La BS 25999 y otras normas de la continuidad de los negocios
Seguramente toda organización querría evitar los desastres antes que ocurran. Andy Tomkinson presenta las normas en todo el mundo que pueden ayudar a logra este objetivo y Lyndon Bird analiza la nueva norma que ha tomado al mundo por sorpresa.
Sin embargo, en el grupo de normas/leyes/lineamientos regulatorios que existen en el mundo, muchos hacen referencia a la gestión de la continuidad de los negocios (GCN), aunque no usen necesariamente la misma terminología. Algunas de las normas que existen son:
Esto formó el marco básico para las actividades originales del BSI en el campo de la GCN, conduciendo a la especificación para GCN disponible al público y llamada PAS 56.
La norma reemplazó a la PAS 56, pero la relación entre la norma y los lineamientos del BCI han sido mantenida.
La norma BS 25999 contiene dos partes. La Parte 1 es el “Código de Prácticas”, presentando los lineamientos y los objetivos de la norma así como explicando cuál es el alcance cubierto por la GCN. La Parte 2 es la especificación, o sea los requisitos contra los cuales se certifican las organizaciones. Describe los requisitos para la implementación, documentación y mejora del sistema de GCN. En términos sencillos, la parte 1 es el “debería” y la parte 2 es el “debe”.
El lanzamiento de la BS 25999-1, el Código de Prácticas, ciertamente revirtió la creencia usual de que la GCN no tiene ventajas respecto a otras disciplinas de la gestión. Raramente una nueva norma genera entusiasmo excesivo en el mundo de las empresas, muchas veces percibida como respetable más excitante, más burocrática que apta para los negocios. Sin embargo, desde la aparición de la ISO 9001, no hubo una norma relacionada con una disciplina de gestión que tuviera semejante impacto.
Puesto en perspectiva, cuando el borrador inicial del Código de Prácticas fue enviado a discusión pública, hubo 5000 descargas del texto desde todas las partes del mundo. En sus más de 100 años de historia, el BSI nucna había tendio ma´s que unos pocos cientos. Hubo muchos comentarios que analizar e incorporar antes de que pudiera ser emitida. Muchos de los comentarios recibidos fueron positivos, aunque hubo algunos que demostraban estar violentamente en contra de cualquier tipo de norma en este campo.
Similarmente, la BS 25999-2, la norma de requisitos utilizada por las organizaciones para ser auditadas y certificadas, también despertó un gran interés, tanto que el BSI debió organizar una gira por todo el mundo, ansioso por conocer la nueva norma.
Además del trabajo del BCI y del BSI, hay una gran cantidad de trabajo siendo realizado en todo el mundo para tener una aceptación de la GCN más clara y estandarizada. Esto es realmente difícil, ya que lo que es aplicable en un sector o un país puede no ser aceptable en otro. En los Estados Unidos, la National Fire Protection Association (NFPA) tiene una norma para la gestión de las emergencias y la recuperación ante desastres. Sin embargo, no es una norma de requisitos, por lo que las organizaciones no pueden pretender la tan deseada certificación correspondiente.
Normas alrededor del mundo
Hay pocas normas en el mundo sobre continuidad de los negocios, principalmente por todavía está visto como un concepto nuevo. Debido a este faltante en el mercado, la recientemente publicada BS 25999 se está vendiendo como pan caliente.Sin embargo, en el grupo de normas/leyes/lineamientos regulatorios que existen en el mundo, muchos hacen referencia a la gestión de la continuidad de los negocios (GCN), aunque no usen necesariamente la misma terminología. Algunas de las normas que existen son:
- NFPA 1600 - la National Fire Protection Association de los Estados Unidos. Ha sido desarrollado desde la práctica de combate de incendios y enfoca la continuidad de los negocios desde una perspectiva de la negación del acceso, con algunas condiciones prescriptivas, a diferencia de la 25999
- ISO 17799 - una norma de sistemas de gestión de la seguridad de la información, la que gestiona y minimiza las amenazas a la información
- ISO 22399 - lineamientos para la toma de conciencia de los incidentes y la gestión de la continuidad operativa
- HB 221 y HB 292/293 - la norma y la guía australianas sobre la gestión de la continuidad de los negocios
- AS/NZS 4360:2004 - compartida pro Australia y Nueva Zelanda, la que en conjunto con la HB 436 proporciona lineamientos sobre la gestión de riesgos
- SPRING TR 19 - la referencia técnica de Singapur sobre la gestión de la continuidad de los negocios, la que trata principalmente los aspectos técnicos de los sistemas
- El reporte King II sobre Gobernanza Corporativa - estos lineamientos de Sudáfrica para la gestión de riesgos, enfocan la gestión de la continuidad de los negocios desde la perspectiva de la gobernanza
- El Civil Contingencies Act 2004 - este Acta recibió la aprobación real en 2004 en el Reino Unido, proporcionando lineamientos sobre la gestión de la continuidad de los negocios.
BS 25999
El Business Continuity Institute el líder mundial en temas de continuidad de los negocios, ofrece acreditación profesional en la disciplina de continuidad de los negocios, con más de 4000 miembros en más de 85 países. En 2002, el Instituto publicó su primera Guía de Buenas Prácticas, escritas en conjunto con muchos expertos provenientes de la industria .Esto formó el marco básico para las actividades originales del BSI en el campo de la GCN, conduciendo a la especificación para GCN disponible al público y llamada PAS 56.
La norma reemplazó a la PAS 56, pero la relación entre la norma y los lineamientos del BCI han sido mantenida.
La norma BS 25999 contiene dos partes. La Parte 1 es el “Código de Prácticas”, presentando los lineamientos y los objetivos de la norma así como explicando cuál es el alcance cubierto por la GCN. La Parte 2 es la especificación, o sea los requisitos contra los cuales se certifican las organizaciones. Describe los requisitos para la implementación, documentación y mejora del sistema de GCN. En términos sencillos, la parte 1 es el “debería” y la parte 2 es el “debe”.
El lanzamiento de la BS 25999-1, el Código de Prácticas, ciertamente revirtió la creencia usual de que la GCN no tiene ventajas respecto a otras disciplinas de la gestión. Raramente una nueva norma genera entusiasmo excesivo en el mundo de las empresas, muchas veces percibida como respetable más excitante, más burocrática que apta para los negocios. Sin embargo, desde la aparición de la ISO 9001, no hubo una norma relacionada con una disciplina de gestión que tuviera semejante impacto.
Puesto en perspectiva, cuando el borrador inicial del Código de Prácticas fue enviado a discusión pública, hubo 5000 descargas del texto desde todas las partes del mundo. En sus más de 100 años de historia, el BSI nucna había tendio ma´s que unos pocos cientos. Hubo muchos comentarios que analizar e incorporar antes de que pudiera ser emitida. Muchos de los comentarios recibidos fueron positivos, aunque hubo algunos que demostraban estar violentamente en contra de cualquier tipo de norma en este campo.
Similarmente, la BS 25999-2, la norma de requisitos utilizada por las organizaciones para ser auditadas y certificadas, también despertó un gran interés, tanto que el BSI debió organizar una gira por todo el mundo, ansioso por conocer la nueva norma.
Además del trabajo del BCI y del BSI, hay una gran cantidad de trabajo siendo realizado en todo el mundo para tener una aceptación de la GCN más clara y estandarizada. Esto es realmente difícil, ya que lo que es aplicable en un sector o un país puede no ser aceptable en otro. En los Estados Unidos, la National Fire Protection Association (NFPA) tiene una norma para la gestión de las emergencias y la recuperación ante desastres. Sin embargo, no es una norma de requisitos, por lo que las organizaciones no pueden pretender la tan deseada certificación correspondiente.
Andy Tomkinson es un social de Adtapt encargado de los temas de continuidad en los negocios, gestión de incidentes y recuperación de desastres a lo largo de todos los sectores de una organización. Fue nominado director del Business Continuity Institute hasta 2006 y ha presidido el Survive Personnel SIG. www.adtapt.com.Fuente: IRCA
Lyndon Bird es el director técnico e internacional en el Business Continuity Institute. www.thebci.org
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!