BS 25999, la nueva norma para Sistemas de Gestión de la Continuidad del Negocio
INTRODUCCIÓN A LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO En los últimos años la gestión de la continuidad del negocio ha incrementado su protagonismo, fundamentalmente en el ámbito de las grandes empresas que, cada vez, más se preocupan por disponer de una previsión eficaz para afrontar aquellas situaciones que puedaninterrumpir y poner en riesgo la continuidad de sus actividades. Esta preocupación se ha extendido a los accionistas y clientes de las grandes empresas que desean conocer qué procedimientos existen para afrontar situaciones de discontinuidad en el negocio motivadas por cualquier tipo de desastre. La ocurrencia de desastres (incendios, inundación, etc.) en grandes edificios de oficinas y otrasinstalaciones ha incrementado esta preocupación, y ha generado una demanda en relación a un modelo de gestión que pueda afrontar estas situaciones eficazmente. Esta demanda motivó que British Standards Institution (BSI) iniciase un proceso de desarrollo de normas específicas sobre la gestión de la continuidad del negocio, que ha dado como resultado la publicación de dos normas en los últimos años: •“BS 25999-1 Gestión de la continuidad del negocio. Código de práctica”: Publicada en noviembre de 2006, como una guía de implantación del modelo de gestión. • “BS 25999-2 Gestión de la continuidad del negocio. Especificación”. Publicada en diciembre 2007, como una especificación de requisitos para un sistema de gestión de continuidad de negocio y, por lo tanto, con la posibilidad de certificación deaquellas organizaciones que cumplan los requisitos de esta norma. La gestión de la continuidad del negocio puede generar una gran cantidad de situaciones que pueden interrumpir el funcionamiento normal de una organización, por ejemplo: a. Situaciones asociadas a los propios recursos de la organización: • Destrucción de las instalaciones (incendio, inundación…). • Indisponibilidad de recursoshumanos en puestos clave de la organización. • Avería de los medios de producción y almacenamiento. • Avería de los sistemas de información y telecomunicaciones. • Pérdida de información, tanto en soporte magnético como en soporte papel. b. Situaciones asociadas a suministradores (materias primas, energía…) y subcontratistas. Por ejemplo: • Interrupción del suministro de recursos energéticos(electricidad, agua, gas…). • Falta de suministro de materias primas. • Interrupción de las actividades de subcontratistas de procesos productivos. • Interrupción de las actividades de subcontratistas de procesos auxiliares (transporte, mantenimiento, etc.). Como es fácilmente entendible, la importancia relativa de este tipo de posibles situaciones varía radicalmente de una organización a otra en funcióndel tipo de actividad a la que se dedique y del modelo de negocio que hayan implementado. De este modo, cada organización deberá identificar cuáles son los riesgos que pueden afectar de forma crítica a la continuidad de su negocio y realizar la provisión y planificación necesaria para poder
ARTÍCULO
[16] calidad
octubre 2008
seguir funcionando de forma “cuasi-normal” hasta que serestablezcan sus condiciones normales de funcionamiento. INTRODUCCIÓN A LA NORMA BS 25999 Tanto el código de práctica (BS 25999-1) como la especificación (BS 25999-2) se estructuran en dos partes: A. Desarrollo del sistema de gestión de continuidad del negocio Los aspectos clave del desarrollo son los siguientes: a. Planificación de requisitos. Deben desarrollarse los requisitos, objetivos yexpectativas esperadas del sistema de gestión. b. Suministradores y subcontratistas. Debe analizarse la capacidad de continuidad del negocio de los suministradores y subcontratistas. c. Política. Debe desarrollarse una política que defina las líneas estratégicas de la gestión de la continuidad del negocio. d. Provisión de recursos. Debe determinarse qué recursos se requieren para hacer funcionar el…