{"id":4774,"date":"2010-11-16T16:33:41","date_gmt":"2010-11-16T16:33:41","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/010\/11\/16\/lista-de-apoyo-para-implementacion-de-la-norma-bs-25999-2\/"},"modified":"2023-01-16T13:27:13","modified_gmt":"2023-01-16T13:27:13","slug":"lista-de-apoyo-para-implementacion-de-la-norma-bs-25999-2","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/es\/blog\/2010\/11\/16\/lista-de-apoyo-para-implementacion-de-la-norma-bs-25999-2\/","title":{"rendered":"Lista de apoyo para implementaci\u00f3n de la norma BS 25999-2"},"content":{"rendered":"<p>\u00bfSu gerencia le ha asignado la tarea de implementar la continuidad del negocio pero usted no sabe muy bien c\u00f3mo hacerlo? Aunque no se trata de una tarea sencilla, puede utilizar la metodolog\u00eda de la norma <a href=\"\/27001academy\/es\/what-is-bs-25999\/\" target=\"_blank\" rel=\"noopener noreferrer\">BS 25999-2<\/a> para facilitar las cosas. Los siguientes son los pasos principales que necesita seguir para implementar esta norma:<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">1. Obtener el apoyo de la direcci\u00f3n<\/h2>\n<p>Si bien no es un paso obligatorio de la norma BS 25999-2, s\u00ed se trata de un paso crucial al inicio: si la direcci\u00f3n no comprende los beneficios de la continuidad del negocio y no se compromete con el proyecto, lo m\u00e1s probable es que su proyecto fracase.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">2. Tomarlo como un proyecto<\/h2>\n<p>La creaci\u00f3n de su sistema de gesti\u00f3n de la continuidad del negocio (SGCN) le demandar\u00e1 bastante tiempo y recursos ya que debe definir claramente qu\u00e9 se necesita hacer, dentro de qu\u00e9 plazos y cu\u00e1les son las funciones en la implementaci\u00f3n del proyecto. En otras palabras, debe aplicar m\u00e9todos de gesti\u00f3n de proyectos.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">3. Definir objetivos y alcance; redactar una Pol\u00edtica de GCN<\/h2>\n<p>Debe definir qu\u00e9 es lo que usted desea lograr con el SGCN; es decir, cumplir, disminuir el nivel de riesgo, requisitos de sus clientes o socios, etc. Tambi\u00e9n debe definir qu\u00e9 incluir\u00e1 en su SGCN, si a toda la organizaci\u00f3n o solamente a una parte. Por ejemplo, puede decidir que incluir\u00e1 s\u00f3lo el centro de datos si usted suministra servicios de alojamiento a sus clientes. Todo esto tiene que estar documentado en la Pol\u00edtica de GCN.<br \/>\n<div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><br \/>\n<div id=\"side-banner-trigger\" class=\"banner-shortcode\"><\/div><\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">4. Definir las funciones y las responsabilidades para el SGCN<\/h2>\n<p>Como el SGCN se convertir\u00e1 en una actividad permanente en su organizaci\u00f3n, es necesario asignar responsabilidades precisas, especialmente para el \u201cpromotor\u201d del SGCN (alguien que sea responsable por el SGCN pero que no est\u00e9 involucrado en las actividades diarias del mismo) y para el \u201ccoordinador de GCN\u201d, \u201cgerente de GCN\u201d o similar (una o m\u00e1s personas con tareas activas relacionadas con el SGCN). Lo mejor es documentar estas funciones y responsabilidades en su Pol\u00edtica de GCN.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">5. Implementar procedimientos obligatorios<\/h2>\n<p>La norma BS 25999-2 requiere que se implementen los siguientes <a href=\"\/27001academy\/es\/knowledgebase\/lista-de-documentos-obligatorios-exigidos-por-la-norma-iso-27001-revision-2013\/\" target=\"_blank\" rel=\"noopener noreferrer\">cuatro procedimientos obligatorios<\/a>: control de documentos y registros, auditor\u00eda interna, medidas preventivas y correctivas. Estos procedimientos son, en realidad, la base de su sistema de gesti\u00f3n, igual que con las normas <a href=\"\/27001academy\/es\/?page_id=675\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001<\/a> o <a href=\"https:\/\/staging.advisera.com\/9001academy\/es\/que-es-iso-9001\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 9001<\/a>.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">6. Realizar un an\u00e1lisis de impactos en el negocio y evaluaci\u00f3n de riesgos<\/h2>\n<p>Mediante el <a href=\"\/27001academy\/es\/?p=4817\" target=\"_blank\" rel=\"noopener noreferrer\">an\u00e1lisis de impactos en el negocio<\/a> usted debe identificar las actividades cr\u00edticas, su per\u00edodo m\u00e1ximo tolerable de interrupci\u00f3n, sus dependencias (incluidas las dependencias con proveedores y socios externos) y debe establecer objetivos de tiempo de recuperaci\u00f3n.<\/p>\n<p>Al realizar la evaluaci\u00f3n de riesgos encontrar\u00e1 realmente cu\u00e1les pueden ser las causas de interrupci\u00f3n de sus actividades cr\u00edticas; pueden ser naturales pero tambi\u00e9n puede tratarse de actividades realizadas por personas (ya sea en forma maliciosa o accidental). Tambi\u00e9n tendr\u00e1 que llevar a cabo el tratamiento de riesgos, que implica que debe decidir c\u00f3mo disminuir la posibilidad de que algo funcione mal. Desafortunadamente, la evaluaci\u00f3n y el tratamiento de riesgos no est\u00e1n muy bien definidos en esta norma; por lo tanto, podr\u00eda consultar la norma ISO 27001, que los describe mucho m\u00e1s detalladamente.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">7. Determinar la estrategia de continuidad del negocio<\/h2>\n<p>Antes de continuar con la redacci\u00f3n de planes de continuidad del negocio, en realidad debe determinar qu\u00e9 recursos necesitar\u00e1 para retomar sus actividades cr\u00edticas: qu\u00e9 empleados, ubicaciones, datos, hardware, software, proveedores, socios externos, etc.<\/p>\n<p>La <a href=\"\/27001academy\/es\/?p=4853\" target=\"_blank\" rel=\"noopener noreferrer\">estrategia de continuidad del negocio<\/a> no s\u00f3lo debe determinar lo que usted necesita, sino tambi\u00e9n c\u00f3mo har\u00e1 para asegurar esos recursos.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">8. Desarrollar planes de gesti\u00f3n de incidentes y planes de continuidad del negocio<\/h2>\n<p>El objetivo de los planes de gesti\u00f3n de incidentes es describir c\u00f3mo se responder\u00e1 directamente ante la ocurrencia de un incidente (por ej., incendio, terremoto, amenaza de bomba, corte de electricidad, etc.) para evitar que se agrande y para intentar disminuir sus efectos directos.<\/p>\n<p>Por otro lado, el objetivo de los <a href=\"\/27001academy\/es\/?p=4835\" target=\"_blank\" rel=\"noopener noreferrer\">planes de continuidad del negocio<\/a> es describir c\u00f3mo se recuperar\u00e1n las actividades cr\u00edticas, c\u00f3mo se har\u00e1n funcionar conjuntamente todos los recursos que se han preparado. Esto quiere decir que es necesario detallar qui\u00e9n har\u00e1 qu\u00e9 cosa, en qu\u00e9 plazo, utilizando qu\u00e9 datos y tecnolog\u00eda, para poner nuevamente a su organizaci\u00f3n en funcionamiento.<\/p>\n<p>Todos esto planes tienen ser redactados detalladamente porque deben ser ejecutados a\u00fan en el caso que los principales empleados no se encuentren disponibles; por lo tanto, es necesario redactarlos de tal forma que otra persona pueda ejecutarlos.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">9. Capacitaci\u00f3n y concienciaci\u00f3n<\/h2>\n<p>Necesita definir el nivel de competencias necesario para la ejecuci\u00f3n de los planes de continuidad del negocio ante el caso de una interrupci\u00f3n y, luego, debe capacitar a todo el personal (tanto empleados como socios externos) para llegar a este nivel de competencias.<\/p>\n<p>Sin embargo, esto no es suficiente. Tambi\u00e9n debe explicarle a su personal por qu\u00e9 es necesaria la GCN. Acept\u00e9moslo, sus planes de continuidad del negocio se utilizar\u00e1n, con suerte, una \u00fanica vez; por lo tanto, la mayor\u00eda de las personas lo consideran una p\u00e9rdida de tiempo. Por eso, debe explicarles por qu\u00e9 debe existir esta planificaci\u00f3n. (Consultar <a href=\"\/27001academy\/es\/?p=4786\" target=\"_blank\" rel=\"noopener noreferrer\">C\u00f3mo abordar a quienes no creen en la GCN<\/a>)<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">10. Ensayo de GCN<\/h2>\n<p>Si piensa que ha redactado los planes de manera perfecta, probablemente se equivoque. Es casi imposible redactar un plan sin errores en el primer intento. Por eso resulta obligatorio ensayar parte del SGCN; debe verificar sus planes en una situaci\u00f3n que, m\u00e1s o menos, se asemeje a una interrupci\u00f3n real. Solamente all\u00ed podr\u00e1 determinar qu\u00e9 planific\u00f3 correctamente y qu\u00e9 no.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">11. Mantenimiento y revisi\u00f3n del SGCN<\/h2>\n<p>Otra forma de mantener actualizado su SGCN es definiendo intervalos en los que revisar\u00e1 sus planes de continuidad del negocio, pero tambi\u00e9n otras cuestiones (por ej., contratos con proveedores y socios externos, capacitaci\u00f3n y concienciaci\u00f3n, etc.). Existe toda clase de cambios en el entorno que amenazan con hacer obsoleta su documentaci\u00f3n: es suficiente que un empleado abandone la empresa para tener un n\u00famero telef\u00f3nico inservible en un plan si esa persona cumpl\u00eda una funci\u00f3n en el SGCN.<\/p>\n<p>S i se produjo un incidente real, tambi\u00e9n es obligatorio realizar revisiones despu\u00e9s de ocurrido el mismo para ver c\u00f3mo reaccion\u00f3 la organizaci\u00f3n, si sigui\u00f3 los planes o no.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">12. Auditor\u00eda interna<\/h2>\n<p>El objetivo de la auditor\u00eda interna es averiguar si hay algo que se est\u00e1 haciendo mal, de manera objetiva. El auditor debe ser una persona que pueda descubrir si algo se hace mal dentro de su SGCN para poder corregirlo. Si se realiza correctamente, la auditor\u00eda interna puede ser una de las mejores formas para mejorar su SGCN. (Leer <a href=\"\/27001academy\/es\/?p=4847\" target=\"_blank\" rel=\"noopener noreferrer\">Dilemas con los auditores internos de las normas ISO 27001 y BS 25999-2<\/a>)<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">13. Revisi\u00f3n por parte de la direcci\u00f3n<\/h2>\n<p>Como se mencion\u00f3 anteriormente, es muy importante que la direcci\u00f3n se involucre en el proyecto. La <a href=\"\/27001academy\/es\/?p=3471\" target=\"_blank\" rel=\"noopener noreferrer\">revisi\u00f3n por parte de la direcci\u00f3n<\/a> est\u00e1 dise\u00f1ada justamente para eso. La norma requiere que la direcci\u00f3n examine todos los hechos importantes sobre la GCN y que decida si ha cumplido su objetivo. Una vez que est\u00e1 hecha, la direcci\u00f3n debe decidir qu\u00e9 mejoras se deben implementar.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">14. Medidas preventivas y correctivas<\/h2>\n<p>Lo mejor ser\u00eda evitar que se produzcan errores (o, en t\u00e9rminos de BS 25999-2, las \u201cno conformidades\u201d); para esto es que se utilizan las medidas preventivas, representan una forma sistem\u00e1tica de corregir las cosas antes de que generen problemas. Similares a las medidas preventivas, tambi\u00e9n hay medidas correctivas que solucionan los problemas que ya se han producido.<\/p>\n<p>Ahora la pregunta es \u00bfpor qu\u00e9 usar\u00eda usted la norma BS 25999-2? Aunque (todav\u00eda) no es una norma internacional, es la norma m\u00e1s reconocida a nivel mundial para la continuidad del negocio. Los pasos mencionados arriba est\u00e1n dise\u00f1ados por los mejores especialistas en este tema. Por eso, si desea implementar las pr\u00e1cticas m\u00e1s aceptadas para continuidad del negocio, no busque m\u00e1s.<\/p>\n<p><em>Aqu\u00ed puede descargar el diagrama del <\/em><a href=\"https:\/\/info.staging.advisera.com\/27001academy\/free-download\/diagram-of-bs-25999-implementation-process\/\" target=\"_blank\" rel=\"noopener noreferrer\">proceso de implementaci\u00f3n de la norma BS 25999-2<\/a><em> que muestra todos estos pasos junto con la documentaci\u00f3n requerida (requiere inscripci\u00f3n). <\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u00bfSu gerencia le ha asignado la tarea de implementar la continuidad del negocio pero usted no sabe muy bien c\u00f3mo hacerlo? Aunque no se trata de una tarea sencilla, puede utilizar la metodolog\u00eda de la norma BS 25999-2 para facilitar las cosas. Los siguientes son los pasos principales que necesita seguir para implementar esta norma: &#8230;<\/p>\n","protected":false},"author":26,"featured_media":83687,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[53],"tags":[],"class_list":["post-4774","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-es"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/posts\/4774","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/comments?post=4774"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/posts\/4774\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/media\/83687"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/media?parent=4774"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/categories?post=4774"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/tags?post=4774"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}