Norma BS 25777 sobre Gestión de la Continuidad TI

En junio del año pasado tuvimos la oportunidad de asistir a la presentación de la traducción al castellano de la norma BS 25999 sobre Gestión de la Continuidad de Negocio (GCN). Desde entonces se han sucedido los eventos y los artículos sobre el tema, lo que ha contribuido a la difusión de esta norma así como a su progresiva implantación y al incremento de las organizaciones certificadas en ella en nuestro entorno.

Sin embargo, aún hoy existe cierta confusión al respecto de lo que significa «Gestión de la Continuidad de Negocio». Y es que hemos podido constatar cómo a menudo ésta se relaciona directa, incluso exclusivamente, con los planes de continuidad TI. Es evidente que las TI son fundamentales para la continuidad del negocio de muchas organizaciones, sin embargo no lo son en todos los casos, ni la garantía de su continuidad, por sí misma, garantiza siempre la del negocio. La continuidad de éste tiene mucho más que ver con la gestión de la información, el conocimiento, las relaciones, etc.

Pero volvamos a lo esencial, y es que la interrupción de las TI en una organización puede representar un gran riesgo para ésta, pudiendo afectar gravemente a las operaciones, socavar su reputación pública, etc. Así pues, y dadas sus peculiaridades, es preciso disponer de procesos de Gestión de la Continuidad TI (GCTI) que den soporte específico a la GCN, asegurándose de que las infraestructuras y los servicios TI son robustos ante las amenazas y, cuando menos, en caso de interrupción pueden recuperarse en un marco temporal de acuerdo a las necesidades del negocio. Justamente éste es el propósito de la, recién publicada, norma BS 25777:2008. Esto es, proporcionar recomendaciones al respecto de la gestión de la continuidad TI, allí donde la norma BS 25999-1 no proporcionaba el detalle suficiente, dado su enfoque primordial en el negocio.

bsi_business_information

El origen de esta nueva norma se sitúa en 2006 cuando el British Standards Institution (BSI) publicó, en colaboración con diversas empresas del sector TI, un documento denominado PAS 77, como código de buenas prácticas para crear un plan de continuidad de servicios de TI. Originalmente se pensó en desarrollar el estándar BS 25777 a partir de PAS 77 en dos partes entre 2008 y 2009. Por una parte, BS 25777-1, como código de buenas prácticas sobre cómo abordar la gestión de la continuidad de servicios TI en una organización. Por otra parte, BS 25777-2, que especificaría los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión de continuidad de servicios TI, además de permitir auditar y certificar los sistemas de gestión de las organizaciones. La norma publicada el 31 de diciembre de 2008 corresponde a la primera parte, pero, a la vista de la numeración con la que se ha publicado y lo que se comenta en el sector, es posible que la segunda parte no llegue nunca, dando por bueno lo que al respecto ya especifica la norma BS 25999-2.

Así pues, habrá que ver cómo evoluciona esta nueva norma, qué grado de acogida tiene por sí misma, o si sólo la veremos en el contexto de la implementación de su hermana mayor la BS 25999. Por otra parte, será interesante ver hasta qué punto encaja con las buenas práctica recogidas en el proceso de Gestión de la Continuidad del Servicio TI de ITIL o con los objetivos de control de la ISO 27001 al respecto de la Gestión de la Continuidad de Negocio, por ejemplo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *