EL ESTÁNDAR ASIS / BSI BCM.01-2010 (Parte VII)

Implementación y Operación.

En cuanto a la Implementación del SGCO, el estándar indica que la gerencia debe garantizar la disponibilidad de recursos, incluyendo instalaciones, personal, equipamiento, infraestructura, tecnologías, información, inteligencia y recursos financieros. Estos deben ser suficientes para:

  • Establecer, implementar, operar, monitorear, revisar, mantener y mejorar continuamente el SGCO y sus estrategias de Continuidad Operacional;
  • Evaluar y participar en los acuerdos de interdependencia y ayuda mutua;
  • Mantener una adecuada capacidad proactiva y reactiva; y
  • Desarrollar y documentar los procedimientos financieros, logísticos y administrativos para apoyar las estrategias de continuidad, antes, durante y después de un incidente.

Para facilitar la gestión eficaz deben definirse, documentarse y comunicarse las Responsabilidades y Facultades de Autoridad, comenzando por las relacionadas con la Alta Dirección, que incluyen:

  • Designar un representante, con la debida autoridad y responsabilidad;
  • Asegurar que todo el personal directivo y otras partes interesadas son conscientes y responsables para apoyar el SGCO;
  • Identificar y empoderar al personal responsable de invocar planes y procedimientos de Continuidad Operacional, basados en factores desencadenantes y criterios de progresividad, así como de dar por terminadas las operaciones de respuesta y recuperación.
  • Identificar los equipos apropiados de Gestión de la Continuidad Operacional con la debida autoridad y responsabilidad para supervisar y ejecutar los esfuerzos de respuesta y recuperación.

Además de la asignación de responsabilidades y facultades de autoridad, la organización debe garantizar que toda persona a quien se asignen responsabilidades sobre la Continuidad Operacional sea Competente para realizar las tareas que correspondan:

  • Determinando las competencias requeridas en cada persona;
  • Analizando las necesidades y proveyendo la capacitación necesaria, de acuerdo con los requisitos de competencia;
  • Asegurando el desarrollo de desempeños competentes; y
  • Manteniendo registros de la educación, formación, habilidades, experiencia y calificaciones.

Además del aseguramiento de la Competencia Laboral, la organización debe establecer, implementar y mantener procedimientos de Sensibilización, para garantizar que las personas que trabajan para ella o en su nombre sean conscientes de:

  • Las estrategias y procedimientos de mitigación, respuesta, comunicación, recuperación y reanudación;
  • La importancia de la conformidad con la política de gestión de la Continuidad Operacional;
  • Sus funciones y responsabilidades particulares en el logro de la conformidad;
  • Los riesgos significativos y los impactos reales o potenciales, relacionados con su trabajo; y
  • Los beneficios de un mejor desempeño personal.

La organización debe promover el conocimiento para construir una cultura que asegure que la Continuidad Operacional se convierta en parte de sus valores fundamentales y de la gobernanza, evaluando la eficacia de los procedimientos de concientización, aseguramiento de la competencia laboral y formación, así como manteniendo los registros asociados.

El estándar especifica que La Documentación del SGCO debe incluir:

  • La descripción de la finalidad y el alcance del SGCO;
  • La política, los objetivos, metas y mediciones del SGCO;
  • La descripción de los principales elementos del SGCO y su interacción, y
  • Los documentos, incluyendo los registros, necesarios para asegurar la eficaz planificación, operación y mantenimiento de los procesos relacionados con los riesgos identificados, sus impactos y los planes de Continuidad Operacional.

Esta documentación debe ser revisada y actualizada de manera regular y cuando se produzcan cambios en la organización, por lo que deben establecerse, implementarse y mantenerse procedimientos para garantizar:

  • La aprobación de los documentos, su revisión y re-aprobación, ante cada cambio significativo;
  • La disponibilidad de las versiones pertinentes, para evitar el uso no intencionado de documentos obsoletos;
  • La identificación y control de la distribución;
  • La legibilidad, la recuperabilidad, el almacenamiento seguro, la protección contra daños, deterioro, pérdida, manipulaciones y acceso no autorizado.

En cuanto al Desarrollo e Implementación de la Respuesta de Continuidad Operacional, el estándar establece que la organización debe documentar, implementar y mantener planes y procedimientos, para manejar adecuadamente cualquier evento perjudicial y asegurar la continuidad de sus actividades, de acuerdo con los objetivos de recuperación identificados en el análisis del impacto del negocio. Los planes y procedimientos deben ser:

  • Determinar los protocolos de comunicación, internos y externos adecuados;
  • Especificar medidas inmediatas durante una interrupción;
  • Responder flexiblemente a escenarios imprevistos y a condiciones cambiantes;
  • Enfocarse en el impacto de los eventos con potencial de interrupción operativa;
  • Basarse en hipótesis establecidas; y
  • Demostrar efectividad en la reducción de las consecuencias, mediante estrategias apropiadas de mitigación.

Para asegurar la efectividad de la respuesta, la organización debe dedicar el personal necesario con la autoridad, experiencia y competencias requeridas. La Estructura de Respuesta debe:

  • Identificar los umbrales de impacto que justifiquen la iniciación de la respuesta;
  • Evaluar la naturaleza y el impacto potencial de un evento perjudicial;
  • Iniciar la respuesta de Continuidad Operacional adecuada;
  • Contar con planes, procesos y procedimientos para la activación, funcionamiento, coordinación y comunicación de la respuesta;
  • Disponer de los recursos requeridos para apoyar los planes, procesos y procedimientos encaminados a gestionar un evento perturbador o a trabajar para reducir el impacto, antes de que ocurra, y
  • Comunicarse con las partes interesadas y las autoridades, así como con los medios de comunicación.

Los Planes de Continuidad documentados, además de ser probados y evaluados periódicamente, deben definir:

  • Su propósito y ámbito de aplicación;
  • Sus objetivos, metas y métricas;
  • Los criterios de activación y los procedimientos;
  • Los procedimientos de implementación;
  • Las funciones, responsabilidades y autoridades;
  • Los requisitos y procedimientos de comunicación;
  • Las interdependencias e interacciones internas y externas;
  • Las necesidades de recursos, y
  • El flujo de información y procesos de documentación.

La organización debe establecer, implementar y mantener Procedimientos de Comunicación y Consulta que aseguren:

  • Recibir, documentar y responder a las comunicaciones de las partes interesadas internas y externas, incluyendo los medios de comunicación
  • Contar con un sistema de consulta sobre amenazas externas y / o internas, durante la planificación y para uso operacional;
  • El alertamiento a las partes interesadas potencialmente afectadas por un evento perturbador real o inminente;
  • La disponibilidad de los dispositivos de comunicación durante un evento perturbador;
  • La facilitación de la comunicación e interoperabilidad con autoridades, organizaciones y personal de respuesta; y
  • La operación y prueba de capacidades de comunicación, durante la interrupción de las comunicaciones normales.

0 Responses to “EL ESTÁNDAR ASIS / BSI BCM.01-2010 (Parte VII)”



  1. Dejar un comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s





A %d blogueros les gusta esto: