miércoles, 13 de mayo de 2009

La importancia del BCP

Hace poco más de una semana que en la lista de distribución de ISO27001security se viene discutiendo un tema que suele ser recurrente en las auditorías que he realizado. El thread se centra en la falta de completitud del Plan de Continuidad de Negocio (BCP por sus siglas en inglés) o su inexistencia.

¿Puede pasarse una auditoría de certificación sin elaborar y probar un BCP?

NO. La falta del BCP constituye una No Conformidad Mayor y supone no pasar la auditoría.

¿Puede ser mi BCP una hoja donde se diga cómo restauro las copias de seguridad?
Esta es la posición de alguien de la lista. De nuevo NO, esto no es un Plan de Recuperación del Desastre (DRP por sus siglas en inglés), es un BCP y NO ES LO MISMO.

Hagamos de abogados del diablo y pongamos que damos por suficiente esa hojita con las instrucciones para restaurar las copias de seguridad. Ahora pensemos que hay un cortocircuito en la oficina principal provocando un incendio y por ende la pérdida de gran parte de lo que allí se ubicaba. Suponiendo que haya una copia fuera de dicha oficina, se nos vendrá encima un aluvión de dudas entre las cuales podemos encontrar:
  • ¿Quién es responsable de cada una de las tareas necesarias para recuperar el funcionamiento mínimo de la organización?
  • ¿Dónde deben ser restaurados los sistemas, puestos en funcionamiento los procesos mínimos de operación y ubicadas las personas?
  • ¿Qué equipos deben ser adquiridos o transladados?, ¿qué personas deben ser contactadas?, ¿qué infraestructura es necesaria para la operación mínima de la organización?
  • ¿Cómo contacto con los proveedores necesarios para abastecerme del material necesario?
  • ¿Cuándo debo contactar con cada proveedor?, ¿cual es el órden en el que los diferentes implicados deben ser avisados?.
Y esto es sólo una muestra de lo que habría que resolver para que un BCP sea realmente un BCP.

¿Por qué es tan importante un BCP?

El BCP es la última línea de vida de una empresa. Cuando las contramedidas fallan, el BCP es la última esperanza de supervivencia de una empresa. Acontecimientos como el ocurrido en las Torres Gemelas o el del edificio Windsor ponen de relevancia este aspecto en ocasiones infravalorado dentro de las organizaciones.

El BCP consigue hacer previsto un imprevisto que puede costar la supervivencia de la empresa. De hecho, ya existe una norma británica que trata este aspecto en profuncidad conocida como BS 25999.

Salu2!!

2 comentarios:

Anónimo dijo...

Pues si tan importante es, porqué es tan difícil encontrar información útil para llevarlo a cabo?
Gracias a diós que hay "rulando" por internet una tesis de una tal Laura... la verdad, me ha sido de gran utilidad, por encima de todo, el caso práctico...
Creo que debería haber casos prácticos de todos los requisitos de la ISO 27k. Un ejemplo o plantilla de cada documento.
Yo voy todo loco buscando tal cosa y pidiendo en listas y foros y nadie cede su material. Si son profesionales que han hecho tal tarea internamente, no publican su información; si son profesionales que se dedican a esto como servicio a otras empresas no facilitan nada por quedarse sin su "negocio".
Estoy bastante quemadiyo con estas cositas...
Las premisas de la norma, el enunciado de los controles, en general, todo es muy difuso y poco concreto. Dá pié a que dos versiones de lo mismo puedan ser válidos, una versión super detallada y otra muy supérflua...

Quizá me equivoque y haya un repositorio de plantillas y ejemplos en alguna web. Ojalá!

por cierto, mi comentario no es directamente sobre tu entrada, que me parece más que correcta, para los que estén empezando a rascar la superfície de aquellos que pretenden certificar algo 27k.

saludos!

Miguel Ángel Hernández Ruiz dijo...

Aunque lo que en este post se comenta resulte para ti tan obvio, te puedo asegurar que ha sido objeto de múltiples opiniones en la lista de distribución iso27001security.

En la lista que te he mencionado anteriormente la gente suele colaborar con material de forma que si lo que quieres es algún ejemplo de BCP, yo de ti lo intentaría y lo solicitaría, date de alta en la lista en:
www.iso27001security.com
donde además vas a encontrar un toolkit completamente libre con ejemplos de documentos que si te soy sincero no he visto y no te puedo decir si contiene o no un BCP.

Espero que esto te ayude.

Un cordial saludo.