Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La norma proporciona a las organizaciones un marco que asegura que ellos pueden
continuar trabajando durante las circunstancias más difíciles e inesperadas, siempre
protegiendo a sus empleados, manteniendo su reputación y proporcionando la capacidad de
continuar trabajando y comercializando.
TABLE OF CONTENTS
Cualquier organización, grande o pequeña, con o sin fines de lucro, privada o pública. La norma
está concebida de tal forma que es aplicable a cualquier tamaño o tipo de organización.
La continuidad del negocio es parte de la gestión general del riesgo en una compañía y tiene áreas
superpuestas con la gestión de seguridad y tecnología de la información.
Introducción
0.1 General
0.2 El modelo Planificación-Implementación-Verificación-Mantenimiento (PDCA)
0.3 Componentes de PDCA en esta norma internacional
1 Alcance
2 Referencias normativas
3 Términos y definiciones
4 Contexto de la organización
4.1 Conocimiento de la organización y de su contexto
4.2 Conocimiento de las necesidades y expectativas de las partes interesadas
4.3 Determinación del alcance del sistema de gestión
4.4 Sistema de gestión de la continuidad del negocio
5 Liderazgo
5.1 General
5.2 Compromiso de la dirección
5.3 Política
5.4 Funciones, responsabilidades y autoridades organizativas
6 Planificación
6.1 Acciones para tratar riesgos y oportunidades
6.2 Objetivos de la continuidad del negocio y planes para alcanzarlos
7 Apoyo
7.1 Recursos
7.2 Competencia
7.3 Concienciación
7.4 Comunicación
7.5 Información documentada
8 Funcionamiento
8.1 Planificación operativa y control
8.2 Análisis de impactos en el negocio y evaluación de riesgos
8.3 Estrategia de la continuidad del negocio
8.4 Establecimiento e implementación de procedimientos de continuidad del negocio
8.5 Prueba y verificación
9 Evaluación de desempeño
9.1 Supervisión, medición, análisis y evaluación
9.2 Auditoría interna
9.3 Revisión por parte de la dirección
10 Mejoras
10.1 No conformidades y acciones correctivas
10.2 Mejora continua
Bibliografía
Documentación obligatoria
Si una organización desea implementar esta norma, necesitará la siguiente documentación
obligatoria:
Normas relacionadas
Otras normas de ayuda en la implementación de la continuidad del negocio son:
ISO/IEC 27031:2011 – Lineamientos para preparación de tecnología de la información y
comunicación para la continuidad del negocio
PAS 200 – Gestión de crisis: orientación y buenas prácticas
PD 25666 – Orientación para prueba y verificación de programas de continuidad y
contingencia
PD 25111 – Orientación sobre aspectos humanos de la continuidad del negocio
ISO/IEC 24762 – Lineamientos sobre servicios de tecnología de la información y
comunicación para recuperación de desastres
ISO/PAS 22399 – Lineamientos sobre preparación para incidentes y gestión de continuidad
operativa
ISO/IEC 27001 – Sistemas de gestión de seguridad de la información: requisitos
Para obtener más información sobre la implementación de ISO 22301, visite nuestra
PROTIVITI
La continuidad del negocio nos permite identificar las estrategias necesarias para recuperar los
principales productos y servicios de una empresa ante un evento severo de interrupción.
Nuestro enfoque:
Presentación:
Los riesgos a que están expuestas las organizaciones son diversos y sorprendentes, retan a los
directivos a revisar y reforzar continuamente sus estrategias, tácticas y operaciones. La capacidad
de respuesta y recuperación de las organizaciones frente a potenciales incidentes originados por la
naturaleza o el mercado, que impactan las actividades críticas y generan interrupción del proceso
productivo, exige resiliencia para responder eficaz y eficientemente y recuperarse pronta y
satisfactoriamente, evitando o reduciendo efectos adversos tanto financieros como reputacionales.
La norma ISO 22301 refleja la evolución del Sistema en Gestión de Continuidad de Negocio
(SGCN / BCMS), integra mejores prácticas de gestión del riesgo y brinda elementos fundamentales
para implementar en los procesos, estructura organizacional y recursos de la organización de
manera completa y transversal.
Las anteriores cifras, tomadas de los estudios realizados por la prestigiosa firma americana de
consultoría Gartner Inc. muestran la importancia y pertinencia de que las organizaciones
implementen, mantengan y mejoren el sistema de gestión de continuidad de negocio para tener la
capacidad de continuar con la entrega de productos o servicios a los niveles predefinidos aceptables
después de un incidente que interrumpe o detiene la producción de bienes y servicios.
La continuidad del negocio es temática de singular importancia, abordada por los directivos de las
compañías que pretenden ante los desafíos actuales asegurar la supervivencia y la sostenibilidad de
sus negocios.
Ante este panorama, es indispensable proveer a los presentes y futuros líderes organizacionales las
herramientas conceptuales y prácticas para gestionar los riesgos a los que están expuestos. Para
afrontar este desafío ineludible se estructura un curso que potencia a los estudiantes para la
planificación, desarrollo, evaluación y mejora del Sistema de Gestión de Continuidad de Negocio,
tomando como referencia normas internacionales y las mejores prácticas de gestión.
Beneficios:
1. Programa de formación que integra la gestión de riesgos y continuidad de negocio BCM:
interrelación de los principios y marco conceptual de la gestión de riesgos y continuidad de negocio,
ISO 31000 e ISO 22301.
2. Formación con enfoque práctico: talleres que brindan escenarios preparatorios para afrontar la
realidad en las organizaciones.
Objetivos:
1. Conocer las metodologías y mejores prácticas de continuidad de negocio existentes.
2. Implementar los procesos de continuidad de negocio en las organizaciones de forma integrada
con la gestión de riesgos.
3. Integrar la continuidad de negocio con las demás funciones de la organización y con las partes
interesadas.
4. Apoyar a la organización en la identificación de las necesidades y las acciones de recuperación
de sus procesos y actividades críticas.
5. Entender y reconocer la importancia que tiene para la organización realizar eficazmente la
evaluación de riesgos de interrupción y la determinación del impacto que generan en el negocio las
interrupciones en los procesos críticos.
6. Identificar los aspectos críticos y pertinentes para definir escenarios y estrategias de continuidad
requeridas por los procesos de negocio dirigidos a implementar planes de continuidad.
7. Reconocer las metodologías para el desarrollo, pruebas y mantenimiento de los planes de
continuidad.
8. Establecer los mecanismos para medición y mejoramiento del desempeño de la función de
continuidad en la organización.
9. Promover y desarrollar la capacidad de interacción humana de los estudiantes para generar la
sinergia necesaria de modo que la continuidad de negocio sea un compromiso fundamentado en la
convicción, la toma de conciencia y un arquetipo cultural clave en el éxito sostenible en las
organizaciones.
Certificación
Continuidad de Negocio es un conjunto de medidas que adopta una empresa para garantizar que su
operación no se vea afectada, de una forma substancial, por eventos que están fuera de su control.
Existe una amplia gama de dichos eventos llamados contingencias, desde una simple caída de
sistema, hasta un incendio, una inundación o una pandemia.
En esta web sólo nos ocupamos de las herramientas que aportan la continuidad de operación de los
Sistemas Informáticos y la terminología que se relaciona con ellas. Estas herramientas son
meramente un instrumento al servicio de la Continuidad de Negocio, concepto que incluye además,
normas, estándares, políticas y procedimientos. En su conjunto es una mentalidad empresarial, un
método que conduce a la garantía de la continuidad de la empresa.
El tiempo tolerable de inactividad tiende a cero
Muchos interpretan el aumento de demanda de soluciones de Continuidad de Negocios,
Recuperación de Desastres y Alta Disponibilidad de sistemas como consecuencia directa del ataque
terrorista contra las Torres Gemelas. Creo que es más justo decir que dicho ataque, o sus
consecuencias, ha puesto a la gente y a las empresas a pensar seriamente en lo que puede significar
para una empresa que las circunstancias le impidan operar normalmente durante un período de
tiempo.
Lo que ocurre es que el tiempo tolerable de inactividad se está acortando continuamente, debido al
constante aumento de la intensidad de los procesos de negocio, su globalización y necesidad de
cooperación en tiempo real entre múltiples unidades internas y externas. También, cada vez mayor
número de transacciones se realiza sin soporte en papel, lo cual hace prácticamente imposible su
recuperación en caso de que llegue a perderse el soporte informático.
Para hablar de Alta Disponibilidad conviene relacionar este concepto con algunos otros. La
Continuidad de Negocios engloba todo lo relacionado con los esfuerzos de las empresas de operar
armónicamente en cualquier circunstancia; por tanto, los otros dos conceptos, Recuperación de
Desastres y Alta Disponibilidad de sistemas, son categorías incluidas en la anterior.
La Alta Disponibilidad puede cubrir, dentro de un plan de recuperación, una parte muy substancial:
la de los Sistemas de Información Electrónica. Pero la Alta Disponibilidad de sistemas cubre
también algo muy importante que no está relacionado con planes de recuperación: los paros de
sistemas que no son causados por contingencias, sino por la propia dinámica de los sistemas, que
suelen llamarse “paros planificados”. Entre ellos contamos los causados por copias de seguridad,
mantenimientos o cambios de versión de sistemas operativos o del software aplicativo.
De aquí se deduce que no hay que pensar en situaciones demasiado dramáticas para llegar a la
conclusión de que su empresa puede necesitar una solución de Continuidad de Negocios.
Soluciones Informáticas de Continuidad de Negocio
Una solución la entendemos como el conjunto de una herramienta y los servicios requeridos para su
puesta en marcha y mantenimiento. En otra sección de esta web hablamos de las distintas
modalidades de backup (copia de seguridad) y explicamos cómo han ido evolucionando, debido a
las necesidades de las empresas. Estas necesidades han ocasionado que muchas empresas, en vez de
almacenar el backup en cintas u otros medios “offline”, tengan que mantener la copia en un
servidor: Backup Server. El disponer de un servidor especial para almacenar el backup hace
posibles soluciones más avanzadas:
Backup OnLine
Alta Disponibilidad y Recuperación de Desastres
Protección Continuada de Datos
BS 2599—
ISO 22301 VS BS 25999-2
La Norma ISO 22301 puede ser considerada como una “actualización” de la BS 25999-2 y
se estima que se transformará en uno de los principales marcos de referencia a nivel
mundial sobre continuidad del negocio.
DIFERENCIAS
DATOS BÁSICOS:
ISO 22301 IBS 25999-2
Nombre Completo ISO 22301-2012 Seguridad de IBS 25999-2
la Sociedad-sistemas de Gestión de la
Gestión de la Continuidad del Continuidad del Negocio-
Negocio-Requisitos Parte 2 :
Especificaciones
Cantidad de páginas 24 28
Período de Transición
En noviembre de 2012
Mayo 2012 se dejará sin efecto la BS 25999-2 Mayo 2014
Período de “ actualización”
De mayo de 2912 a mayo de 2914:
todas las organizaciones que actualmente
tienen certificado BS 25999-2 deberán “actualizarse” al ISO 22301
Las Normas a través del Tiempo
Historia de normas y marcos de referencia sobre continuidad del negocio y recuperación
Incidente disruptivo
Un evento que interrumpe las actividades del negocio
Información documentada
Información que necesita ser controlada y presentada por una organización, también el
medio que la contiene
Interrupción máxima aceptable (MAO por sus siglas en inglés)
En tiempo que tardarían los impactos adversos que pudieran surgir por no proporcionar un
producto o servicio o por no realizar una actividad, en convertirse en inaceptables.
Objetivo mínimo para la continuidad del negocio (MBCO, por sus siglas en inglés)
Nivel mínimo de servicios y/o productos aceptables para que la organización cumpla sus
objetivos comerciales durante una interrupción.
CICLO PDCA
Los elementos de continuidad del negocio en ISO 22301 se describen mejor a través del ciclo Planificación-
Implementación-Verificación-Mantenimiento (PDCA)
CONCLUSIÓN
ISO 22301 no es tan diferente de la BS 25999-2 en la mayoría de los aspectos más importantes de la
continuidad del negocio como el análisis del impacto, la estrategia o la planificación. Los principales cambios
se encuentran en la parte de gestión de la norma ISI 22301, pone más énfasis en la comprensión de los
requisitos, el establecimiento de los objetivos y en la medición del desempeño.
Por lo tanto será aceptada más fácilmente por la alta gerencia, que al mismo tiempo contribuirá con la
aceptación más generalizada de esta norma, como ISO 27001, ISO 90001º ISO 14001