BS 25999 – Gestión de la Continuidad del Negocio (BCM)

17/04/2023 Seminario de Titulación Seguridad Informática y Continuidad del Negocio 22

Publicación de la BS 25999-1 “Código de Practica” en Noviembre del 2006 con amplio acuerdo en lo que serían las mejores prácticas;

Retiro de la PAS 56 con la publicación de la BS25999;

Mejor entendimiento de los beneficios; Gestión de la Continuidad del Negocio como parte

integrante y clave del proceso de gestión de riesgos;

Desarrollo de la BS 25999:2 “especificaciones” con el objetivo de establecer los requerimientos, permitiendo evaluación de procesos y certificación.

Gestión de la Continuidad del Negocio ¿Dónde Estamos?

17/04/2023 Seminario de Titulación Seguridad Informática y Continuidad del Negocio 33

Consolidación del modelo propuesto por la BS 25999 como la referencia dentro del proceso de desarrollo de sistemas de gestión de continuidad del negocio;

Búsqueda de la certificación como evidencia de conformidad y cumplimiento de requerimientos reglamentarios y de clientes;

Extensión de la aplicación del modelo en la cadena de suministro y en diversos sectores.

Gestión de la Continuidad del Negocio ¿Para dónde vamos?

17/04/2023 Seminario de Titulación Seguridad Informática y Continuidad del Negocio 44

BS 25999-1:2007 - Contenido4

1. Alcance y Aplicación

3. Gestión de Continuidad del Negocio – Visión General

2. Términos y Definiciones

4. Política de Gestión de Continuidad del Negocio

5. Gestión del Programa de Continuidad del Negocio

17/04/2023 Seminario de Titulación Seguridad Informática y Continuidad del Negocio 55

BS 25999-1:2007 - Contenido5

6. Entendiendo la Organización

8. Desarrollo e Implementación de Respuestas a BCM

7. Determinando Estrategias de Continuidad del Negocio

9. Ejercitando, Manteniendo y Analizando el plan de BCM

10. Fijando el BCM en la Cultura de la Organización

Entendiendo la Organización

Determinando Estrategias de

BCM

Desarrollando e implementando

una respuesta de BCM

Ejercitando manteniendo y

revisando

Programa de Administración

del BCM

• Política de Continuidad del Negocio

• Análisis de Impacto al Negocio – BIA

• Procesos de Negocio• Servidores (TI)• Personal Crítico• Elementos Mínimos

• Planes de Continuidad• BCP• Alerta• Escenarios• Activación• Restablecer Operativa del

Negocio• DRP• Recuperación de Plataforma

Central, BD, Telecomunicaciones

• Integración de la Administración de Riesgo Operativo

• Respaldo de Información• Centro Alterno de Operación• Equipos de Recuperación

• Ejercicios de Continuidad del Negocio• BCP• DRP• Esquemas de

recuperación y continuidad

• Incorporar al Centro de Atención Telefónica

• Invitación a Terceros

• Difusión• Concientización• Entrenamiento

Ciclo de Vida del BCM – BS25999-2:2007

BS 25999 Introducción a BCM – Beneficios, Resultados y Ciclo de Vida

BCM01001 ESPIssue: 002 ESP MEXDate: 10 Feb 2008

8

Beneficios de BCM

Los beneficios de un programa eficaz de BCM (BS 25999-1)

La organización: es capaz de identificar proactivamente los impactos de una

interrupción operativa; dispone de una respuesta efectiva ante interrupciones,

minimizando su impacto; mantiene la capacidad de gestionar riesgos no

asegurables; fomenta el trabajo entre equipos; es capaz de demostrar una respuesta creíble a través de

ejercicios; puede mejorar su reputación; puede ganar ventajas competitivas a través de la

capacidad demostrada de mantener entrega.

9

Resultados de BCMLos resultados de un programa efectivo de BCM (BS 25999-1):

Se identifican y protegen los productos y servicios claves, asegurando su continuidad;

Se activa la capacidad de gestión de incidentes para proporcionar una respuesta eficaz;

La auto-comprensión de la organización y se desarrolla, documenta y entiende adecuadamente sus relaciones con otras organizaciones, órganos de regulación o departamentos gubernamentales, autoridades locales y de servicios de emergencia;

El personal es capacitado para responder eficazmente a un incidente o interrupción mediante ejercicios apropiados;

Los requisitos de las partes interesadas son comprendidos y entregados;

El personal recibe el soporte y comunicación adecuados en el caso de una interrupción;

Se asegura la cadena de suministro de la organización;

Se protege la reputación de la organización;

La organización cumple con sus obligaciones legales y reglamentarias.

10

Qué busca en términos generales

Definir alcance, roles y responsabilidades

Designar/Asignar el gerente y equipo de BCM

Mantener actualizado el programa de BCM

Promover el BCM por toda la organización

Promover el BCM fuera de la organización

Administrar el programa de pruebas

Coordinar la revisión de la capacidad de BCM

Mantener la documentación de BCM

Monitorear el rendimiento de BCM

Gestionar los costos del programa

Gestión de cambios y planificación de sucesión

17/04/2023 Seminario de Titulación Seguridad Informática y Continuidad del Negocio 1111

BS 25999-2:2007 - Contenido

1. Alcance

3. Planeación del Sistema del Plan de Continuiad del Negocio

2. Términos y Definiciones

4. Implementando y operando el Plan de Continuidad del Negocio

5. Monitoreando y revisando el Plan de Continuidad del Negocio

6. Manteniedo y mejorando el Plan de Continuidad del Negocio

• Limitar y minimizar el impacto de las contingencias sobre la organización

• Proteger los activos de la Organización

• Proteger los intereses de la organización; colaboradores, clientes y accionistas

• Cumplir con los imperativos legales, contractuales y normativos

• Minimizar el impacto sobre los clientes

• Adquirir y desarrollar capacidad de reacción y eficiencia de la gestión ante una contingencia

¿Qué aspectos busca cubrir?

• La continuidad de operaciones debe ser encarada como un proceso estratégico y no sólo como un plan operacional reactivo

• Bajo este supuesto, la continuidad de negocio abarca un amplio espectro de disciplinas que en su conjunto cubren los siguientes aspectos:• Personas• Procesos y servicios críticos• Información crítica• Edificios y equipamiento logístico• Infraestructura tecnológica, soporte de los procesos de

negocio

¿Cómo se debe abordar?

14

Ciclo Planear, Hacer, Checar, Actuar (PDCA)

PLANEAR HACER

CHECARACTUAR

Establecer los objetivos y procesos necesarios para dar resultados en acuerdo con las especificaciones del SGCN

Implementar el proceso

Monitorear y Evaluar los procesos y resultados contra los objetivos y especificaciones y hacer reporte de resultados

Revisar todos los pasos (PLAN, DO, CHECK, ACT) y modificar el proceso para mejorarlo antes de su próxima implementación

Ciclo PDCA

17 de abril de 2023

Visión

BackupsHaciendo copias exactas de datos

electrónicos

Plan de Recuperación en caso de Desastres

Plan para la recuperación de los centros de

procesamiento de datos

Gestión de la Continuidad del

Negocio

Plan de Contingencia

Procedimientos a seguir después

cualquier evento operacional

Plan de Continuidad del Negocio

Plan para recuperar el funcionamiento de la

organización

Valo

r d

e la E

mp

resa

Contingencia

DRP BCP BCM BS-25999

Siguiendo el Estándar BS-25999