En esta mi primera entrada, voy a introducir la norma BS 25999, la cual seguramente sea el tema de mi tesina de máster. Probablemente el término BS 25999 pueda resultar poco conocido, pero si hablamos de plan de continuidad de negocio seguro que el concepto les suena más. Lo que propone esta norma es tratar la continuidad de negocio como un sistema de gestión de la continuidad de negocio (SGCN), ofreciendo la posibilidad de algo que está de “moda”: CERTIFICARSE.
A pesar de lo poco extendida que está, esta norma no es nueva, puesto que fue publicada en 2006 y 2007 respectivamente. Consta de dos partes:
- BS 25999-1, propone un código de buenas prácticas para la gestión de la continuidad de negocio
- BS 25999-2, propone especificaciones para la implantación SGCN
Grosso modo esta norma ofrece un marco de trabajo para desarrollar la continuidad de negocio, marcando una serie de pautas que nos permiten definir unos planes de continuidad. Estos estarán basados en estrategias de continuidad que se han seleccionado en base a la criticidad de los servicios corporativos como resultado del BIA (Business Analysis Impact). Podríamos empezar a hablar de términos como RPO y RTO, pero llenaríamos demasiadas páginas y habrá otras ocasiones mejores.
Algunas de las ventajas que aporta esta norma son:
- Establecer a través del BIA, de manera consensuada y sobre el papel cuales son los procesos críticos de negocio. Esto debe hacerse de un modo homogeneizado y no viciado por la visión de cada responsable de área que mira, ni por tanto desarrollado exclusivamente por el área de sistemas
- Permite tomar consciencia de los riesgos a los que se está expuesto y la repercusión que pueden tener en la entidad
- Permite definir una estrategia razonable (coste/beneficio) de continuidad
- Como toda certificación, mejora la imagen de la entidad frente a clientes, accionistas o proveedores.
- En algunos casos, la definición de una estrategia de continuidad de negocio es requisito indispensable para conseguir determinados concursos o contrataciones.
Como caso curioso, algo que me llamó la atención durante la realización de una jornada sobre la norma BS25999 y el virus H1N1 (Gripe A para los amigos), fue la perspectiva de Deutsche Bank (certificada BS25999), que asumiendo la baja del personal por infección y para limitar el contagio, ha optado por establecer una política de teletrabajo en muchas aéreas de trabajo (lo cual me recuerda cierto control de la 27002). Esto ha conllevado replantear la estrategia de continuidad debido a:
- La posibilidad de que los administradores no puedan acceder remotamente a sistemas.
- El incremento de ancho de banda tanto de subida como de bajada por el teletrabajo.
- El incremento de servicios como email, copias, accesos VPN también debido al teletrabajo.
- La tendencia a externalizar servicios para reducir costes.
Como se puede comprobar, el cambio de contexto obliga a redefinir la continuidad de negocio, por lo que establecer un sistema de gestión con todo su ciclo PDCA es necesario si queremos tener soluciones de continuidad adecuadas en todo momento. Para concluir, desaconsejo la lectura de la norma a quien espere encontrar en esta norma una guía de cómo migrar sus sistemas a un entorno virtualizado que ofrezca alta disponibilidad, o la respuesta a cual es la solución más optima para levantar un sitio replicado adecuado a sus sistemas. Para hacer eso, el enfoque es significativamente diferente al de la BS 25999.
(Imagen titulada “Somewhere over the rainbow / Too much noise about H1N1”, de Rétrofuturs (Hulk4598) / Stéphane Massa-Bidal’s)
Al final, tal y como comentas, adoptar soluciones o trabajar en el contexto de las posibles situaciones conlleva re-adaptar la infraestructura para poder estar preparados para la crisis que se avecina, llevando al final a las corporaciones a cambiar su método de trabajo de forma definitiva – inicialmente guiado por una posible crisis -, se dé o no la crisis o la situación de contingencia.
Es un buen driver para realizar cambios que en otro contexto no se permiten o no existe justificación. El negocio siempre se suele ver beneficiado y continuado.
Un saludo.
Interesante el artículo.
Creo que estaría bien disponer de un enfoque real de lo que sería la implantación de esta norma respecto a la parte correspondiente en la ISO 27002.
Por otra parte, ¿hasta que punto esta norma es conveniente para las empresas? Lo Comento por que quizas está muy enfocada a grandes infraestructuras de continuidad, tipo bancos o aseguradoras, y no cuadraría mucho en lo que sería una PYME.
Un saludo
El mapeo con el dominio 14 de la 27002 es directo.
En una PYME,pues depende, el concepto PYME abarca empresas de hasta 250 empleados y tambien depende el entorno de negocio. Obviamente implantar una ISO 27001 o esta BS25999 en una guarderia con un portatil es descabellado, pero a lo mejor en un ISP de tamaño medio no es para nada un disparate.
Yo no descartaría su implatanción en una PYME, pero si en una microPYME
Aunque existe un mapeo evidente entre la BS y el dominio de continuidad de negocio de la 27002, el enfoque de ésta es el clásico “there should be…” (se debería implantar un proceso de continuidad de negocio para minimizar el impacto de posibles amenazas sobre el dominio protegible, se deberían identificar las posibles amenazas, se debería desarrollar un BCP, etc.).
La BS entra al “cómo”, pero como bien dice Toni desde el punto de vista de la continuidad de negocio, no desde la contingencia TIC, y con la visión de mejora continua del PDCA.