BCM Business continuity management, BS 25999, BCI (Business continuityinstitute)

Transcripción

1 BCM Business continuity management, BS 25999, BCI (Business continuityinstitute) Auditoria de Sistemas Presentado a: Ing. Carlos Hernán Gómez Presentado por: Jeferson Arango López Cód Universidad de Caldas Ingeniería de Sistemas y Computación Manizales

2 CONTENIDO CONTENIDO...2 INTRODUCCIÓN...3 MARCO TEORICO...4 HISTORIA...5 DESCRIPCIÓN GENERAL...6 DESARROLLO DE LA TEMÁTICA...7 BCM...7 Definición...7 Elementos Básicos del BCM...11 Análisis de Impacto del Negocio (BIA)...11 Desarrollo de Estrategias Para la Continuidad del Negocio Desarrollo e Implementación del BCM...13 Mantenimiento y Ejercicio del BCM...13 BS Para quién es significativo?...17 El futuro...17 Ventajas...18 BCI...19 COMPARACIÓN CON COBIT...20 RESUMEN...21 CONCLUSIONES...24 BIBLIOGRAFIA

3 INTRODUCCIÓN Las consecuencias que pueden traer a una empresa un desastre natural, terrorismo, o cualquier evento que no se pueda plantear en un plan estratégico, pueden causar la quiebra de la misma o la paralización. Pues un evento de este nivel puede destruir la planta física, servidores donde se guarda la información, etc. Para evitar al máximo que estos eve ntos lleven a la empresa a una situación de inestabilidad económica o de producción, se debe cumplir en la empresa con estándares de administración de continuidad del negocio (BCM Business Continuity Magname nt). Estos estándares se plasman en un plan de continuidad del negocio, este debe estar listo en para entrar en acción en cualquier mome nto, ya que los eve ntos de terrorismo ó naturales no dan aviso. Este plan en conjunto con seguros puede convertirse en la carta de salvación de la empresa y así evitar su cierre o caída en el mercado. Implanta ndo BCM de buena manera en la empresa, y cumpliendo con sus normas según cada área de la empresa, puede llegar a revertir el impacto negativo que puede provocar un evento de los antes mencionados, pues si se tiene un buen plan se puede llegar a tomar partido de la desgracia de otros y posicionarse de mejor manera en el mercado después de la confusión provocada por el desastre (natural o terrorismo). A BCM se le une n algunos estándares que apoyan sus objetivos en cada área de la empresa, como lo es el BS 25999, que trata a la continuidad del negocio como un sistema de gestión. Esta norma a pesar de que no está muy extendida a nivel mundial si lleva varios años de funcionamiento con muy bue nos resultados. 3

4 MARCO TEORICO A pesar de lo poco extendida que está la norma BS 25999, no es nue va, puesto que fue publicada en 2006 y 2007 respectivamente. Consta de dos partes, la primera BS propone un código de buenas prácticas para la gestión de la continuidad de negocio, mientras que la norma BS25999 propone especificaciones para la implantación de SGCN (Sistema de Gestion de Continuidad del Negocio). El BCM, presenta un marco de referencia sistemático, basado en traducir los objetivos empresariales en objetivos de mantenimiento, que persigue n formular planes de vida de equipos y programas de mantenimiento de planta, diseñando la organización respectiva y estableciendo los sistemas apropiados de documentación y control. Esta metodología propone una metodología de aproximación orientada a optimizar los costos totales de mantenimiento en el ciclo de vida asociado al equipamiento, en contraposición al proceso de adquisición de activos limitado a consideraciones de performance y costo de capital. 4

5 HISTORIA BCM fue visto en sus inicios como parte del sector de las TI, desarrollado por organizaciones tales como el BCI y Survive a lo largo de 1980 y 1990 como algunas de las mejores prácticas. El creciente conocimiento internacional sobre este tema se dio en Japón, Australia, Singapur y Austria, todos por delante del Reino Unido en la elaboración de guías o normas nacionales en este ámbito. El BSI (British Standards Institute) publicó en 2006 la norma BS , un código de buenas prácticas dedicado a la gestión de la continuidad de negocio. Para las empresas resulta cada vez más importante disponer de planes de continuidad de negocio para que, en caso de un desastre o cualquier otro tipo de interrupción, la inactividad de la organización sea reducida, y por el contrario aprovechar estos momentos para que la empresa tome mayor posicionamiento. El Instituto de Continuidad de Negocio (Business Continuity Institute, en adelante BCI) fue establecido en 1994 con el objetivo de apoyar a sus socios y para orientar los profesionales de la continuidad de negocio. A través de su plan de certificación, el instituto proporciona a sus miembros un estatus internacionalmente reconocido puesto que la afiliación profesional del BCI demuestra la capacidad de sus miembros a llevar a cabo una gestión de continuidad de negocio a un nivel muy elevado. De manera más amplia, el papel del BCI consiste en promocionar las normas más elevadas en materia de competencias profesionales y ética de las prestaciones y del mantenimiento de servicios y planificación de la continuidad de negocios. 5

6 DESCRIPCIÓN GENERAL La Gestión de la Continuidad del Negocio (BCM) Es el Proceso del Negocio, responsable de gestionar el riesgo que puede tener un alto impacto en el Negocio. BCM protege los intereses de los principales interesados, la reputación, la marca y las actividades que aportan valor al Negocio. Los Procesos de BCM incluyen reducir el Riesgo a un nivel aceptable y planificar el restablecimiento de los Procesos de Negocio ante una situación. BCM establece los Objetivos, el ámbito y los requerimientos para una gestión de la continuidad del servicio. BS ha sido desarrollada por un amplio grupo de expertos de primera categoría que constituyen una muestra representativa de sectores de la industria y de la Administración para establecer el proceso, los principios y la terminología de la gestión de continuidad de la actividad comercial. El estándar se basa en BCM (Plan de Continuidad del Negocio), el BCM al ser implementado en una organización, se le debe hacer un seguimiento para conocer la evolución permanente de los procesos de la empresa, el BS proporciona una base para comprender, desarrollar e implantar la continuidad de negocio en una. Asimismo, contiene un conjunto exhaustivo de controles basados en las mejores prácticas de BCM y abarca todo el ciclo de vida de la gestión de continuidad de negocio. 6

7 DESARROLLO DE LA TEMÁTICA BCM Definición Business Continuity Management (BCM), o Administración de Continuidad del Negocio, es una forma de actividad de administración de riesgos para evaluar y cuando sea apropiado tratar el riesgo de una interrupción que pueda impedir u obstaculizar que una organización pueda alcanzar sus objetivos estratégicos, operacionales y de proyectos. En consecuencia, contribuye a hacer a las organizaciones más resistentes y con mayor poder de recuperación y en consecuencia puede brindar ventajas tácticas y estratégicas. Un BCM eficaz requiere una profunda comprensión de los objetivos y entorno operativo de la organización (incluyendo sus dependencias) para identificar las fuentes de este tipo de riesgos y los mecanismos a través de los cuales pueda ser perturbado el desarrollo de los objetivos de la organización. Tal comprensión permite también a la organización realizar preparaciones anticipadas para minimizar los efectos de lo que de otra forma serían eventos quebrantadores, particularmente aquellos de una escala que (sin técnicas BCM) estarían fuera de la capacidad de los enfoques administrativos de rutina para tratarlos con eficacia. Las preparaciones tienen la intención de: Una estabilización temprana. Continuación o temprana reasunción de las operaciones, particularmente aquellas que son más críticas para los objetivos de la organización. Minimización y pronto recupero de los efectos adversos. Detectar y aprovechar las oportunidades creadas por el evento. Adicionalmente, el conocimiento profundo que provee el proceso BCM, frecuentemente apuntará a medidas eficaces en costo que reducirán, ya sea la magnitud o la probabilidad de eventos que pueden causar interrupciones. En muchos casos será un medio más efectivo en costos y exitoso para asegurar la continuidad del negocio implementar tales tratamientos, que lo que sería confiar en el planeamiento contingente. Esto enfatiza la importancia de integrar la actividad de BCM en la actividad global de administración de riesgos, y en consecuencia en los sistemas de gobierno y administración de la organización. 7

8 Por esta razón, la metodología BCM sigue la metodología general de administración de riesgos tal como se describe en la ISO 31000:2009 y está fuertemente focalizada en los objetivos de la organización. A raíz de los acontecimientos del 11-01, casi todos los requisitos BCM en la reglamentación o las normas han sido mejorados o ampliados para hacer frente al creciente número de amenazas, así como un enfoque en el liderazgo empresarial. Un gran número de organizaciones se basan en una forma documentada de la política de continuidad de negocio (PCN) para impulsarlo. Aunque el contenido y el formato de las PCN son diferentes al basarse en las normas existentes y la cultura de la organización, se recomiendan los siguinetes elementos clave para impulsar este proceso hacia un nivel óptimo de madurez y preparación: 1- Rendición de cuentas: Nombres de los ejecutivos o directivos responsables de la planificación del programa BCM y de ejecución, a fin de incluir la responsabilidad de Los recursos y la estrategia en la toma de decisiones. 2- Funciones y responsabilidades: La política establece las funciones y responsabilidades para todos los empleados en materia de planificación, así como las actividades antes, durante y después del desastre. 3- Análisis: Establece la necesidad y las normas asociadas con las evaluaciones de riesgos y análisis de impacto en el negocio (las piedras angulares de los esfuerzos de planificación). 4- Parte legal, reglamentaria y contractuales de Evaluación: Requiere la participación del abogado general de la organización en el análisis de las autoridades federales, estatales y locales, así como los requisitos de los clientes contractuales que afectan las estrategias de continuidad de negocio. 5- Continuidad de Ejecución: Identifica las acciones específicas necesarias para desarrollar estrategias de continuidad óptima de negocios que cumplen con los requisitos de negocio, así como la forma en que la organización tiene la intención de gestionar la crisis y las interrupciones de negocio. 6- Continuidad del negocio Estrategia y Plan de Mantenimiento: especifica las normas relativas a la revisión y mantenimiento de un análisis de continuidad de negocio, las estrategias y documentación. 7- Participación de Auditoría Interna: Requiere la participación de la auditoría interna en el proceso de planificación y / o la revisión del cumplimiento de los requisitos establecidos en la política de BCM. 8

9 En conjunto, los elementos mencionados de una política de continuidad del negocio ayudarán al equipo de planificación de una organización con los recursos necesarios para gestionar eficazmente el programa de BCM. Para la implementación del BCM en una organización se deben tener en cuenta varios estados o fases que son necesarias para el funcionamiento eficaz y ágil de las actividades en una empresa. Estas fases son: Inicio y gestión del proyecto. Evaluación y control del riesgo. Análisis de impacto del negocio (BIA). Desarrollo e implementación de BCM. Programa de concientización y capacitación. Mantenimiento y ejercicio del BCM. Comunicación de crisis. Coordinación con Autoridades públicas. La realización del BCM en la organización traerá grandes ventajas como por ejemplo: Administrar la continuidad del negocio. Resistencia del negocio ante interrupciones. Protege y asegura la imagen de la empresa. Abre nuevas oportunidades de mercado y ayuda negocios. Aumenta la disponibilidad del negocio. a ganar nuevos La ejecución de una evaluación del riesgo: La mayoría de las disciplinas de gestión del riesgo utilizan una evaluación de riesgos para identificar y priorizar las amenazas. Dentro de BCM se utilizan una gran variedad de procesos de gestión de riesgos, la mayoría identifican y priorizan los riesgos utilizando una combinación de probabilidad e impacto. Además de la probabilidad y la gravedad, otra característica que pueda tenerse en cuenta en el esfuerzo de priorización es la detección de estos riesgos. Una diferencia importante de las disciplinas de gestión de riesgos es que BCM evalúa los riesgos relacionados teniendo en cuenta los controles de mitigación de los mismos. 9

10 Independientemente del proceso utilizado para dar prioridad a un proceso de recopilación de datos, estos deben ser definidos para obtener información acerca de la probabilidad, la gravedad y posiblemente la detección. Los datos pueden provenir de una amplia variedad de fuentes. La investigación histórica y las entrevistas son dos de los datos más eficaces en la reunión de técnicas de evaluación de riesgos. Las organizaciones suelen ofrecer liderazgo para el programa de continuidad del negocio a través de tres funciones: 1- Patrocinio: suministrar o garantizar el apoyo organizativo y financiero. 2- La propiedad: la responsabilidad directa de garantizar el apoyo, así como la ejecución del programa en general. 3- Custodia: la responsabilidad de la coordinación de las tareas BCM que se ejecutan en toda la organización. El patrocinio y la continuidad del negocio son funciones del programa el cual continuará con una tendencia hacia los elementos de la organización con una visibilidad de todo el negocio. Con base en estas tendencias, se ha elaborado una lista de los patrocinadores y los propietarios en un orden decreciente de efectividad: Finanzas El director financiero, para incluir la gestión del riesgo o la pérdida de la prevención. Consejo Ejecutivo: Un miembro del equipo directivo, para incluir el consejo general, director de recursos humanos o el gerente de comunicaciones corporativas. Operaciones: El director de operaciones, para incluir la seguridad y el medio ambiente, salud. Tecnología de la Información: El CIO o un informe directo de las operaciones de centro de datos (algunas organizaciones tienen un programa / oficina de gestión de proyectos, donde puede residir BCM). Auditoría Interna: El director de auditoría interna debe cumplir las políticas de la continuidad de la empresa de negocios a través de la ejecución descentralizada de los recursos dedicados o de auditoría interna. 10

11 Un BCM involucra todos los recursos de la organización. Por lo cual con su realización se podrán establecer estrategias que garanticen una continuidad del negocio, buscando minimizar la dependencia directa con los proveedores de los recursos con los que cuenta la empresa brindando una alta disponibilidad de los servicios ofrecidos. Elementos Básicos del BCM La gestión de crisis el cual es un proceso diseñado para permitir una respuesta eficaz a un evento. Los procesos de gestión de crisis se centran en la estabilización de la situación y preparar la empresa para las operaciones de recuperación. Reanudación de Planificación de Negocios o Business Recovery Planning, implica la recuperación de las funciones críticas de negocio y los procesos que se refieren a la entrega de productos y servicios básicos a un cliente. La recuperación de desastres de TI se refiere a la recuperación de los activos de TI críticos, incluidos los sistemas, aplicaciones, bases de datos, y activos de almacenamiento de red. Análisis de Impacto del Negocio (BIA). Consiste en técnicas y metodologías que pueden ser usadas para identificar, cuantificar y cualificar los impactos de negocio y sus efectos en una organización, es necesario analizar el negocio como un todo. El BIA tiene en cuenta el RTO y el RPO los cuales deben ser establecidos por la organización. Están definidos como: - RTO (Recovery Time Objetive): el tiempo entre el punto de interrupción y el punto en el cual los sistemas sensibles en el tiempo deben estar funcionando nuevamente. 11

12 - RPO (Recover Point Objetive): es el punto en el cual fueron interrumpidas las actividades del sistema. El BIA se encarga de identificar las actividades de misión critica de la organización, sus dependencias y sus puntos de fallas así como analizar el impacto y el efecto que se generaría en caso de la perdida e interrupción de las actividades de misión critica. El análisis de impacto del negocio posee unos determinados componentes clave - Cuestionarios de autoevaluación. - Listas de comprobación. - Matriz de análisis de impacto del negocio. Después de realizado el BIA, se obtendrán como resultados, la identificación y documentación de lo siguiente: - Objetivos y salidas. - Actividades de misión critica, dependencias y puntos de fallas. - Impactos y efectos financieros y no financieros. - Objetivos del BCM para cada actividad de misión crítica y sus dependencias. - Priorización mínima y aceptable de la recuperación de los recursos. - Revisión de los datos vitales. - Usuarios y clientes clave. - Proveedores. Desarrollo de Estrategias Para la Continuidad del Negocio. Consiste en identificar las alternativas de recuperación de las operaciones en los marcos de tiempo definidos. El desarrollo de las estrategias involucra los siguientes aspectos: - Identificar los requerimientos de continuidad de la organización. - Evaluar la compatibilidad de las estrategias contra los resultados del BIA. - Presentar el análisis costo / beneficio de las estrategias de continuidad. - Seleccionar los sitios alternos y almacenamiento externo. - Entender los términos contractuales de los servicios de continuidad del negocio. 12

13 Desarrollo e Implementación del BCM. Se involucra el diseño, desarrollo e implementación de planes de continuidad del negocio para evitar interrupciones de acuerdo a los marcos establecidos por RTO y RPO. La implementación de BCM incluye: Identificar los requerimientos para el desarrollo de los planes. Definir requerimientos de control y administración de la continuidad. Identificar y definir la estructura principal de los componentes de los plantes. Elaborar un borrador de los planes. Definir procedimientos de gestión de crisis y continuidad del negocio. Definir las estrategias de evaluación de daños y reanudación. Desarrollar una introducción general a los planes. Desarrollar la documentación de los equipos de operación del negocio y la recuperación tecnológica de la información. Desarrollar el sistema de comunicaciones y los planes de los usuarios finales. Implementar planes. Establecer los procedimientos de control y distribución de los planes. Las organizaciones siempre tienen que estar sujetas a cambios, aunque por lo general estos al realizar los cambios hay un porcentaje de resistencia al cambio relacionado con el personal, para esto es necesario que la organización prepare a sus empleados logrando minimizar la resistencia y obteniendo mejores situaciones creando cultura y aceptación. Este proceso de adaptación es necesario que se realice en toda la organización logrando aumentar la resistencia ante riesgos. Mantenimiento y Ejercicio del BCM Una vez declaradas y documentadas las estrategias y planes, que contribuyen al proceso de normalización ante una situación de crisis, es necesario realizar pruebas para determinar la eficacia con la que puede continuar el negocio ante la presencia de una posible interrupción. 13

14 Los propósitos de realizar el ejercicio son evaluar y permitir el continuo mejoramiento del BCM en la organización y permitiendo evaluar y mejorar la capacidad de competencia ante la gestión de crisis, para la realización del ejercicio se pueden determinar varios aspectos los cuales se listan a continuación: Identificar el nivel de madures del BCM de la organización. Verificación y validación de la continuidad del negocio y los planes de gestión de crisis. Verificación y validación en la gestión de crisis de la organización. Verificación y validación de que los miembros y el personal se familiaricen con el entendimiento de los roles, responsabilidades y autoridades en la operación de la continuidad del negocio. Adaptación, involucrando individuos usando la continuidad del negocio y los planes de gestión de crisis. Familiarización de los miembros del equipo y el personal con sus roles, responsabilidad y autoridad en la operación de la continuidad del negocio. Pruebas técnicas, logísticas, de administración y otras de sistemas operacionales de continuidad del negocio y planes de gestión de crisis. Centros de comando, aéreas de trabajo, recursos de recuperación de tecnología y telecomunicaciones. Ensayo de la disponibilidad y traslado del personal. Disposición de mecanismos para reforzar la continuidad del negocio, auditoria y mantenimiento de la gestión de crisis. Documentar resultados. Incrementar la cultura de los procedimientos de conciencia y el significado de BCM. Oportunidad de identificar defectos y mejoras de la organización del BCM y administración de crisis. Documentación y evaluación del ejercicio. Para lograr estos objetivos es necesario seguir un proceso en la elaboración de una prueba, es necesario establecer directores de cada área de la organización, luego se planifican los escenarios en los cuales se va a llevar a cabo las pruebas. Estas pruebas deben tener un grupo de administración, logística, recursos, listas de verificación y estructura, se documentará el ejercicio junto con la información de los participantes, se procederá a la realización del ejercicio luego se 14

15 evaluara y se hará un análisis de los resultados con el objetivo de tenerlos en cuenta en pruebas posteriores junto con sus recomendaciones. En el proceso de mantenimiento se asegura que la gestión de continuidad del negocio incluyendo la gestión de crisis permanezca efectivo, con el objetivo de ser capaz de lograr la recuperación de actividades de misión critica y sus dependencias dentro de los objetivos de tiempo de recuperación y los objetivos de punto de recuperación asegurando una continuidad de sus servicios y productos. Con la realización del BCM se puede obtener lo siguiente: Pruebas definidas y documentadas para la gestión y gobierno pro activo del programa de mantenimiento y monitoreo del BCM respecto a actividades de misión critica y sus dependencias. Detalles de todos los cambios de estrategias del BCM y planes de continuidad de negocio documentados con toda la historia de entregas y detalles de control de versiones. Verificación y validación de políticas, estrategias y planes BCM. Identificación e inclusión de cambios en los sistemas y procesos de la organización. Identificación e inclusión de cambios en la legislación y regulación para la industria. Verificación y validación de análisis de impacto y riesgos basados en las estrategias y planes BCM. Verificación y validación que las estrategias y planes BCM son actualizados, precios. Verificación y validación que la capacidad del BCM sean actualizados. Verificación y validación que los planes de continuidad de negocio sigan una secuencia lógica, formato, estructura conforme a las directrices y estándares de buenas prácticas. Verificación y validación que los cambios de procedimiento y procesos son puestos. Verificación y validación que el personal tiene entendido los roles de responsabilidad y le es claro el plan BCM. Los resultados que se obtendrán con el proceso de mantenimiento son de gran utilidad para la organización, previniendo que los documentos realizados queden obsoletos con el paso de los años. Para realizarlo es necesario tener una clara definición y documentación del programa de mantenimiento y monitoreo monitoreo, incluyendo políticas, marcos y procesos así como la estrategia de negocio operacional. El proceso de mantenimiento requiere de un subconjunto de procesos de auditoría. 15

16 Luego de los procesos de ejercicio y mantenimiento sigue un proceso de auditoría que se hace necesaria en cualquier proceso al interior de la organización. El propósito de la auditoria en la gestión de continuidad de negocio es revisar los estándares del BCM identificando defectos y dificultades. La auditoria revisara varios aspectos en la organización algunos de ellos son: Resistencia (aplicación de planes y estrategias en crisis). Políticas, estrategias, marcos y planes. El BCM es competente de acuerdo al propósito. Los planes y soluciones son efectivos y actualizados de acuerdo al propósito. Implementar programas. Documentar el control, procesos y procedimientos operando efectivamente. Para obtener buenos resultados en el proceso de auditoría se deben seguir métodos y/o técnicas que optimicen este proceso. Algunas técnicas y /o metodologías que se nombran son: auto evaluación, auditoria forense, cumplimiento de auditoría, diligencia auditoria, viabilidad de auditoría, control de auditoría, mejor valor auditado. Con el seguimiento de estas técnicas y la ayuda de los responsables, el proceso de auditoría podrá cumplir su propósito y así dar un informe para la organización en el cual se presenten los resultados de los procesos auditados. Se propone desarrollar, coordinar, evaluar y ejercitar planes para comunicarlos a directivos, personal, usuarios, proveedores y medios de comunicación, de tal forma que el entorno de la organización se entere de su estado y en caso de crisis poder reaccionar de forma adecuada para minimizar los costos de interrupción de los procesos internos. Se requiere que la organización tenga una clara definición y documentación de las políticas a implementar como un documento obligatorio en la organización. En este proceso la organización observara los resultados en la mejoría de los procesos de toda su organización, teniendo en cuenta que las políticas están dirigidas a la organización como un todo. 16

17 BS La continuidad de la actividad en caso de una interrupción, ya sea debido a un siniestro o catástrofe importante o bien debido a un incidente menor, es un requisito fundamental para cualquier organización. BS 25999, la primera norma británica del mundo para la gestión de continuidad de la actividad comercial (BCM), se ha concebido para ayudar a minimizar el riesgo de interrupciones de estas características. La norma ayuda a establecer las bases de un sistema BCM y se ha concebido para mantener en marcha las actividades durante las circunstancias más inesperadas y desafiantes: protege a los empleados, su reputación y proporciona la capacidad de continuar con la actividad y el comercio. BS ha sido desarrollada por un amplio grupo de expertos de primera categoría que constituyen una muestra representativa de sectores de la industria y del Estado para establecer el proceso, los principios y la terminología de la gestión de continuidad de la actividad comercial. Proporciona una base para comprender, desarrollar e implantar la continuidad de la actividad comercial en una organización y otorga confianza en los negocios de empresa a empresa y de empresa a cliente. Asi mismo, contiene un conjunto exhaustivo de controles basados en las mejores prácticas de BCM y abarca todo el ciclo de vida de la gestión de continuidad de la actividad comercial. Para quién es significativo? BS es una norma adecuada para toda organización, grande o pequeña, de cualquier sector. Es especialmente apropiada para organizaciones que operan en entornos de alto riesgo, como las finanzas, telecomunicaciones, transporte y el sector público, donde la capacidad de continuar la actividad comercial es primordial para la organización en sí, así como para sus clientes y partes interesadas. El futuro BS se está desarrollando en dos partes: la parte 1, el código profesional, ya está publicada y la parte 2, la especificación, está prevista para publicarse a mediados de La norma de especificación detallará los requisitos para los sistemas de gestión de continuidad de la actividad comercial y será auditable, de modo que las organizaciones podrán demostrar la conformidad con la norma. El hecho de obtener un certificado para la especificación procedente de un tercero independiente, como BSI Management Systems, se convertirá en la garantía definitiva de que se cumple con las mejores prácticas de BCM. 17

18 Ventajas Las ventajas de BS son muchas particularmente cuando se trata de la certificación de BSI. Estructura Provee una estructura consistente, basada en una mejor práctica, para administrar la continuidad del negocio. Resilencia Proactivamente incrementa la resiliencia (capacidad de proyectarse en un futuro) cuando se enfrenta con una interrupción de la capacidad de alcanzar los objetivos clave. Reputación Ayuda a proteger y asegurar su reputación e imagen Ventaja competitiva Abre nuevas oportunidades de mercado y ayuda a ganar nuevos negocios. Gana más contratos-costo efectivo Provee una mercadotecnia fuerte y usando la certificación puede ayudarle a reducir los costos. Mejora del negocio La certificación requiere de un claro entendimiento de su organización que puede identificar las oportunidades y puntos de mejorar. Mejora continua El proceso de certificación involucra auditorías continuas que garantizan que su sistema de gestión está siendo actualizado. Cumplimiento Demuestra que las leyes aplicables y regulaciones siempre son tomadas en cuentas Reducir costos Crea oportunidades para reducir costos de auditoría de su Sistema de Continudad del negocio (BCM) y reduciendo también los costos de pólizas de seguros. Capacidad de recuperación Mejora de forma proactiva la capacidad de recuperación al enfrentarse a una interrupción de la aptitud de alcanzar los objetivos clave. Entrega Proporciona un método ensayado para restablecer la capacidad de suministrar productos y prestar servicios de importancia fundamental con un nivel y en un plazo acordados después de la interrupción. 18

19 Gestión Aporta la capacidad comprobada para gestionar una interrupción y proteger la reputación y la marca. BCI El Instituto de Continuidad de Negocio (Business Continuity Institute) fue establecido en 1994 con el objetivo de apoyar a sus socios y para orientar los profesionales de la continuidad de negocio. A través de su plan de certificación, el instituto proporciona a sus miembros un estatus internacionalmente reconocido puesto que la afiliación profesional del BCI demuestra la capacidad de sus miembros a llevar a cabo una gestión de continuidad de negocio a un nivel muy elevado. De manera más amplia, el papel del BCI consiste en promocionar las normas más elevadas en materia de competencias profesionales y ética de las prestaciones y del mantenimiento de servicios y planificación de la continuidad de negocios. El papel más amplio de la Asociación de BCI es el de promover los más altos estándares de competencia profesional y la ética comercial en el suministro y mantenimiento de la planificación de continuidad de negocio y servicios. El BCI es en el mundo el instituto de BCM más importante y su nombre es reconocido como referente para una buena práctica y profesionalismo. 19

20 COMPARACIÓN CON COBIT COBIT (Control Objectives for Information Systems and related Technology) es un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso, evaluando los requerimientos del negocio, los recursos y procesos IT desde una perspectiva de negocios. Es decir, controla procesos internos de la empresa que tengan que ver con TI, mientras que BCM se dedica a velar por las estrategias que se pueden llevar a cabo para seguir con la operación de la empresa después de un evento catastrófico que pueda poner en riesgo la sostenibilidad de la misma tanto en la parte física como económica. 20

21 RESUMEN BCM Business Continuity Management (BCM), o Administración de Continuidad del Negocio, es una forma de actividad de administración de riesgos para evaluar y cuando sea apropiado tratar el riesgo de una interrupción que pueda impedir u obstaculizar que una organización pueda alcanzar sus objetivos estratégicos, operacionales y de proyectos. En consecuencia, contribuye a hacer a las organizaciones más resistentes y con mayor poder de recuperación y en consecuencia puede brindar ventajas tácticas y estratégicas. Un BCM eficaz requiere una profunda comprensión de los objetivos y entorno operativo de la organización (incluyendo sus dependencias) para identificar las fuentes de este tipo de riesgos y los mecanismos a través de los cuales pueda ser perturbado el desarrollo de los objetivos de la organización. Tal comprensión permite también a la organización realizar preparaciones anticipadas para minimizar los efectos de lo que de otra forma serían eventos quebrantadores, particularmente aquellos de una escala que (sin técnicas BCM) estarían fuera de la capacidad de los enfoques administrativos de rutina para tratarlos con eficacia. Las preparaciones tienen la intención de: Una estabilización temprana. Continuación o temprana reasunción de las operaciones, particularmente aquellas que son más críticas para los objetivos de la organización. Minimización y pronto recupero de los efectos adversos. Detectar y aprovechar las oportunidades creadas por el evento. Adicionalmente, el conocimiento profundo que provee el proceso BCM, frecuentemente apuntará a medidas eficaces en costo que reducirán, ya sea la magnitud o la probabilidad de eventos que pueden causar interrupciones. En muchos casos será un medio más efectivo en costos y exitoso para asegurar la continuidad del negocio implementar tales tratamientos, que lo que sería confiar en el planeamiento contingente. Esto enfatiza la importancia de integrar la actividad de BCM en la actividad global de administración de riesgos, y en consecuencia en los sistemas de gobierno y administración de la organización. Por esta razón, la metodología BCM sigue la metodología general de administración de riesgos tal como se describe en la ISO 31000:2009 y está fuertemente focalizada en los objetivos de la organización. 21

22 A raíz de los acontecimientos del 11-01, casi todos los requisitos BCM en la reglamentación o las normas han sido mejorados o ampliados para hacer frente al creciente número de amenazas, así como un enfoque en el liderazgo empresarial. La realización del BCM en la organización traerá grandes ventajas como por ejemplo: Administrar la continuidad del negocio. Resistencia del negocio ante interrupciones. Protege y asegura la imagen de la empresa. Abre nuevas oportunidades de mercado y ayuda negocios. Aumenta la disponibilidad del negocio. a ganar nuevos Elementos Básicos del BCM La gestión de crisis el cual es un proceso diseñado para permitir una respuesta eficaz a un evento. Los procesos de gestión de crisis se centran en la estabilización de la situación y preparar la empresa para las operaciones de recuperación. Reanudación de Planificación de Negocios o Business Recovery Planning, implica la recuperación de las funciones críticas de negocio y los procesos que se refieren a la entrega de productos y servicios básicos a un cliente. La recuperación de desastres de TI se refiere a la recuperación de los activos de TI críticos, incluidos los sistemas, aplicaciones, bases de datos, y activos de almacenamiento de red. BS La continuidad de la actividad en caso de una interrupción, ya sea debido a un siniestro o catástrofe importante o bien debido a un incidente menor, es un requisito fundamental para cualquier organización. BS 25999, la primera norma británica del mundo para la gestión de continuidad de la actividad comercial (BCM), se ha concebido para ayudar a minimizar el riesgo de interrupciones de estas características. Para quién es significativo? BS es una norma adecuada para toda organización, grande o pequeña, de cualquier sector. Es especialmente apropiada para organizaciones que operan en 22

23 entornos de alto riesgo, como las finanzas, telecomunicaciones, transporte y el sector público, donde la capacidad de continuar la actividad comercial es primordial para la organización en sí, así como para sus clientes y partes interesadas. El futuro BS se está desarrollando en dos partes: la parte 1, el código profesional, ya está publicada y la parte 2, la especificación, está prevista para publicarse a mediados de La norma de especificación detallará los requisitos para los sistemas de gestión de continuidad de la actividad comercial y será auditable, de modo que las organizaciones podrán demostrar la conformidad con la norma. El hecho de obtener un certificado para la especificación procedente de un tercero independiente, como BSI Management Systems, se convertirá en la garantía definitiva de que se cumple con las mejores prácticas de BCM. BCI El Instituto de Continuidad de Negocio (Business Continuity Institute) fue establecido en 1994 con el objetivo de apoyar a sus socios y para orientar los profesionales de la continuidad de negocio. A través de su plan de certificación, el instituto proporciona a sus miembros un estatus internacionalmente reconocido puesto que la afiliación profesional del BCI demuestra la capacidad de sus miembros a llevar a cabo una gestión de continuidad de negocio a un nivel muy elevado. De manera más amplia, el papel del BCI consiste en promocionar las normas más elevadas en materia de competencias profesionales y ética de las prestaciones y del mantenimiento de servicios y planificación de la continuidad de negocios. El papel más amplio de la Asociación de BCI es el de promover los más altos estándares de competencia profesional y la ética comercial en el suministro y mantenimiento de la planificación de continuidad de negocio y servicios. El BCI es en el mundo el instituto de BCM más importante y su nombre es reconocido como referente para una buena práctica y profesionalismo. 23

24 CONCLUSIONES - No siempre la empresa con la mejor producción, las mejores ventas, etc. Es la que tiene un futuro prometedor, pues si no tiene implementado BCM de un momento a otro todas estas buenas características se pueden ir al piso. - Las empresas deben pensar además de su plan estratégico y de negocios en un plan de continuidad del negocio, siendo este de alta importancia en la proyección futura de la misma. - No siempre de un desastre puede salir cosas malas, pues una empresa que tenga un buen plan de continuidad de negocio puede aprovechar esta situación para posicionarse de mejor manera en el mercado, demostrando su fortaleza para afrontar estas situaciones. 24

25 BIBLIOGRAFIA BSI Mexico. BS Continuidad del Negocio [en línea]. Disponible en Gestion/Normas-y-estandares/BS-25999/. Business Continuity Institute. Promoting the art science of business continuity magnament world wide [en línea]. Disponible en TOMKINSON, ANDY. La BS y otras normas de la continuidad de los negocios [en línea]. IRCA ezine Inform, abril [citado 27 de marzo de 2010]. Disponible en [ Provide by Proviti. Guide to business Continuity Management [en línea]. knowledgeleader, octubre 23, [Citado 27 de marzo de 2010]. Disponible en [ ent/whitepapersarticlesbcmfaqguide!opendocument]. Etek. El modelo COBIT para auditoría y control de sistemas de información [en línea]. channelplanet, febrero 07 de [Citado 27 de marzo de 2010]. Disponible en [ idcategoria=13932]. 25