 | BS 25999 - 2 : 2007
Gestión de la Continuidad
del Negocio
| | |
 |
En Noviembre del 2007, el British Standards Institute, publicó el estándar BS 25999-2:2007, denominado Gestión de la Continuidad del Negocio Parte 2: Especificación. Este documento es el primer estándar certificable que se publica, para que las empresas puedan implantar un modelo de Sistema de Gestión de la Continuidad del Negocio (SGCN) y asegurar a terceros que se mantiene y mejora en el tiempo. El estándar ha sido diseñado para que sea complementado por el BS 25999-1:2006 Gestión de la Continuidad del Negocio, Código de Prácticas.
El BS 25999-2:2007 esta basado en el ciclo PDCA, convirtiéndose en el medio para asegurar que la continuidad del negocio esta siendo gestionada y mejorada de manera efectiva en el tiempo. |
|
| |
|
|
| |
| BUSINESS CONTINUITY PLAN
y la Gestión de los Ensayos
| | |
|
El Business Continuity Plan (BCP) termina con un documento denominado "plan de reanudación de operaciones". Este documento detalla las fases y las actividades requeridas para que rápidamente dentro de los tiempos máximos tolerables, los procesos esenciales puedan reanudar sus operaciones. Los equipos designados deben poder ejecutar sus actividades y responsabilidades tal como fue planificado.
Si la empresa no realiza ensayos, no comprueba que los equipos saben desempeñar sus funciones y no valida que el BCP cumple su propósito, no se tiene un BCP. |
|
| |
|
|
| |
| MODELO DE EXCELENCIA
Malcolm Baldrige
| | |
|
El modeo de excelencia constituye una base para la realización de autoevaluaciones organizacionales, y para proporcionar retroalimentación a sus usuarios. Adicionalmente, el modelo tiene tres importantes roles para fortalecer la competitividad de las organizaciones:
1. ayudar a mejorar las prácticas de gestión, capacidades y resultados.
2. Facilitar la comunicación y el intercambio de información sobre mejores prácticas entre organizaciones de todo tipo.
3. Servir de herramienta de trabajo para comprender y gestionar el desempeño, la planificación y las oportunidades de aprendizaje. |
|
| |
|
|
| |
| El ISO 27001:2005
Auditando bajo el Enfoque de Procesos
| | |
|
Las auditorias al "Sistema de Gestión de Seguridad de Información (SGSI) ISO 27001:2005" ya no pueden ser realizadas auditando los elementos de la norma de manera aislada.
El estándar ha sido concebido bajo la óptica del enfoque de procesos. Un SGSI es un conjunto de procesos interrelacionados que aseguran confidencialidad, disponibilidad e integridad de la información
Las nuevas auditorias tienen que planificarse minuciosamente utilizando herramientas y conceptos del enfoque de procesos. Antes de auditar se debe configurar el proceso utilizando el diagrama árbol y así poder organizar las cláusulas a auditarse alrededor de los cuatro elementos que componen los procesos de todo SGSI. |
|
| |
|
|
| |
| Reingeniería de Procesos
¿Aumento de la Competitividad?
| | |
|
| La reingeniería de procesos, nombre creado por Michael Hammer, el cual significa efectuarle un cambio revolucionario y radical a la manera actual de hacer las cosas en los procesos de una empresa, sigue siendo una excelente estrategia para alcanzar nuevas metas de desempeño, bajar los costos y lograr una mayor rapidez en el funcionamiento del sistema. La reingeniería de procesos, para que sea exitosa, requiere que la empresa tenga una visión de lo que quiere hacer con la reingeniería y utilizar un plan estratégico para su implantación. Un ingrediente muy importante es utilizar la metodología adecuada. |
|
| |
|
|
| |
| Metodología para Implantar un
Sistema de Gestión de Seguridad ISO 27001:2005
Fases para implantar el modelo en la empresa | | |
|
| La implantación del estándar ISO 27001:2005 conlleva el desarrollo de una secuencia de pasos metodológicos que permitan de manera eficaz y eficiente poder instaurar todos los requerimientos exigidos por el modelo. Para poder lograr la certificación internacional, la empresa debe poder demostrar conformidad en el funcionamiento del estándar dentro del alcance identificado en la organización. Toda empresa asesora, debe poder rápidamente efectuar una transferencia tecnológica a la organización cliente, para que pueda generar la capacidad interna para que, de manera independiente, gestione su modelo. |
|
| |
|
|
| |
| Planificación de la Reanudación de Operaciones
"Llevando la estrategia a la acción" | | |
|
| El "Business Continuity Planning" contempla una serie de fases que deben desarrollarse para poder, dentro de unos tiempos previamente identificados, implementar una estrategia de continuidad que asegure la reanudación de operaciones. En la fase del "business impact analysis", se identifican los procesos esenciales, requerimientos de recursos y los tiempos de recuperación. En la fase de "análisis del riesgo" se identifican los escenarios de amenazas para los procesos esenciales, en la fase " diseño de estrategias" se elaboran las estrategias de continuidad para cada escenario de amenazas. En la fase de "planificación de reanudación de operaciones", se documentan las acciones para ejecutar las estrategias de continuidad para cada escenario de amenaza. Si un plan de reanudación de operaciones no esta bien diseñado, todo el business continuity planning será un fracaso. |
|
| |
|
|
| |
| Después de Implantar el ISO 9000,
¿Qué hacemos? | | |
|
| Muchas organizaciones después de haber vivido toda una dinámica en su vida cotidiana, impulsadas por la ilusión de lograr la certificación, pareciera que una vez que alcanzan su objetivo y demuestran que funcionan en concordancia con los requerimientos de la norma, pierden el ritmo y se desaceleran. Sucede que parten de un falacia. Vieron el ISO 9000 como un fin. Es un simple medio. |
|
| |
|
|
| |
| | Federal Financial Institutions Examination Council (FFIEC)
BCP IT Examination Handbook, March 2003.
Strategy for business continuity planning | | |
|
| "This FFIEC Business Continuity Planning booklet provides guidance and examination procedures to assist examiners in evaluating financial institutions and service provider risk management processes to ensure the availability of critical financial services.
Operating disruptions can occur with or without warning, and the results may be predictable or unknown. Because financial institutions play a crucial role in the United States economy, it is important their business operations are resilient and the effects of disruptions in service are minimized in order to maintain public trust and confidence in our financial system. Effective business continuity planning establishes the basis for financial institutions to maintain and recover business processes when operations have been disrupted unexpectedly.
This FFIEC Business Continuity Planning booklet is an excellent guide for financial organizations interested in implementing a business continuity planning system". |
|
| |
|
|
| |
| | Turnbull Report:
Reduction of Operational Risk | | |
|
| El denominado Turnbull Report, es una ley de origen Británico. Fue establecido en 1999. Detrás de él hay casi unos 10 años de investigaciones. Responde al código combinado (1998) y una serie de reportes anteriores asociados con escándalos financieros similares al de ENRON en los EE.UU.
El Turnbull Cuida al inversor, y a los accionistas de cualquier nivel incluso a los que cotizan en bolsa. Los controles operacionales permiten visualizar el comportamiento de una empresa antes que pueda irse a la quiebra. Esto es útil no sólo para los shareholders sino para el resto de los stakeholders (uno de los Principios OECD del Corporate Governance). El Turnbull Report, es requisito tenerlo implantado y demostrar conformidad con sus exigencias para poder cotizar en la bolsa de Londres. |
|
| |
|
|
| |
| | Diagrama de Afinidad:
Herramienta para el Análisis del Riesgo | | |
|
| Esta herramienta permite recolectar grandes cantidades de datos narrativos (ideas, opiniones, etc.) y las organiza alrededor de grupos basados en relaciones naturales entre ellos.
Esta herramienta es básicamente creativa y no lógica. |
|
| |
|
|
| |
| | Análisis de Pareto:
Herramienta para la Jerarquización | | |
|
| El Análisis de Pareto, obtiene el nombre del economista italiano Vilfredo Pareto (1848-1923). El observó que relativamente poca gente (20%) tenía la mayoría de la riqueza en la sociedad. El Dr. Jurán fue el primero que puntualizó, en la década de los años cincuenta, que las observaciones de Pareto eran principios universales. En cualquier grupo de factores que contribuyen a un efecto común, frecuentemente, unos cuantos son responsables de la mayor parte del efecto. El Dr. Jurán en su libro Jurán y la Planificación para la Calidad, (Ediciones Díaz de Santos, 1990) le da los nombres a los ya celebres términos "pocos vitales" y los "muchos útiles", refiriéndose a esos pocos que contribuyen con la mayor parte, y a los muchos que son responsables por una poca proporción del efecto. |
|
| |
|
|
| |
| | Diagrama de Relaciones:
Una ayuda para el Análisis y Evaluación del Riesgo | | |
|
| Esta herramienta permite identificar, dado un conjunto de ideas, las distintas interconexiones que hay entre ellas. El Diagrama de Relaciones es un proceso creativo que, entre otras cosas, se utiliza para identificar las interconexiones lógicas entre las distintas categorías de ideas generadas por grupos. Es muy buena herramienta para ser utilizada en el proceso de análisis y evaluación del riesgo. |
|
| |
|
|
| |
| | Técnica del Grupo Nominal:
Herramienta para el Análisis del Riesgo | | |
|
| La Técnica del Grupo Nominal, ha demostrado en las últimas dos décadas, ser una metodología sumamente eficaz para ser utilizada como medio para tomar decisiones, buscar una solución a una situación en particular o para efectuar un diagnóstico sobre un problema que afecte a un grupo. Es una excelente técnica para ser utilizada como herramienta en el proceso de análisis y evaluación del riesgo. |
|
| |
|
|
| |
| | Gestión del Riesgo en el BCP
Escenarios de Amenazas | | |
|
| Es muy importante entender que un programa de business continuity planning (BCP) no sólo debe atender la recuperación de las instalaciones frente a un desastre. El BCP, también debe contemplar las acciones preventivas de lugar. Para dicho efecto en todo programa de BCP se debe de manera regular efectuar un cálculo del riesgo que no sólo contemple la identificación de amenazas significativas que afecten las operaciones de la empresa, las vulnerabilidades y el grado de exposición al riesgo. Es importante también identificar los controles a instaurar para minimizar el daño en la empresa del impacto de un posible desastre. Un resultado esperado del cálculo del riesgo en la metodología del BCP, es determinar los distintos tipos de escenarios de amenazas que pueden presentársele a una empresa, los cuales serán usados para la elaboración de las estrategias de continuidad y desarrollo de los planes. |
|
| |
|
|
| |
| | Gestión del Business Impact Analysis
la Reanudación de Operaciones | | |
|
| Ante la ocurrencia de un desastre, la única manera que una organización puede asegurarle a terceros que tiene la habilidad para poder continuar su gestión comercial, es el business continuity planning. El business continuity planning (BCP), es un documento que contiene los procedimientos y lineamientos para ayudar a la recuperación y reestablecimiento de procesos interrumpidos. La columna vertebral del BCP es el Business Impact Analysis (BIA). El BIA es una metodología que permite a la empresa identificar las consecuencias operacionales y financieras que la interrupción tendría en los procesos esenciales de la empresa y el cálculo de los tiempos de recuperación y recursos requeridos para poder reanudar las operaciones. |
|
| |
|
|
| |
| | OECD Guidelines for the Security of Information
Systems and Networks | | |
|
| As a result of increasing interconnectivity, information systems and networks are now exposed to a growing number and a wider variety of threats and vulnerabilities. This raises new issues for security. For these reasons, these Guidelines apply to all participants in the new information society and suggest the need for a greater awareness and understanding of security issues and the need to develop a “culture of security”. |
|
| |
|
|
| |
| | Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información:
El Enfoque ISO 27001:2005 | | |
|
| El propósito de la seguridad de información es asegurar la continuidad del negocio y minimizar daños a la firma previniendo y minimizando el impacto de incidentes de seguridad. La gestión de seguridad de información permite que la información sea compartida, asegurando la protección de la información y todos los activos comprendidos en el alcance de sistema. |
|
| |
|
|
| |
| | ISO 27001:2005
y el Tratamiento del Riesgo | | |
|
Una vez que la exposición al riesgo de cada activo de información ha sido estimada, la empresa debe establecer sus criterios para realizar la “evaluación del riesgo” y así determinar la importancia del riesgo en base a su significado para la empresa.
Al analizar y evaluar el nivel de riesgo al cual están sujetos los activos de información se debe decidir que acciones tomar para mitigar el riesgo, y así poder demostrar a terceros que el riesgo se tiene dentro de criterios de aceptación, identificados por la gerencia. La cláusula 4.2.1 (c) (2) es muy puntual al respecto. Dicho requerimiento, menciona: “la gerencia debe desarrollar los criterios para aceptar los riesgos e identificar los niveles de riesgo aceptables”. (ISO/IEC 27001:2005) La gerencia en todos los aspectos juega un rol protagónico en el estándar SGSI. |
|
| |
|
|
| |
| | Análisis y Evaluación del Riesgo de Información:
Un Caso en la Banca Aplicación del ISO 27001:2005 | | |
|
| En el presente ensayo, se utiliza un caso real en la Banca Latinoamericana. Se detallan los pasos metodológicos seguidos para identificar el alcance para establecer el estándar ISO 27001:2005 en el proceso de “cuentas corrientes”. Seguidamente se presentan los pasos para efectuar el “análisis y evaluación del riesgo” en el referido proceso. |
|
| |
|
|
| |
| | ISO 27001:2005
y el Manejo de la Acción Correctiva | | |
|
| El ISO 27001:2005, el Sistema de Gestión de Seguridad de Información (SGSI), contempla al instaurarse en una organización, que todas sus exigencias sean implantadas y que la empresa por consiguiente, pueda demostrar a terceros que el SGSI opera en conformidad con el ISO 27001:2005. Al experimentar la empresa el no cumplimiento con requerimientos se generan las denominadas no conformidades, ante las cuales la empresa debe realizar las acciones para eliminar la causa de las no conformidades. Las causas raíces deben ser encontradas y no debe presentarse recurrencia de la no conformidad. Es responsabilidad de la gerencia conducir el proyecto de la acción correctiva y velar por su eficaz conducción. |
|
| |
|
|
| |
| | ISO 27001
y el Manejo de Indicadores | | |
|
| Usualmente en las organizaciones se tienen implantados una serie de controles que supuestamente debieran mitigar el riesgo. Estos controles se mantienen en la empresa y muchas veces se convierten en parte de los repertorios de estrategias institucionalizadas para el tratamiento del riesgo. En muchas de las organizaciones las decisiones pertinentes a la problemática de seguridad de la información, no basan sus decisiones en datos cuantificables, ni confiables. Pareciera que las decisiones están basadas en las experiencias de la gerencia. Es fundamental que la empresa pueda implantar indicadores para obtener información sobre la efectividad de los controles instaurados y así se pueda con la debida antelación tomar las acciones correctivas de lugar. El ISO 27001:2005 exige el uso de indicadores.
|
|
| |
|
|
| |
| | Business Continuity Plan:
La Continuidad en las Operaciones de la Empresa | | |
|
| Imaginemos una interrupción en las operaciones de la empresa. Simplemente no se puede operar. Los procesos vitales han sido afectados. No es posible entregar el producto en los acuerdos convenidos con los clientes y por un tiempo no se puede continuar siendo proveedor confiable. Las estadísticas plantean que una empresa que deja de operar por espacio de diez días consecutivos, jamás se recupera. No sirven de mucho los planes estratégicos, ni los modelos de investigación de mercados, ni los sistemas de aseguramiento de calidad, si no se tiene una metodología implantada que asegure a la cadena de suministros continuidad en el funcionamiento si un desastre se presentara. El estándar ISO 27001:2005 "Sistema de Gestión de Seguridad de Información" en el anexo A.14 lo exige. Después de la tragedia del 11 de Septiembre se ha popularizado y se ha convertido en una exigencia mundial que las empresas tengan implantado un business continuity plan que permita asegurar a terceros que son proveedores confiables. |
|
| |
|
|
| |
| | Risk Analysis and the Information Security Management System:
ISO 27001:2005 Approach | | |
|
| The purpose of information security is to ensure business continuity and minimize business damage by preventing and minimizing the impact of security incidents. Information security management enables information to be shared, while ensuring the protection of information and all other assets within the scope of the system. |
|
| |
|
|
