BS 25999 – Gestión de la

Continuidad del Negocio (BCM)

Mario Ureña Cuate

CISSP, CISA, CISM, CGEIT

Director General
Secure Information Technologies
 2

Agenda
• Introducción
• Desarrollo de la BS 25999
• El modelo de Gestión y Contenido de la BS 25999
• Porque Certificarse?
• Cursos de Continuidad del Negocio
 3

Introducción
 4

Situaciones reales

México, D.F. 06 de Octubre de 2008

San Juan Ixhuatepec. 1984

México, D.F. 19 de Septiembre de 1985 Empresa que cotiza en bolsa,

10 de Octubre de 2008

Huracán Nora, Acapulco. 1997

Bomba, México, D.F. 15 de Febrero de 2008

New York, USA. 11 de Septiembre de 2001

Inundación en Veracruz. 1999 México, D.F. 04 de Noviembre de 2008

Fuente: SecureInformationTechnologies
 5

Que no nos sorprendan sin un plan

“Well, thank God we all made it

out on time… ‘Course, now we
are equally screwed.”

“Bueno, gracias a Dios que

todos logramos salir a tiempo…
Por supuesto, ahora estamos
igualmente fregados.”
 6

Que no nos sorprendan sin un plan

¿Era mejor salirse o quedarse?

¿Quién ordeno salir?
En este “sitio alterno”… ¿se
cuenta con los recursos
mínimos para sobrevivir?
¿Cuáles son estos recursos?
?
? ? ? ¿Cuánto tiempo podemos
sobrevivir sin… por ejemplo…
agua?
Y una vez que se apague el
fuego… ¿como regresar?
 7

Enfoque tradicional
Planificación
del proyecto

Análisis y
Evaluación
de riesgos
El Proceso de Planificación Mantenimiento y
de la continuidad del actualización
Análisis de negocio
Impacto al
negocio

Desarrollo
de estrategia
Concientización
y capacitación El plan

Desarrollo
del plan
Prueba y
ejercicio
Fuente: SecureInformationTechnologies
 8

Enfoque tradicional
Administración
de la Continuidad Plan de
del Negocio (BCM) Continuidad de
las Operaciones
(COOP)

Plan de Plan de
Emergencias Respuesta a
(OEP) Incidentes

Análisis de
Impacto al
Negocio
(BIA)
Plan de
Comunicación Planes de
de Crisis Análisis de Contingencia
Riesgos y (CP)
Amenazas
(TRA)

Plan de
Reanudación Plan de
del Negocio Recuperación
(BRP) de Desastres
(DRP)
Plan de
Elemento base Continuidad del
Negocio
Orientado a TI (BCP)
Orientado a las instalaciones

Orientado al negocio

Fuente: SecureInformationTechnologies. Adaptado del NIST.

 9

Desarrollo de la BS 25999
 10

Gestión de la Continuidad del Negocio

¿Dónde Estábamos?
• Publicación de la PAS 56 en 2003
• “PAS – Public Available Specification” es una norma
“informal” producida por un número limitado de expertos;
• Buen inicio para el debate de la gestión de la continuidad
del negocio;
• Ofreció una visión de lo que debería ser una norma
Nacional (UK) y Europea relativa al tema;
• Demostró que la Gestión de la Continuidad del Negocio
es una disciplina;
 11

Gestión de la Continuidad del Negocio

¿Dónde Estábamos?
• Ofreció un enfoque consistente entre diferentes
sectores;
• Ayudó a que la Gestión de la Continuidad del Negocio
sea tomada de forma más seria;
• Crecimiento del consenso de cuales son las mejores
prácticas, al menos para Organizaciones grandes;
• Consulta hecha para evaluar el futuro de la PAS 56;
• Nuevo comité técnico establecido en 2005 para dar
respuesta a la consulta y desarrollar la BS 25999
 12

Respuesta de la Encuesta sobre la

necesidad de desarrollo de la BS 25999
View Poll Results: Do you support the development of a formal BSI standard for BCM

YES 790 94.84%

No 15 1.80%

Undecided 28 3.36%

Voters: 833.

View Poll Results: Should there be a Validation scheme as part of the Standard

Yes, there should a BCM plan Validation

606 80.26%
scheme

No, The standard will be enough. Companies

37 4.90%
can check plans out if they need to

Undecided 112 14.83%

Voters: 755.
Source: http://www.continuityforum.org/
Date: 18 October 2006
 13

Gestión de la Continuidad del Negocio

¿Dónde Estábamos?
• Decisión de publicar en 2 partes:
Parte 1: Código de Práctica
Parte 2: Especificaciones
• La publicación del borrador de la BS 25999-1 en Agosto
del 2006 para comentarios llamó la atencion del
mercado:
Descarga de 5,000 copias, mientras que en otras normas
tenemos menos de 250;
Más de 70 tipos de comentarios distribuidos en 300 páginas
 14

Gestión de la Continuidad del Negocio

¿Dónde Estamos?
• Publicación de la BS 25999-1 “Código de Practica” en
Noviembre del 2006 con amplio acuerdo en lo que
serían las mejores prácticas;
• Retiro de la PAS 56 con la publicación de la BS 25999;
• Mejor entendimiento de los beneficios en un creciente
número de Organizaciones;
• Gestión de la Continuidad del Negocio como parte
integrante y clave del proceso de gestión de riesgos;
• Reconocimiento de que puede ayudar a reducir
interrupciones del negocio.
 15

Gestión de la Continuidad del Negocio

¿Para dónde vamos?
• No más visto como “moda”, y sí parte integrante del
proceso de gestión del negocio;
• Integrado a través de todas las funciones del negocio;
• No más visto como una especialidad dentro de la
tecnología de información;
• Desarrollo de la BS 25999:2 “especificaciones” con el
objetivo de establecer los requerimientos, permitiendo
evaluación de procesos y certificación – publicada en
Noviembre del 2007.
 16

BS 25999-1:2006 – Código de Practica

1. Alcance y Aplicación

2. Términos y Definiciones

3. Gestión de Continuidad del Negocio – Visión General

4. Política de Gestión de Continuidad del Negocio

5. Gestión del Programa de Continuidad del Negocio

 17

BS 25999-1:2006 – Código de Practica

6. Entendiendo la Organización

7. Determinando Estrategias de Continuidad del Negocio

8. Desarrollo e Implementación de Respuestas a BCM

9. Ejercitando, Manteniendo y Analizando el plan de BCM

10. Fijando el BCM en la Cultura de la Organización

 18

BS 25999-2:2007 – Especificación
1. Alcance

2. Términos y Definiciones

3. Planeación del Sistema de Gestión de BCM

4. Implementando y Operando el Sistema

5. Monitoreo y Revisión del Sistema

6. Mantenimiento y Mejora del Sistema

 19

Conclusión
• La Continuidad de Negocio está en el tope de la
agenda de las Organizaciones
ƒ La alta administración tiene crecientes responsabilidades de
gobernancia corporativa;
ƒ Se incrementa constantemente el énfasis en riesgos del
negocio
• BS 25999-1 es el inicio y la BS 25999-2 provee una
estructura de sistema de gestión incluyendo requisitos
básicos para la auditoria y certificación de 3a parte:
ƒ Permitirá la determinación del grado de cumplimiento en
relación a los requerimientos de la norma;
ƒ Demostrará a terceras partes el grado de seriedad tomado.
 20

Conclusión
• BS 25999 no es la primera norma sobre el tema
ƒ Japón, Australia, Singapur y Austria ya crearon normativas
para tratar del tema
• No hay iniciativas de la Comunidad Europea en este
momento;
• ISO está tratando el tema en el nuevo “Societal
Security Management System”.
 21

El modelo de Gestión
 22

Gestión de la Continuidad del Negocio

Definición
“La gestión de la continuidad del negocio es un
proceso de gestión holístico que identifica
amenazas potenciales a la organización y sus
impactos a la operación.
Provee una estructura para construir resiliencia
(resistencia a ser afectada) organizacional con la
capacidad para la efectiva respuesta
salvaguardando los intereses de las principales
partes interesadas, reputación, marca y activos de
valor”
Fuente: BS 25999-2
 23

Beneficios de BCM
3.5 Los beneficios de un programa eficaz de BCM (BS 25999-1)
La organización:
• es capaz de identificar proactivamente los impactos de una
interrupción operativa;
• dispone de una respuesta efectiva ante interrupciones, minimizando
su impacto;
• mantiene la capacidad de gestionar riesgos no asegurables;
• fomenta el trabajo entre equipos;
• es capaz de demostrar una respuesta creíble a través de ejercicios;
• puede mejorar su reputación;
• puede ganar ventajas competitivas a través de la capacidad
demostrada de mantener la entrega de productos y servicios.
 24

Resultados de BCM
3.6 Los resultados de un programa efectivo de BCM (BS 25999-1):
• se identifican y protegen los productos y servicios claves, asegurando su continuidad;
• se activa la capacidad de gestión de incidentes para proporcionar una respuesta
eficaz;
• la auto-comprensión de la organización y se desarrolla, documenta y entiende
adecuadamente sus relaciones con otras organizaciones, órganos de regulación o
departamentos gubernamentales, autoridades locales y de servicios de emergencia;
• el personal es capacitado para responder eficazmente a un incidente o interrupción
mediante ejercicios apropiados;
• los requisitos de las partes interesadas son comprendidos y entregados;
• el personal recibe el soporte y comunicación adecuadas en el caso de una
interrupción;
• se asegura la cadena de suministro de la organización;
• se protege la reputación de la organización;
• la organización cumple con sus obligaciones legales y reglamentarias.
 25

Conceptos de Continuidad del Negocio

El concepto P-D-C-A
 26

Conceptos de Continuidad del Negocio

Ciclo de Vida
 27

Entender la Organización
 28

BS 25999-1:2006 - Contenido
Entendiendo la Organización

ƒ Identificación de las partes interesadas – quien son, que desean

y necesitan;
ƒ Como la organización cumple con las necesidades de las partes
interesadas;
ƒ Potenciales amenazas;
ƒ Probabilidad de ocurrencia;
ƒ Como la organización es impactada;
Analice de Impacto al negocio (parte interesada afectada, tipo de
impacto, nivel de servicio mínimo, tiempo aceptable para lograr el
nivel de servicio mínimo y tiempo para recuperación total.
 29

Determinar las estrategias de BCM

 30

BS 25999-1:2006 - Contenido
Determinando Estrategias de Continuidad del Negocio
ƒ Implementación de acciones para reducir la probabilidad de
incidentes;
ƒ Implementación de acciones para reducir el efecto de incidentes;
de continuidad para actividades críticas durante y
ƒ Provisión
después de incidentes;
de selección de estrategias es basado en costo,
ƒ Criterio
consecuencia y tiempo de recuperación;
ƒ Algunas estrategias pueden ser requeridas para los
siguientes recursos organizacionales:
- Personas - Instalaciones - Tecnología
- Información - Proveedores - Partes Interesadas
 31

Desarrollar e implementar la respuesta

de BCM
 32

BS 25999-1:2006 - Contenido
Desarrollo e Implementación de Respuestas a BCM

ƒ La estructura del programa de respuesta debe incluir:

- Confirmación de la naturaleza y extensión del incidente;
- Toma de control de la situación;
- Contención del incidente;
- Comunicación con partes interesadas;
- Recuperar las actividades de la organización
Se deben establecer planes para reaccionar a un incidente
(Incident Management Plan) y para recuperar la actividad de la
organización (Business Continuity Plan).
 33
Contención y limitación de daños. Invocar el BCP.
Cronograma Localización de personal y visitas. Reparación/sustitución de daños.
Atención de víctimas. Rehacer el trabajo en curso
Valoración de daños. perdido.
del incidente De minutos a horas. Recuperación de costes de las
Reubicación en puesto de trabajo aseguradoras.
De minutos a horas: permanente. De semanas a meses.
Localización de personal y visitas. Contactar a la plantilla, clientes, De horas a días.
Atención de víctimas. proveedores, etc.
¡Incidente!
Contención y limitación de daños. Recuperación de procesos de negocio
críticos.
Valoración de daños.
Invocar el BCP.

Cronograma

Respuesta al incidente
Continuidad de negocio
De horas a días:
Contactar los empleados,
clientes, proveedores, etc.
Recuperación de procesos
de negocio críticos.
Rehacer el trabajo en
curso perdido.
De semanas a meses:
Reparación/sustitución de
daños.
Traslado a puesto de trabajo
permanente.
Recuperación de costos de las
aseguradoras
Recuperación/reanudación – vuelta a la normalidad
 34

Planes: contenidos del IMP y BCP

• Plan de Gestión de Incidentes
ƒ Respuesta inicial
ƒ Contactos de emergencias
ƒ Asistencia a las personas (bien estar)
ƒ Respuesta ante los medios de comunicación
ƒ Gestión de las partes interesadas
ƒ Punto de reunión (centro de comando)
 35

Planes: contenidos del IMP y BCP

• Plan de Continuidad de Negocio
ƒ Acciones a tomar
ƒ Requerimientos de Recursos (personas,
instalaciones, tecnología, etc.)
ƒ Responsabilidades
 36

Probar, mantener y revisar

 37

BS 25999-1:2006 - Contenido
Probando/Ejercitando, Manteniendo y Analizando el plan de BCM

ƒ Laefectividad del programa solamente puede ser validada a

través de ejercicios;
ƒ Losejercicios son esenciales para el desarrollo del trabajo de
equipo, mejora de la competencia, confianza y conocimiento;
ƒ Los ejercicios pueden incluir:
Evaluación de sistemas técnicos, logísticos,
administrativos, procedimientos y otros;
Evaluación de infraestructura;
Validación de recuperación de tecnología y telecomunicaciones,
incluyendo la disponibilidad y cambio del local de trabajo del personal
 38

Beneficios de las pruebas

• se practica la capacidad de la organización para recuperarse
de un incidente;
• se verifica que el BCP incorpora todas las actividades críticas
de la organización y sus dependencias y prioridades;
• sale a la luz suposiciones que necesitan ser cuestionadas;
• infunde confianza entre los participantes en los ejercicios;
• publicando los resultados de los ejercicios, aumenta la
concienciación de BCM en toda la organización;
• validan la eficacia y puntualidad de la restauración de
actividades críticas;
• demuestran la competencia de los equipos de repuesta
inmediata y sus alternativas.
 39

Tipos de pruebas – ejercicios

Frecuencia
Complejidad Ejercicio Proceso recomendable Beneficios Limitaciones

Rapidez, no provoca Menor probabilidad de

Baja Revisión sobre el Revisión / modificación del crear competencias o
papel (“desk-check”) Al menos, anualmente interrupciones,
BCP requiere pocos probar procesos.
recursos.

Rapidez, no provoca Como la anterior:

Recorrido guiado del Cuestionamiento del interrupciones, re- puede que no presente
plan (“walk-through”) contenido del BCP Anualmente quiere pocos recur- desafíos reales.
Media sos. Revisa proce-
sos de principio a fin.

Uso de una situación

“artificial” para validar que
Simulación el BCP contiene la Anualmente o dos Verifica los planes Emplea más recursos.
información necesaria y veces al año más a fondo. Situación artificial.
suficiente para permitir una
recuperación con éxito.

Invocar el plan en una Mayor probabilidad

situación controlada que no de presentarse situa- Emplea más recursos.
Probar las actividades pone en peligro la actividad Anualmente o menos
ciones y problemas Sólo comprueba acti-
críticas del negocio. vidades percibidas
reales. No provoca
interrupciones. como críticas.

La forma de prueba
Probar el BCP Prueba a nivel de más minuciosa. Crea Grandes interrupciones.
Alta completo, incluyendo edificio/campus/zona de Anualmente o menos competencias y Gran uso de recursos.
gestión de incidentes exclusión. valida planes.
 40

BS 25999-1:2006 - Contenido
Fijando el BCM en la Cultura de la Organización

ƒ Para tener éxito hay que integrar los principios de BCM dentro
de la organización.
Apoyado por:
ƒ Liderazgo de la alta administración;
ƒ Definición de responsabilidades;
ƒ Creciente conocimiento;
ƒ Capacitación;
ƒ Ejercicios.
 41

Porque Certificarse?
 Contents slide 42

Porque certificarse?
Es una inversión segura y de retorno garantizado.

Los beneficios de la implementación de un sistema de

gestión son amplios y fueron presentados anteriormente.
En adición a estos beneficios, la obtención de la
certificación provee:
• Credibilidad
• Seguridad al mercado
• Transparencia
• Maximiza competitividad
 Contents slide 43

Porque certificarse?
Es una inversión segura y de retorno garantizado.

• Evita el riesgo de implementación inadecuada, falta de

actualización y mantenimiento débil, consecuentemente:
Promover aplicación de tecnología
Dirección a inversiones efectivas
Maximiza recursos
Promover mejora continua
Promover innovación
• Promover compromiso y cambio cultural
• Maximiza el potencial de crecimiento y de acceso a
mercados
 Contents slide 44

Porque certificarse?
Es una inversión segura y de retorno garantizado.
• Cumplimiento a requisitos contractuales y reglamentarios
• Un mecanismo reglamentado de evaluación continua,
identifica vulnerabilidades, no conformidades, debilidades,
fragilidades, oportunidades de mejora y fortalezas antes
que la empresa sufra con las consecuencias en la practica
• Evidencia objetiva de la gestión adecuada de los riesgos
relacionados a la continuidad del negocio, tanto para los
ejecutivos, como inversionistas, clientes, etc
 45

Cursos Disponibles
 46

Cursos de formación en BS 25999

• Introducción
ƒ Proporciona una introducción a la norma y a su importancia y
aplicación para usted y su organización.
• Implementación (basada en BS 25999-2)
ƒ Un curso eminentemente práctico para implantar el estándar en
su negocio y obtener el máximo de él.
• Auditor interno (basado en BS 25999-2)
ƒ Proporciona las habilidades y conocimientos para dirigir
eficazmente auditorías internas de conformidad con la norma.
Son especialmente adecuados para responsables del
mantenimiento y gestión de un estándar.
 47

Cursos de formación en BS 25999

• Auditor Líder (basado en BS 25999-2)
ƒ Diseñado tanto para auditores externos como internos que
desean llevar sus habilidades y conocimientos a un nivel
superior. Los cursos proporcionan a los alumnos los
conocimientos y habilidades necesarias para dirigir una
auditoría.
ƒ Proporcionan a los gestores internos un conocimiento detallado
del proceso de auditoría externa y dan una visión profunda de
cómo puede obtener la empresa el máximo del proceso de
auditoría y certificación. Muchos de nuestros cursos de auditor
líder están acreditados por entidades internacionales, como
IRCA o RABQSA, e incluyen un examen al final de los mismos,
que lleva a la certificación.
 48

Próximos Cursos - Guadalajara

• Interpretación de la norma BS25999
15 y 16 de Abril
• Implementación de la norma BS25999
17 y 18 de Abril
 49

Herramienta de auto-evaluación de BS 25999

• Una nueva herramienta que le ayudará a evaluar las prácticas
de gestión de continuidad de negocio de su organización
frente a BS 25999 parte 1.
• Incluye asistencia práctica sobre cómo obtener lo mejor del
estándar, junto con indicaciones sobre el establecimiento del
proceso, los principios y la terminología de BCM.
• Puede ayudarle a prepararse para la evaluación externa
independiente y certificación por BSI Management Systems.
• Formato software basado en web, amigable y fácil de
entender. Para más información, incluida una demo online:
ƒ www.bs25999assessment.com
 50

Conclusiones
 51

Errores más comunes

1. Plan de respuesta de emergencia etiquetado como DRP/BCP
2. La asistencia externa dirigirá nuestra recuperación
3. El seguro se encargará del asunto
4. Información organizada de manera poco efectiva
5. El formato es muy complejo
6. Suplentes no identificados
7. Información no actualizada
8. Escenarios de un solo site
9. Sincronización de datos
10. Copias no accesibles
11. Lista de acceso a la localidad
 52

22. Eso no nos va a pasar a nosotros !!

México, D.F. 06 de Octubre de 2008

San Juan Ixhuatepec. 1984

México, D.F. 19 de Septiembre de 1985 Empresa que cotiza en bolsa,

10 de Octubre de 2008

Huracán Nora, Acapulco. 1997

Bomba, México, D.F. 15 de Febrero de 2008

New York, USA. 11 de Septiembre de 2001

Inundación en Veracruz. 1999 México, D.F. 04 de Noviembre de 2008

Fuente: SecureInformationTechnologies
 53

Conclusión
• La Continuidad de Negocio está en el tope de la
agenda de las Organizaciones
ƒ La administración tiene crecientes responsabilidades de
gobernabilidad corporativa;
ƒ Se incrementa constantemente el énfasis en riesgos del
negocio
• BS 25999-1 es el inicio y la BS 25999-2 provee una
estructura de sistema de gestión incluyendo requisitos
básicos para la auditoria y certificación de 3a parte:
ƒ Permitirá la determinación del grado de cumplimiento en
relación a los requerimientos de la norma;
ƒ Demostrará a terceras partes el grado de seriedad tomado.
 54

Conclusión
• BS 25999 no es la primera norma sobre el tema
ƒ Japón, Australia, Singapur y Austria ya crearon normativas
para tratar del tema
• No hay iniciativas de la Comunidad Europea en este
momento;
• ISO está tratando el tema en el nuevo “Societal
Security Management System”.
 55

PREGUNTAS?
 Contents slide 56

Contáctenos

Dirección: BSI Management Systems México

Paseo de la Reforma, 505
Piso 41 Suite C, Distrito federal,
México

Telefone: (5255) 5241 1370

Fax: (5255) 5241 1371
Email: Informacion.msmexico@bsigroup.com
Web: http://www.bsigroup.com.mx
 Contents slide 57

Contáctenos
Miembro

Mario Ureña Cuate,

Nombre: CISSP, CISA, CISM, CGEIT

Posición: Director General

Associated Consultant Program
Empresa: Secure Information Technologies

Teléfono 1: (5255) 5524 8091

Teléfono 2: (5255) 5524 7582
Email: mario.urena@secureit.com.mx
Web: http://www.secureit.com.mx
 58

Gracias
 59

Próximos Cursos - Guadalajara

• Interpretación de la norma BS25999
15 y 16 de Abril
• Implementación de la norma BS25999
17 y 18 de Abril