| 25 años generando CONFIANZA
Seguridad de la Información y Continuidad de negocio
La continuidad del negocio es un plan que se desarrolla para asegurar que los procesos críticos de un negocio se puedan mantener operativos y exista la disponibilidad de la oferta comercial de la empresa o servicio que se ofrece, a pesar de que existan incidentes disruptivos. Durante la ejecución del plan se deben utilizar los recursos mínimos necesarios para la operación de los procesos críticos. Y entre esos recursos mínimos necesarios se tiene que asegurar la confidencialidad, disponibilidad e integridad de los activos de información. Eso supone que dentro de la reserva de recursos disponibles es importante que se reconozca cuáles son la integridad, confidencialidad y disponibilidad que tiene cada uno de los activos. Además, se deben hacer esfuerzos importantes por mantenerlos, a pesar de que se tengan recursos limitados.
Dicho de otro modo, podemos concebir la continuidad del negocio como un proceso integral de gestión que identifica los posibles impactos que amenazan a una organización y ofrece un marco para proporcionar robustez. Dispone de una respuesta efectiva que salvaguarde los intereses principales de la empresa. También sirve para minimizar los tiempos de recuperación. Puesto que, si nos adelantamos a lo que podría pasar, analizando riesgos y priorizándolos, sabremos a qué incidentes podríamos enfrentarnos, cómo debemos gestionarlos y quiénes se encargarán de fortalecer áreas críticas como seguridad, instalaciones y tecnologías de la información, aunque el propósito es que toda la organización recupere la operatividad total y pueda reponerse tras el incidente.
¿A qué nos enfrentamos?
La preparación que implica la continuidad del negocio hace que tengamos que pensar en que existen incidencias como:
- Pérdidas significativas de recursos, como personal o maquinaria,
- Afectaciones en la cadena de valor,
- incidentes reputacionales: el incidente podría ser menor, aún así la reputación empresarial podría verse empañada. La imagen de la organización cambiará para bien o para mal dependiendo de cómo se gestione la incidencia,
- Falta de acceso a las bases de datos,
- Denegación de servicios a activos de información de procesos relacionados con el cliente, entre otros.
¿Cómo empezar?
Una vez que hemos pensado en los posibles eventos adversos, nos enfilamos hacia la puesta en marcha de nuestro plan de continuidad. En ese sentido, debemos crear una política que guíe nuestra labor. Este es un documento clave que determina el alcance y buen gobierno del programa de continuidad. También ofrece el contexto en que el equipo de gestión de continuidad desarrollará las competencias requeridas.
Posteriormente requerimos establecer un programa de gestión de continuidad de negocio (GCN) que tome en cuenta los objetivos de la organización y su cultura. Luego definiremos el alcance del programa de GNC para tomar una decisión acerca de qué productos y servicios estarán incluidos en el alcance. Para ello nos basamos en el impacto de la no entrega. En este punto analizamos a qué activos y procesos se les garantizará la continuidad. Es relevante que determinemos las responsabilidades de las personas que llevarán a cabo el plan de continuidad en caso de que se presenten desastres. Con el propósito de garantizar el control de la situación, es pertinente definir qué tipo de mensajes se transmitirá al personal en caso de incidentes disruptivos. Este plan, por exitoso que sea, debe ser actualizado periódicamente, puesto que nada permanece estático.
Claves que brinda ISO/IEC 27002
El punto 17 de ISO 27002- Tecnología de la información, técnicas de seguridad y código de prácticas para controles de seguridad de la información brinda claves útiles y propone:
- Determinar sus necesidades de seguridad de la información y de continuidad para la gestión de seguridad de la información en situaciones adversas, por ejemplo, durante una crisis o desastre,
- Asumir que los requisitos de seguridad de la información son los mismos tanto en condiciones adversas como en las condiciones normales de operación,
- Realizar un análisis de impacto de negocio para los aspectos de seguridad de la información para determinar los requisitos de seguridad de la información aplicables en situaciones adversas.
- Los requisitos para la continuidad de la seguridad de la información se formulan explícitamente en los procesos de gestión de continuidad de negocio o de gestión de la recuperación de desastres.
Cultura de continuidad de la seguridad de la información
Sin una cultura organizacional integrada a los quehaceres diario, capaz de hacer que los trabajadores comprendan que este es un tema prioritario, será difícil avanzar. Es verdaderamente importante que todos se sientan aptos para sobrellevar los trastornos y que los clientes también lo perciban así, para que la marca sea potente ante el mundo. La continuidad del negocio tiene que permear en todas las áreas de la empresa, por eso cada decisión cuenta. ¿Cómo crear una cultura de ese tipo? Te recomendamos:
- Evaluar cuán consciente es el personal en cuanto a continuidad del negocio, para que sepas en qué punto estás, a dónde quieres llegar e impartas la formación necesaria para lograrlo.
- Crear y llevar a cabo una campaña que busque la concienciación corporativa y desarrollar las habilidades, conocimientos y compromiso necesarios para garantizar una gestión de continuidad del negocio exitosa.
- Monitorear la campaña de concienciación para saber si se han logrado los resultados esperados.
- Supervisar la campaña y sus efectos en el largo plazo.
Una alta dirección involucrada, con directivos comprometidos y capaces de respaldar la campaña con todos los recursos necesarios es una forma importante de emprender esta iniciativa de forma eficaz.
Software ISO 27001 para la seguridad de la información
La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.
Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar). Esto es así para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.
Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001,
ISO 14001 e ISO 45001 de una forma sencilla gracias a su estructura modular.
¿Desea saber más?
Entradas relacionadas
La norma ISO 17025 es una de las más importantes en el ámbito de los laboratorios de ensayo y calibración. Proporciona un marco...
Los indicadores para la norma ISO 9001 son señales confiables que permiten suponer, antes de una auditoría interna…