Ciclo de vida del programa de continuidad del negocio
Tanto el nuevo estándar ISO 22301, como su predecesora, la BS 25999, establecen seis elementos que conforman el ciclo de vida del programa de continuidad del negocio.
A continuación, una breve síntesis de los entregables y método de implementación, para cada uno de ellos, de acuerdo con las buenas prácticas:
1. Gestión del programa de continuidad del negocio
Entregables:
Entregables:
• Política de continuidad del negocio.
• Procedimiento o manual de mantenimiento/gestión del programa.
• Procedimiento o manual de mantenimiento/gestión del programa.
Metodología:
• Soporte de la dirección.
• Estructura organizacional.
• Roles y responsabilidades descentralizadas.
• Establecimiento de partidas presupuestales.
• Gestión de las competencias requeridas.
• Formalización de una metodología alineada con la gestión de riesgos de la empresa.
• Control documental.
• Soporte de la dirección.
• Estructura organizacional.
• Roles y responsabilidades descentralizadas.
• Establecimiento de partidas presupuestales.
• Gestión de las competencias requeridas.
• Formalización de una metodología alineada con la gestión de riesgos de la empresa.
• Control documental.
2. Entender a la organización
Entregables:
Entregables:
• Análisis de Impacto al Negocio (business impact analysis - BIA).
• Análisis de Riesgos (risk assessment - RA).
• Análisis de Riesgos (risk assessment - RA).
Metodología:
• Identificar productos y servicios.
• Identificar procesos/actividades críticas del negocio.
• Determinar posibles impactos en la organización, así como los MTPD, MBCO, RTO y RPO.
• Identificar activos involucrados.
• Potenciales amenazas y posibilidad de ocurrencia.
• Identificar a los grupos de interés (stakeholders).
• Identificar productos y servicios.
• Identificar procesos/actividades críticas del negocio.
• Determinar posibles impactos en la organización, así como los MTPD, MBCO, RTO y RPO.
• Identificar activos involucrados.
• Potenciales amenazas y posibilidad de ocurrencia.
• Identificar a los grupos de interés (stakeholders).
3. Determinar las opciones para la continuidad del negocio
Entregables:
Entregables:
• Gestión de planes de acción para implementar opciones (estrategias) para reducir la probabilidad de ocurrencia de los incidentes y/o reducir el efecto de las interrupciones.
Metodología:
• Buscar proveer continuidad para las actividades críticas, durante y después del incidente.
• Definir las opciones para la protección y recuperación de los siguientes recursos organizacionales:
– personas;
– información y datos;
– edificios, ambientes de trabajo y servicios básicos de infraestructura;
– instalaciones, equipamiento e insumos;
– tecnologías de la información y comunicaciones (TIC);
– transporte;
– financiamiento/liquidez;
– proveedores y otros grupos de interés (stakeholders).
• Buscar proveer continuidad para las actividades críticas, durante y después del incidente.
• Definir las opciones para la protección y recuperación de los siguientes recursos organizacionales:
– personas;
– información y datos;
– edificios, ambientes de trabajo y servicios básicos de infraestructura;
– instalaciones, equipamiento e insumos;
– tecnologías de la información y comunicaciones (TIC);
– transporte;
– financiamiento/liquidez;
– proveedores y otros grupos de interés (stakeholders).
4. Desarrollar e implementar la respuesta
Entregables:
Entregables:
• Plan de continuidad del negocio, conformado por:
– plan de respuesta a emergencias;
– plan de gestión de crisis;
– plan de recuperación tecnológica;
– plan de recuperación del negocio.
– plan de respuesta a emergencias;
– plan de gestión de crisis;
– plan de recuperación tecnológica;
– plan de recuperación del negocio.
Metodología:
• Incluir en los planes:
– Acciones a tomar;
– Requerimientos de recursos;
– Responsabilidades.
• Incluir en los planes:
– Acciones a tomar;
– Requerimientos de recursos;
– Responsabilidades.
5. Ejercitar y probar
Entregables:
Entregables:
• Plan de pruebas - unitarias e integrales.
• Resultados de pruebas.
6. Lograr competencia y aumentar la concienciación
Entregables:
Entregables:
• Gestión de planes de acción para la mejora continua.
• Programa contínuo de sensibilización y concienciación.
• Reportes a la dirección.
• Evidencia de la actualización del programa.
• Auditorías.
• Programa contínuo de sensibilización y concienciación.
• Reportes a la dirección.
• Evidencia de la actualización del programa.
• Auditorías.
Fuentes:
BCMpedia. (2012). ISO 22301. Recuperado de http://www.bcmpedia.org/wiki/ISO22301
Ureña, M. (2010). Implementación del Sistema de Gestión de Continuidad del Negocio Basado en BS25999. Secure Information Technologies. Conferencia Information Security and Risk Management.
El artículo parece integro de la 25999. La 22301 tiene alguna diferencia intersante. Conviene resaltar que los recursos organizacionales, que en la 22301 identifica:
ResponderEliminara) people,
b) information and data,
c) buildings, work environment and associated utilities,
d) facilities, equipment and consumables,
e) information and communication technology (ICT) systems
f) transportation
g) finance, and
h) partners and suppliers.
Listo, Jorge. Estoy incorporando en el artículo tu siempre valioso aporte. Un abrazo desde Lima.
ResponderEliminarMuy buen aporte ...
ResponderEliminar