BS 25999 - Gestión de la Continuidad del Negocio MINIMIZANDO LA INTERRUPCIÓN MAXIMIZANDO LA RECUPERACIÓN raising standards worldwide TM
QUÉ PODRÍA DETENER A SU NEGOCIO? Un marco de referencia para la capacidad de recuperación y el éxito. La continuidad de las operaciones en el caso de una interrupción, ya sea debido a un desastre mayor o a un incidente menor, es un requerimiento fundamental para cualquier organización. La Gestión de la Continuidad del Negocio (BCM) es una disciplina en evolución, que atiende este elemento crítico. Los programas de BCM, al igual que otros procesos de negocio, son más efectivos cuando están cimentados en estándares generalmente aceptados y se construyen de acuerdo con los objetivos del negocio. Estos objetivos y los estándares probados, conforman los fundamentos que adicionan credibilidad y viabilidad a su programa de BCM. Para quién es relevante? El BS 25999 es apropiado para cualquier organización, pequeña o grande y de cualquier sector. Su escalabilidad es uno de los beneficios claves. Es particularmente relevante si su organización opera en un ambiente de alto riesgo, incluyendo finanzas, BS 25999 es un estándar visionario para BCM que ofrece un marco de referencia maduro, repetible y accionable para reducir la posibilidad de que se presenten incidentes que afecten su organización y para ayudarle a recuperarse rápidamente de una interrupción en su operación. Cuando se combina con la certificación a través de BSI Management Systems, el BS 25999 también le proporciona una consistencia global en la gestión de la continuidad del negocio, de un marco de referencia para una mejora continua y la oportunidad para demostrar a las partes interesadas que sus programas de BCM cumplen con las mejores prácticas. telecomunicaciones, transportes, servicios y el sector público, en donde la habilidad de continuar operando es de suma importancia para la organización al igual que para sus clientes y socios. La certificación en BS 25999 a través de BSI, un tercero involucrado en forma independiente, reduce el costo de evaluar a los proveedores, ayuda a administrar la cadena de suministro y le permite a usted el diferenciarse demostrando una ventaja competitiva. 2 BSI Gestión de la Continuidad del Negocio
Gestión de la continuidad del negocio El propósito del BS 25999 es el de proveer una base para el entendimiento, desarrollo e implementación de la continuidad del negocio dentro de una organización y el de proveer confianza en los tratos de negocio a negocio y de negocio a clientes. Este enfoque de gestión hacia la continuidad del negocio, se logra mediante la adopción de la metodología de sistemas de gestión que ya ha sido ampliamente utilizada y probada. Una ventaja significativa del BS 25999 es que va más allá de la simple formalización del Plan de Continuidad para incluir el establecimiento de un Sistema de Gestión de la Continuidad del Negocio (BCMS). Éste sistema se basa en el método de Planear, Hacer, Verificar y Actuar, (PDCA), el cual incluye planeación, prueba, entrenamiento y la constante evaluación de las personas, procesos, instalaciones, y tecnologías relacionadas al Sistema de Gestión de la Continuidad del Negocio (BCMS). Este enfoque asegura una mejora continua y permite el alineamiento e integración con otros estándares de sistemas de gestión tales como ISO 9001 e ISO/IEC 27001. El Ciclo de Vida de la Gestión de la Continuidad del Negocio Un enfoque ampliamente aceptado que incorpora el modelo PDCA dentro de cada actividad es recomendado dentro del BS 25999 en su Parte 2. Este proceso iterativo asegura que la continuidad del negocio sea establecida y administrada continuamente en una organización. El proceso de PDCA asegura una gestión continua del BCMS, el cual es sinónimo de la administración del programa de BCM, que se muestra en el ciclo de vida. La siguiente sección de la guía provee información adicional respecto a cada elemento del ciclo de vida. Partes Interesadas Requisitos y expectativas de la Continuidad del Negocio Mejora continua del Sistema de Gestión de la Continuidad del Negocio Mantener y Mejorar Establecer Monitorear y Revisar Implementar y Operar El Sistema de Gestión de Continuidad del Negocio Un Sistema de Gestión de la Continuidad del Negocio (BCMS), utiliza como entrada las necesidades de continuidad del negocio y las expectativas de los involucrados, o de las partes interesadas y, a través de las acciones y procesos necesarios, produce resultados de Continuidad del Negocio o la continuidad del negocio gestionada que cumplan con esas necesidades y expectativas. Entienda a la Organización Fijando el BCM en la Cultura de la Organización Ejercitándose, manteniéndose y revisando Administración del Programa BCM Desarrollando e Implementando una respuesta de BCM El ciclo de vida del BCM Determinando la Estrategia de BCM Partes Interesadas Continuidad del Negocio Administrada BSI Gestión de la Continuidad del Negocio 3
ADMINISTRANDO LA CONTINUIDAD DEL NEGOCIO Entendiendo, Implementando y Certificando el BS 25999 Gestión del programa de BCM Propósito.- La gestión del programa es el corazón del proceso BCM. Una efectiva administración del programa establece el enfoque de la organización hacia la continuidad del negocio y ayuda en el cumplimiento de los objetivos que se definen en la política del BCM. Involucra tres pasos: Asignación de responsabilidades (gobernabilidad); Implementación de la continuidad del negocio en la organización; y Gestión permanente de la continuidad del negocio Entendiendo a la organización Propósito.- Asistir en el entendimiento de la organización a través de la identificación de sus productos y servicios clave, así como las actividades críticas y los recursos que las soportan. Involucra los siguientes pasos: Análisis del Impacto en el Negocio (BIA), el proceso de analizar las funciones del negocio y el efecto que una interrupción en el negocio pueda tener en ellos; Identificación de actividades críticas; Determinación de los requerimientos de continuidad; Evaluación de las amenazas a las actividades críticas; Ejecución de una evaluación del riesgo; La determinación de las medidas para tratar o mitigar estos riesgos; Aprobaciones. Durante esta parte del ciclo es importante que la organización entienda las interdependencias de sus actividades y cualquier dependencia que tenga en organizaciones externas. Determinando su estrategia de continuidad en el negocio Propósito.- Ahora que usted tiene un mejor entendimiento de las actividades críticas de su organización, se encuentra en condiciones de seleccionar la estrategia de continuidad apropiada que permita a su organización cumplir con sus objetivos Las opciones de estrategia dependerán de diversos factores: El periodo máximo tolerable de interrupción de la actividad crítica Un grupo específico de acciones que van a ser tomadas para soportar una estrategia Los costos de implementar una estrategia o varias estrategias Las consecuencias de no tomar ninguna acción Se pueden requerir estrategias que involucren lo siguiente: Personas Instalaciones Tecnología Información Suministros Partes interesadas Emergencias Civiles Desarrollando e implementando una respuesta de BCM Propósito.- El desarrollo e implementación de planes apropiados y de arreglos para asegurar la continuidad de las actividades críticas y el manejo de incidentes. Involucra los siguientes pasos: El desarrollo de una estructura de respuesta a incidentes para responder y recuperarse de interrupciones. Ésta estructura podría ser conocida como, por ejemplo, Equipo de Manejo de Incidente (IMT) Desarrollo de planes de administración de incidentes (IMP), continuidad del negocio (BCP) y recuperación del negocio (BRP), fijando objetivos priorizados en términos de: - Las actividades críticas que van a ser recuperadas; - Las escalas de tiempo en las cuales estas van a ser recuperadas; - Los niveles de recuperación que se requieren para cada actividad crítica;y - La situación en la cual cada plan puede ser utilizado. Una organización pequeña puede tener un único plan que cubra todos los requerimientos para el negocio y el cual cubra toda su operación, mientras que una organización grande podría tener diversos planes, en los cuales se detalla la recuperación de: partes específicas de su negocio; instalaciones; o un escenario en particular. Puede incluir documentación separada para las fases de incidente, continuidad y recuperación. El BS 25999 consta de dos partes. La parte 1 es el Código de Práctica que incluye los objetivos, guías y recomendaciones generales del estándar. La parte 2 es la Especificación, donde se detallan los requerimientos y las actividades que deben ser completadas con el fin de cumplir con los objetivos de continuidad del negocio dentro del contexto de los riesgos generales de negocio de una organización. 4 BSI Gestión de la Continuidad del Negocio
Ahora que usted conoce los principios del BS 25999, se encuentra en posición para implementar un Sistema de Gestión de la Continuidad del Negocio robusto. Una vez que esto ha sido logrado, se puede preparar para la certificación en BS 25999 - la garantía definitiva para todas las partes interesadas de que su organización se encuentra en conformidad con las mejores prácticas. Ejerciendo, manteniendo y revisando sus arreglos de BCM Propósito.- Asegurar que todos los arreglos de BCM en la organización son validados por ejercicio y revisión y que se encuentran actualizados. Se encuentra relacionado con los elementos de Revisar y Actuar del sistema de gestión. Los ejercicios proveen de evidencia demostrable de la competencia y capacidad del BCM. El tiempo y los recursos utilizados para probar las estrategias de BCM al ejercitar los BCPs, derivarán en una capacidad hecha a la medida. Sin importar que tan bien diseñada y justificada se encuentre una estrategia de BCM o un BCP, una serie de ejercicios robustos y realistas identificarán áreas que requieren ajustes y mejoras. Los beneficios específicos incluyen: Práctica de la habilidad de la organización para recuperarse de un incidente Verifica que su BCP incorpora todas las actividades críticas, sus dependencias y prioridades Resalta cualquier supuesto que deba ser cuestionado Infunde confianza entre aquellos que participan en el ejercicio Incrementa la conciencia de la continuidad del negocio en la organización al publicitar el ejercicio. Valida la efectividad y tiempos de la restauración de las actividades críticas Demuestra competencia de los equipos de respuesta primarios y de sus alternativas Integrando el BCM en la cultura de la organización Propósito. Establecer una cultura de BCM en el corazón de la organización. Para ser exitosa, la continuidad del negocio tiene que ser parte de la forma en que una organización es administrada. En cada etapa del proceso de BCM existen oportunidades para introducir y realzar una cultura de BCM en la organización. Construir, promover y fijar una cultura BCM dentro de la organización asegura que ésta llegue a ser parte de los valores principales de la organización y los pasos tomados para alcanzar estas metas incluyen típicamente programas de concientización y entrenamiento. Incrementar y mantener la concientización en Continuidad del Negocio con todo el personal de la organización es importante para asegurase de que se encuentran conscientes de la importancia que tiene para la organización. Se debe demostrar al personal que esto es una iniciativa permanente y que tiene el apoyo de la alta dirección. El Plan de Administración de Incidentes (IMP) Propósito.- Permitir que una organización administre la fase inicial o aguda de un incidente. El Plan de Continuidad del Negocio Propósito.- Permitir que una organización recupere, o mantenga, sus actividades en el evento de una interrupción a sus operaciones normales de negocio. Los BCP son activados (invocados) para apoyar las actividades críticas requeridas para lograr los objetivos de la organización. BSI Gestión de la Continuidad del Negocio 5
Cómo Certificarse Haga Contacto Díganos que necesita y nosotros esbozaremos una solución detallando los mejores servicios para usted, así como una propuesta de costos y tiempos. Su equipo de valuación Nosotros le asignaremos a usted un Gerente de Clientes, quién va a ser su punto principal de contacto durante y después del proceso. Durante ese tiempo, ellos van a desarrollar un profundo conocimiento de su negocio y lo apoyarán a través de cada etapa de la evaluación. Considere el entrenamiento y los análisis de brecha Estos son pasos opcionales, pero realmente pueden mejorar el proceso completo. Ya sea que usted está buscando implementar un sistema de gestión, o simplemente aumentar su conocimiento general del estándar, contamos con una gama de talleres, seminarios y cursos de capacitación; algunos de los cuales están disponibles como cursos abiertos, o cursos de aprendizaje en Internet, ya sea fuera de su lugar de trabajo o en sus instalaciones. Por favor ingrese a http://www.bsigroup. com.mx/es-mx/capacitacion/, para ver los detalles mas recientes. Certificándose con BS 25999 es la garantía definitiva que usted le puede dar a todas las partes interesadas Adicionalmente, un análisis de brechas puede ayudarlo con la implementación de su BCMS identificando brechas en su sistema de gestión. Evaluación y Revisión La Auditoría consiste en dos etapas. Primero, nosotros realizaremos una revisión de escritorio de su sistema de gestión respecto a la conformidad con los requerimientos del BS 25999, e identificaremos cualquier omisión o debilidades que necesiten resolverse. Posteriormente, realizaremos una evaluación completa en sitio (Etapa 2), después de la cual reportaremos los hallazgos identificados. Más allá de la Certificación Una vez que la evaluación ha sido completada exitosamente, emitiremos un certificado de registro el cual es válido por tres años y explica el alcance completo de su sistema de gestión. Pero nuestra relación no termina allí. Mientras usted se encuentre certificado con BSI, puede contactar a su asesor en cualquier momento para recibir soporte y recomendaciones; Nuestros evaluadores lo visitarán regularmente para asegurarse de que sus sistemas se mantienen en mejora continua. De ésta forma, usted podrá demostrar un compromiso continuo de cumplir con las mejores prácticas de BCM. Por qué con BSI? No existe mejor socio experimentado y con autoridad que BSI. Por más de un siglo, hemos sido los pioneros en el concepto total de estándares. Hoy en día, suministramos auditorías, certificaciones, capacitaciones y programas para organizaciones alrededor del mundo, con más de 60,000 localidades certificadas en más de 100 países. Con mayor cantidad de auditores de tiempo completo que ningún otro organismo de certificación, cada uno cumple las necesidades de su sector. Podemos asegurarle la consistencia de experiencia, pericia y compromiso. También hemos invertido mucho en capacitación interna, asegurándole que nuestros auditores pueden ir mucho más allá que el ámbito técnico de la auditoría en sí misma, y que son pro-activos cuando se trata de ayudarlo a mejorar el desempeño de su organización. Como usted esperaría, nosotros mismos somos un organismo acreditado, lo cual quiere decir que somos completamente independientes, sin ningún interés establecido que no sea el ayudarlo a construir un mejor negocio. Como usted, nosotros estamos siempre buscando formas de mejorar y de innovar. A continuación solamente unos pocos de nuestros últimos desarrollos LOS BENEFICIOS DEL BS 25999 Y DE LA CERTIFICACIÓN Los beneficios del BS 25999 y de la certificación son amplios y cubren diversas áreas: CAPACIDAD DE RECUPERACIÓN En forma pro-activa mejora la capacidad de recuperación de su organización cuando se enfrenta con interrupciones que impactan la habilidad de alcanzar los objetivos clave. ENTREGA Provee de un método ya probado para restaurar el suministro de productos y servicios críticos en un tiempo y nivel acordados después de presentarse una interrupción. GESTIÓN Suministra una respuesta probada y proactiva para atender una interrupción. Los tres beneficios arriba mencionados son los pilares claves del BS 25999 y se encuentran directamente relacionados con el mejoramiento de la capacidad de BCM de su organización. También existen numerosos beneficios comerciales: MEJORA CONTINUA DEL NEGOCIO El cubrir con los requerimientos del BS 25999 resulta en un entendimiento más claro de cómo su organización entera trabaja, de esa forma potencia la identificación de áreas que pueden ser mejoradas. REPUTACIÓN Ayuda a proteger y a realzar la reputación y la marca de una organización mientras crea confianza con todos las partes involucradas. 6 BSI Gestión de la Continuidad del Negocio
La certificación independiente en el BS 25999 proyectará una imagen corporativa favorable como una organización bien preparada y pro-activa, asegurando a sus socios la continuidad en el suministro de productos y servicios. Ahora ofrecemos certificados electrónicos y reportes a nuestros clientes a través de nuestras redes externas seguras. Esto nos permite continuar una relación cercana en línea, complementando nuestros eventos regulares para miembros y nuestros boletines. También hemos introducido una gama de soluciones de programas de software para ayudarlo a implementar y administrar su sistema de gestión de la continuidad del negocio. Entropy es un producto líder en el mercado, basado en ambiente web que le permite organizar su información de manera más eficiente, mejorando el desempeño, los reportes corporativos y la administración de la información y documentación. Pasos Siguientes Contáctenos y nosotros le propondremos los servicios que mejor se adecuen a sus necesidades. Existen diversas formas de lograr una mejor capacidad de recuperación para su organización. Si usted desea conocer la posición de su organización respecto a la conformidad con los requerimientos del BS 25999 y su certificación, podemos conducir una preevaluación para identificar oportunidades de mejora en su sistema de gestión antes de una auditoria de certificación. Para mayor información de nuestros servicios relacionados con BS 25999, por favor visite: www.bsigroup.com.mx RESUMEN DE SERVICIOS BSI Información, guía y consejo. Estándares y Publicaciones. Eventos hechos a la medida del cliente. Capacitación Herramientas de Mejora del Negocio Sistemas de Gestión Análisis de brecha, auditorías realizadas por una segunda parte, evaluación, certificación, evaluación continua. Entropy Software TM para empresas - nivel de riesgo y cumplimiento con la gestión de la continuidad del negocio. VENTAJA COMPETITIVA Le permite a usted promover la capacidad de recuperación de su organización la cual puede abrirle nuevos mercados, tanto locales como internacionales y ayudarlo a conseguir nuevos clientes. Adicionalmente, la certificación puede ser utilizada como un diferenciador cuando usted aplica para conseguir un nuevo negocio a través de un proceso de licitación u oferta pública. MARCO DE REFERENCIA Provee de un marco de referencia hecho a la medida para la Gestión de la Continuidad del Negocio. CUMPLIMIENTO Puede ayudarlo a demostrar que las leyes y regulaciones aplicables están siendo observadas, habilitando el gobierno corporativo. AHORROS EN COSTOS Crea una oportunidad para reducir auditorías internas y externas de BCM, mientras reduce los costos de administrar riesgos, al igual que modernizar las actividades de flujo del negocio. SEGURO Puede reducir las primas de seguro por interrupción en el negocio ya que usted será capaz de probarle a su compañía de seguros que usted ha adoptado las mejores prácticas de BCM. CADENA DE SUMINISTRO Provee confianza en la cadena de suministro, incluyendo servicios de terceros, debido a que su organización utiliza el estándar y se encuentra certificada. Solicitar a sus proveedores la adopción del BS 25999, le ayudará a reducir la probabilidad de que estos provoquen una interrupción a su negocio. BSI Gestión de la Continuidad del Negocio 7
BSI México BSI Brasil Oficina Ciudad de México Torre Mayor Av. Paseo de la Reforma No. 505 Piso 41 Suite C Col. Cuauhtémoc, C.P. 06500 México, D.F. Tel: +52 (55) 5241 1370 Fax: +52 (55) 5241 1371 Email: informacion.msmexico@bsigroup.com Web: www.bsigroup.com.mx Oficina Monterrey Torre Capitel Av. Lázaro Cárdenas No. 1810 Piso 9 Suite 908 Col. Del Paseo Residencial, C.P. 64920 Monterrey, N.L. Rua Gomes de Carvahlo, 1306, cjs, 111/112 Vila Olímpia, Sao Paulo SP Brasil Tel: +55 11 2148 9600 Fax: +55 11 2148 9601 Web: www.bsibrasil.com.br BSI España Juan Esplandiu, 15, 3ª planta 28007 Madrid Tel: +34 914 008 620 Fax: +34 915 743 854 Web:www.bsigroup.es BSI/MX/09/MS/0309/S/RC Tel: +52 (81) 8155 6100 Fax: +52 (81) 8155 6105 Email: informacion.msmexico@bsigroup.com Web: www.bsigroup.com.mx La marca de certificación BSI puede ser utilizada en su papelería, literatura y vehículos, una vez que haya obtenido exitosamente la certificación. Grupo BSI: Normas Información Capacitación Inspección Pruebas Auditoría Certificación Software Soluciones en la Cadena de Suministro