Está en la página 1de 25

BCM Business continuity management, BS

25999, BCI (Business continuityinstitute)

Auditoria de Sistemas

Presentado a:
Ing. Carlos Hernn Gmez

Presentado por:
Jeferson Arango Lpez
Cd. 1700620355

Universidad de Caldas
Ingeniera de Sistemas y Computacin
Manizales
2010
1

CONTENIDO

CONTENIDO .........................................................................................................................2
INTRODUCCIN ...................................................................................................................3
MARCO TEORICO .................................................................................................................4
HISTORIA .............................................................................................................................5
DESCRIPCIN GENERAL .......................................................................................................6
DESARROLLO DE LA TEMTICA .............................................................................................7
BCM.................................................................................................................................7
Definicin .....................................................................................................................7
Elementos Bsicos del BCM .........................................................................................11
Anlisis de Impacto del Negocio (BIA) ..........................................................................11
Desarrollo de Estrategias Para la Continuidad del Negocio. ...........................................12
Desarrollo e Implementacin del BCM..........................................................................13
Mantenimiento y Ejercicio del BCM..............................................................................13
BS 25999 ........................................................................................................................17
Para quin es significativo? ........................................................................................17
El futuro .....................................................................................................................17
Ventajas .....................................................................................................................18
BCI.................................................................................................................................19
COMPARACIN CON COBIT .............................................................................................20
RESUMEN .........................................................................................................................21
CONCLUSIONES.................................................................................................................24
BIBLIOGRAFIA...................................................................................................................25

INTRODUCCIN

Las consecuencias que pueden traer a una empresa un desastre natural,


terrorismo, o cualquier evento que no se pueda plantear en un plan
estratgico, pueden causar la quiebra de la misma o la paralizacin.
Pues un evento de este nivel puede destruir la planta fsica, servidores
donde se guarda la informacin, etc.
Para evitar al mximo que estos eve ntos lleven a la empresa a una
situacin de inestabilidad econmica o de produccin, se debe cumplir
en la empresa con estndares de administracin de continuidad del
negocio (BCM Business Continuity Magname nt). Estos estndares se
plasman en un plan de continuidad del negocio, este debe estar listo en
para entrar en accin en cualquier mome nto, ya que los eve ntos de
terrorismo naturales no dan aviso. Este plan en conjunto con seguros
puede convertirse en la carta de salvacin de la empresa y as evitar su
cierre o cada en el mercado.
Implanta ndo BCM de buena manera en la empresa, y cumpliendo con
sus normas segn cada rea de la empresa, puede llegar a revertir el
impacto negativo que puede provocar un evento de los antes
mencionados, pues si se tiene un buen plan se puede llegar a tomar
partido de la desgracia de otros y posicionarse de mejor manera en el
mercado despus de la confusin provocada por el desastre (natural o
terrorismo).
A BCM se le une n algunos estndares que apoyan sus objetivos en cada
rea de la empresa, como lo es el BS 25999 , que trata a la continuidad
del negocio como un sistema de gestin. Esta norma a pesar de que no
est muy extendida a nivel mundial si lleva varios aos de
funcionamiento con muy bue nos resultados.

MARCO TEORICO
A pesar de lo poco extendida que est la norma BS 25999, no es
nue va, puesto que fue publicada en 2006 y 2007 respectivamente.
Consta de dos partes, la primera BS25999-1 propone
un cdigo
de
buenas prcticas
para
la
gestin
de
la continuidad de
negocio, mientras que la norma BS25999 propone especificaciones
para la implantacin de SGCN (Sistema de Gestion de Continuidad del
Negocio).
El BCM, presenta un marco de referencia sistemtico, basado en
traducir los objetivos empresariales en objetivos de mantenimiento,
que persigue n form ular planes de vida de equipos y programas de
mantenimiento de planta, disea ndo la organizacin respectiva y
estableciendo los sistemas apropiados de documentacin y control.
Esta metodologa propone una metodologa de aproximacin orientada
a optimizar los costos totales de mantenimiento en el ciclo de vida
asociado al equipamiento, en contraposicin al proceso de adquisicin
de activos limitado a consideraciones de performance y costo de capit al.

HISTORIA
BCM fue visto en sus inicios como parte del sector de las TI, desarrollado por
organizaciones tales como el BCI y Survive a lo largo de 1980 y 1990 como
algunas de las mejores prcticas. El creciente conocimiento internacional
sobre este tema se dio en Japn, Australia, Singapur y Austria, todos por delante
del Reino Unido en la elaboracin de guas o normas nacionales en este mbito.
El BSI (British Standards Institute) public en 2006 la norma BS 25999-1, un
cdigo de buenas prcticas dedicado a la gestin de la continuidad de negocio.
Para las empresas resulta cada vez ms importante disponer de planes de
continuidad de negocio para que, en caso de un desastre o cualquier otro tipo de
interrupcin, la inactividad de la organizacin sea reducida, y por el contrario
aprovechar estos momentos para que la empresa tome mayor posicionamiento.
El Instituto de Continuidad de Negocio (Business Continuity Institute, en adelante
BCI) fue establecido en 1994 con el objetivo de apoyar a sus socios y para orientar
los profesionales de la continuidad de negocio.
A travs de su plan de certificacin, el instituto proporciona a sus miembros un
estatus internacionalmente reconocido puesto que la afiliacin profesional del BCI
demuestra la capacidad de sus miembros a llevar a cabo una gestin
de continuidad de negocio a un nivel muy elevado.
De manera ms amplia, el papel del BCI consiste en promocionar las normas ms
elevadas en materia de competencias profesionales y tica de las prestaciones y
del mantenimiento de servicios y planificacin de la continuidad de negocios.

DESCRIPCIN GENERAL
La Gestin de la Continuidad del Negocio (BCM) Es el Proceso del Negocio,
responsable de gestionar el riesgo que puede tener un alto impacto en el Negocio.
BCM protege los intereses de los principales interesados, la reputacin, la marca y
las actividades que aportan valor al Negocio. Los Procesos de BCM incluyen
reducir el Riesgo a un nivel aceptable y planificar el restablecimiento de los
Procesos de Negocio ante una situacin. BCM establece los Objetivos, el mbito y
los requerimientos para una gestin de la continuidad del servicio.
BS 25999 ha sido desarrollada por un amplio grupo de expertos de primera
categora que constituyen una muestra representativa de sectores de la industria y
de la Administracin para establecer el proceso, los principios y la terminologa de la
gestin de continuidad de la actividad comercial. El estndar se basa en BCM (Plan
de Continuidad del Negocio), el BCM al ser implementado en una organizacin,
se le debe hacer un seguimiento para conocer la evolucin permanente de los
procesos de la empresa, el BS 25999 proporciona una base para comprender,
desarrollar e implantar la continuidad de negocio en una. Asimismo, contiene un
conjunto exhaustivo de controles basados en las mejores prcticas de BCM y
abarca todo el ciclo de vida de la gestin de continuidad de negocio.

DESARROLLO DE LA TEMTICA
BCM
Definicin
Business Continuity Management (BCM), o Administracin de Continuidad del
Negocio, es una forma de actividad de administracin de riesgos para evaluar y
cuando sea apropiado tratar el riesgo de una interrupcin que pueda impedir u
obstaculizar que una organizacin pueda alcanzar sus objetivos estratgicos,
operacionales y de proyectos. En consecuencia, contribuye a hacer a las
organizaciones ms resistentes y con mayor poder de recuperacin y en
consecuencia puede brindar ventajas tcticas y estratgicas.
Un BCM eficaz requiere una profunda comprensin de los objetivos y entorno
operativo de la organizacin (incluyendo sus dependencias) para identificar las
fuentes de este tipo de riesgos y los mecanismos a travs de los cuales pueda ser
perturbado el desarrollo de los objetivos de la organizacin. Tal comprensin permite
tambin a la organizacin realizar preparaciones anticipadas para minimizar los
efectos de lo que de otra forma seran eventos quebrantadores, particularmente
aquellos de una escala que (sin tcnicas BCM) estaran fuera de la capacidad de los
enfoques administrativos de rutina para tratarlos con eficacia. Las preparaciones
tienen la intencin de:
Una estabilizacin temprana.
Continuacin o temprana reasuncin de las operaciones, particularmente
aquellas que son ms crticas para los objetivos de la organizacin.
Minimizacin y pronto recupero de los efectos adversos.
Detectar y aprovechar las oportunidades creadas por el evento.

Adicionalmente, el conocimiento profundo que provee el proceso BCM,


frecuentemente apuntar a medidas eficaces en costo que reducirn, ya sea la
magnitud o la probabilidad de eventos que pueden causar interrupciones. En
muchos casos ser un medio ms efectivo en costos y exitoso para asegurar la
continuidad del negocio implementar tales tratamientos, que lo que sera confiar en el
planeamiento contingente. Esto enfatiza la importancia de integrar la actividad de
BCM en la actividad global de administracin de riesgos, y en consecuencia en los
sistemas de gobierno y administracin de la organizacin.

Por esta razn, la metodologa BCM sigue la metodologa general de administracin


de riesgos tal como se describe en la ISO 31000:2009 y est fuertemente focalizada
en los objetivos de la organizacin.
A raz de los acontecimientos del 11-01, casi todos los requisitos BCM en la
reglamentacin o las normas han sido mejorados o ampliados para hacer frente al
creciente nmero de amenazas, as como un enfoque en el liderazgo empresarial.
Un gran nmero de organizaciones se basan en una forma documentada de la
poltica de continuidad de negocio (PCN) para impulsarlo. Aunque el contenido y
el formato de las PCN son diferentes al basarse en las normas existentes y la
cultura de la organizacin, se recomiendan los siguinetes elementos clave para
impulsar este proceso hacia un nivel ptimo de madurez y preparacin:
1- Rendicin de cuentas: Nombres de los ejecutivos o directivos responsables
de la planificacin del programa BCM y de ejecucin, a fin de incluir la
responsabilidad de Los recursos y la estrategia en la toma de decisiones.
2- Funciones y responsabilidades: La poltica establece las
funciones
y
responsabilidades para todos los empleados en materia de planificacin, as
como las actividades antes, durante y despus del desastre.
3- Anlisis: Establece la necesidad y las normas asociadas con las
evaluaciones de riesgos y anlisis de impacto en el negocio (las piedras
angulares de los esfuerzos
de
planificacin).
4- Parte legal, reglamentaria y contractuales de Evaluacin:
Requiere la participacin del abogado general de la organizacin en
el anlisis de las autoridades federales, estatales y locales, as como
los requisitos de los clientes contractuales que afectan las estrategias de
continuidad de negocio.
5- Continuidad de Ejecucin: Identifica las acciones especficas necesarias
para desarrollar estrategias de continuidad ptima de negocios que
cumplen con los requisitos de negocio, as como la forma en que la
organizacin tiene la intencin de gestionar la crisis y las interrupciones de
negocio.
6- Continuidad del negocio Estrategia y Plan de Mantenimiento:
especifica las normas relativas a la revisin y mantenimiento de un anlisis
de continuidad de negocio, las estrategias y documentacin.
7- Participacin de Auditora Interna: Requiere la participacin de la
auditora interna en el proceso de planificacin y / o la revisin del
cumplimiento de los requisitos establecidos en la poltica de BCM.
8

En conjunto, los elementos mencionados de una poltica de continuidad del


negocio ayudarn al equipo de planificacin de una organizacin con los recursos
necesarios para gestionar eficazmente el programa de BCM.
Para la implementacin del BCM en una organizacin se deben tener en cuenta
varios estados o fases que son necesarias para el funcionamiento eficaz y gil de
las actividades en una empresa. Estas fases son:
Inicio y gestin del proyecto.
Evaluacin y control del riesgo.
Anlisis de impacto del negocio (BIA).
Desarrollo e implementacin de BCM.
Programa de concientizacin y capacitacin.
Mantenimiento y ejercicio del BCM.
Comunicacin de crisis.
Coordinacin con Autoridades pblicas.

La realizacin del BCM en la organizacin traer grandes ventajas como por


ejemplo:
Administrar la continuidad del negocio.
Resistencia del negocio ante interrupciones.
Protege y asegura la imagen de la empresa.
Abre nuevas oportunidades de mercado y ayuda
negocios.
Aumenta la disponibilidad del negocio.

a ganar nuevos

La ejecucin de una evaluacin del riesgo:


La mayora de las disciplinas de gestin del riesgo utilizan una evaluacin de
riesgos para identificar y priorizar las amenazas. Dentro de BCM se utilizan una
gran variedad de procesos de gestin de riesgos, la mayora identifican y priorizan
los riesgos utilizando una combinacin de probabilidad e impacto. Adems de la
probabilidad y la gravedad, otra caracterstica que pueda tenerse en cuenta en el
esfuerzo de priorizacin es la deteccin de estos riesgos. Una diferencia
importante de las disciplinas de gestin de riesgos es que BCM evala los
riesgos relacionados teniendo en cuenta los controles de mitigacin de los mismos.

Independientemente del proceso utilizado para dar prioridad a un proceso de


recopilacin de datos, estos deben ser definidos para obtener informacin acerca de
la probabilidad, la gravedad y posiblemente la deteccin. Los datos pueden provenir
de una amplia variedad de fuentes. La investigacin histrica y las
entrevistas son dos de los datos ms eficaces en la reunin de tcnicas
de evaluacin de riesgos.
Las organizaciones suelen ofrecer liderazgo para el programa de continuidad
del negocio a travs de tres funciones:
1- Patrocinio: suministrar o garantizar el apoyo organizativo y financiero.
2- La propiedad: la responsabilidad directa de garantizar el apoyo, as
como la ejecucin del programa en general.
3- Custodia: la responsabilidad de la coordinacin de las tareas BCM
que se ejecutan en toda la organizacin.

El patrocinio y la continuidad del negocio son funciones del programa el cual


continuar con una tendencia hacia los elementos de la organizacin con una
visibilidad de todo el negocio. Con base en estas tendencias, se ha elaborado una
lista de los patrocinadores y los propietarios en un orden decreciente de
efectividad:
Finanzas El director financiero, para incluir la gestin del riesgo o la
prdida de la prevencin.
Consejo Ejecutivo: Un miembro del equipo directivo, para incluir
el consejo general, director de recursos humanos o el gerente de
comunicaciones corporativas.
Operaciones: El director de operaciones, para incluir la seguridad
y el medio ambiente, salud.
Tecnologa de la Informacin: El CIO o un informe directo de las
operaciones de centro de datos (algunas organizaciones tienen un
programa / oficina de gestin de proyectos,
donde puede residir
BCM).
Auditora Interna: - El director de auditora interna debe cumplir las
polticas de la continuidad de la empresa de negocios a travs de la
ejecucin descentralizada de los recursos dedicados o de auditora
interna.
10

Un BCM involucra todos los recursos de la organizacin. Por lo cual con su


realizacin se podrn establecer estrategias que garanticen una continuidad del
negocio, buscando minimizar la dependencia directa con los proveedores de los
recursos con los que cuenta la empresa brindando una alta disponibilidad de los
servicios ofrecidos.

Elementos Bsicos del BCM


La gestin de crisis el cual es un proceso diseado para permitir una
respuesta eficaz a un evento. Los procesos de gestin de crisis se
centran en la estabilizacin de la situacin y preparar la empresa para
las operaciones de recuperacin.
Reanudacin de Planificacin de Negocios o Business Recovery
Planning, implica la recuperacin de las funciones crticas de negocio y los
procesos que se refieren a la entrega de productos y servicios bsicos a un
cliente.
La recuperacin de desastres de TI se refiere a la recuperacin de los
activos de TI crticos, incluidos los sistemas, aplicaciones, bases de datos,
y activos de almacenamiento de red.

Anlisis de Impacto del Negocio (BIA) .


Consiste en tcnicas y metodologas que pueden ser usadas para identificar,
cuantificar y cualificar los impactos de negocio y sus efectos en una organizacin,
es necesario analizar el negocio como un todo.
El BIA tiene en cuenta el RTO y el RPO los cuales deben ser establecidos por la
organizacin. Estn definidos como:
-

RTO (Recovery Time Objetive): el tiempo entre el punto de interrupcin y el


punto en el cual los sistemas sensibles en el tiempo deben estar
funcionando nuevamente.
11

RPO (Recover Point Objetive): es el punto en


interrumpidas las actividades del sistema.

el cual fueron

El BIA se encarga de identificar las actividades de misin critica de la


organizacin, sus dependencias y sus puntos de fallas as como analizar el
impacto y el efecto que se generara en caso de la perdida e interrupcin de las
actividades de misin critica.
El anlisis de impacto del negocio posee unos determinados componentes clave
-

Cuestionarios de autoevaluacin.
Listas de comprobacin.
Matriz de anlisis de impacto del negocio.

Despus de realizado el BIA, se obtendrn como resultados, la identificacin y


documentacin de lo siguiente:
-

Objetivos y salidas.
Actividades de misin critica, dependencias y puntos de fallas.
Impactos y efectos financieros y no financieros.
Objetivos
del
BCM para cada actividad
de
misin crtica
y sus dependencias.
Priorizacin mnima y aceptable de la recuperacin de los recursos.
Revisin de los datos vitales.
Usuarios y clientes clave.
Proveedores.

Desarrollo de Estrategias Para la Continuidad del Negocio.

Consiste en identificar las alternativas de recuperacin de las operaciones en los


marcos de tiempo definidos.
El desarrollo de las estrategias involucra los siguientes aspectos:
-

Identificar los requerimientos de continuidad de la organizacin.


Evaluar la compatibilidad de las estrategias contra los resultados del BIA.
Presentar el anlisis costo / beneficio de las estrategias de continuidad.
Seleccionar los sitios alternos y almacenamiento externo.
Entender los trminos contractuales de los servicios de continuidad del
negocio.

12

Desarrollo e Implementacin del BCM.

Se involucra el diseo, desarrollo e implementacin de planes de continuidad


del negocio para evitar interrupciones de acuerdo a los marcos establecidos
por RTO y RPO. La implementacin de BCM incluye:
Identificar los requerimientos para el desarrollo de los planes.
Definir requerimientos de control y administracin de la continuidad.
Identificar y definir la estructura principal de los componentes de los
plantes.
Elaborar un borrador de los planes.
Definir procedimientos de gestin de crisis y continuidad del negocio.
Definir las estrategias de evaluacin de daos y reanudacin.
Desarrollar una introduccin general a los planes.
Desarrollar la documentacin de los equipos de operacin del negocio y
la recuperacin tecnolgica de la informacin.
Desarrollar el sistema de comunicaciones y los planes de los
usuarios finales.
Implementar planes.
Establecer los procedimientos de control y distribucin de los planes.

Las organizaciones siempre tienen que estar sujetas a cambios, aunque por lo
general estos al realizar los cambios hay un porcentaje de resistencia al cambio
relacionado con el personal, para esto es necesario que la organizacin prepare a
sus empleados logrando minimizar la resistencia y obteniendo mejores situaciones
creando cultura y aceptacin.
Este proceso de adaptacin es necesario que se realice en toda la organizacin
logrando aumentar la resistencia ante riesgos.

Mantenimiento y Ejercicio del BCM


Una vez declaradas y documentadas las estrategias y planes, que contribuyen al
proceso de normalizacin ante una situacin de crisis, es necesario realizar
pruebas para determinar la eficacia con la que puede continuar el negocio ante la
presencia de una posible interrupcin.
13

Los propsitos de realizar el ejercicio son evaluar y permitir el continuo


mejoramiento del BCM en la organizacin y permitiendo evaluar y mejorar la
capacidad de competencia ante la gestin de crisis, para la realizacin del ejercicio
se pueden determinar varios aspectos los cuales se listan a continuacin:
Identificar el nivel de madures del BCM de la organizacin.
Verificacin y validacin de la continuidad del negocio y los planes
de gestin de crisis.
Verificacin y validacin en la gestin de crisis de la organizacin.
Verificacin y validacin de que los miembros y el personal se
familiaricen con el entendimiento de los roles, responsabilidades y
autoridades en la operacin de la continuidad del negocio.
Adaptacin, involucrando individuos usando la continuidad del negocio y
los planes de gestin de crisis.
Familiarizacin de los miembros del equipo y el personal con sus
roles, responsabilidad y autoridad en la operacin de la continuidad del
negocio.
Pruebas tcnicas, logsticas, de administracin y otras de
sistemas operacionales de continuidad del negocio y planes de gestin de
crisis.
Centros de comando, areas de trabajo, recursos de recuperacin
de tecnologa y telecomunicaciones.
Ensayo de la disponibilidad y traslado del personal.
Disposicin de mecanismos para reforzar la continuidad del
negocio, auditoria y mantenimiento de la gestin de crisis.
Documentar resultados.
Incrementar la cultura de los procedimientos de conciencia y el
significado de BCM.
Oportunidad de identificar defectos y mejoras de la organizacin del
BCM y administracin de crisis.
Documentacin y evaluacin del ejercicio.

Para lograr estos objetivos es necesario seguir un proceso en la elaboracin de


una prueba, es necesario establecer directores de cada rea de la
organizacin, luego se planifican los escenarios en los cuales se va a llevar a cabo
las pruebas. Estas pruebas deben tener un grupo de administracin, logstica,
recursos, listas de verificacin y estructura, se documentar el ejercicio junto con la
informacin de los participantes, se proceder a la realizacin del ejercicio luego se

14

evaluara y se har un anlisis de los resultados con el objetivo de tenerlos en cuenta


en pruebas posteriores junto con sus recomendaciones.
En el proceso de mantenimiento se asegura que la gestin de continuidad del
negocio incluyendo la gestin de crisis permanezca efectivo, con el objetivo de ser
capaz de lograr la recuperacin de actividades de misin critica y sus
dependencias dentro de los objetivos de tiempo de recuperacin y los objetivos
de punto de recuperacin asegurando una continuidad de sus servicios y
productos.
Con la realizacin del BCM se puede obtener lo siguiente:
Pruebas definidas y documentadas para la gestin y gobierno pro activo
del programa de mantenimiento y monitoreo del BCM respecto a
actividades de misin critica y sus dependencias.
Detalles de todos los cambios de estrategias del BCM y planes de
continuidad de negocio documentados con toda la historia de entregas
y detalles de control de versiones.
Verificacin y validacin de polticas, estrategias y planes BCM.
Identificacin e inclusin de cambios en los sistemas y procesos de
la organizacin.
Identificacin e inclusin de cambios en la legislacin y regulacin
para la industria.
Verificacin y validacin de anlisis de impacto y riesgos basados en
las estrategias y planes BCM.
Verificacin y validacin que las estrategias y planes BCM son
actualizados, precios.
Verificacin y validacin que la capacidad del BCM sean actualizados.
Verificacin y validacin que los planes de continuidad de negocio sigan
una
secuencia
lgica, formato, estructura conforme
a las
directrices y estndares de buenas prcticas.
Verificacin y validacin que los cambios de procedimiento y procesos
son puestos.
Verificacin y validacin que el personal tiene entendido los
roles de responsabilidad y le es claro el plan BCM.

Los resultados que se obtendrn con el proceso de mantenimiento son de gran


utilidad para la organizacin, previniendo que los documentos realizados
queden obsoletos con el paso de los aos. Para realizarlo es necesario tener
una clara definicin y documentacin del programa de mantenimiento y monitoreo
monitoreo, incluyendo polticas, marcos y procesos as como la estrategia de
negocio operacional. El proceso de mantenimiento requiere de un subconjunto de
procesos de auditora.
15

Luego de los procesos de ejercicio y mantenimiento sigue un proceso de auditora


que se hace necesaria en cualquier proceso al interior de la organizacin. El
propsito de la auditoria en la gestin de continuidad de negocio es revisar los
estndares del BCM identificando defectos y dificultades.
La auditoria revisara varios aspectos en la organizacin algunos de ellos son:
Resistencia (aplicacin de planes y estrategias en crisis).
Polticas, estrategias, marcos y planes.
El BCM es competente de acuerdo al propsito.
Los planes y soluciones son efectivos y actualizados de acuerdo
al propsito.
Implementar programas.
Documentar el control, procesos y procedimientos operando
efectivamente.
Para obtener buenos resultados en el proceso de auditora se deben seguir
mtodos y/o tcnicas que optimicen este proceso. Algunas tcnicas y /o
metodologas que se nombran son: auto evaluacin, auditoria
forense,
cumplimiento de auditora, diligencia auditoria, viabilidad de auditora, control
de auditora, mejor valor auditado. Con el seguimiento de estas tcnicas y la
ayuda de los responsables, el proceso de auditora podr cumplir su propsito y
as dar un informe para la organizacin en el cual se presenten los resultados de
los procesos auditados.

Se propone desarrollar, coordinar, evaluar y ejercitar planes para comunicarlos


a directivos, personal, usuarios, proveedores y medios de comunicacin, de tal
forma que el entorno de la organizacin se entere de su estado y en caso de crisis
poder reaccionar de forma adecuada para minimizar los costos de interrupcin de
los procesos internos.
Se requiere que la organizacin tenga una clara definicin y documentacin de las
polticas a implementar como un documento obligatorio en la organizacin.
En este proceso la organizacin observara los resultados en la mejora de los
procesos de toda su organizacin, teniendo en cuenta que las polticas estn
dirigidas a la organizacin como un todo.

16

BS 25999
La continuidad de la actividad en caso de una interrupcin, ya sea debido a un
siniestro o catstrofe importante o bien debido a un incidente menor, es un requisito
fundamental para cualquier organizacin. BS 25999, la primera norma britnica del
mundo para la gestin de continuidad de la actividad comercial (BCM), se ha
concebido para ayudar a minimizar el riesgo de interrupciones de estas
caractersticas.
La norma ayuda a establecer las bases de un sistema BCM y se ha concebido para
mantener en marcha las actividades durante las circunstancias ms inesperadas y
desafiantes: protege a los empleados, su reputacin y proporciona la capacidad de
continuar con la actividad y el comercio.
BS 25999 ha sido desarrollada por un amplio grupo de expertos de primera
categora que constituyen una muestra representativa de sectores de la industria y
del Estado para establecer el proceso, los principios y la terminologa de la gestin
de continuidad de la actividad comercial.
Proporciona una base para comprender, desarrollar e implantar la continuidad de la
actividad comercial en una organizacin y otorga confianza en los negocios de
empresa a empresa y de empresa a cliente. Asi mismo, contiene un conjunto
exhaustivo de controles basados en las mejores prcticas de BCM y abarca todo el
ciclo de vida de la gestin de continuidad de la actividad comercial.

Para quin es significativo?


BS 25999 es una norma adecuada para toda organizacin, grande o pequea, de
cualquier sector. Es especialmente apropiada para organizaciones que operan en
entornos de alto riesgo, como las finanzas, telecomunicaciones, transporte y el
sector pblico, donde la capacidad de continuar la actividad comercial es primordial
para la organizacin en s, as como para sus clientes y partes interesadas.

El futuro
BS 25999 se est desarrollando en dos partes: la parte 1, el cdigo profesional, ya
est publicada y la parte 2, la especificacin, est prevista para publicarse a
mediados de 2007. La norma de especificacin detallar los requisitos para los
sistemas de gestin de continuidad de la actividad comercial y ser auditable, de
modo que las organizaciones podrn demostrar la conformidad con la norma. El
hecho de obtener un certificado para la especificacin procedente de un tercero
independiente, como BSI Management Systems, se convertir en la garanta
definitiva de que se cumple con las mejores prcticas de BCM.

17

Ventajas
Las ventajas de BS 25999 son muchas particularmente cuando se trata de la
certificacin de BSI.
Estructura
Provee una estructura consistente, basada en una mejor prctica, para
administrar la continuidad del negocio.
Resilencia
Proactivamente incrementa la resiliencia (capacidad de proyectarse en un
futuro) cuando se enfrenta con una interrupcin de la capacidad de alcanzar
los objetivos clave.
Reputacin
Ayuda a proteger y asegurar su reputacin e imagen
Ventaja competitiva
Abre nuevas oportunidades de mercado y ayuda a ganar nuevos negocios.
Gana ms contratos-costo efectivo
Provee una mercadotecnia fuerte y usando la certificacin puede ayudarle a
reducir los costos.
Mejora del negocio
La certificacin requiere de un claro entendimiento de su organizacin que
puede identificar las oportunidades y puntos de mejorar.
Mejora continua
El proceso de certificacin involucra auditoras continuas que garantizan que
su sistema de gestin est siendo actualizado.
Cumplimiento
Demuestra que las leyes aplicables y regulaciones siempre son tomadas en
cuentas
Reducir costos
Crea oportunidades para reducir costos de auditora de su Sistema de
Continudad del negocio (BCM) y reduciendo tambin los costos de plizas
de seguros.
Capacidad de recuperacin
Mejora de forma proactiva la capacidad de recuperacin al enfrentarse a
una interrupcin de la aptitud de alcanzar los objetivos clave.
Entrega
Proporciona un mtodo ensayado para restablecer la capacidad de
suministrar productos y prestar servicios de importancia fundamental con un
nivel y en un plazo acordados despus de la interrupcin.

18

Gestin
Aporta la capacidad comprobada para gestionar una interrupcin y proteger
la reputacin y la marca.

BCI
El Instituto de Continuidad de Negocio (Business Continuity Institute) fue establecido
en 1994 con el objetivo de apoyar a sus socios y para orientar los profesionales de la
continuidad de negocio.
A travs de su plan de certificacin, el instituto proporciona a sus miembros un
estatus internacionalmente reconocido puesto que la afiliacin profesional del BCI
demuestra la capacidad de sus miembros a llevar a cabo una gestin de continuidad
de negocio a un nivel muy elevado.
De manera ms amplia, el papel del BCI consiste en promocionar las normas ms
elevadas en materia de competencias profesionales y tica de las prestaciones y del
mantenimiento de servicios y planificacin de la continuidad de negocios.
El papel ms amplio de la Asociacin de BCI es el de promover los ms altos
estndares de competencia profesional y la tica comercial en el suministro y
mantenimiento de la planificacin de continuidad de negocio y servicios.
El BCI es en el mundo el instituto de BCM ms importante y su nombre es
reconocido como referente para una buena prctica y profesionalismo.

19

COMP ARACIN CON COBIT


COBIT (Control Objectives for Information Systems and related Technology) es un
modelo para auditar la gestin y control de los sistemas de informacin y tecnologa,
orientado a todos los sectores de una organizacin, es decir, administradores IT,
usuarios y por supuesto, los auditores involucrados en el proceso, evaluando los
requerimientos del negocio, los recursos y procesos IT desde una perspectiva de
negocios. Es decir, controla procesos internos de la empresa que tengan que ver
con TI, mientras que BCM se dedica a velar por las estrategias que se pueden llevar
a cabo para seguir con la operacin de la empresa despus de un evento
catastrfico que pueda poner en riesgo la sostenibilidad de la misma tanto en la parte
fsica como econmica.

20

RESUMEN

BCM
Business Continuity Management (BCM), o Administracin de Continuidad del
Negocio, es una forma de actividad de administracin de riesgos para evaluar y
cuando sea apropiado tratar el riesgo de una interrupcin que pueda impedir u
obstaculizar que una organizacin pueda alcanzar sus objetivos estratgicos,
operacionales y de proyectos. En consecuencia, contribuye a hacer a las
organizaciones ms resistentes y con mayor poder de recuperacin y en
consecuencia puede brindar ventajas tcticas y estratgicas.
Un BCM eficaz requiere una profunda comprensin de los objetivos y entorno
operativo de la organizacin (incluyendo sus dependencias) para identificar las
fuentes de este tipo de riesgos y los mecanismos a travs de los cuales pueda ser
perturbado el desarrollo de los objetivos de la organizacin. Tal comprensin permite
tambin a la organizacin realizar preparaciones anticipadas para minimizar los
efectos de lo que de otra forma seran eventos quebrantadores, particularmente
aquellos de una escala que (sin tcnicas BCM) estaran fuera de la capacidad de los
enfoques administrativos de rutina para tratarlos con eficacia. Las preparaciones
tienen la intencin de:
Una estabilizacin temprana.
Continuacin o temprana reasuncin de las operaciones, particularmente
aquellas que son ms crticas para los objetivos de la organizacin.
Minimizacin y pronto recupero de los efectos adversos.
Detectar y aprovechar las oportunidades creadas por el evento.

Adicionalmente, el conocimiento profundo que provee el proceso BCM,


frecuentemente apuntar a medidas eficaces en costo que reducirn, ya sea la
magnitud o la probabilidad de eventos que pueden causar interrupciones. En
muchos casos ser un medio ms efectivo en costos y exitoso para asegurar la
continuidad del negocio implementar tales tratamientos, que lo que sera confiar en el
planeamiento contingente. Esto enfatiza la importancia de integrar la actividad de
BCM en la actividad global de administracin de riesgos, y en consecuencia en los
sistemas de gobierno y administracin de la organizacin.
Por esta razn, la metodologa BCM sigue la metodologa general de administracin
de riesgos tal como se describe en la ISO 31000:2009 y est fuertemente focalizada
en los objetivos de la organizacin.
21

A raz de los acontecimientos del 11-01, casi todos los requisitos BCM en la
reglamentacin o las normas han sido mejorados o ampliados para hacer frente al
creciente nmero de amenazas, as como un enfoque en el liderazgo empresarial.
La realizacin del BCM en la organizacin traer grandes ventajas como por
ejemplo:
Administrar la continuidad del negocio.
Resistencia del negocio ante interrupciones.
Protege y asegura la imagen de la empresa.
Abre nuevas oportunidades de mercado y ayuda
negocios.
Aumenta la disponibilidad del negocio.

a ganar nuevos

Elementos Bsicos del BCM

La gestin de crisis el cual es un proceso diseado para permitir una


respuesta eficaz a un evento. Los procesos de gestin de crisis se
centran en la estabilizacin de la situacin y preparar la empresa para
las operaciones de recuperacin.
Reanudacin de Planificacin de Negocios o Business Recovery
Planning, implica la recuperacin de las funciones crticas de negocio y los
procesos que se refieren a la entrega de productos y servicios bsicos a un
cliente.
La recuperacin de desastres de TI se refiere a la recuperacin de los
activos de TI crticos, incluidos los sistemas, aplicaciones, bases de datos,
y activos de almacenamiento de red.

BS 25999
La continuidad de la actividad en caso de una interrupcin, ya sea debido a un
siniestro o catstrofe importante o bien debido a un incidente menor, es un requisito
fundamental para cualquier organizacin. BS 25999, la primera norma britnica del
mundo para la gestin de continuidad de la actividad comercial (BCM), se ha
concebido para ayudar a minimizar el riesgo de interrupciones de estas
caractersticas.
Para quin es significativo?
BS 25999 es una norma adecuada para toda organizacin, grande o pequea, de
cualquier sector. Es especialmente apropiada para organizaciones que operan en
22

entornos de alto riesgo, como las finanzas, telecomunicaciones, transporte y el


sector pblico, donde la capacidad de continuar la actividad comercial es primordial
para la organizacin en s, as como para sus clientes y partes interesadas.
El futuro
BS 25999 se est desarrollando en dos partes: la parte 1, el cdigo profesional, ya
est publicada y la parte 2, la especificacin, est prevista para publicarse a
mediados de 2007. La norma de especificacin detallar los requisitos para los
sistemas de gestin de continuidad de la actividad comercial y ser auditable, de
modo que las organizaciones podrn demostrar la conformidad con la norma. El
hecho de obtener un certificado para la especificacin procedente de un tercero
independiente, como BSI Management Systems, se convertir en la garanta
definitiva de que se cumple con las mejores prcticas de BCM.

BCI
El Instituto de Continuidad de Negocio (Business Continuity Institute) fue establecido
en 1994 con el objetivo de apoyar a sus socios y para orientar los profesionales de la
continuidad de negocio.
A travs de su plan de certificacin, el instituto proporciona a sus miembros un
estatus internacionalmente reconocido puesto que la afiliacin profesional del BCI
demuestra la capacidad de sus miembros a llevar a cabo una gestin de continuidad
de negocio a un nivel muy elevado.
De manera ms amplia, el papel del BCI consiste en promocionar las normas ms
elevadas en materia de competencias profesionales y tica de las prestaciones y del
mantenimiento de servicios y planificacin de la continuidad de negocios.
El papel ms amplio de la Asociacin de BCI es el de promover los ms altos
estndares de competencia profesional y la tica comercial en el suministro y
mantenimiento de la planificacin de continuidad de negocio y servicios.
El BCI es en el mundo el instituto de BCM ms importante y su nombre es
reconocido como referente para una buena prctica y profesionalismo.

23

CONCLUSIONES
-

No siempre la empresa con la mejor produccin, las mejores ventas, etc. Es


la que tiene un futuro prometedor, pues si no tiene implementado BCM de un
momento a otro todas estas buenas caractersticas se pueden ir al piso.

Las empresas deben pensar adems de su plan estratgico y de negocios en


un plan de continuidad del negocio, siendo este de alta importancia en la
proyeccin futura de la misma.

No siempre de un desastre puede salir cosas malas, pues una empresa que
tenga un buen plan de continuidad de negocio puede aprovechar esta
situacin para posicionarse de mejor manera en el mercado, demostrando su
fortaleza para afrontar estas situaciones.

24

BIBLIOGRAF IA
BSI Mexico. BS 25999 Continuidad del Negocio [en lnea]. Disponible en
http://www.bsigroup.com.mx/es-mx/Auditoria-y-Certificacion/Sistemas-deGestion/Normas-y-estandares/BS-25999/.

Business Continuity Institute. Promoting the art science of business


continuity
magnament
world
wide
[en
lnea]. Disponible
en
http://www.thebci.org/

TOMKINSON, ANDY. La BS 25999 y otras normas de la continuidad de los


negocios [en lnea]. IRCA ezine Inform, abril. 2009. [citado 27 de marzo
de 2010]. Disponible en [http://spain.irca.org/inform/issue19/LBird.html].

Provide by Proviti. Guide to business Continuity Management [en lnea].


knowledgeLeader, octubre 23, 2006. [Citado 27 de marzo de 2010].
Disponible en

[http://www.knowledgeleader.com/KnowledgeLeader/content.nsf/Web+Cont
ent/WhitePapersArticlesBCMFAQGuide!OpenDocument].

Etek. El modelo COBIT para auditora y control de sistemas de informacin


[en lnea]. channelPlanet, febrero 07 de 2005. [Citado 27 de marzo de
2010].
Disponible
en
[http://www.channelplanet.com/index.php?
idcategoria=13932].

25