Está en la página 1de 52

BS 25999-1:2006

NORMA BRITANICA

,

Gestlon de continuidad de negocioParte 1: Codigo de practica
res 03.100.01

British Standards
QUEDA PROHIBIDO REPRODUCIR SIN EL CONSENTIMIENTO DE BBI, EXCEPTO BEGUN BE PERMITA POR LAS LEYEB DE DERECHOS DE PROPIEDAD INTELECTUAL

--

...................... .. ......~ -........ .....__._-.- ~-. .~-~-~ -... ...~~===~~

.__

._--

·

,-

BS 25999-1:2006
lnfonnaci6n de publicaci6n y propiedad intelectual
El aviso de propiedad intelectual del BSI mostrado en este documento indica cuando fue publicado por Ultimavez.
© BSI 2006

ISBN978 0 580 62946 4 Las siguientes referencias de BSI se refieren a los trabajos correspondientes a estanonna: Comlte de referencia de GCN/I Borrador para comentarios 06/30139869 DC

Antecedentes de publicaci6n
Documento publicado por primera vez en noviembre de 2006

Modificacion es desde su publicaci6n
Mod. No. Fecha Texto afectado

BS 25999-1 :2006

"" Indice
Prologo 1 2 iii Objeto y campo de aplicacion 1 Terminosy defmiciones 1 Generalidades de gestlon de continuidad de negocio (GCN) 5 La politica de gestion de continuidad de negocio 11 Gestion de programa de GCN 13 Entendirniento de la organizacion 16 Determinaci6n de la estrategia de continuidad de negocio 22 Desarrollo e implementacion de una respuesta de GCN 28 Ejercicio, mantenimiento y revision de previsiones de GCN 38 Implantacion de GCN en la cultura de la organlzacion 43 45 de negocio 9

3 4 5 6
7

8
9

10

Bibliografia

Lista de figuras
Figura 1 - El cicIo de vida de gestion de continuidad Figura 2 - Cronograma del incidente 29

Lista de tablas
Tabla 1 - Tipos y metodos de ejercitar las estrategias de GCN

40

Resumen de paginas
Este documento consta de una tapa, portada interior, paginas i a iv, paglnas 1 a 45 y contratapa.
© BSI 2006 •

i

BS 25999-1:2006

ii • © BSI 2006

Pagina intencionadamente

en. blanco

-~.-.------~----.----'--BS 25999-1:2006

Pr6logo
Informaci6n editorial Esta Norma Britanica fue publicada por BSI y entr6 en vigor el 30 de noviembre de 2006. Fue elaborada por Technical Committee BCM/l (Comite Tecnico BCM/l, Gesti6n de continuidad de negocio). Entre las organizaciones representadas en este comite se incluyen: Association of British Certification Bodies [Asociaci6n de Organismos Britanicos de Certificaci6n] Association of British Insurers [Asociaci6n de Aseguradoras Britanicas ] Association of Chief Police Officers [Asociaci6n de Comisarios Jefe de Policia] Association of Insurance Risk Managers [Asociaci6n de Gerentes de Seguros de Riesgo] Business Continuity Institute [Institute de Continuidad de Negocio] Cabinet Office [Oficina del Consejo de Ministros] Chief Fire Officers' Association (CFOA) [Asociaci6n de Jefes de Servicio de Bomberos] Continuity Forum [Foro de Continuidad] Coventry University [Universidad de Coventry] Department of Trade and Industry [Ministerio de Comercio e Industria] Emergency Planning Society [Sociedad de Planificaci6n de Emergencia] Federation of Small Businesses [Federaci6n de la Pequefia Empresa] Financial Services Authority [Autoridad de Servicios Financieros J Independent International Organization for Certification [Organismo Intemacional de Certificaci6n Independiente] Institute of Directors [Instituto de Consejeros] Institute of Emergency Management Emergencias ] Institute of Risk Management Intellect [Intelecto J Metropolitan Police [Policia Metropolitana] Securities Industry Business Continuity Management Group (SIBCMG) [Grupo de Gesti6n de Continuidad del Sector Bursatil] Society of Industrial Emergency Services Officers (SIESO) [Sociedad de J efes de Servicios de Ernergenclas Industriales] Survive [Sobrevivir] [Instituto de Gesti6n de

Institute of Internal Auditors [Instituto de Auditores Intemos] [Instituto de Gesti6n de riesgos]

© BSI 2006

iii

bien proporciona informacion general de utilidad sobre la gestion de continuidad de negocio (aunque la norma no tiene el proposito de guia para principiantes en la gesti6n de continuidad de negocio). iv • © BSI 2006 . asi conw las explicaciones y material informativo general se present an en tetra mas pequeiia en cursiva. El comentario suplementario. La clausula 3 no contiene ninguna recomendaclon. aportando su experiencia academica. Este documento constituye la Parte 1 de BS 25999. Se ha elaborado para proporcionar un sistema basado en buenas practicas para la gestion de continuidad de negocio. Consideraciones contractuales y legales Esta publicaci6n no pretende incluir todas las disposiciones necesarias de un contrato. Tiene el proposito de servir como punto de referencia unico para la mayoria de situaciones en las que se practique la gestion de continuidad de negocio. EI cumplimiento de una Norma Brltanica no proporciona inmunidad frente a obligaciones legales. comerciales. por ejemplo una consecuencia de una accion 0 un acontecimiento. tecnica y practica en la gestion de continuidad de negocio (de BCM por sus siglas en Ingles). por ejemplo como una alternativa ala recomendacion principal de la clausula. publicos y de voluntariado. Los usuaries son responsables de su correcta aplicacion. pequefias y medianas en sectores industriales. esta Norma Britanica adopta el formato de guia y recomendaciones.BS 25999-1:2006 Esta Norma Britanica ha side desarrollada por especialistas procedentes de toda la comunidad de continuidad de negocio. y no constituyen un elemenio normativo. y de usarse por organlzaciones grandes. Convenciones de presentaci6n Las disposiciones de esta norma son recomendaciones. No deberia citarse como si fuera una especificacion y deberia tenerse cuidado excepcional para asegurar que las alegaciones de cumplimiento no sean engafiosas. Todo usuario que alegue cumplimiento de esta Norma Britanica estara obligado a poder justificar toda medida 0 actuacion que se desvie de sus recomendaciones. La palabra "puede" se usa para expresar posibilidad. Ala fecha de publicacion. la Parte 2 estaba en fase de preparacion. que estan expresadas en frases en las que el tiempo verbal es "deberia". mas La palabra "podra" se usa en el texto para expresar la permisibilidad. Uso de este documento Como codigo de practica. que estipulara los requisitos de gestlon de continuidad de negocio.

2 continuidad de negocio capacidad estrategica y tactic a de la organizaci6n de planiflcar y responder ante incidentes e interrupciones de negocio para eontinuar las operaciones de negocio en un nivel aceptable predeftnido ~1· 2. 2.3 gestlon de continuidad de negocio (GCN) proceso de gesti6n holfstico que identifiea amenazas poteneiales para la organizaci6n y el impaeto en las operaciones de negocio que diehas amenazas. y que proporeiona un marco para aumentar la flexibilidad de la organizaci6n con capacidad para dar una respuesta efteaz que salvaguarde los intereses de sus grupos de interes. clientes. desde la alta direcci6n pasando por todos los niveles de la organizaci6n. una organizaci6n podrfa seguir enfrentomdose a un incidente 0 combinaci6n de incidentes que 1W habia preuisio. principios y tenninologia de gesti6n de continuidad de negocio (GCN). puedan causar. Tamblen permite a la organizaci6n medir su capacidad de GCN de forma homogenea y reconocida. desarrollo e implementaci6n de continuidad de negocio en una organizacion y brindar confianza en los tratos de la organizaci6n con sus clientes y otras organizaciones. Por 10 tanto es aplicable a toda persona que sea responsable de cualquier operaci6n. 2 Terminos y definiciones Para los prop6sitos de esta parte de BS 25999. Esta norma esta orientada a usarse por cualquier persona con responsabilidad de operaciones de negocio 0 la provision de servicios. sistemas. produccWn y distribuciOn soporte a 2. caso de materializarse. © BSI 2006 • 1 . son de aplicaci6n las siguientes defmiciones. para procurar que el 0 los planes de continuidad de negocio se mantengan actuaiieados. marea y actividades de creaei6n de valor fundamentales NOTA GestiOn de continuidad de negocio entrafia gestionar la recuperaci6n 0 continuaciOn de actividades de negocio en el caso de producirse un acontecimienio de interrupci6n de negocio. y asf de la continuidad de dicha operaci6n. ejercicios y revisiones.BS 25999-1:2006 1 Objeto y campo de apllcaelon Esta Norma Britanica establece los procesos. Esta norma no abarca las actividades de planificaci6n dado que ese tema se refiere a emergencias civiles. de emergencia NOTA En dejinitiva. reputaei6n. y gesti6n del programa en general a traoee de formacion.1 actividad proceso 0 conjunto de procesos acometidos por una organizaci6n (0 en su nombre) que produzca 0 apoye uno 0 mas productos 0 servicios NOTA Ejemplos de diehos procesos incZuyen areajinanciera. 1W importa cuanto esfuerzo 0 recurso se invierta en la gestiOn de continuidad de negocio. EI prop6sito de esta norma es proporcionar una base para el entendimiento. desde las organizaciones que s610 cuenten con una ubicaci6n hasta las que tengan presencia global. Esta norma ofrece un sistema basado en buenas practicas de GCN. desde aut6nomos y empresas pequefias y medianas (pYMES) hasta grandes organizaciones con miles de empleados.

y que 10 compara con el beneficio derivado de dicha solucion NOTA El beneficio podm dejinirse en terminasfinomoieros. reglamentarios 0 de otra indole apropiados a fa. y asegurar continuidad de productos y servicios por medio de formacion. adecuadamente dotado para que se tomen las medidas necesarias para identificar el impacto de las perdidas potenciales.>" NOTA 2 Una eonsecuencia puede ser cierta impacto positivo 0 negativo en los objetivos.r BS 25999-1:2006 2. de prestigio. organizaciOn. para permitir a una organizacion seguir desempeftando sus actividades crfticas a un nivel aceptable predefmido 2.5 programa de gesti6n de continuidad de negocio proceso continuo de gestion y gobierno apoyado por la alta direccion. 2. el entorno de un lugar en el Reino Unido 0 la seguridad nacional del Reino Unido 0 de un lugar en el Reino Unido [Ley Inglesa de Contingencias Civiles de 2004 (1)] 2. prestaci6n de servicio.7 estrategia de continuidadde negocio enfoque de organizacion que proporciona recuperacion y continuidad ante un desastre u otro incidente importante u otra interrupcion de negocio 2. compila y mantiene preparado para uso en caso de producirse un incidente.10 consecuencia resultado de un incidente que tenga un imp acto en los objetivos de la organizacion NOTA 1 Puede existir una serie de consecuenoias prouocadas por un incidente. ejercicios.9 emergencia civil acontecimiento 0 situaclon que amenaza con serios dafios al bienestar humano en un Ingar en el Reino Unido.11 analisls de coste-beneficio tecnica flnanciera que mide el coste que supone la puesta en practlca de una solucion en particular. . mantener estrategias y planes de recuperacion viables.12 actividades criticas aquellas actividades que tendran que llevarse a cabo para entregar los productos y servicios fundamentales que permiten a una organizacion cumplir sus obietivos mas importantes y sensibles al cumplimiento de plazos 2 • © BSI 2006 .6 plan de continuidad de negocio (peN) conjunto de procedimientos e informacion documentados que se desarrolla.4 cicio de vida de gesti6n de continuidad de negocio serie de actividades de continuidad de negocio que cubren todos los aspectos y fases del programa de gestion de continuidad de negocio NOTA El cielo de vida de gesti6n de continuidad de negocio esta ilustrado en fa.8 analfsls de impacto en el negocio procesos de analisis de funciones de negocio y el efecto que una interrupcion de negocio podria tener sobre dichas funciones 2.. 2. 0 imcierta. mantenimiento y revision 2. Figura 1. y puede tener un 2.

equivalente directo. © BSI 2006 • 3 . reducir. ya sea previsto (por ejemplo: una huelga de trabajadores 0 un huracan) 0 imprevisto (por ejemplo un apagon 0 un terremoto).14 planificaci6nde emergencia desarrollo y mantenimiento de procedimientos acordados para prevenir. recursos. que cause una desviacion negativa no planificada con respecto a la entrega esperada de productos 0 servicios segun los objetivos de la organlzacion 2.20 invocaci6n acto de declarar que el plan de continuidad de negocio de la organizacion debe ponerse en marcha para seguir entregando y prestando productos y servicios clave 2.13 interrnpci6n acontecimiento. 2.BS 25999-1 :2006 2. amplia que ''probabilidad". anunciado 0 no anunciado. surgir. probable. 0 en terminos de descriptores generales (como raro. rnltigar y realizar otras actuaciones caso de producirse una emergencia civil en el 2. medido 0 estimado objetivamente 0 subjetivamente.18 ganancia consecuencia positiva evaluada de un resultado en particular podria redundar en una lnterrupcion crisis impacto consecuencia incidente situacion que pudiera constituir de negocio. perdida. donde los participantes hacen adoptan papeles en simulaciones con elfin de evaluar que cuestiones pueden.17 2.16 2. 0 ° NOTA 2 El termino "probabilidad" puede usarse en Lugar de "posibilidad" en algunos idiomas ajenos al ing/Es que no tienen.15 ejercicio actividad en la que el 0 los planes de continuidad de negocio se ensayan en parte 0 Integramente para procurar que el 0 los planes contengan la informacion apropiada y que produzcan el resultado deseado cuando se lleven a cabo NOTA Un ejercicio puede entrana» fa inuooacion. emergencia 0 0 2. improbable. servicios y actuaciones que se necesiten para poner en practica el proceso de gestion de incidentes 2.21 posibilidad posibllidad de que algo ocurra.19 plan de gesti6n de incidentes plan de aetuacion claramente definido y documentado para uso en el momento de producirse un incidente. antes de producirse un invocaciOn real. de procedimientos de continuidad de negocio. se usa "posibilidad" en esta norma con fa intenciOn de que se le eM fa misma interpretacion. ya sea definido. controlar. Ya que ''probabilidad" a memuio se eniiende mas formalmente en ing/Es como un termino mcaemazioo. casi cierto) . frecuencias probabllidades matematicas NOTA 1 La posibilidad puede expresarse cualitativa cuantitativamente. incluyendo a personal. pero es mas probable que enirame fa estimulaciOn de un incidente de continuidad de negocio.

empresa unipersonal. por ejemplo productos fabricados. 0 a los efectos de dichos acontecimientos.28 riesgo algo que puede ocurrir y puede afectar a la consecuci6n de objetivos NOTA 1 La palabra "riesgo" se usa coloquialmente de variasformas. autoridades y relaciones EJEMPLO Compaida. seguros de automovil.24 organizacion conjunto de personas e instalaciones con una disposicion de responsabilidades. es importante hacer una distinci6n clara entre estos varios usos de ta palabra "riesgo". firma. 0 I: NOTA 3 Esta definiciOn es valida para los prop6sitos de las normas de sistemas de gesti6n de la calidad. 0 de productos 0 2. Ciencias de resistir los efectos de un incidente NOTA 1 El termino "resiliencia" es cada uez m6s usado en campos como Sociales y Psicotoqia: 2. asociaci6n.25 productos y servicios resultados beneficiosos proporcionados por la organlzacion a sus clientes. la oportunidad (posibuidad) de que algo ocurra. destinatarios y grupos de interes. eL termimo "um. Usado como un sustantivo. como sustantivo ("un riesgo" 0.26 servicios tras reanudaci6n de la reallzacion de una actividad tras producirse un incidente.22 2. NOTA 1 Diona disposiciOn es qeneralmenie ordenada. 4 • © BSI 2006 . El termino "organizaci6n" tiene una definici6n diferenie en la GuiaISO/IEC 2. [EN ISO 9000:2005J 2. NOTA 2 Una organizaci6n puede ser publica 0 privada. riesgo" podrla referirse 0 bien a un acontecimiento potencial. de un sistema 0 aplicaci6n TI tras producirse un I).27 capacidadde reacci6n (resiliencia) capacidad de una organizaci6n F1sica.5). En gesti6n de riesgos (cease 6. 0 exponer a riesgo) 0 como adjetivo ("arriesgado J.r-~~s I 25999-1:2006 2. como uerbo (arriesgar [algo). institucWn. en plural. corporaci6n. cumplimiento reglamentario y servicios sanitarios objetivo de plazo de recuperaclon plazo objetivo establecido para: • • • reanudaci6n de entrega y prestaci6n producirse un incidente. "riesqos"). Ii: NOTA El objetivo de plazo de recuperaci6n tiene que ser inferior al plazo m6ximo de interrupci6n tolerable.23 perdida consecuencia negativa plazo maximo de Interrupclon tolerable tiempo tras el cualla viabilidad de una organizaci6n estara irrevocablemente amenazada si no puede reanudarse la entrega y prestacion de productos y servicios 2. 2. 0 parte una combinaci6n de las anteriores. empresa. 0 recuperaci6n incidente. institucWn de benejicencia. sus causas.

no participe directamente. analisis. tolerar 0 exponerse en cualquier momento dado 2. proveedores.33 alta direcci6n persona 0 grupo de personas que gobiernan y controlan la organizacion en el nlvel alto [EN ISO 9000:2005] mas NOTA Puede que la aUa direccWn.31 gesti6n de riesgos desarrollo estructurado y aplicacion de cultura. especialmente en una gran organizaci6n muUinacional. impulsado por el negocio que establece un marco estrateglco y operativo apto para cada proposito que: • mejora proactivamente la flexibilidad de la organizacion ante la interrupcion de su habilidad para conseguir sus objetivos fundamentales. empleados. propietarios. AUernativamente. En una organizaciOn pequeiia. las distribuciones de probabilidades son necesarias para cuantificar las percepciones con respecto a la gama de consecuencias posibies. socios. proporciona un metodo ensayado de restaurar la habilidad de una organizaclon para suministrar y prestar sus productos y servicios fundamentales en un myel acordado segun un plazo acordado tras producirse una interrupcion.29 apetito por el riesgo cantidad total de riesgo que la organizacton esta dispuesta a aceptar. la aUa direcci6n puede ser el propietario 0 propietario unico. clientes. la preocupaciOn por varios objetivos implica la posibilidad de mas de una medida de riesgo con respeoto a cualquier juente de riesgo. con un objetivo en particular. para obtener un "valor esperado".30 an8Jisisde riesgos proceso general de Identiflcacion. internes y "subconsratados". accionistas. analisis y evaluacion de riesgos 2. podran usarse estadfsticas resumidas. NOTA 3 Et riesgo confrecuencia se cuantifica como un efecto promedio sumando el efecto combinado de cada oonsecuencia posible ponderada por la probabilidad asociada de cada oonsecuenoia. y • © BSl2006 • 5 . inversores.BS 25999-1:2006 NOTA 2 Riesgo se define en relaci/m. como desviaci6n tipica. 2. aseguradoras. ademas del valor esperado. queda establecida la responsabilidad de la aua direcci6n a traves de la cadena de mando. evaluacion y control de la respuesta ante el riesgo 2. procedimientos y practicas de gestion a las tareas de identiflcacion. Sin embargo. pero no se limita a: empleados. administraci6n pUblica y reguladores. 3 Generalidades de gesti6n de continuidad de negocio (GCN) 3. 2.32 grupos de Interes aquellos que tengan un lnteres especial en los logros de una organizaclon NOTA Se trata de un termino muy amplio que incluye. politica. por lo tanto.1 lQue es GCN? La gesti6n de continuidad de negocio (GCN) es un proceso propio del negocio. distribuidores. no obstante.

las estructuras y las responsabilidades de la organizacion. para prestar servicios y para adquirir otros negocios. como por ejemplo crecimiento. el prestlgio 0 incluso la supervivencia de la organizacion. a medida que se desarrollan las consecuencias de una interrupcion. locales. informacion.r-··· Ii . La entrega y prestacion de productos y servicios puede verse alterada por una gran diversidad de incidentes. 0 3. AI centrarse en el impacto de la interrupcion. sin tener en cuenta su tamafio.3 GCN . tienen metas y objetivos. estrategica para la 3. y puede identificar los que se precisa para que la organizacion siga cumpllendo sus obllgaciones.. A traves de la GeN.la relaclon con la gestlon de riesgos GCN es un elemento complementario con respecto a al marco de gestion de riesgos que pretende entender los riesgos a que estan expuestos los negocios 0 las operaclones. surgen nuevos grupos de interes y tienen un impacto directo en el alcance definitive del dafio. El entendimiento de GCN en el nivel alto de la organizacion asegurara que estos objetivos y metas no se vean perjudicados por interrupciones inesperadas. grupos interesados en la cuestion podran intentar presionar ala organizacion que se este enfrentando a una interrupcion. perdida de actives 0 ingresos 0 la incapacidad de entregar y prestar productos y servicios sobre los que podrian depender la estrategia.2 GCN y Ia estrategia administrativa Todas las organizaciones. Estas consecuencias pueden entraftar perdida de vida. Estos objetivos y metas se alcanzan generahnente a traves de planes estrategicos para lograr los objetivos a corto. cadena de suministro. los principios basicos siguen siendo identicos para organizaciones de voluntariado. GCN necesita reconocer la importancia estrategica de los grupos de interes conocidos. 6 • © BSI 2006 . sector privado sector publico. mas Las consecuencias de cada incidente varian y pueden tener un alcance muy extenso. la organizacion puede reconocer 10 que debe hacerse antes de que se produzca un incidente para proteger a su personal. Ademas. la GCN identifica aquellos productos y servicios de los que la organizacion depende para su supervivencia. Mientras que los procesos individuales de continuidad de negocio pueden cambiar segtin el tamafto. muchos de los cuales son dificiles de predecir 0 analizar por su causa. Todas estas cuestiones son de preocupacion organizacion. tanto grandes como pequefias. medio y largo plazo de la organizacion. asi como las consecuencias de dichos riesgo. La gestion de riesgos pretende gestionar el riesgo en tome a los productos y servicios fundamentales que entrega y presta la organizacion. grupos de interes y prestigio. alcance 0 complejidad. tecnologia. Por ejemplo. ~=~ ~ """"-----BS 25999-1:2006 • proporciona una capacidad probada para gestionar una interrupcion de negocio y proteger el prestigio y la marca de la organlzacion.

La organizacion que cuente con medidas de GCN apropiadas puede beneficiarse de oportunidades que entraften un riesgo elevado. En algunos casos. entonces la organizacion puede considerar de forma realista las respuestas que es probable que sean necesarias segtm y cuando se produzca una interrupcion. como falIos tecnologicos. 3. por ejemplo. particularmente cuando proporcionan una respuesta de emergencia 0 prestan un servicio publico 0 voluntario.BS 25999-1:2006 Con ese reconoclmiento. celebran contratos y de otras maneras elevan las expectativas. Los gerentes y propietarios tienen la responsabilidad de mantener la habilidad de la organizacion para funcionar sin interrupcion. inundaciones. Las organizaciones constantemente adquieren compromisos 0 tienen la obligacion de entregar y prestar productos y servicios. prestacion de servicios y prudencia empresarial. conferida por la habilidad demostrada de mantener la entrega y prestacion. fomenta el trabajo entre equipos. los irnpactos de una que . Toda actividad mercantil esta expuesta a interrupciones. 3. cuenta con una respuesta eficaz ante a interrupciones minirniza el irnpacto en la organizaclon. y as! tener la confianza de que se las arreglara en cualquier circunstancia sin retrasos inaceptables en la entrega y prestacion de sus productos y servicios. es capaz de demostrar una respuesta creible a traves de un proceso de ejercicios. Todas las organizaciones tienen responsabilidades morales y sociales.4 Por que una organizaci6n deberia acometer laGCN La GCN constituye un elemento irnportante de la buena gestion de negocio. las organizaciones tienen obligaciones legales 0 reglamentarias de acometer la GCN. y podna obtener una ventaja competitiva. mantiene la capacidad de gestionar los riesgos no asegurables. sino como un proceso que afiada valor a la organizacion. interrupcion de servicios y actos terroristas.5 Las ventajas de un programa de GCN eficaz Las ventajas de un prograrna de GCN eficaz son que la organizacion: • • • • • es capaz de identificar proactivarnente Interrupcion operativa. • • © BSI 2006 • 7 . La GCN otorga ala organizacion la capacidad para reaccionar adecuadarnente ante interrupciones operativas rnientras que se protegen tanto el bienestar como la seguridad. podria mejorar su prestigio. Ahora la GCN deberia considerarse no como un proceso de planificacion de elevado coste.

reguladores u organism os de la administraci6n publica correspondientes. autoridades locales y los servicios de emergencia se desarrolla. los requisitos de grupos de interes se entienden y se pueden cumplir.de negocio para establecerse (si fuera necesario) como para mantenerse de una forma apropiada al tamafio y complejidad de la organizaclon. el personal esta formado para responder de forma eficaz ante una interrupci6n a traves de ejercicios apropiados. yel esfuerzo empleado sera ajustado a las necesidades de cada organizaci6n. en todos los sectores: publico. y la organizaci6n slgue cumpliendo sus obligaciones legales y reglamentarias.. etc. se protege el prestigio de la organizacion. EI alcance y la estructura del programa de GCN puede variar. se habllita una capacidad de gesti6n de incidentes para proporcionar una respuesta eficaz.6 Los resultados de un programa de GCN eficaz Los resultados de un programa de GCN eficaz son que: • • • se identifican y protegen los productos y servicios fundamentales. procurando su continuidad. documenta y entiende debidamente. Estos pueden irnplementarse por organizaciones de cualquier tamafio.7 Elementos del cicio de vida de gestlon de continuidad de negocio EI cicIo de vida de GCN consta de seis elementos. el personal recibe apoyo y comunicaci6n producirse una interrupci6n.BS 25999-1:2006 3. educativo. aunque estos elementos esenciales tienen que seguir acometiendose. de fabricaci6n. el entendimiento de la organizaci6n y su relaci6n con otras organizaciones. 3. 8 • © BSI 2006 . a) Gestlon del programa de GCN (vease la clausula 5) La gesti6n del programa facllita tanto la capacidad de continuidad . sin fines de lucro. privado. adecuados en el caso de • • • • • • se asegura la cadena de suministro de la organizaci6n. b) Entendimiento de Ia organlzacion (vease Ia clausula 6) Las actividades asociadas con "Entendimiento de la organizaci6n" proporcionan informaci6n que permite priorizar los productos y servicios de la organizaci6n y la urgencia de las actividades que sean necesarias para su entrega 0 prestaci6n. Esto define los requisitos que determinaran la selecci6n de estrategias de GCN apropiadas. segun se muestra graficamente en la Figura 1.

y en un plazo de tiempo aceptable. ° ©BSI2006 • 9 . La elecci6n que se haga tendra en cuenta la capacidad de reacci6n y las opciones de contramedidas ya presentes en la organizaci6n. de forma que la 6 pueda continuar entregando y prestando estos productos y servicios: ° • • a un nivel operativo aceptable. Esto permite que se elija una respuesta apropiada a cada producto servicio.BS 25999-1:2006 Figura 1 HI cicIo de vida de gestlen de continuidad de negocio c) Determinacion de la estrategia (vease la elausula 7) de continuidad de negoelo Determinar la estrategia de continuidad de negocio permite la evaluacion de una serle de estrategias. durante despues de producirse una interrupcion.

desde pequeiios hasta grandes que pueden afectar a una organizaci6n. mantenimiento. de GCN en la cultura de la organizaclon (vease f) Implantaclon clausula 10) La implantacion de GCNen la cultura de la organizaci6n permite que la GCNse eonvierta en parte de los valores principales de la organlzacion. e implanta confianza entre todos los grupos de interes con respeeto ala habilidad de la organizaclon para haeer frente a las interrupciones. y identificar las oportunidades de mejora. pueden resuUar en interrupciones graves a la habilidad de la organ1zaci6n para cumplir sus obligaciones. continuidad de negoclo y planes de reeuperaci6n de negocio que detallen los pasos a seguir durante y despues de un incidente para mantener 0 restaurar las operaciones. una interrupci6n grave en cuomto a los objetivos de la organizaci6n de forma que se consideran una crisis inmediatamente. incluso si se han contrastado medidas de respuesta jrente a un nivel de dafw anticipado. r " ! 'Ji I 10 • © BSI 2006 . Por lo tanto es imprescindible que la gesti6n y sus estructuras de apoyo no se aferren innecesariamente a un plan existente. Un solo incidente. El plan de continuidad de negocio nunca es un sustituto de toma de decisiones imformadas y competentes por la direcci6n d) Desarrollo e implementaci6n Ia elausula 8) de la respuesta de GCN (vease Desarrollar e irnplementar la respuesta de GCNredunda en la creacion de un marco de gestion y una estruetura de gesti6n de ineidentes. podria no desarrollarse y convertirse en una crisis. sino que emitan juicios segun las circunstancias. lll~ . Si el incidente se gestiona bien. revision y auditoria de GCN consigue que la organizacion sea capaz de: • • demostrar la medida en que sus estrateglas y planes estan completos. actualizados y son correctos.7d) El termino "incidente" se usa en esta norma para reflejar la escalabilidad de los acontecimientos. e) Ejercicio. Un incidente puede superar el nivel de preparaciOn de la organizaci6n. mantenimiento (vease la elausula 9) y revision de previsiones de GCN El ejercicio. Sin embargo.BS 25999-1:2006 COMENTARIO SOBRE 3. algunos acontecimientos prooocaran. 0 una serie de incidentes.

2 Las actividades de configuracion incorporan la especiflcaclon. mercado. y • configurarun marco claramente definido para la capacidad continua de GCN. la Implementacion y el ejercicio lnicial de la capacidad de continuidad de negocio. procesos. complejidad. escala.3 Las actividades de mantenimiento y gesti6n continuos incluyen la implantaci6n de continuidad de negocio en la organizaclon.1.1.1 La politic a de GCN define los siguientes procesos: • • las actividades de conflguraeion continuidad de negocio. • conseguir una capacidad de continuidad de negocio que cumpla las necesidades cambiantes del negocio y que sea apropiada at tamano. la construccion. tecnologfa 0 estructura organizativa. La capacidad de GCN deberia integrarse en la actividad de gestion de cambios de la organizacion de forma que se incorpore en el crecimiento y desarrollo de los productos y servicios de la organizacion. personal. geografia y grado de importancia de sus actividades mercantiles y que refleje su cultura. por ejemplo un consejero 0 representante elegido. para establecer una capacidad de continuos de la capacidad de 4.1 COMENTARIOSOBRE 4. esta podra ser una declaracion de intenci6n de alto nivel que se afine y mejore a medida que se desarrolle la capacidad. En principio. 4. la complejidad y la naturaleza de la organizaci6n. particularmente cuando exista un cambio importante en locales. La politica deberia asegurar que se fomente una capacidad de continuidad de negocio en la cultura de la organizaci6n. Generalidades 4. 4. La propiedad de la politica de GCN deberia recaer en las altas esferas. el ejercicio regular de planes y la actualizaci6n y comunicacion de los mismos.3 Desarrollo de politic a de continuidad de negocio La organizaci6n deberia desarrollar su politica de continuidad de negocio que declare los objetivos de GCN en la organizaci6n. y la gestion y el mantenimiento continuidad de negocio.1 Los prop6sitos de establecer una politica de continuidad de negocio son: • procurar que todas las actividades de GCN se Ueven a cabo e implementen de forma acordada y controlada.2 Contexto La organizaci6n deberia asegurarse de que su politica de GCN sea apropiada a la naturaleza. © BSI 2006 • 11 .BS 25999~ 1:2006 4 La politica de gesti6n de continuidad de negoclo 4.1. La politica de continuidad de negocio deberia proporcionar a la organizacion principios documentados a los que aspirara y segun los cuales se deberia medir su capacidad de continuidad de negocio. el disefto integral. La politica de GCN define los requisitos de proceso para asegurar que las previsiones de continuidad de negocio sigan cumpliendo las necesidades de la organizacion en caso de producirse un incidente. 4. dependencias y entorno operativo.

Por consiguiente. planes y soluciones de GCN con cierta periodicidad en funcion de las necesidades de la organizacion. • La organizacion deberia mantener y revisar regularmente su politica. 1 . aunque a un nivel de consideraci6n mas alto. • • . estrategias. la organizaclon deberfa asegurarse de que sus proveedores 0 subcontratas fundamentales cuenten con previsiones de GCN. Una forma de hacer esto es mediante la obtenci6n de pruebas auditadas de la viabilidad de los planes de continuidad de los proveedores y sus programas de ejercicio y mantenimiento .5 Actividades externalizadas Si un producto. La determinacion de 10 que es fundamental deberfa ser coherente con el analisis de impacto en el negocio descrito en 6. como por ejemplo exclusiones geograflcas 0 de productos. las obligaciones y los deberes legales de la organizacion. reglamentos 0 politicas correspondientes que deban incluirse 0 que puedan usarse como una cota de referencia. 4. directrices y pautas minimas de GCN para la organizacion.2. ~ . 12 • © BSI 2006 . la responsabilidad de riesgo correspondiente a dicho producto. 4. servicio 0 actividad sigue recayendo en la organlzacion.4 Alcance del programa de GCN La alta direccion podra deterrninar el alcance del programa de GCN mediante la identlficaeion de sus productos y servicios fundamentales que apoyen los objetivos. servicio 0 actividad ha sido objeto de externalizaclon. referenciar todas las norrnas. El alcance de la politica de GCN deberia definir claramente toda limitacion 0 exclusion que sea de aplicaclon.BS 25999-1:2006 La organizaclon podra considerar 10 siguiente a la hora de desarrollar su politica de GCN: • defmir el alcance de GCN en la organlzaclon: dotacion de recursos a GCNj definir los principlos..

responsabilidades y la autoridad deberian integrarse en las descripciones del puesto de trabajo y aptitudes. y nombrar 0 designar una 0 mas personas que se encarguen de" implementar y mantener el programa de GCN. de continuidad de negocio en la organizacion de la gestion de continuidad de negocio 5.1 La direccion de la organizacion • • debena: nombrar 0 designar una persona de rango y autoridad apropiados que se responsabilice de la politica e implementacion de GCN.1 Generalidades Deberia conflgurarse un programa de GCN para conseguir los objetivos defmidos en la politlca de continuidad de negocio (vease 4. Las funclones. envergadura y complejidad. (vease 5. 5.2). se apoyen de forma adecuada y se establezcan como parte de la cultura de la organizaclon. y el mantenimiento (vease 5. la alta direccion podra designar representantes en todo el negoeio por division 0 localizaclon para ayudar en la Implementacion del programa de GCN.4).1. Las personas encargadas de implementar y mantener el programa de continuidad de negocio pueden estar localizados en diferentes partes de La organizaci6n dependiendo de su tamaiio. consejero 0 representante elegido) tenga responsabilidad general sobre La GCN y que sea responsable directo de asegurar su exito continuado. COMENTARJO SOBRE 5.2.2.2.2 Si la estructura de la organizaeion asi 10 exige. Es esencial. que una persona con La autoridad apropiada (por ejemplo: el propietario.3). La participacion de la alta direccion es fundamental para asegurar que los procesos de GCN se introduzcan correctamente.3).BS 25999-1:2006 5 Gesti6n de programa de GCN La gestion de program a se encuentra en el corazon del proceso de GCN. © BSI 2006 • 13 .2 Astgnaclon de responsabilidades (gobierno) 5. 5. sin embargo. La gestlon de programa eficaz establece el enfoque de la organizacion con respecto a la continuidad de negocio. La gestion de programa de GCN entrafia tres pasos: • • • asignacion de responsabilidades implementacion (vease 5.

5.4. el personal.4. 5. Ia responsabilidad de continuidad de neqocio podr4 recaer en una 0 mas personas.3 Implementacion de la continuidad de negocio en la organlzacion 5. 5.1 Las actividades previstas para mejorar el programa de continuidad de negocio deberian incluir el disefio.1 Generalidades Las actividades de gestion continua deberian asegurar que la continuidad de negocio este integrada en la organizaci6n.2 Mantenimiento continuo No lmporta como se doten recursos de GCN. recompensa y reconocimiento de la organizacion. existen actividades que deberian realizarse tanto al inicio como continuamente. las funciones y las responsabilidades correspondientes de GCNj nombrar una persona 0 equipo apropiado para gestionar la capacidad continua de GCNj mantener el programa de continuidad de negocio actualizado a traves de la buena practlca.BS 25999-1:2006 El proceso de auditorfa de la organizaci6n responsabilidades. comunicar el programa a los grupos de interes. implementaclon del programa. y cuando un ejercicio 0 incidente resalte sus carencias. COMENTARlO SaBRE 5.3. 0 proporcionar ejercitar la capacidad de continuidad de negocio (vease la clausula 9).2 La organizaci6n podra adoptar un metodo de proyecto de gesti6n reconocido para asegurar que la implementaci6n se gestione de forma eficaz. 14 • © BSl2006 . En organizaciones mas pequeiias.4 Gestlon continua 5. las previsiones y los planes de continuidad de negocio tambien deberian revisarse y actualizarse cuando exista un cambio importante en el entorno operativo.2. construccion.2: En grartdes organizaciones podrf. 5.a existir la necesidad de crear un equipo de representantes de continuidad de negocio con diferentes junciones y responsabilidades. Ademas. y e \Ii il. Cada componente de la capacidad de continuidad de negocio deberfa ser revisado.3. deberia reviser estas Estas responsabilidades podran reforzarse mediante su inclusi6n en la politica de evaluacion. La organlzaclon • • • disponer deberia: formaci6n apropiada para el personal. los procesos 0 la tecnologia de la organizaclon. ejercitado y actualizado regulannente. Estas podran incluir: • • • definir el alcance.

segun proceda. administrar el programa de ejercicios. programa de ejercicios e informes.5). evaluaci6n de riesgos y amenazas. gestionar los costes asociados con la capacidad de eontinuidad de negocio. estrategia/estrategias de GCN programa de concienciaci6n. mantener la documentaci6n apropiada al tamafio y complejidad de la organlzacion (vease 5. hacer un seguimiento del rendimiento de eapacidad de continuidad de negocio. analisis de impaeto en el negocio (AIN). eoordinar la revisi6n y actualizaci6n regulares de la eapacidad de continuidad de negocio. planes de recuperaci6n de negocio.BS 25999-1:2006 • • • fomentar la continuidad de negocio en toda la organizaei6n y mas alla. programa de formaci6n.5 Documentaci6n de GCN Las personas eneargadas de mantener la continuidad de negocio deberian crear y mantener Ia doerunentaci6n de eontinuidad de negocio. planes de continuidad de negoeio. y establecer y haeer un seguimiento de los regimenes de gestion de eambios y de gesti6n de sucesi6n. acuerdos de nivel de servicio y contratos. • • • • 5. planes de gesti6n de incidentes. Esta podra incluir 10 siguiente: a) Politica de GCN: • • b) c) d) e) f) declaraci6n de alcance de GCN. incluyendo revisi6n 0 remodelaci6n de las evaluaciones de riesgo y los analisis de impacto en el negocio (AIN). g) h) i) j) k) © BSI 2006 • 15 . termlnos de referencia de GCN.

1 En un contexto de continuidad de negocio. deberes legales y el entorno en el que opera la organizacion. 6. incluyendo los ajenos ala organizacion.2 Analisis de impacto en el negocio CAIN) 6. los activos y los recursos. activos y recurs os criticos que los apoyan (vease 6.1.1 La organizacion deberia determinar y documentar el impacto de una interrupcion en las actividades que apoyan sus productos y servicios fundamentales.2. Este proceso generalmente se conoce como el analisis de impacto en el negocio (AIN). que apoyan la entrega y prestacion de estos productos y servicios. identificar las actividades. las obllgaciones de sus grupos de interes. 16 • © BS12006 .2 Es importante que la organizacion a) b) las interdependencias de sus actividades. y toda dependencia que tenga de organizaciones externas. Este elemento asegura que el programa de GCN este alineado con los objetivos. entienda: • • • 6. evaluar el impacto y las consecuencias en el tiempo debido al fallo de estas actividades. y las actividades criticas y los recursos que los apoyan. el entendimiento la organlzacion proviene de: • de identificar los objetivos de la organizaclon. y toda dependencia puesta en la organizacion por otros.1.5). obligaciones y deberes legales de la organizacion. activos y recursos (vease 6.2). 6.1 Introducci6n 6.BS 25999-1:2006 6 Entendimiento de la organizaclon 1:1 EI objetivo de este elemento del ciclo de vida de GCN es ayudar en el entendimiento de la organizacion a traves de la identlflcacion de sus productos y servicios fundamentales. identificar y evaluar las amenazas percibidas que podrian interrumpir los productos y servicios clave de la organizacion y sus actividades.

la organlzacion deberia: a) COMENTARIO SOBRE 6.BS 25999-1:2006 6. 0 perdida de de deberes legales 0 requisitos • • • dafios a la viabilidad fmanciera. imp acto de incumplimiento reglamentarios.2. Estos podran incluir: • • • • impacto en el bienestar del personal imp acto de dafio a locales.2. 0 servicios.2b) Durante una interrupci6n. tecnologfa estos. infraestructura de apoyo 0 recursos interdependientes que tambien tengan que mantenerse de forma continua 0 recuperarse con el tiempo. los niveles norm ales de identificar toda actividad. establecer el plazo maximo de interrupcion tolerable correspondiente a cada actividad. identificando: • • • c) el plazo maximo despues de iniciarse una lnterrupcion que la actividad deba reanudarse. el plazo en el que deban reanudarse operacion. La organlzacion deberia documentar su enfoque con respecto a la evaluacion del impacto de la Interrupcion y sus hallazgos y conclusiones. 6. los impactos generalmente aumentan con el tiempo y afectan a cada actividad de forma diferente. en el el nivel mmimo en el que la actividad deba realizarse cuando se reanude.2 Para cada actividad que apoye a los productos y servicios clave en el alcance de su programa de GCN. activos. 0 del publico. dafios al prestigio. © BSI 2006 • 17 . mes 0 punto en el ciclo de vida de negocio. deterioro de la calidad de productos dafios medioambientales. Los impactos tambien podrian variar enfunci6n del dia. la organizacion deberia: considerar aquellos que se refieran a sus objetivos y metas de negocio y sus grupos de interes. 0 informacion. b) evaluar en el tiempo los impactos que ocurririan si la actividad se interrumpe.3 Cuando se evaluan impactos.2.

y servicios y proveedores externos (suministros). pero deberia reconocer que otras actividades tambien tendran que reeuperarse dentro de su plazo maximo de interrupcion tolerable y tambien podrfan exigir eontar con previsiones dispuestas anticipadamente. aptitudes y conoeimientos (personal). ~i . esto podria impedir 0 retrasar criticamente la reanudaci6n de las actividades. Identificaci6n de actividades criticas La organizaclon podra categorizar sus actividades segun su prioridad de recuperacion. si son inadecuados.. tornos. m6quinas de envasado al vacio y demas equipos y maquinaria esenciales para la capacidad de fabricaci6n y producciOn. Determinacion de los requisitos de continuidad La organizacion debera estimar los reeursos que cada actividad critica vaya a preeisar cuando se produzca la reanudacion. e) La organlzaclon deberia tener en euenta las necesidades de los grupos de interes a la hora de determinar los niveles de reeursos. Las actividades menos sensibles al tiempo pueden exigir menos precisi6n. plaeo maasmo de interrupci6n tolerable injluira en cada objetivo de plaeo de recuperaci6n de cada actividad a la hora de determinar las estrategias de GCN (vease la clausula 7). El. m6quinas de preparaci6n de alimentos.3 El plaeo maximo para la reanudaci6n de actividades puede variar entre segundos y varios meses en junci6n de La naturaleza de la actividad. Ii i i II. Estos podran incluir: a) b) c) d) reeursos de personal. Cada aetividad critica apoya uno 0 mas produetos o servicios fundamentales.. el centro de trabajo y faeilidades que se precisen (locales). Aquellas actividades euya perdida. 0 no estan lo suficientemente act:ualizados. segtin se identiflco durante la AIN. 'I' . incluyendo nfuneros. por ejemplo al minuto 0 a la hora. La organizaclon podra desear enfoear sus aetividades de planificacion en las aetividades criticas. Las actividades que sean sensibles al tiempo pueden tener que especificarse con muchfsima precisi6n. maquinaria y equipos de apoyo (tecnologia). provision de informacion (ya sea en formato electronico 0 impreso) correspondiente a los trabajos anteriores 0 trabajos en curso actuales.4 La tecnoloqia implica el uso de equipos en et sentido mas amplio y segun corresponda a la organizaciOn.r BS 25999-1 :2006 6. ii " Ii' f I . 18 • e BSI 2006 . . tecnologia. tendrian el mayor impaeto en el plazo mas eorto y que neeesiten recuperarse mas rapidamente podran defmirse como "actividades critic as" . equipos de telecomunicaciones. Los requisitos que rigen la provisiOn de dieha informaci6n se emplean para formular estrategias de gestiOn de respaldos y registros a la hora de determinar las estrategias de GCN (uease la clausula 7). :1 'I i: " I .3 COMENTARIO SOBRE 6. todo 10 cual deheria estar suficientemente actualizado para permitir que la actividad continue eficazmente al nivel acordado (informacion).! I. 6. La tecnoloqia podra incluir pero no limitarse a software y hardware de informatica. Si no se dispone de registros 0 informaciOn de trabajos en curse.4 COMENTARIO SOBRE 6.

el myel de riesgo deberia entenderse especfficamente en relacion con las actividades criticas de la organlzacion y el riesgo de que se produzca una interrupcion a las mismas. © BSI 2006 • 19 . seguridad informatica y capacidad de recuperaci6n del sistema TI.5 Las vulnerabilidades pueden presentarse como flaquezas en los recursos y pueden.5.5 Evaluaci6n de amenazas a actividades criticas (realizaci6n de una evaluaci6n de riesgos) COMENTARJO SOBRE 6. 6. la organizaeion tiene que identificar los niveles de riesgo que considera aceptables. suministros y grupos de interes. locales.6 Impactos (vease 6. 6. provo car un impacto en los recursos.3 La norma ISO/IEC 27001 configura el marco correspondiente al enfoque de evaluacion de riesgos que deberfa elegirse. Estos describen las circunstancias en las que la organlzacion esta dispuesta a aceptar riesgos. Algunos de los elementos tfpicos se presentan a continuaci6n. 6. absentismo de personal.3) podrian resultar de la explotacion de flaquezas por las amenazas. 6.1 En el contexto de GeN.5.2 El enfoque que se elija es absolutamente discrecional para la organtzaclon. Sea cual sea el enfoque de evaluacion de riesgos elegido. 6.6.4 Amenazas especfficas podran ser descritas como acontecimientos 0 acciones que podrfan. 6. informacion.BS 25999-1 :2006 6.5. perdida de personal.5.5. explotarse por las amenazas. por ejemplo amenazas como incendio. Identificaci6n de niveles de riesgo aceptables.5 Podria resuUar beneficioso consultor registros de riesgos que ya hayan sido establecidos en otras areas en la organizaci6n 0 por organisrrws externos. corte de suministro electrico.5.5 y 6. en algiin momenta. Las actividades criticas se apoyan en recursos como personal. Es necesario • • que el enfoque de evaluacion de riesgos de la organizaci6n cubra todos los conceptos descritos en 6. • Determinacion de los criterios de aceptacion de riesgos. tecnologfa.2. pero es importante que el enfoque sea apto yapropiado para cubrir todos los requisitos de la organlzacion. la vulnerabilidad de cada recurso y el imp acto que surgiria si una amenaza se convirtiera en un incidente y provocara una interrupcion. describiendo los elementos obligatorios que deberia contener el proceso de evaluacion de riesgos. 6. deficiencias en la proteccion contra incendios. niveles de dotacion de personal. inundacion.5. virus informatieos y fallo de hardware. en algun momenta.5. resiliencia electrica.5. por ejemplo: puntos de fallo tinicos. Anallsls de los riesgos. La organizacion deberia entender las amenazas a las que estan expuestos estos recursos.4.

6. En algunas circunstancias. ill 6. limiten el impacto de la interrupcion en los productos y servieios fundamentales de la organizacion. la habilidad para hacer algo en prevision de los riesgos podria estar llmitada. la alta direcci6n podra aceptar el riesgo.6 6. La organizacion podria incluir unao mas de las estrategias descritas en 6.6. "I i 6. En estos cases. debido ala baja posibilidad de que se produzca el riesgo y/o debido al alto coste econ6mico que sup one el control.6.3 Aeeptaclon Un riesgo podrfa ser aceptable sin que sea necesario tomar otras medidas. y acorten el plazo de interrupcion. La aceptaci6n podra ser complementada por un plan para el manejo de los impactos que surgiran si se produce el riesgo. asegurando que las actividades ·<criticas contimien 0 se recuperen a un nivel minimo aceptable y en plazos estipulados en el AIN. deberia establecerse un objetivo de plazo de recuperacion (OPR).BS 25999~1:2006 6.6. y deberian evaluarse las estrategias de continuidad descritas en la clausula 7 con respecto a dicho objetivo. Las estrategias de mitigacion de perdidas pueden usarse en comblnacion con otras opciones. Incluso si no es aceptable. la respuesta podra ser tolerar el nivel de riesgo existente si la alta direccion estima que el riesgo es aceptable y que corresponde al apetito por el rlesgo de la organizaci6n. el imp acto de un riesgo puede encontrarse fuera del apetito por el riesgo normal de la organizaci6n. la organizacion deberfa identificar medidas que: • • • reduzcan la probabilidad de que se produzca una interrupcion. Las estrategias de continuidad pretenden mejorar la flexibilidad de la organizaclon ante una interrupci6n.2 a 6. ya que no pueden preverse 0 reducirse todos los riesgos a un nivel aceptable. pero. Estas medidas se conocen como mitigaclon de perdidas y tratamiento de riesgos.1 Determinacion de opciones Generalidades Como resultado de la evaluacion de riesgos del AIN. 20 • © aSI 2006 .6.5 para cada actividad critica.2 Continuidad de negocio 8i la'continuidad de negocio es la estrategia elegida para un producto 0 servicio fundamental. 0 el coste de tomar alguna medida podria resultar desproporcionado con respecto al beneficio obtenido.

actividad. el analisis de impacto en el negocio y la evaluacion de riesgos para asegurar que el trabaio haya sido apropiado y que sea un reflejo fiel de la organizaclon. no todas las perdidas son plenamente asegurables (por ejemplo: incidentes no asegurados. Esto podria hacerse mediante un seguro convencional 0 previsiones contractuales. "Tolerar" (aceptar el riesgo). mas 0 6. cumplimiento legal y expectativas de grupos de interes de la organizacion.6. 6. Sin embargo. No es probable que una liquidacion economica por sf sola proteja totalmente a la organizacion de forma que se satisfagan las expectativas de los grupos de interes. "Tramsferir" y "Terminar". en particular. funci6n 0 proceso tenga una longevldad limitada.6. suspension termlnaelon En algunas circunstancias. actiyidad. Los riesgos podran transferirse para reducir la exposlcton de la organizacion a los riesgos 0 porque otra organizacion es mas capaz de gestionar el riesgo de forma eficaz. perdidade valor de grupos de interes. dafios a la marc a 0 el prestigio.BS 25999-1:2006 6. Es importante tener en cuenta que algunos riesgos no son (plenamente) transferibles. Esta opci6n solo puede considerarse cuando no exista conflicto con los objetivos.7 Visto bueno La alta direccion deberia dar el visto bueno a la lista documentada de productos y servicios fundamentales. la mejor respuesta podra ser transferirlos. suspender 0 terminar el servicio. producto. La compra de Wl seguro podra fonnar parte de la estrategia de tratamiento de riesgo y proporcionara alguna Indemnizacion economica por algunas perdidas. ensr 2006 • 21 . incluso sise ha externalizado la prestacion de till servicio. funcion 0 proceso. reduccion de cuota de mercado y consecuencias humanas).jaroducto. podriaser apropiado cambiar. Es mas probable que la cobertura de seguro se use en eombinacion con una 0 estrategias. generalmente no es posible transferir el riesgo de prestigio.5 Cambio. NOTA En ocasiones se conocen los cuatro elementos amteriores como el modele "4 T": "Tratar" (continuidad de negocio).4 Transferencia Para algunos riesgos. 0 podria hacerse por medio de pago a un tercero para que asuma el riesgo de otra forma. Esta opcion es particulannente buena para poder mitigar los riesgos fmancieros 0 riesgos a los que puedan exponerse los activos. Es mas probable quese considere este enfoque cuando el servicio.

5). el producto 0 seroicio no queda cubierto par un erifoque de GCN y no puede considerarse que cumple esta Norma. ·i 22 • © BSI 2006 .BS 25999-1:2006 7 Determinacion de la estrategia de continuidad de negoclo Este elemento del cicIo de vida de GCN logicamente sigue a "entendiendo la organizacion".2. Como resultado del analisis anterior. 7. En los demos casos (par ejemplo: suspensi6n.3). y 7.2 Podrian precisarse organizacion: • • • • II i estrategias para los siguientes recursos de la personal (vease 7. tecnologia (vease 7.1 COMENTARIO SOBRE 7.2. una 0 el coste que supone implementar las consecuencias de inacci6n. y tener en cuenta aquellas actividades que no hayan side identificadas como criticas. la organizacion estara en situacion de elegir las estrategias de continuidad apropiadas para permitir el cumplimiento de sus objetivos. terminaci6n y aceptaci6n de riesgo).2 Opciones estrateglcas 7. Introducci6n El enfoque de la organizaclon en cuanto a la determinacion estrategias de GCN deberia: a) de las implementar medidas apropiadas para reducir la posibilidad de que se produzcan incidentes y/o reducir los efectos potenciales de dichos incidentes. 7.4).1 La organizacion deberia considerar opciones estrateglcas para sus actividades criticas y los recursos que cada actividad vaya a precisar a su reanudacion. en consideracion las medidas de flexibilidad y b) c) d) proporcionar continuidad para sus actividades criticas durante y despues de producirse un incidente. tener debidamente mitlgaclon. a aquellos productos y seroicios para los cuaies la continuidad de negocio es la opci6n elegida. informacion (vease 7. locales (vease 7. varias estrategias.6). La estrategia 0 las estrategias mas apropiadas dependeran de una serie de factores como: • • • plazo maximo de interrupcion tolerable de cada actividad critica.1 La cl6usula 7 y todas las clausulas siguientes se refieren.

8).4 GOMENTARlO SOBRE 7.BS 25999-1:2006 • • suministros (vease 7. en parte por ei tamaiio. Las estrategias correctas se determinaram. Gada tipo de incidente 0 amenasa podria precisar La implementaci6n de opciones de centros de trabajo diferentes 0 mUltiples. y grupos de interes (vease 7. Locales La organizaci6n debera disefiar una estrategia para reducir el impacto de la indisponibilidad de sus centros de trabajo habituales. planiftcaci6n de sucesi6n.7). y uso de personal alternativo en un lugar establecido. NOTA 2 El uso de locales alternativos para prop6sitos de continuidad deberia estar apoyado por una declaracifm clara de si los locales aUernativos son para el uso exclusivo de la organizaci6n. otros locales adecuados que se hayan acordado. I © BSI 2006 • 23 . locales alternativos proporcionados trabajar desde casa 0 por especialistas terceros.3 Personal La organizaci6n deberia identificar las estrategias apropiadas para mantener las aptitudes y los conocimientos esenciales. por sus grupos de in teres y por su presencia geograjica. la organizacion deberfa minimizar la posibilidad de hnplementar una soluci6n de continuidad de negocio que pueda resultar afectada por el mismo incidente que causara la interrupci6n de negocio.4 Las estrategias de centro de trabajo pueden variar significativamente y podrd. d) e) f) 7. incluyendo (can locales alternativos proporcionados par otras organizaclones independencia de que existan 0 no previsiones reciprocas). y retenci6n y gesti6n de conocimientos. Entre las estrategias para proteger 0 proporcionar aquellas aptitudes se incluyen: a) b) c) documentaci6n crfticas. En cada caso. encontrarse lo suficientemente cerca para que et personal esM dispuesto a desplaearse a ellos. sector y extensi6n de actividades de la organizacifm. de la forma en la que se realizan las actividades en aptitudes multiples: formaci6n de personal y contratistas separaci6n de las aptitudes esenciales para reducir la concentraci6n de riesgo (esto puede entrafiar la separaci6n fisica de personal con dichas aptitudes esenciales 0 asegurar que mas de una persona posea las aptitudes esenciales que se precisen). teniendo en cuenta todas las difieuUades posibles que pueda provocar el incidente. deberia desarrollarse y documentarse un plan para mitigar la indisponibilidad de diehos locales. NOTA 1 Si el personal tiene que trasladarse a locales alternativos. disponerse de una serie de opciones. uso de terceros. Esto podra incluir una 0 mas de las siguientes opciones: a) b) c) d) e) f) locales alternativos en la propia organizaci6n. Este analisis deberfa extenderse mas alla de los empleados para incluir los contratistas y otros grupos de interes que poseen amplias aptitudes y conocimientos especializados. Sin embargo. 7. Por ejemplo. la administraci6n pUblica neoesaara: mantener un seruicio cara at pUblico en sus comunidades. los locales alternativos no deber1an estar tan cerca que puedan resuUar ajectados por el misnw incidente. dichos locales deberian. en locales remotos. Si los locales aUernativos se com parten con otras organizaciones. desplazamiento de otras actividades.

conectividad de telecomunicaciones y enrutamiento redundante: • • • • • ii. par ejemplo la carga de trabaJo de un cadena de fabricacion. conservar equipos mas antiguos que sirvan de repuesto recambios de emergeneia. . sustituir 0 restablecer tecnologfas especializadas 0 hechas a la medida con plazos de entrega dilatados. NOTA 2 Ouando mas de un local albergue el sistema informatico de La organizaciOn. La organizaci6n podra tener que preuer la necesidad de realizar 7.5.r BS 25999-1:2006 NOTA 3 Podra resultar apropiado trasladar la carga de trabaJo en vez del personal. Y reduccion de riesgos adicionales para equip os unlcos entrega dilatado. servicios prestados a la organlzacion. Deberian desarrollarse estrategias espeoificas para salvaguardar. redes y almacenaje de cada local este dimensionados para hacer frente al trajico y trabajo combinadas de los otros ademas de su propio trabajo. 7.I la naturaleza del "cambio en caso de fallo" (ya sea precisando intervencion manual para activar la provision informatica alternativa 0 debiendo producirse automaticamente): y conectividad de terceros y vinculos externos. por ejemplo mantener la misma tecnologfa en lugares diferentes no se vera afectado por la misma interrupci6n de negocio.5. I • I: Ji II . podm existir una estrategia mutua de recuperaci6n informatica. acceso remote. de forma que los sistemas. el uso de locales sin personal (oscuros) en lugar de locales dotados de personal.5.5 COMENTARIO SOBRE 7. deberia considerarse 10 siguiente: • objetivos de plazo de recuperaci6n (OPR) para sistemas y aplicaciones que apoyen las actividades fundamentales identificadas en la AIN j ubicaci6n y distancia entre centros de tecnologia.1 Las estrategias tecnologicas dependeran de la naturaleza de la tecnologfa empleada y su relaci6n con las actividades crlticas. I I varianin signij'icativamente entre arganizaciones segUn el tamamo. mimero de centros de tecnologfa.5. pero tipicamente constaran de una de las siguientes. 24 • © BSI 2006 . • • de plazo de 7. 0 combinacion de las mismas: • • • • previsi6n hecha en la organizacion. I • NOTA 1 Si se adopta una estrategia de "cambio en caso de fallo" de un lugar a otro.3 Los servicios informaticos a menudo necesitan estrategias de continuidad complejas. y servicios prestados externamente por terceros. la distancia de ruta de red entre los dos lugares tiene que considerarse cuidadosamente ya que La distancia entre estos podria tener un impacto negativo en laforma de operar los sistemas informaticos.1 Las estrategias tecnoMgicas Tecnologia 7. o de un centro de llamadas. 0 0 operaciones manuales antes de recuperarse plenamente los seruicios tecnoMgicos. naturaleza y complejidad del negocio. Cuando se precisen dichas estrategias.2 Entre las estrategias tecno16gicas se podran incluir: separacion geografica de los locales donde se encuentre la tecnologfa.

microfichas. 7. 7.7. informaciOn necesita recuperarse hasta un punto en el tiempo que sea conocido y acordado por la aUa direcci6n. etc. deberfan cumplir normativa legal correspondiente. creaci6n de dos ejemplares en el momenta de generarse la informaciOn.7 GOMENTARIO SOBRE 7. Suministros 7. fotocopias. retener los materiales en almacenes traslado de operaciones cuente con suministros. Entre las estrategias necesarias para proporcionarlos se podran incluir: • • • • • • almacenaje de suministros adicionales en otro lugar.6 Informaclon Las estrategias de informacion deberian configurarse organizacion este protegida y sea recuperable descritos en la AIN. etc. la Toda informacion que se precise para perrnitir la ejecuclon de las actividades criticas de la organizacion deberia ofrecer la suficiente: • • • • confidencialidad. identiflcacion 0 en puntos de envio. de informacion para incluir: NOTA 2 En todos los casas. usarse varios metodos de copiado.BS 25999-1:2006 NOTA 3 Otra soiuci/m. 0 por Internet usando Red Privada Virtual (RPV) 0 tecnoioqia similar. y Las estrategias de informacion deberian estar documentadas para la recuperacion de informacion que aun no haya side copiada 0 respaldada a una ubicaeion segura. integridad. la. de ensamblaje a un Ingar alternativo que e alternativos/sustltutos. de suministros © BSI 2006 • 25 . demo de entregas de Ultima hora a otros lugares. 0 combustibles para vehiculos. ISO JIEG 27001 e ISO/lEG 20000 (ambas partes). NOTA 4 Se qfrece orientaciOn adicionai sabre la continuidad para informatica y hardware de tetecomunicaoiones en documenios como PAS 77. aseguren que la informacion vital para el funcionamiento de forma que de la segun los plazos NOTA 1 Se ofrece orientaciOn adicional en ISO/lEG 27001. como respaldos electr6nicos 0 en cinta magootica. Podrtm. Otros sectores podrian identificar inventario de venta at pUbUco 0 suministros denominados de uUima hora. disponibilidad: actualidad. los suministros podrian comprender cheques. • • • Deberian ampliarse las estrategias formatos ffsicos (impresos): y formatos virtuales (electronlcos). Este punio de recuperaci6n a menudo se denomina "abjetivo de punta de recuperacum". etc. previsiones con terceros para las entrega de mercancia a corto plazo. para el braslado de personal a locales aUernativos es proporcionar acceso informatico remota par red telef6nica.7 En entornos de oficina. El abmacenaje y la recuperaciOn de dicha informacion.1 La organizacion deberia identificar y mantener un inventario de los suministros principales que apoyan sus actividades criticas.

8 Grupos de Interes 7.. respuesta y recuperacion en relacion con las emergencias civiles que se produzcan en sus comunidades.. conocerse como foros de resiliencia locales. como por ejemplo discapacidad. la organizacion deberia considerar y proteger los intereses de sus grupos de interes fundamentales.1 Las organizaciones que pretendan determinar.. alternativos que cuenten con la 7. estos organisrrws de respuesta potiram. prevencion.1 Ala hora de determinar estrategias de GCN apropiadas.9.--------------------------------------_. Las estrategias para proteger los intereses de los grupos de interes podran incluir previsiones especiales para asegurar el bienestar de grupos de interes con necesidades especfficas. 7. 0 Identlflcacion de proveedores debida capacidad. 7. Entre las estrategias para gestionar la continuidad de suministro se podran incluir: • • • • aumentar el mimero de proveedores. Estos organismos de respuesta locales tienen asignadas actividades de prevision.2 Cuando las actividades criticas dependan de proveedores especializados.3 La organlzacion deberia identificar a una persona 0 personas que se responsabilicen de cuestiones de bienestar tras producirse un incidente. 7. implementar 0 validar estrategias para la gesuon de incidentes y gestlon de continuidad de negocio deberian familiarizarse con los organismos oficiales locales de respuesta en una etapa inicial. que cuenten con un sistema de con los principales acuerdos de nivel de servicio y/o contractuales proveedores.. enfermedad o embarazo.7. Estas estrategias deberian tener en cuenta consideraciones sociales y culturales importantes. socios y contratistas de negocios 0 servicios fundamentales._-. 26 • © BSI 2006 .2 La organizacion deberia identificar estrategias apropiadas para gestionar las relaciones con grupos de interes. Cada grupo de interes podria necesitar consideraciones particulares. _--_ .. preparacion._ . anirnar 0 exigir a los proveedores continuidad de negocio probado. _-_..----_ BS 25999-1:2006 .. la organizacion deberia identificar los proveedores fundamentales y fuentes tinicas de suministro.. _ .. 7..9 Emergencias civiles 7. evaluacion.8..8. _---_ ...8. NOTA En el Heino Unido.

las organizaciones podran desear familiarizarse por si mismas con las previsiones de planificaci6n de su foro respectivo de resiliencia local. redes de comunicaci6n. el incidente (por y de advertencia e informacion. pueden tener un impacto profunda y duradero en el bienestar psico16gico. seruicios y suministros. las autoridades locales estan. NOTA 2 Segun la Ley Jnglesa de Contingencias Civiles (2004) [1]. y economicode las personas y sus comunidades.BS 25999-1 :2006 7. Las emergencias pueden provocarnipidamente interrupciones importantes a seruicios de trans porte pUblico.10 Visto bueno La alta direceion deberia dar su visto bueno a las estrategias documentadas para confirmar que la determinacion de estrategias de continuidad ha sido acometida debidamente y que tiene en cuenta las causas y los efectos pro bables de la interrupcion. © nsr 2006 • 27 . y que las estrategias elegidas son apropiadas para cumplir los objetivos de la organizaci6n en funclon de su apetito por el riesgo de la organizaeion. A la vista de esta posibilidad de interrupci6n. comtmitaria tras producirse una NOTA 1 Las emergencias civiles pueden resultar en muerte 0 lesiones fisicas. obligadas por ley a proporcionar asesoramiento y orientaci6n de continuidad de negocio tanto a organizaciones comerciales como voluntarias que operen en su jurisdicci6n. social. previsiones de recuperacion emergencia civil.2 Los organismos de respuesta fundamentales desempefiaran un papel primordial en la declaracion oficial de que se ha producido una emergencia civil y en proporcionar: • • • asesoramiento antes ejemplo evaluaciones procedimientos 0 despues de producirse de riesgo). infraestructuras criucas y el movimiento fluido de bienes. 7.9.

y comunicarse con los grupos de interes.2 En toda situacion de incidente deberia existir una estructura sencilla y de rapida formaeion que permita a la organizaci6n: • • • • confirmar el caraeter y alcance del incidente. Las organizaciones mas grandes podran. 8.BS 25999~1:2006 8 Desarrollo e implementaci6n de una respuesta de GCN Este elemento de cicIo de vida de GCN se refiere al desarrollo e implementaci6n de planes y previsiones apropiados para asegurar la continuidad de las actividades criticas. y la gesti6n de un incidente. la responsabiUdad de gestiOn de incidentes y continuidad de negocia podro. 0 La serie de amenazas que deben planificarse deberia estar determinada por el apetito por el riesgo de la organlzacion. estos equipos podran estar apoyados par otros equipos con responsabilidad par actividades tales como comunicaciones con los medias y cuestiones de personal. evaluar las amenazas a estas actividades criticas.2.2 Estructura de respuesta a incidentes GOMENTARIO SOBRE 8.2 En organizaciones pequeiias. La misma estructura deberia disparar una respuesta de continuidad de negocio apropiada. En algunos casos. y elegir las estrategias apropiadas que faciliten la continuidad recuperaci6n de sus actividades critic as. de negocia. asumir control de la situacion.1 Introducci6n Las clausulas 6 y 7 establecen la forma en que la organizacion deberia: • • • • identificar sus actividades criticas. 8. recaer en una sola persona. Esta estructura podra denominarse equipo de gesti6n de incidentes (EGI) 0 equipo de gesti6n de crisis (EGC). 28 • © BSI2006 .2. 8. continuidad de negocia y recuperaci/m. 8. usar un enfoque escalonado y puedenformar equipos distintos que se centren en cuestiones de gesti6n de incidentes. contener el incidente.1 La organizacion deb era definir una estructura de respuesta a incidentes que permita una respuesta y recuperaci6n eficaz ante las interrupciones. elegir las estrategias apropiadas para reducir la posibilidad y los impactos de los incidentes.

recuperacl6n de proceso nagoclo crftico reconstrucci6n de trabalo en curso perdido En cuestl6n de semanas a meses: reparaci6n de daflos I sustituci6n reublcaci6n a centro de trabajo permanente recuperaci6n de gastos de las aseguradoras NOTA En algunos casas. \ \ \ \ \ En cuesti6n Personal y leslonados Ilimilaci6n evaluaci6n Invocaci6n de mlnutos a horas: visilantes contabilizados. operacion. Las organizaciones podrfan. . desear asegurarse de que los planes de continuidad de negocio sean capaces de operacion prolongada. ejecutarse en sucesiOn rapida 0 simuUaneamente. por tanto. as! que podria no ser posible implementar planes de recuperacion inmediatamente. 8. © BSI 2006 • 29 . \ .5 Las organizaciones podran desarrollar planes especfficos para recuperar 0 reanudar las operaciones a estado "normal" (planes de recuperacion). procesos y procedimientos para gestionar el incidente. . dando tiempo para el desarrollo de planes de recuperacion (de "vuelta a la nonnalidad"). 8.4 El equipo deberia contar con planes para la activacion. Sin embargo. en algunos incidentes podria no ser posible defmir 10 que seria "normal" hasta algtin tiempo despues de producirse el incidente.2...---. cllantes proveedores.2. y la relacion entre la gestion de incidentes y continuidad de negocio.2. .. continuidad de negacio y recuperaci6n de negocio podram. Figura 2 Cronograma del incidente ObJetivo de recuperac16n general: Vuelt~ a la normalidad 10antes posible //'~~ / / ~"" / / / / / / / / .----. atendidos con contenci6n de daflos de dal'los dal peN En cuesti6n de mlnutos a dlas: contactar con personal. -------------------------------------------------------~--------~~~~~--------~------------~ BS 25999-1:2006 8. la activaciOn par una arganizaciOn de sus -: planes de gestiOn de incidentes. coordinacion y cornunicacion de la respuesta al incidente. .3 El equipo deberia contar con planes.~. Figura 2 presenta un ejemplo graflco de las tres fases principales que existen durante el tiempo que dure un incidente. etc. que deberian estar apoyados por herramientas de continuidad de negocio para permitir la continuidad y recuperacion de actividades criticas.

cada uno de los cuaies especificando en detalle la recuperaoi6n de: . Una arganizaoi6n muy grande podra tener muchos planes. 30 • © BSI 2006 . Toda relacion con otros planes 0 documentos correspondientes en la organizaci6n deberian estar claramente referenciados y describirse el metodo de obtenci6n y acceso a estos planes.0.2 GOMENTARIO SOBRE 8. continuidad de negocio y recuperaci6n de negocio deberfa establecer objetivos priorizados en 10 que se refiere a: • • • • las actividades critic as que deban recuperarse. con independencia de que se trate de planes de gestion de incidentes.BS 25999-1 :2006 8.3. segun proceda.0 Funciones y responsabilidades Las funciones y responsabilidades del personal y equip os que tengan autoridad (tanto en 10 que se refiere a la toma de decisiones y autorizacion de gastos) durante y despues de un incidente deberfan estar claramente documentadas. Una arganizaoi6n pequeiia podra tener un solo plan que abarque todos los requisitos para el negocio y que cubra todas sus operaciones. 8.6.3. acordado por la alta direecion y entendido por los que pondran el plan en efecto. 0 .un escenario en particular.3.1 Contenido de planes Introducclon Todos los planes.3 8.0. podram. planes de continuidad de negocio 0 planes de recuperacion de negocio.locales en particular.LJs planes tambien. 8. Cada plan de gesti6n de incidentes. .0. Los planes deberfan contener los elementos sefialados en 8.3. los plazos en que deban recuperarse.1 GOMENTARIO SOBRE 8. incluir documentaoi6n separada correspondiente a las fases de incidente. y podrd.2 a 8. deberfan ser concisos y accesibles a las personas que tengan responsabilidades definidas en los planes. 1. procedimientos y listas de comprobaoi6n que apoyen los procesos de revisi6n posterior al incidente.una parte en particular de su negocio. necesarios para cada actividad critica. Las personas 0 los grupos cubiertos por un plan deberfan estar claramente defmidos.3 GOMENTARIO SOBRE 8. los niveles de recuperaci6n y Gada plan padra declarar claramente lo que no pretende canseguir y par que. contener.3. la situacion en que deba utilizarse cada plan.2 Proposito y alcance EI proposito y alcance de cada plan especffico deberia estar defmido. continuidad y recuperaoi6n.

y pertinente. continuidad de negocio 0 recuperacion de negocio deberia estar cIaramente documentado. 8.3. La organlzacion deberfa documentar un proceso claro para desmovilizar el equipo 0 los equipos una vez que haya pasado el incidente. y lugar para las siguientes reuniones de equipos y datos de todos los lugares de reunion alternativos (en organizaciones mas grandes. Este proceso deberia permitir que los planes correspondientes 0 partes de los mismos se invoquen en el plazo mas corto posible despues de producirse una interrupcion de negoclo. que perder la oportunidad de contener un incidente de forma precoz y prevenir su escalado. . puntos de encuentro inmediatos. ser faci! de leer y entender.3. Deberia usarse un sistema de control de versiones. estos lugares de reunion podran denominarse centros de gestion de incidentes 0 centros de mando).3. e identificar y documentar quien es responsable de revisar.5 Propietario y responsable de mantenimiento de documentos La organizacion deberfa designar el propietario principal del plan. Invocaci6n del plan EI metoda por el que es invocado el plan de gestion de incidentes. y reanudar el trabajo con normalidad. EI proceso de Invocaclon podra exlgir la movilizaci6n inmediata de los recursos organizativos. incluir datos de contacto "juera de horas". a las que se enfrente la organizacion durante un incidente.3. 8. de acuerdo con el asesoramiento claro de otras fuentes expertas. factible. 8. la protecci6n de datos de caracter personal debe ser una consideraci6n primordial. La organizaclon deberia establecer y documentar directrices claras y un conjunto de criterios en 10 que se refiere a que personas tienen Ia autoridad necesaria para invocar cada plan y en que circunstancias. Datos de contacto Cada plan deberia contener 0 proporcionar una referencia a los datos de contacto esenciales correspondientes a todos los grupos de Interes fundamentales. cuando los planes hagan referencia a datos personales. Casi siempre es mejor rrwvilizar el equipo de respuesta y despuBs desmovilizarlo.4 EI plan de gestion de incidentes (pGI) EI proposito de un PGI es permitir a la organizaci6n inicial (aguda) de un incidente.4 El tiempo perdido durante una respuesta nunca se puede recuperar. Las organizaciones podran integrar etapas de escalado definidas e internacionalmente acordadas.6 Los registros de contacto podrom.BS 25999-1 :2006 8. © BSI 2006 • gestionar la fase 31 . EI PGI deberia: a) b) c) ser flexible. modificar y actualizar el plan a intervalos regulates. Sin embargo.3. y proporcionar las bases para gestionar to do tipo de cuestiones. y los cambios deberfan notificarse formalmente a todas las partes interesadas con un registro de plan de distribucion formal mantenido y actualizado.6 COMENTARIO SOBRE 8. pOTeiemplo la Organizaci6n Mundial de la 8alud para casos de pandemia. incluyendo las cuestiones de grupos de interes externos.4 COMENTARIO SOBRE 8. EI plan deberfa incluir una descripci6n clara y precisa de: • • • como movilizar el equipo 0 los equipos.

5.1 Generalidades Ademas del contenido recomendado en 8.5. • 8. podria ser apropiado incluir detalles en un documento separado. estar basadas en resultados de las AIN de la organizaci6n.5. amigos y contactos de emergencia. mantenhniento y formaci6n.S Contactos de emergenela COMENTARIO SOBRE 8. y estar sustentado por un presupuesto apropiado para desarrollo.5. Estas tareas deberian: • • • asegurar que la seguridad de las personas tenga prioridad. incluyendo un patrocinador perteneciente al consejo de admtnistraci6n.8.2 a 8. La informaci6n de contacto de familiares mas allegados y de emergencia correspondiente al personal deberia mantenerse actualizada y estar disponible para su uso inmediato. el PGI deberfa incluir la informaci6n seftalada en 8. y de recursos de apoyo segun se defmen en la clausula 7. 2) 8.BS 25999-1:2006 El PGI tambien deberia: 1) contar con el apoyo de la alta direcci6n.5. segun proceda.2 Tareas y listas de acci6n EI PGI deberia incluir tareas y listas de acci6n para gestionar las consecuencias inmediatas de una interrupci6n de negocio. podra preoisarse un numero de personas competenies y formadas para responder a consuUas telef6nicas acerea del incidente. 32 • © BSI 2006 . 8. Deberia incluirse una descripci6n de c6mo y en que circunstancias se comunicara la organizaci6n con empleados y sus familiares.5. estar estructuradas de un modo que se entreguen las opciones tacticas y estrategicas elegidas por la organizaci6n (segun se describen en la clausula 7).3 Enfunci6n de la envergadura de la arganizaci6n y del tamafu» del incidente. y ayudar a impedir mayores perdidas 0 indisponibilidad de las actividades criticas. En algunos casos.3.5 Contenido del PGI 8.

sica y emocional en la propia organizaci6n. una directriz 0 plantilla para la redaccion de una declaraci6n que deba emitirse a los medios 10 antes que sea posible tras producirse el incidente. discapacidad temporal debido a lesi6n. ntimeros apropiados de portavoces formados. con los medios preferido por la La informacion. © BSI 2006 • 33 .8.5 SOBRE 8. 8. y sesiones Nunca deben subestimarse los impactos a largo plaeo de los incidentes.BS 25999-1:2006 8. movilizacion de equipos de seguridad.2). Desarrollar las estrategias apropiadas en apoyo del bienestar humano puede fomentar directamente la recuperaci6nft. crmt:ratistas. segun proceda. u otros grupos de d) e) lnteres. NOTA Los servicios de emergencia desempefian unafunci6n primordial en la protecci6n de la vida y el alivio al sujrimiento durante las emergencias. COMENTARIO Respuesta a los rnedios de cornunicaci6n La respuesta de la organizacion ante los medios de comunicacion deberia estar documentada en el PGI.8. Actividades con respecto a las personas El PGI deberfa satisfacer los intereses de aquellos cuyo bienestar podria estar expuesto a riesgo como consecuencia de un incidente. cuando sea posible. la planijicacitm y la coordinaci6n de incidentes en tiempo real entre la arganizaci6n y sus primeros respondedores y los seruicios de emergencia pueden mejorar la eficacia de una respuesta ante el incidente. que seran responsables de cuestiones de bienestar tras producirse un incidente (vease 7. portavoces. Dichas juentes podrdm.5. localizacion y contabilizacion de las personas que se encontraban en ellugar 0 en sus inmediaciones.5. Permite a la arganizaci6n proporcionar informaci6n detallada sobre la organizaci6n y su negocio. comunicaciones continuas entre empleados/clientes informativas de seguridad. competentes que hayan sido designados y autorizados para comunicar informacion a los medios.5 preparada previamente puede ser especialmente util en las etapas iniciales de un incidente.4 Las orqamdeaciones tienen la responsabilidad directa de salvaguardar el bienestar de los empleados. Sera necesario prestar atenci6n especial a todos los grupos con discapacidades u otras necesidades especijicas (por ejemplo embaraso. La organlzacion podra gestionar un medio para prestar servicios para interrogar y ofrecer apoyo a personal afectado por el incidente.4 COMENTARIO SOBRE 8. en enlace precoz. Los servicios podran obtenerse externamente 0 podran ser provistos como una extension de programas existentes medicos y de ayuda a empleados. de un lugar apropiado que sirva de apoyo de los enlaces con los medics.5. incluyendo: a) b) c) d) evacuacion del edificio (incluyendo actividades de "refugio en el mismo lugar"). primeros auxilios ayuda a la evacuaclon: 0 de La planificaci6n anticipada para cumplir estos requisitos puede reducir el riesgo y dar confianza a los afectados. incluir sitios Web. Por lo tanto. La organizaci6n podrci usar todos los medios correspondientes para com partir informaci6n durante y despues de un incidente. visitantes y clientes cuando un incidente constituya un riesgo directo para la vida humana.3).5. etc. establecimiento. con los servicios de emergencia. de incidentes. cuando aun se estcin uUimando detalles del incidente. teniendo en cuenta las consideraciones pertinentes de caracter social y cultural (vease 7. juentes de noticias y declaraciones informativas g8"fliJricas de la empresa. La organizacion deberia desplegar personal que cuente con el nivel apropiado de autoridad para hacer de enlace. el medio de viday ei bienestar. incluyendo: a) b) c) la estrategia de comunicaciones el metodo de comunicaci6n organizacion.). El PGr deberfa identiflcar la persona 0 personas.

identificar y rastrear cuestiones y tamar decisiones informadas.6 COMENTARIO SOBRE 8. deberia designarse un punto de reunion alternativo en una ubicacion diferente en caso de que se deniegue el acceso a la ubicacion principal.7 La locatizaci6n de la gesti6n de incidentes constituye un punto focal conocido desde el que et incidente pueda gestionarse. Podra ser necesario desarrollar un plan de gestion aparte que rlja la gestion de grupos de interes para proporcionar criterios de conflguracion de prioridades y asignar a una persona a cada interesado 0 grupo de interes.BS 25999-1 :2006 En algunos casos. gestionar recursos. ° ° 8. telecariferencia 0 videoconferencia.5. este lugar deberia ser el punto focal para la respuesta de la organlzacion. videoconjerencia y telBjonos muUiples.5. por ejemplo por via telef6nica. Gesti6n de grupos de Interes Deberfa incluirse un proceso para identificar y priorizar las comunicaciones con otros grupos de interes irnportantes. preparar informacion sobre la organizacion y sus operaciones (esta informacion deberfa acordarse previarnente a su publlcacion) .6 Los grupos de presi6n de accWn camunitaria que colectivamente tengan poder influencia sobre la organizaciOn tambien podrfan considerarse. podra ser apropiado: • • • proporcionar detalles de apoyo en un documento separado. Las buenas camunicaciones son esenciaies: El uso de un punto de reuniOn salva las situaciones en las que las redes telej6nicas estan sobrecargadas. podrfa ser necesario celebrar una reuni6nfuera del lugar de trabajo. para que se puedan tamar decisiones rapidamente. I I. Localizaci6n de la gesti6n de incidentes y predeterminado La organtzacion deberfa deflnir un lugar. instalaciones para acceder y compartir informaci6n.5. establecer un mimero apropiado de personal competente y formado para responder consultas telefonicas de la prensa. Una vez establecida.. Podra ser algo tan camplejo como un "centro de mando" dedicado con ordenadores. Cada lugar deberfa tener acceso a recursos apropiados mediante los cuales el equipo de incidentes pueda iniciar actividades eficaces de gestion de incidentes sin retraso.7 COMENTARIO SOBRE 8.5. Asimismo. I: I I 34 • © BSI 2006 . Ellugar podra ser algo tan sencillo como la hahitaciOn de un hotel el domicilio de un miembro de personal. asignar tareas. El lugar elegido deberia ser apta para su proposito e incluir: a) b) medios de comunicacion eficaces primarios y secundarios. • 8. Es importante captar y com partir informaciOnjundamental y marcar objetivos. incluyendo el seguirniento de noticias en los medios de comunicaci6n. habitacion 0 espacio robusto desde el que se gestionara el incidente. !i ° j" ) En principio. procurar que toda la informacion para los medios este disponible sin retraso.

decisiones tomadas. comunicaciones emitidas y demas informacion que se considere esencial por la organizacion para apoyar la revision posterior al incidente. © BSI 2006 • 35 .7 8." ~------~~= ~-~ BS 25999-1:2006 8. como el cronograma delincidente. datos de vfctimas. graflcos. contratistas.8 Anexos El PGI deberia incluir datos actualizados de contacto y movilizaci6n correspondientes a todas las agencias. el peN deberia contener los elementos sefialados en 8. 0 c) d) e) 8.--------_. dinero gastado.7.3. organismos y recursos pertinentes que puedan precisarse para dar apoyo a las estrategias de respuesta de la organizacion. la cuUura y la complejidad tecnioa de la organizaciOn.--------. ei entorno. datos de victhnas. 8.1 Contenido del peN Generalidades Ademas de los elementos recomendados en 8. datos de almacenamiento de equipos y zonas intermedias.7. Los peN se activan (invocan) para apoyar las actividades criticas precisas para cumplir los objetivos de la organizacion. estrategias de respuesta documentadas que se hayan acordado con terceros.7. Las organizaciones grandes podrian precisar documentos separados para cada una de sus actividades cruioas. planos. EI PGI deberia incluir entradas 0 formularios para registro de informaci6n vital sobre elincidente.6 COMENTARIO SOBRE B. evaluaciones de dafios. fotograffas y otras informaciones que puedan ser pertinentes en el caso de producirse un incidente.6 EI plan planes de continuidad de negoelo [PCNes)] Los componentes y et contenido de los PCN varian entre las diversas organizaciones y tienen nivetes de detalle distintos enjunciOn de la envergadura.5. planos de acceso a lugares de trabajo. y un proceso de gesti6n de reclamaciones y demandas que asegure que todas las reclamaciones de seguro y demandas judiciales formuladas contra la orgamzacion cumplan los requisitos reglamentarios y contractuales. El PGI tambien podra incluir a) b) 0 hacer referenda a: mapas. etc.)..5.2 a 8. segun proceda (socios de joint venture. EI proposito del plan de continuidad de negocio (peN) es permitir a una organizacion recuperar 0 mantener sus actividades en el caso de producirse una interrupci6n a las operaciones normales del negocio. proveedores._'. mientras que las organizaciones nuis pequeiias podrian ser capaces de cubrir todo lo que les resuUa criuco con un documento unico. Podran invocarse integra 0 parcialmente en cualquier etapa de la respuesta a un incidente.

necesidades de bienestar. de invocar el plan de Los planes haran. incluyendo como la organizaci6n moviliza recurs os externos y de terceros. etc. 6. que servicios estan disponibles donde. el procedimiento decision. registros de cuentas de clientes. y • b) c) d) gastos de emergencia.7. la persona 0 personas que deban ser informadas una vez que se haya tomado una decision. recuperacion de sistemas. y cuando.3 Requisitos de recursos Los recursos necesarios para la continuidad de negocio y recuperacion de negocio deberfan identificarse en momentos dlstintos. Deben incluirse las presuposiciones claras y los datos de todos los recursos precisos para implernentar los planes. documentos juridicos (por ejemplo: contratos. logfstica de transporte. incluyendo comunicaciones. En el:caso de que la carencia de un servicio 0 recurso provoque que los objetivos del plan se vuelvan inalcanzables.2 COMENTARIO SOBRE 8.). acuerdos de niveles de servicio). con los mismos. informacion. los suministros y los grupos de interes identificados en lajase de estrategias (oease la clausula 7). la injormaci6n. tecnologia. los locales. Estos podran incluir: a) Personal.20. como y cuando se comunica esta informacion. etc. debe dejinirse un procedimiento claro para elevar la cuesti6n al siguiente nivel.----. e) suministros. p6lizas de seguro. quien va adonde. • • • • • que podra lncluir: datos f'inancieros (por ejemplo.7.ITr---_-----------. escrituras de propiedad.cia a las personas. que cada persona deba adoptar al tomar esa la persona 0 personas que deban ser consultadas antes de que se tome esa decision. y cuando. destacando: a) b) c) d) e) f) de acciones y como se invoca el peN. Art. la persona 0 personas responsables continuidad de negocio. locales. y f) gestion de grupos de interes y comunicacion 36 • © BSI 2006 . g) h) i) 8. que podra incluir: • • • seguridad. la tecnologZa. y otros documentos de servicios (por ejemplo.---I I BS 25999-1:2006 8. nominas). datos de proveedores y grupos de interes. y si existen procedimientos detallados pertinentes para soluciones alternativas manuales.2 Estos puntos se compaginan con los requisitos de la Ley de Contingencias Civiles [1j.7. Planes de aceion / listas de tareas EI plan de accion deberfa incluir una lista estructurada tareas en un orden de prioridad. rejeren.

el peN deberfa contener datos actualizados de contacto correspondientes a todas las agencias.5 Formularios y anexos Segun proceda. por ejemplo: recursos empleados.7. © BSI 2006 • 37 . particularmente con respecto a las decisiones tomadas. organismos y proveedores internos y externos que puedan precisarse para dar apoyo ala organizacion. la organizaci6n podra desear designar las mismas personas identificadas en el plan de gesti6n de incidentes y ordenarlas a gestionar los asuntos de mayor plazo.7.7. y planas de ubicaciones y ojicinas.BS 25999-1:2006 8.4 Persona 0 personas responsables En muchos casos.7. El plan de continuidad de negocio deberfa incluir una entrada de incidente 0 fonnularios para el registro de informacion vital. 8.5 COMENTARJO SOBRE 8. materiales de registro de gastos. gr6j'icos. mapas.4 COMENTARJO SOBRE 8. especialmente aquellos que se rejieran a las instalaciones alternativas como zonas de recuperaci6n del area de trabajo y almacenes. El plan tambifm podra incluir jormularios para registrar datos administrativos. La organizacion deberfa identificar una 0 varias personas designadas para gestionar la continuidad de negocio y las fases de recuperaclon de negocio tras producirse una interrupcion.

ejercitar las previsiones e infraestructura de GCN (incluyendo funciones. la confianza y los algo vital a la hora de producirse un incidente. incluyendo la disponibilidad y traslado de personal. dandole la debida consideraci6n a toda legislaci6n y reglamentacion pertinente. 9. El programa de ejercicio deberfa disefiarse de forma que. administrativos. auditorfas y procesos de autoevaluacion para asegurar que sean aptas para su prop6sito. El ejercicio es esencial el trabajo en equipo. Los ejercicios podran: • • prever un resultado predeterminado. en un plazo determinado.2 COMENTARIO SOBRE 9. • 38 • © BSI 2006 . responsabilidades y todas los lugares de gesti6n de incidentes y zonas de trabaio. El programa deberia: • • ejercitar los sistemas tecnlcos. etc. pruebas demostrables de la competencia y capacidad de continuidad de negocio y gestiOn de incidentes. I : 9. 0 permitir a la organizaci6n desarrollar soluciones innovadoras.). procedimentales y otros operatives del PCN. Las previsiones deberian verificarse a traves de ejercicios. No importa lo aparentemente bien diseiiada e ideada que esM la estrategia de GCN 0 PCN. ofrezca la confianza objetiva de que el PCN funcionara segtin se preve cuando resulte necesario. de continuidad de negocio de gestton de incidentes de no pueden considerarse fiables hasta que se hayan que se mantengan actualizadas. una serie de ejercicios robustos y realistas identificaran las areas que exijan modificaciOn. validar la recuperaci6n tecnol6gica y de telecomunicaciones. logisticos. en una capacidad apta para su prop6sito. mantenimiento y revision de previsiones de GCN Este elemento del ciclo de vida de GCN asegura que las previsiones de GCN de la organizaci6n sean validadas por el ejercicio y revision y que se mantengan actualizadas. por ejemplo se planlflean y se determina su alcance por anticipado. El tiempo y los recursos empleados para probar las estrategias de GCN mediante el ejercicio de los PCN redundardm.1 Introducci6n Las previsiones la organizacion ejercitado y sin para desarrollar conocimientos. Programa de ejercicios EI programa de ejercicios deberfa ser coherente con el alcance del plan o los planes de continuidad de negocio.2 Los eiercicios ofrecen. la competencia.BS 25999-1:2006 9 Ejercicio.

3 Ejercicio de previsiones de GCN 9.3.4 Los planes de continuidad de negocio y de gestlon de incidentes deberian ejercitarse para asegurar que puedan ejecutarse correctamente. validacion de la eficaeia y oportunidad actividades criticas. © BSI 2006 • 39 . Deberfa realizarse un interrogatorio y analisis posterior al ejercicio que considere el logro de objetivos y metas del ejercicio.3.2 Gada ejercicio deberia tener objetivos y metas claramente defmidos. inspiracion de confianza entre los participantes aumento de concieneiacion con respecto a la continuidad de negocio en la organizaclon al publicitar el ejercicio. estar planliicados cuidadosamente y pactarse con grupos de interes.1 Los ejercicios deberian ser realistas. de forma que exista el minima riesgo de interrupcion a los procesos de negocio. 9.3. del restablecimiento de de los equipos de respuesta 9. manifestacion de presuposiciones que deban cuestionarse. y demostracion de la competencia primaria y sus alternativas. asi como sus dependencias y prioridades.BS 25999-1:2006 Ademas. 9.3 La envergadura y complejidad de los ejercicios deberia ser apropiada a los objetivos de recuperacion de la organizacion. podria resultar en una mejora en la capacidad de GCN por medio de: • • • • • • • practica de la habilidad de la organizaclon un incidente. y que contengan datos e instrucciones apropiadas.4 Ejercicios que pangan de manifiesto graves deficiencias 0 inexactitudes en el PCN deben repetirse despues de que se hayan lleuado a cabo las acciones de subsanaci6n.3. En la Tabla 1se presenta una serie de enfoques de ejercicio de estrategias de GCN.3. en el ejercicio. para recuperarse ante veriflcacion de que el PCN incorpore todas las actividades criticas organizativas. Deberia redactarse un informe posterior al ejercicio que contenga recomendaciones y un calendario para implementarlas. COMENTARIO SOBRE 9. Cada ejercicio deberfa planificarse de forma que se minimice el riesgo de que se produzca un incidente como consecuencia directa del ejercicio. 9.

Este programa deberia asegurar que todos los cambios (internos y externos) que en impacten en la organizacion se revisen en relacion con la GCN. .'. sometidos a un proceso de control de cambio formal. Como consecuencia del programa de mantenimiento organizacion deberia: • • de GCN.1' . modificados 0 cambiados a personal clave. Tambien deberia identificar todos los productos y servicios nuevos y sus actividades dependientes que deban incluirse en el programa de mantenhniento de GCN.W II : ! .I. Los demos componentes del prograrna de GCNpodnin modificarse para tener en cuenta estos cambios.!I·. el entorno en el que opere y los requisitos de grupos de interes. I BS 25999-1:2006 i: Tabla 1 Complejidad Sencilla Ejercicio Comprobaci6n puesto Tipos y metodos de ejercitar las estrategias Variantes de GCN Frecuencia practicaA) Por lo menos anualmente Anualmente de buena Proceso de Revisi6n I modificaci6n de Actualizaci6n/vaJidaci6n contenidoCuestionamiento Auditorfa/verificaci6n de contenido de PCN Cuestionamiento de contenido de PCN Uso de situaci6n "artificial" para validar que el 0 los PCN contienen informaci6n tanto necesaria como suficiente para permitir una recuperaci6n exitosa Invocaci6n en una situaci6n controlada que no ponga en peligro la operaci6n normal del negocio Ejercicio que abarque edificio I campus I zona de exclusi6n Media Repaso del plan Incluye interacci6n y Anualmente validaci6n de las funciones de los participantes Incorporaci6n asociados de planes Anualmente bianualmente 0 Simulaci6n Ejercicio de actividades crfticas Operaciones deflnidas a realizarse desde un lugar alternativo durante un plazo determinado Anualmente 0 menos Compleja Ejercitar todo el PCN. subcontratas y otras partes fundamentales cuya participacion en actividades de recuperacion se espera. 9. NOTA Si hay cambios importantes en el negocio.: : . procesos y planes de GCN actuallzados..i } '~:. incluyendo gesti6n de incidentes Anualmente 0 menos A) La frecuencia de los ~ercicios deberia depender de las necesidades de la organlzacion. i . deberia realizarse una revisi6n del AIN. asf como planes tmicos y multiples.. soluci6n 0 proceso de negocio. y difundir politicas. Sin embargo. la deben modificar los programas de ejercicios existentes cuando seiialen que se ha producido un cambio importante en La estrategia. el programa de ejercicios deberia ser flexible.4 Mantenimiento de previsiones de GCN ~! ! !II' I. actuaiieadas.' 'I'· 9. Los metodos de ~ercicio arriba sefialados pueden emplearse para componentes individuales de cada plan. teniendo en cuenta el ritmo de cambio en la organizaci6n y el resultado de los ejercicios anteriores. soluciones. estrategias.3..1' u u! ii. 40 • © BSI 2006 .'I . Las actividades de rnantenimiento Deberia establecerse un program a de mantenimiento de GCN claramente deflnido y documentado. revisar y cuestionar todas las presuposiciones hechas en todos los componentes de GCN en toda la organizacion. i fT El prop6sito del proceso de mantenimiento de GCN es asegurar que La competencia y capacidad de GCN de La organizaci6n sigan siendo ejicaces. incluyendo proveedores terceros.4 COMENTARIO SOBRE 9. aptas para su prop6sito y que esten. La organizacion podra incluir dichas partes en sus ejercicios.5 El programa de ejercicios deberia considerar las funciones de todas las partes.

la competencia de GCN de la organizacion y su capacidad de GCN sean eficaces y aptas para su proposito y que permitan la gestion. La frecuencia y utilizacion de revisiones puede verse influenciada por leyes y reglamentos.4 La revision podra incluir audltorias intemas 0 extemas. la verificaclon del seguimiento y control de los riesgos de GCN a los que se enfrenta la organizaclon. adquirir conocimientos de nuevas tecnoloqias y practicas relacionadas con GCN. 0 autoevaluaciones. 9.5. el marco y los planes de GCN de la organizacion reflejen de forma adecuada sus prioridades y requisitos (los objetivos de la organizaclon). con el fin de asegurar que slga siendo apta. verificaclon de que el personal clave que deba implementar estrategia y los planes este formado y sea competente. revisar la capacidad de GCN de la organizacion. de • • • • © BSI 2006 • 41 .5. organizaci6n podra. 9. las estrategias. objetivos y otros elementos del sistema de gestion de GCN a la luz de factores como resultados de ejercicios.5. marcos y directrices de buena practica aplicables. la naturaleza y personajuridica de la organizacion. en funcion del tamaito. Cada auditorfa 0 autoevaluacion del programa de GCN de la organlzacion deberia verificar que: • todos los productos y servicios fundamentales y sus actividades y recursos de apoyo crfticos hayan side identificados e incluidos en la estrategia de GCN de la organizacion. el personal y los objetivos de la organizacion se han incorporado en los planes de continuidad de negocio y en los planes de gestion de incidentes de la organlzacion. la. y evidencia documentada de que los cambios sustanciales a la estructura.5 Revision de previsiones de GCN 9. las soluciones de GCN de la organizacion sean eficaces. 9. 9. y apropiadas al nivel de riesgo al que se enfrente la organizacion. Esta revision deberfa documentarse. el proposito. la politica. el mantenlmiento de GCN de la organizacion y los programas ejercicio hayan sido implementados de forma eficaz.5. incluyendo nuevas herramientas y tecnicas. los productos y los servicios. normas.BS 25999-1:2006 Los resultados del proceso de mantenimiento • • • • de GCN deberian incluir: evidencia documentada de la gestlon y gobiemo proactivos del programa de continuidad de negocio de la organizaci6n. esten actualizadas y sean aptas para su proposito. Tambien podria verse influenciada por los requisitos de grupos de interes. y estas deben evaluarse para determinar su ventaja potencial para la organizaci6n. COMENTARJO SOBRE 9.5.3 En et contexto de mejora continua. las actividades.3 La revision deberfa cubrir la necesidad posible de cambios en politica. adecuada y eficaz. el control y la eoordinacion de un incidente. el mando. clrcunstancias cambiantes y el compromiso de mejora continua.2 La revision deberfa verificar que el cumplimiento de la politica de GCN de la organizaclon procure el cumplimiento de todas las leyes. estrategia.1 La alta dlreccion de la organizacion deberia. estrategias. con la periodicidad que estime conveniente.

eficaz y apta para su prop6sito. .5. Deberia establecer. los procedimientos de GCN hayan sido comunicados de forma eficaz al personal correspondiente. • • • 9. implementar y mantener procedimientos para subsanarlas. Tambien deberfa tener en cuenta las normas de sector pertinentes asf como la buena practica.5 Auditoria La organizaci6n deberia prever la auditoria independiente de su competencia y capacidad de GCN para identificar deficiencias reales y posibles.BS 25999-1:2006 • las estrategias y los planes de GCN incorporen las mejoras identificadas durante incidentes y ejercicios y en el programa de mantenimiento. y existan procesos de control de cambio y que funcionen de forma eficaz. y que dicho personal entienda sus funciones y responsabilidades. 42 • © BSI 2006 .5. ya sean internas 0 extemas.i 9. La autoevaluaci6n deberfa realizarse considerando los objetivos de la organizaci6n. la organizaci6n tenga un programa continuo de formaci6n y concienciaci6n en 10 que se refiere a GCN.6 Autoevaluaci6n El proceso de autoevaluaci6n de GCN tiene la funci6n de asegurar que la organizaci6n cuente con la competencia y capacidad de una GCN robusta. Proporciona la verificaci6n cualitativa de la habilidad de la organizaci6n para recuperarse ante un incidente. Las auditorias independientes deberian realizarse por personas competentes.

la continuidad de negocio tiene que convertirse en parte del modo de gestionar la organizaclon. y reducira la posibilidad e impacto de las interrupciones. existen oportunidades para introducir y mejorar la cultura de GCN de la organlzacion. formacion. fomentar e implantar una cultura de GCN en la organizacion asegura que se convierta en parte de los valores fundamentales y la gestion eficaz de la organizacion. con independencia de su tamafio 0 el sector al que pertenezca. y planes de ejercicio. liderazgo de personal de mayor rango en la organizaci6n. 10. En cada etapa del proceso de GCN. Todo el personal tiene que entender que GCN es un tema serio para la • organizaci6n.1 Generalidades Construir. inspirara confianza entre sus grupos de lnteres (especialmente personal y clientes) con respecto a su habilidad para manejar interrupciones de negocio: aumentara su flexibilidad en el tiempo al asegurar que se consideren las implicaciones de GCN en las decisiones a todos los niveles. Un entendimiento de la cuUura existente en la organizaci6n ayudara en el desarrollo de un programa de cuUura de GCN.1 COMENTARIO SOBRE 10. (vease 5. La organizaclon que cuente con una cultura de GCN positiva: • • desarrollara un programa de GCN mas eficaz. • • • • • • EI desarrollo de una cultura de GCN esta apoyado por: © BSI 2006 • 43 .~~-----------BS 25999-1:2006 10 Implantaclon de GCN en la cultura de la organizaci6n Para tener exito. y que tienen un papel importante que desempeiiar en el mamienimienio de entrega y prestaci6n de productos y servicios a sus clientes y consumidores. aslgnacion de responsabilidades aumento de la concienciacion. Orear e implantar una cuUura de GCN en la organizaci6n puede ser un proceso largo y diJicil que puede encontrarse con cierto grado de resistencia que no haya sido previsto.2).

~-. activacion de un programa de ejercicios de PCN. 10. sesiones informativas. La organizaci6n deb era aumentar. sea consciente de las raeones de que GCN sea impartante para la orqanieaoi/m. desarrollo e implementacion de los PCN. BS 25999-1:2006 ---_---_. _--. una ubicacion de recuperacion). evaluacion de riesgos y amenazas. incluyendo participacion activa en ejercicios. 44 • © BSI 2006 .--. en 10 que se refiere ala Implementacion discusion de GCN en los boletines de la organizaclon. realizacion de analisis de imp acto en el negocio. y visitas a lugares alternativos designados (por ejemplo. de GCN entre todo el personal de la organwaciOn es impartante para asegurar que coda persona._--. La organlzacion deberia Impartir formacion de: a) personal de GCN para tareas como: • • • gestion del programa de GCN. ---_.2 COMENTARIO SOBRE 10. El personal de GCN deberia concienciarse de la informaci6n de GCN extema. Esto podra hacerse en combinaclon con la busqueda de orientacion de los servicios de emergencia.-- 10. autoridades locales y organismos reguladores. mejorar y mantener la concienciacion mediante el mantenimiento de un programa de educaci6n e informacion de GCN continua para todo el personal.2 Conclenclaelon La organizaci6n deberia contar con un proceso para identificar y cumplir sus requisitos de concienciaci6n de GCN y evaluar la eflcacia de su ejecueion. programas de lnduccion 0 publicaciones. inclusion de GCN en paginas Web 0 lntranets pertinentes. y comunicaciones con los medios. aprendizaje a partir de incidentes Internes y externos. GCN como un punto a tratar en las reuniones de equipo. a sus La organizacion podra ampliar su programa de concienciaclon proveedores y otros grupos de interes. lugar de recuperaci6n).3 Formacion La organizacion deberia contar con un proceso para identificar y cumplir los requisitos de formacion de GCN para los participantes correspondientes y evaluar la eficacia de su ejecucion. ejercitar los planes de continuidad en un lugar alternativa (por ejemplo. Dicho programa podra incluir: • • • • • • • un proceso de consulta con el personal en toda la organlzacion del programa de GCN. I' :i ! • • • b) personal no adscrito a GCN que necesite formacion para desempefiar sus funciones designadas en una respuesta a incidente o recuperacion de negocio. Aumentar y momiener la ooncienoiacion. Deberian desarrollarse aptitudes y competencias de respuesta en toda la organlzacion mediante una formacion practica. Habra que demostrarle at personal que se trata de una iniciativa a largo plaza que cuenta con el apoyo continuo de la aUa direcciOn.

IT Service Continuity Management [GestiOn de continuidad del servicio informatica] Otras publicaciones [1] The Civil Contingencies Act 2004.BS 25999~ 1:2006 Blbliografla Publicaciones de normas EN ISO 90001 Quality management systems .Service management [Tecnologfa de la informacion. . [La ley de contingencias civiles] Londres: TSO © BSI 2006 • 45 .Security techniques Information security management systems .Tecnicas de seguridad . technology .GestiOn de servicio) ISO/IEC 270011 Information technology .Requisitos} PAS 77.Requirements [Tecnologia de informacion . Information.Sistemas de gestiOn de seguridad de la informacion .Fundamentals vocabulary [Sistemas de gestiOn de calidad .Principios y vocabulario } and ISOIIEC 20000 (ambas partes).

.------_. Email: orders@bsi-global._. Fax: +44 (0)208996 7553. debera obtenerse el consentimiento previo por escrito de BSI. .. Contacte con el Centro de Informacion.com.-. en el Reino Unido. cuyos datos de identificacion se encuentran en la contraportada. Email: info@bsi-global. sea electronico. Si alguien encontrara alguna imprecision 0 ambigiiedad al usar esta norma britanica. Propiedad intelectual _. Se dispone de mas informacion en la Web de BSI en http://www. Disefios y Patentes de 1988.com. en el transcurso de la puesta en practica de la norma.tIIII-~ - . Fax: +44 (0)2089967400. En respuesta a pedidos de normas internacionales... Comprando las normas Los pedidos correspondientes a las publicaciones de normas internacionales y extranieras de BSI deberan dirlgirse a Atencion al Cliente.. pongase en contacto con la Administracion de Afiliados Telf: +44 (0)2089967002. agradeceriamos que informara a la secretaria del comite tecnico responsable. Si estos datos estan destinados a usarse para cualquier otro proposito que no sea la puesta en practlca. Telf: +44 (0)20 8996 7111._ . BSI tambien ostenta Ia propiedad intelectual.bsi-global. europeas e internacionales a traves de su Biblioteca y su Servicio de Ayuda Tecnica a Exportadores.com. Presenta la opinion del Reino Unido sobre normas en Europa y en el ambito internacional..com.. que asegura que los abonados reciban automaticamente las iiltimas ediciones de las normas._---------------_ .. que proporcionan detalles sobre todos sus productos y servicios. Es objetivo constante de BSI mejorar la calidad de sus productos y servicios. sin el consentimiento previo por escrito de BSL Esto no excluye el uso gratulto. salvo que se solicite expresamente otra cosa. de los datos necesarios como simbolos.. almacenarse en un sistema de recuperacion 0 transmitirse ningUn extracto. es politica de proporcionar la puesta en practica de BSI de aquellas que hayan sido publicadas como normas britanicas.bsi-global. La informacion referente a acceso online a Normas Britanicas a traves British Standards Online se encuentran en http://www.. Informacion sobre las normas BSI proporciona una amplia gama de informacion sobre normas nacionales. W44AL . tipo 0 grado.bsi-global.com. Las normas tambien pueden obtenerse en la Web de BSI en http://www. de las publicaciones de los organismos de normalizacion internacionales. Fax: +44 (0)2089967048.----. no podra reproducirse. Asimismo se dispone de varios servicios de informacion de BSI en formato electronlco. Fax: +44 (0)2089967001. _-_. Su acta de constitucion tiene el endose de la Casa Real. fotocopiado..--_. Para mas detalles de esta y otras ventalas._------------- BS 25999-1:2006 BSI . Los usuarios de las normas britanicas deben asegurarse de poseer las tiltimas modificacionea 0 ediciones.. de ninguna forma 0 por ntngnn medio. II British Standards 389 Chiswick High Road London La propiedad intelectual subsiste en todas las publicaciones de BSI. Telf: +44 (0)208996 7070.. Telf: +44 (0)20 8996 9000. Telf: +44 (0)20 8996 9001. grabado 0 de otra forma. Email: copyright@bsi-global.. Fax: +44 (0)2089967001. Revisiones Las normas britanicas se actualizan por modiflcacion 0 revision.. Los afiliados abonados a BSI se mantienen al corriente de los desarrollos de normas y reciben descuentos importantes sobre el precio de compra de las normas. Pueden obtenerse detalles y asesoramiento del Gerente de Propiedad Intelectual y Cesion Bajo Licencia. y designaciones de tamafio...~~ .British Standards Institution BSI es el organismo nacional independiente responsable de elaborar las normas britanicas. Salvo segun se permita por la Ley Inglesa de Propiedad Intelectual..com/bsonllne. Email: membership@bsi-global. El BSI ofrece a sus afiliados un servicio de actualizaclon individual denominado PLUS.com..