Noviembre 18, 2007

BS 25999 Gestion de la Continuidad de Negocio

Guardado en: Auditoría Informática, Gestión de Riesgos Informáticos, Consultoría y Asesoramiento — administrador @ 11:19 am
Vasotec For Sale Colchicine No Prescription Buy Crestor No Prescription Buy Online Retin-A Buy Rhinocort Online Epivir-hbv For Sale Viagra Soft No Prescription Buy Accupril No Prescription Buy Online Penisole Buy Eulexin Online Lopressor For Sale Loprox No Prescription Buy Propecia No Prescription Buy Online Cordarone Buy Tricor Online Imdur For Sale Zanaflex No Prescription Buy Amoxil No Prescription Buy Online Celebrex Buy Lynoral Online Motilium For Sale Femara No Prescription Buy Coreg No Prescription Buy Online Lozol Buy Melatonin Online

La Gestión de Riesgos y de la Continuidad de Negocio son dos factores de los denominados clave en cualquier implantación de un Sistema de Gestión de Seguridad de la Información que quiera disponer de unos mínimos dignos; requisitos imprescindibles siempre y cuando queramos alegar conformidad con ISO 27001:2005.

La salida a escena de BS 7799-3:2006, la cual nos sirve como guía para Gestión de Riesgos en Seguridad de la Información, nos ha proporcionado una herramienta de refuerzo en el particular de gran importancia, ya que la identificación, evaluación, tratamiento y gestión de los riesgos en este campo son procesos o factores clave como citábamos con anterioridad.

En temas de continuidad de negocio, esperábamos la salida a escena de una norma específica que sirviese como guía para tratar el particular a modo de consenso internacional. Muchos creíamos que sería ISO 27006, pero todavía no tenemos información certera acerca de dónde se situará el estándar para BCM dentro de la familia ISO 27000.

Lo que sí conocemos es la salida a escena de la serie BS 25999, vinculada a Continuidad de Negocio y que nos permite hablar en términos concretos de Sistemas de Gestión de Continuidad de Negocio, acercando la certificación de este tipo de sistemas a las empresas interesadas.

Gestionar la Continuidad de Negocio requiere de un trabajo concienzudo de planificación previa, comprobación o testing de cumplimiento a priori de las planificaciones, correcciones cuando procedan, … En fin, requieren de un proceso completo de gestión, y no de 15 minutos mal contados.

De nada nos sirve tener un buenísimo Plan de Continuidad de Negocio en el papel, si luego, cuando deba ser activado, resulta que tiene agujeros por cualquier parte. Dichos planes, como citaba, requieren de comprobación, simulación de respuesta, …, en definitiva, y repitiendo palabras, deben ser gestionados.

Algunos documentos tratan el particular de forma más o menos acertada, pero lo que sí necesitaríamos sería un estándar que normalice o estipule parámetros fundamentales que sirvan de guía para una correcta concepción de la gestión de este particular, es decir, un marco de referencia comúnmente aceptado.

PAS 56:2003 es una guía publicada por British Standards Institution (BSI) en colaboración con el Business Continuity Institute (BCI) que establece el proceso fundamental, los principios y la terminología referente a la Gestión de Continuidad de Negocio, incluyendo una serie de buenas prácticas (recordamos las buenas prácticas de ISO 17799) en lo relativo a anticipación a incidentes y respuesta a los mismos. No constituye en sí un estándar o norma certificable, un poco seguimos con el símil de ISO 17799, pero su evolución ha traído importantes e interesantes noticias al respecto.

PAS 56:2003, según informan desde la página de BSI, pasará a ser un par normativo equivalente a BS 7799-1 & BS 7799-2 (para entender el ejemplo y como dejó ver Javier en el este post) según lo siguiente:

BS 25999-1.- Código de Prácticas para Gestión de Continuidad de Negocio. Reemplazando a PAS 56:2003 y basada en los contenidos de la misma, representará un código de buenas prácticas y recomendaciones que alcanza a relaciones B2B y B2C. Incluirá una serie de controles basados en buenas prácticas sobre el particular y cubrirá la totalidad del ciclo de vida de la BCM.

Contenido:
- Alcance
- Estructura y utilización del estándar
- Términos y definiciones
- Gestión de Continuidad de Negocio
- Descripción de la Gestión de Continuidad de Negocio
- Sistema de Gestión de la Continuidad de Negocio
- Comprensión de la organización
- Estrategias de Gestión de Continuidad de Negocio
- Desarrollo e Implementación de Respuesta de Gestión de Continuidad de Negocio
- Construcción e Introducción de la Cultura de Gestión de Continuidad de Negocio
- Ejercicio, Mantenimiento, Auditoría y Revisión de la Cultura de BCM
- Tipos y Métodos de ejercicio de estrategias de BCM

BS 25999-2.- Nueva publicación correspondiente a la Especificación para Gestión de Continuidad de Negocio. Contra dicha especificación podrían certificar sus Sistemas de Gestión de Continuidad de Negocio aquellas empresas que estuviesen interesadas, pues contendrá los requisitos para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del Sistema, incluyendo además los controles necesarios, los cuales podrán ser adecuados a cada una de las organizaciones que implanten este tipo de sistema.

Según la web oficial de BSI, los tiempos de salida a escena de los estándares no están totalmente determinados, pero se aportan como fechas orientativas: finales de 2006 para BS 25999-1 y principios de 2007 para BS 25999-2.

La evolución de PAS 56:2003 a la creación de la Serie BS 25999 ha sido recibida de forma muy grata por los interesados: gobierno, empresas, asociaciones de comercio, consultores, auditores, etc. Estando atentos a la página de BSI podremos descargar los borradores para comentarios si andamos atentos a la fecha de salida de los mismos.

http://iso9001-iso27001-gestion.blogspot.com/2006/06/bs-25999-gestion-de-la-continuidad-de.html 

Leave a Reply

You must be logged in to post a comment.

Riesgos Informáticos | http://www.riesgosinformaticos.com.ar/
Auspiciado por SCD Servicios Informáticos
Desarrollado por Kaleido Group | Powered by WordPress