29 ago. 2014

Cómo hacer un Plan de Continuidad de Negocios (BCP) [I]

En esta entrada voy a darles una guía sobre como realizar un Plan de Continuidad de Negocios, aunque les recomiendo tener a mano la Norma BS 25999-2 e ISO 22301 para que este trabajo sea aun mas fructífero.
Mientras que las organizaciones gubernamentales, sin ánimo de lucro o las ONG cumplen con funciones criticas, las organizaciones privadas deben entregar de manera continua productos y servicios para cumplir con sus inversores y claro esta, sobrevivir. Siendo Organizaciones cuyo propósito es tan disímil, ambas tienen una necesidad en común: implementar un Plan de Continuidad de Negocios o BCP.
ISO 22301 Vs BS 25999
En resumen, aunque los aspectos mas importantes de la continuidad del negocio son comunes a ambas normas, la Norma ISO 22301 pone mayor énfasis en la comprensión de los requisitos, el Liderazgo de la dirección y en el establecimiento de Objetivos medibles y en el control de su desempeño.

Planeación de la Continuidad del Negocio vs. Plan de Reanudación del Negocio y Plan de Recuperación de Desastres

Un plan de reanudación de negocios describe como reiniciar la operación después de una interrupción. Un Plan de recuperación de desastres se enfoca en recuperar los sistemas después de una interrupción estrepitosa. Ambos implican detener las operaciones criticas y su reanudación.

Ahora, aceptar que algunos productos o servicios deben ser permanentemente entregados sin interrupciones es la clave para entender los diferentes alcances del Plan de Reanudación de Negocios y el Plan de Continuidad de Negocios.

La ejecución de un Plan de Continuidad de Negocios permite que los productos o servicios críticos sigan siendo entregados a los clientes. En vez de enfocarse en restablecer las operaciones después de que estas se interrumpan por un desastre, un plan de continuidad se enfoca en que los procesos críticos continúen estando disponibles.

¿Qué es un Plan de Continuidad de Negocios?

Los productos o servicios críticos de una Organización son aquellos que deben ser entregados para asegurar la supervivencia de la Organización, evitar los problemas de no entregarlo y cumplir con obligaciones legales o contractuales existentes. El Plan de Continuidad de Negocio es un plan proactivo que busca asegurar que los productos o servicios continúen siendo entregados durante una interrupción no planeada.

Un Plan de Continuidad Incluye:
  • Planes, medidas y disposiciones para asegurar la entrega continua de los servicios y/o productos que le permitan a la Organización recuperar sus instalaciones, información y activos.
  • La identificación de los recursos necesarios para respaldar la continuidad del negocio, incluyendo personal, información, equipos, recursos financieros, apoyo legal, seguridad y alojamientos en caso de ser necesarios.
Implementar un BCP mejora la imagen de la Organización con sus empleados, accionistas y clientes al demostrar una actitud proactiva. Dentro de los beneficios adicionales podemos incluir una mejora en la eficiencia organizacional, así como también permite identificar la relación entre los activos, recursos humanos, los recursos financieros y los productos y servicios críticos de la organización.

¿Por qué es valioso un Plan de Continuidad del Negocio?

Toda organización está en riesgo de ser víctima de un desastre:
  • Un desastre natural como una inundación, un incendio, un terremoto, etc.
  • Sabotaje
  • Cortes de energía
  • Fallas en comunicaciones, transporte o de seguridad.
  • Ciber ataques por parte de un hacker

Creación de un Plan de Continuidad de Negocios BCP

Crear y mantener un BCP le sirve a una Organización para conseguir los recursos necesarios para enfrentar cualquiera de estas situaciones, vamos ahora a ver que secciones incluye por lo general un BCP.

Establecer el Control

Un BCP contiene una estructura de gobierno, a menudo en la forma de un comité que asegura un compromiso de alta dirección y define las funciones de alta dirección y sus responsabilidades. Este comité es el responsable de la supervisión, inicio, planeación, aprobación, ensayos y auditorias al BCP. Asimismo implementa el BCP, coordina actividades, aprueba los resultados que arroje el BIA, supervisa la creación de planes de continuidad y revisa los resultados de actividades de aseguramiento de calidad.

Los directivos de un Comité BCP normalmente:
  • Aprueban la estructura de gobierno
  • Aclaran cuáles son sus funciones y las de todos los que participan en el programa
  • Revisan la creación de comités, grupos de trabajo y equipos que van a desarrollar y ejecutar el plan
  • Suministran orientación estratégica
  • Aprueban los resultados del BIA
  • Revisan los productos y servicios críticos que se han identificado
  • Aprueban los Planes de Continuidad
  • Monitorean las actividades de aseguramiento de calidad,
  • Resuelven conflictos de interés
El comité del BCP normalmente esta compuesto por los siguientes miembros:
  • Líder Ejecutivo, quien tiene la responsabilidad general del comité del BCP; solicita el apoyo de la alta dirección y dirección, y asegura la financiación adecuada para el BCP.
  • Coordinador del BCP asegura el apoyo de la alta dirección, estima requisitos de financiación, desarrolla la política del BCP, coordina y supervisa el proceso de BIA, asegura participaciones eficaces de los lideres de procesos, coordina y supervisa el desarrollo de los planes y disposiciones para la continuidad del negocio; establece grupos de trabajo y equipos y define sus responsabilidades; coordina jornadas de capacitación, y establece la revisión periódica, pruebas y de auditorías del BCP.
  • Oficial de Seguridad, quien trabaja para garantizar que todos los aspectos del BCP cumplen con los requisitos de seguridad de la organización.
  • Jefe de Información el cual coopera estrechamente con el coordinador del BCP y especialistas IT en planes de continuidad.
  • Lideres de proceso, quienes suministran información valiosa sobre las actividades de la organización, y revisan los resultados del BIA.
El comité BCP es comúnmente co-presidido por el coordinador ejecutivo y el coordinador.

Análisis de Impacto de Negocio o BIA

En este blog ya existe una entrada sobre este tema, la cual esta en este link: Análisis de Impacto de Negocios / Business Impact Analysis (BIA).

Esquema de Compatibilidad de ISO 22301 con Otros Sistemas de Gestión

Según esta tabla, nos podemos plantear una perfecta sincronización de tareas tales como las auditorias internas y procesos de revisión para todos los Sistemas de Gestión. Además podemos pensar en una optimización de lo recursos comunes: el sistema documental, los procesos de comunicacion etc:


Fuente: Leonardo Camelo - Seguridad Información Colombia

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!