Las empresas deben estar preparadas para enfrentar desastres y otras interrupciones comerciales mediante la implementación de planes de continuidad del negocio. Estas interrupciones pueden derivarse de vulnerabilidades y amenazas, como intrusiones de códigos maliciosos, robos de información, negaciones de servicio, daños físicos a equipos o ataques internos.
Se efectúa para establecer cuáles desastres y demás interrupciones en las actividades comerciales podrían producirse y cuáles serían sus consecuencias; pero también para determinar qué vulnerabilidades y amenazas podrían llevar a esas interrupciones comerciales.
Las actividades de respuesta a incidentes de seguridad en la información constituyen un desafío de supervivencia para las empresas que no están preparadas para afrontarlas. Por ello, es necesario que la empresa cuente con guías, métodos, procedimientos y apoyo de recursos materiales que garanticen a la empresa recuperarse del incidente.
Es una norma británica que rápidamente se ha convertido en la principal norma para gestión de la continuidad del negocio, (se predice
que será aceptada como una norma internacional (ISO 22301)).
Consiste en una serie de “recomendaciones o buenas prácticas”, facilita la recuperación de los recursos que permiten el funcionamiento normal de un negocio, en caso de que ocurra un desastre.
Es una norma certificable en la que se tiene como objeto la gestión del plan de continuidad del negocio fundamentalmente enfocado a la
disponibilidad de la información (Uno de los activos más importantes en la actualidad para cualquier organización).
Norma BS 25999 para la
continuidad del negocio
Evaluación de riesgos
De acuerdo con Rigante (www.isaca.org), los incidentes informáticos más
frecuentes son:
Negación del servicio en la red.
Daños físicos a los equipos o al edificio con daño a los datos.
Ataque por personal de la empresa.
Intrusión en el sistema de un código malicioso (virus).
Alteración, robo o daño a la información.
BS 25999-2
Procedimientos y documentos importantes
Mantenimiento de planes y sistemas.
Planes de continuidad del negocio.
Definición de estrategia de continuidad del negocio.
Análisis de impactos en el negocio y evaluación de riesgos.
Gestión de recursos humanos.
Política de SGCN: definición de objetivos, responsabilidades, etcétera.
Alcance del SGCN: identificación precisa de la parte de la organización en
la cual se aplica la gestión de la continuidad del negocio.
Nucleo (Plan de continuidad del negocio)
Fases
Mantenimiento y pruebas periódicas del plan de continuidad del negocio.
Comunicación y formación del plan de continuidad del negocio.
Implementación de los planes para la continuidad del negocio.
Desarrollo de planes para la continuidad del negocio.
Análisis de impacto en el negocio. Valoración del impacto de las amenazas en el negocio.
Evaluación e identificación de los riesgos (identificación de amenazas internas y externas).
Consta de 2 partes:
2°
Establece los requisitos para un sistema de gestión de la continuidad. Ésta es la parte de la norma que se certifica a través de una etapa
de implementación, auditoría y posterior certificación.
1°
Es un documento de orientación que proporciona las recomendaciones prácticas para la BCM (Bussines Continuity Management, o
gestión de la continuidad del negocio).