negocio, sin embargo se utiliza normalmente en el contexto de operaciones para el procesamiento de datos.
Beneficios de un Plan de Recuperación ante un desastre:
Permite a la organización evitar riesgos de retrasos o mitigar el impacto de estos al: minimizar potenciales perdidas económicas y; decremento de la exposición a escenarios de desastre;
Reducir la probabilidad de que ocurran al mejorar la capacidad de recuperar las operaciones normales del negocio.
Reducir las interrupciones de la operación.
Provee un procedimiento pre- planificado minimizando el tiempo de toma de decisiones en caso de desastre.
Elimina la confusión y reduce la probabilidad de error humano debido al estrés que produce una crisis.
Protege los activos de la organización incluyendo al recurso humano.
Instituciones
BCI (Business ContinuityInstitute)
El BCI fue establecido en 1994 para permitir a los miembros obtener orientación y apoyo de los compañeros practicantes de continuidad del negocio.
El rol más amplio de la BCI es promover los más altos estándares de competencia profesional y ética comercial en la provisión y mantenimiento de la planificación de la continuidad del negocio y Servicios.
54
Los objetivos principales del BCI consiste en:
Establecer, mantener y promover altos estándares para la práctica ética de BCM, incluyendo entrega de bienes y servicios
Establecer y fomentar una educación de calidad y el desarrollo personal de los practicantes de todos los niveles
Para iniciar, desarrollar, evaluar y comunicar el pensamiento BCM, estándares y buenas prácticas
Para influir en los responsables políticos, líderes de opinión y otros grupos de interés en todo el mundo en el tema de BCM.
DRI International (Disaster Recovery Institute)
DRI International es una organización sin fines de lucro fundada en 1988 como el Instituto de Recuperación de Desastres para lograr que profesionales de diversas industrias y sectores empresariales entiendan los principios de continuidad de negocio y mantengan su nivel de conocimiento a través de una educación continua.
DRI Internacional tiene como objetivo promover base de conocimiento para la continuidad del negocio y la recuperación de desastres. Esto lo logran a través de la educación, la asistencia y la publicación de la base de recursos estándar. Por otro lado, administra los principales programas de certificación para las personas comprometidas en la práctica y gestión de continuidad de negocios.
Sus objetivos son:
o Promover una base común de gestión de la continuidad de la profesión. o Promover la credibilidad y la profesionalidad de las personas certificadas.o Lograr que los certificados tengan claro el tema de recuperación de
desastres.
NIST (National Institute of Standards and Technology)
El Instituto Nacional de Estándares y Tecnología (NIST) es un organismo federal no regulador que forma parte de la Administración de Tecnología del Departamento de Comercio de los EE.UU. cuyos objetivos son elaborar y promover patrones de medición, normas y tecnología. Tiene una relación con la continuidad de negocios ya que, en su publicación 800-34 (ContingencyPlanning Guide for InformationTechnology Systems) de su serie 800 [NIST, 2010],
55
desarrolla una guía de planes de contingencia de los sistemas de información de cualquier empresa.
BSI (British StandardsInstitution)
Es una institución independiente y global, la cual se basa en la creación de normas para lograr la estandarización de procesos, mejorar las prácticas de gestión y promover la innovación, proporciona soluciones basadas en estándares en más de 150 países. Es un organismo colaborador de ISO y proveedor de dichas normas.
BSI ayuda a las empresas, gobiernos y organizaciones de todo el mundo a aumentar la calidad y el rendimiento de una forma sostenible y socialmente responsable. BSI Group es reconocido a nivel mundial por la publicación de BS 25999 y la certificación como líder y proveedor de formación en este campo. En la actualidad, BSI apoya el despliegue de las nuevas Normas Internacionales de Continuidad de Negocio - ISO 22301 e ISO 22313.
Entre sus actividades principales se incluyen:
Certificar sistemas de gestión y productos.
Desarrollar normas nacionales e internacionales.
Proporcionar formación e información sobre normas y comercio internacional.
Realizar auditorías a las organizaciones.
ISO/IEC 22301:2012 – Guía de Buenas Prácticas del BCI
I. La ISO/IEC 22301 junto con la Guía de Buenas Prácticas del BCI provee aspectos y requisitos que todo SGCN debe cumplir:
Definir Políticas de Continuidad de Negocio La Alta Dirección establece, valida, aprueba y se compromete con la política del BCM, logrando hacer referencia a los objetivos y al alcance (incluyendo limitaciones) del SGCN dentro de la organización. Una vez establecida, es necesario que se informe dichas políticas a todo el personal de la organización, para lograr así llevar un control de ellas ante cambios relevantes cada cierto periodo de tiempo.
Aprovisionamiento de recursos Como primer paso, la Alta Dirección debe establecer y asignar roles y responsabilidades, según el conocimiento, al personal competente para el BCM y así, proporcionar los recursos necesarios para determinar, implementar, operar, monitorear, revisar y mejorar el SGCN a realizar. Por otro lado, al iniciar este nuevo proyecto es
56
relevante y necesario elaborar un presupuesto base de los principales recursos que requiere el SGCN y que refleje el financiamiento del proyecto; conforme se vaya desarrollando el mismo, será necesario adicionar presupuestos relacionados a nuevas estrategias de recuperación para el proyecto a realizar.
La Alta Dirección debe lograr analizar el nivel de riesgo aceptable del alcance del SGCN, comunicar a todo el personal y los stakeholders la relevancia del mismo y lograr establecer sus políticas para realizar una mejora continua.
Además, debe elegir un responsable capacitado para el manejo de las políticas y otros para el mantenimiento del SGCN independientemente del rol que desempeñan actualmente, para ello es necesario establecer revisiones periódicas del SGCN.
Concientización, Conocimiento y Preparación La organización debe asignar responsabilidades a todo el personal competente y capacitado para realizar los roles previamente definidos en el SGCN, una vez establecidos los responsables, se debe analizar si es necesario una previa preparación y entrenamiento al personal seleccionado para las diferentes tareas continuas referentes al SGCN.
De ser necesario se proporciona entrenamiento y se documenta cualquier preparación o entrenamiento impartidos, que proveen habilidades, grados de calificación o experiencias ganadas y finalmente se analiza la efectividad del entrenamiento realizado.
II. Es necesario que la organización adopte una metodología para la identificación, evaluación, gestión y control de los riesgos existentes en los procesos críticos del negocio, para que a través de la identificación previa de las amenazas y vulnerabilidades de incidentes en los mismos, se logre determinar las causas, las probabilidades y estimar el impacto de un determinado incidente en la organización. La organización debe:
Identificar Amenazas
Identificar Vulnerabilidades
Estimar el impacto en la organización de cada amenaza identificada.
Determinar los riesgos a partir de las amenazas y vulnerabilidades identificadas.
Registrar los riesgos y documentar toda la información identificada.
57
Identificar los riesgos de procesos críticos y tratarlos de acuerdo al nivel de aceptación del riesgo que ha sido determinado previamente por la Alta Gerencia.
Realizar el mantenimiento de los riesgos y controles de cambios relevantes en los procesos críticos de la organización cada cierto tiempo.
III. La organización debe definir a partir de sus actividades críticas los planes de reanudación de las mismas. Es importante que la organización logre:
Determinar un plan de reanudación de las actividades críticas dentro del tiempo objetivo de recuperación (RTO), este debe ser menor que el MTPD y se debe estimar los recursos necesarios para la reanudación.
Establecer la relación entre el personal involucrado en la recuperación y reanudación (interno y externo).
Documentar la estructura escogida para respuesta a incidentes, teniendo en cuenta el objetivo de punto de recuperación (RPO) o la máxima pérdida de datos soportada por la organización.
IV. La organización deberá ser capaz de determinar equipos responsables de comunicación, gestión de Crisis y respuesta a incidentes en emergencia, cuya función es controlar la situación, activar planes y comunicarlo a Alta Dirección e interesados.
Los equipos deben ser capaces de determinar el alcance del incidente y responder efectivamente de acuerdo a las estrategias, planes y procedimientos de Continuidad de Negocio.
V. Los BCP’s de la organización deben estar destinados a ser utilizados en situaciones de alta presión cuando las personas están bajo estrés de la interrupción o incidente.
Los BCP’s previamente son validados por Alta Dirección, alineados con cualquier acuerdo externo y entendidos por los equipos claves, para ello deben ser directos, esto significa que deben proporcionar una dirección clara, orientada y basada en el tiempo; adaptables para que así puedan responder a una amplia gama de incidentes; conciso, con orientaciones, información y herramientas que son susceptibles de ser utilizados por el equipo en un incidente perturbador.
58
Finalmente, debe ser relevante, significa que debe estar vigente (actualizado y con control de versiones de cambios relevantes) y aplicable y accesible al equipo de responsables que lo va a utilizar.
VI. Es necesario que la organización adopte la continuidad de negocio como parte de sus políticas con una adecuada gestión, garantizando:
Conocimiento (Cultura Organizacional) de la relevancia y trascendencia de las estrategias y planes de continuidad de negocio para lograr una respuesta efectiva ante incidentes y desastres; y cumpliendo los objetivos inicialmente trazados.
Concientización en la organización mediante las actualizaciones y gestión de la información brindada al personal para tener resultados durante un incidente.
Realizar capacitaciones y entrenamientos al personal, para desarrollar capacidades, competencias y habilidades de respuesta ante incidentes o interrupciones.
Definir técnicas o métodos para evaluar la efectividad y eficacia de las capacitaciones y programas de entrenamiento impartidos al personal.
VII. La organización debe determinar el alcance y objetivos de los ejercicios a realiza y en base a ello:
Determinar escenarios específicos de acuerdo al alcance de los incidentes que cubre el presente SGCN.
Establecer periodos de tiempo para la actualización de los programas de ejercicios de acuerdo a un control de cambios.
Determinar activos para los ejercicios definidos que sirvan de respaldo.
Determinar el presupuesto para el programa de ejercicios.
Decidir sobre tipos adecuados de ejercicio de las áreas a ser ejercidas durante el período de planificación.
Verifique la disponibilidad de personal y las instalaciones necesarias.
Elaborar un programa de ejercicios escrito, con hallazgos, resultados y retroalimentación. Además se debe considerar recomendaciones de cambios o actualizaciones con fechas establecidas.
Presentar a la Alta Dirección para su aprobación, si procede, e
Identificar cualquier requisito de capacitación para los participantes de ejercicios o planificadores e integrarse en el programa de ejercicios. La
59
organización debe garantizar la adecuada alineación del programa de ejercicios con sus objetivos estratégicos para lograr sus metas.
BibliografíaAlberto, A. (2007). Diseño y Gestión de un Sistema de Gestión de. Colombia: Alfa.
http://www.bsigroup.com/. (s.f.).
http://www.gestion.com.do. (s.f.). ISO 22301.
https://www.youtube.com. (s.f.).
Security, S. (s.f.). ISO 22301 . Business Continuity Management.
Sharp, J. (s.f.). The Route Map to Business Continuity management. United Kingdom: British Standards Institute.
http://normaiso22301.com/los-7-mejores-consejos-para-implantar-la-continuidad-del-negocio/
https://qsmexikoblog.wordpress.com/2012/06/06/iso22301/
http://tesis.pucp.edu.pe/repositorio/bitstream/handle/123456789/5110/CASTRO_LAURA_DISE%C3%91O_SISTEMA_GESTION_CONTINUIDAD_NEGOCIOS_RENIEC_NORMA_ISO_IEC_22301.pdf?sequence=1
http://dexconsultores.blogspot.com/2013/06/ntc-iso-223012012-gestion-de-la.html
60