ISO 22301

Actualmente se genera un gran volumen de información. Ante esta situación es recomendable establecer pautas para saber qué información conservar y cuál debe ser eliminada. La ISO 22301 puede ser de gran ayuda, sobre todo ante la duda de conservar ciertos documentos de manera temporal en base a distintos requisitos legales. La mayor parte de las empresas se inclinan por conservar la mayor parte de la información. En muchas ocasiones, parte de la documentación almacenada no es realmente necesaria.

Una evidencia es que la eliminación de información provoca cierto estrés. Ante esto la tendencia es continuar conservando información indistintamente de la importancia de la misma.  Esta actuación se refuerza debido al avance de la tecnología. Por ello, es fundamental contar hoy en día con una cantidad considerable de espacio donde conservar dicha información.

La conservación innecesaria de información puede llegar a suponer un gran problema para una organización. Esto provoca que las actividades informáticas diarias se vean perjudicadas. No sólo se conserva la información, sino que deben de realizarse distintas copias de seguridad.

Posibles soluciones

Es indiscutible que las posibles soluciones a este tipo de problemas incumben tanto al campo tecnológico como al humano. De esta manera y ante esta problemática, la ISO 22301 favorece un mantenimiento de la información generada de manera eficiente.

En primer lugar, podemos establecer una norma y una política que obligue a eliminar todos aquellos correos electrónicos que no resulte necesario conservar. Un ejemplo de esto son los correos en copia, los cuales es muchas ocasiones no necesitamos de forma directa.

Otra posible alternativa es la categorización de datos. Sería muy útil desarrollar algún tipo de sistema que permitiese clasificar y organizar la información intercambiada con los clientes. Este sistema puede facilitar en gran medida la toma de decisión en el momento de eliminar o conservar cualquier tipo de información.

El factor humano es muy importante. Este tiene presencia en todo el proceso, pues se guía por la política previamente definida en la organización. De esta manera, los empleados poseen una herramienta de actuación para seleccionar qué información conservar y cual eliminar. Esta cuestión es esencial para desarrollar una cultura de responsabilidad ante este tipo de conflicto y modificar la filosofía de la organización de conservar prácticamente toda la información generada.

La norma #ISO22301 hace más eficiente el mantenimiento de la gran cantidad de información
Click To Tweet

Amenazas internas

Podemos encontrar una serie de amenazas que principalmente suelen situarse dentro de la propia organización:

• Empleados y contratistas. Cualquier empleado o contratista que haya sido despedido de la compañía recientemente y que desee hacer algún daño a la infraestructura de tecnologías de la información o a la propia información crítica de la organización. Los empleados deshonestos abusan de sus privilegios para su propio beneficio.
• Comportamientos accidentales o infracciones causadas por empleados. Las acciones que ponen en peligro la infraestructura de la tecnología de la información y la información crítica. Bien puede ser por la instalación de un software que no se encuentre autorizado, abrir archivos adjuntos que contengan virus, accidentes fortuitos, divulgar información sensible de la organización o cualquier otra causa.
• Espionaje corporativo. Existen piratas informáticos que a veces pagan a los empleados para robar información de carácter relevante. Normalmente el tipo de empleados que llevan a cabo estas actuaciones son empleados de bajo perfil o contratistas eventuales.

Consejos

La ISO 22301 ofrece una serie de consejos para tratar de eliminar la mayor parte de estos problemas:

• Llevar a cabo un estricto control de las contraseñas y las políticas de cuentas de acceso
• Comprobar el cumplimiento de la separación de funciones y privilegios para asignar el acceso a la información sensible
• Aumentar la exigencia a la hora de seleccionar y formar a los empleados acerca de la administración del sistema
• Proporcionar formación de sensibilización de seguridad cada cierto tiempo para todo el personal
• Realizar una evaluación de riesgo en toda la organización con regularidad
• Luchar de forma activa por defender a la organización de los códigos maliciosos
• Desactivar el acceso a los sistemas inmediatamente después de la finalización de los contratos de los empleados y contratistas
• Garantizar que los datos y los procesos críticos se encuentran en el lugar adecuado y que funcionen según las necesidades requeridas
• Supervisar y dar respuesta inmediata a todas las acciones sospechosas en los sistemas y comportamientos de los empleados, especialmente si son administradores o personal de apoyo de sistemas
• Verificar los antecedentes de todos los trabajadores que operan dentro de la organización

Software ISO 22301

Con el fin de llevar a cabo de una forma fácil y eficaz la automatización del Sistema de Gestión de la Continuidad de Negocio basado en la norma ISO 22301, las diferentes empresas y organizaciones hacen uso del Software ISOTools Excellence, herramienta que facilita y garantiza la aplicación de la misma.

La entrada ISO 22301: ¿Cómo debemos gestionar la eliminación de información? se publicó primero en ISOTools México.

ISO 22301

El 75% de las organizaciones que sufren un desastre natural y no cuentan con planes de continuidad de negocio según la ISO 22301 cierran en menos de tres años. Por ello, un buen jefe de empresa debe preguntarse: ¿Sobreviviría mi organización a un terremoto?

Existe una apreciación general de que un plan de continuidad de negocio basado en la ISO 22301 únicamente incluye aquellos eventos que provocan un gran impacto y que trascurren con poca frecuencia. Entre estos eventos o situaciones incluimos a los incendios, terremotos o inundaciones.

Encontramos otros tipos de incidentes de menor alcance que pueden ocasionar una gran amenaza para la organización. Este grupo de incidentes son la pérdida de datos provocado por un error humano, cortes en el suministro de energía, recibir un ciberataque que suponga una parada de la actividad de la empresa, etc.

Según el informe Horizon Scan 2015 llevado a cabo por el Business Continuity Institute, el 79% de las organizaciones que han sufrido un incidente que ha generado un parón en su actividad han asumido pérdidas millonarias. Las principales amenazas que importan a las empresas son ciberataques, fallos de TI, telecomunicaciones o fuga de información.

La continuidad de negocio basada en la ISO 22301 ofrece un marco a través del cual se crea y conserva el valor dentro de la propia organización. Por otra parte, dispone una relación entre la dependencia y la vulnerabilidad que se ofrece al valor de los clientes.

También se garantiza la resiliencia de la organización. Esta sirve de protección a la empresa de incidentes que generen un parón de la actividad. Reduce la probabilidad de que se creen y aseguran la recuperación de los archivos más relevantes.

Mira hacia el futuro

Las empresas resilientes tienen que ser capaces de tener vista en el futuro y adaptarse a cada una de las posibles situaciones futuras. Estas pueden provocar algunos efectos negativos en la capacidad de supervivencia de la empresa. Cada una de estas consecuencias incorpora distintas cuestiones, como pueden ser modificaciones en el mercado en el que trabaja la empresa, la competencia, la legislación o la tecnología. Por lo general son cada uno de los incidentes que pueden provocar cualquier tipo de alteración en la capacidad de la empresa de proporcionar productos y servicios.

Entonces aumenta la capacidad de la empresa de adaptación a una posible crisis debido a la continuidad de negocio. Se incorpora a las empresas una gran superioridad competitiva, lo cual aumenta la protección de la marca y la reputación. Por ello, se reconocen los riesgos, la mejora operacional, se incrementa la robustez o el ahorro de los costos, etc.

La continuidad de negocio según #ISO22301 ofrece un marco a través del cual se crea valor.
Click To Tweet

La ISO 22301 posibilita una serie de principios y una terminología para la disciplina de la continuidad de negocio. Por otro lado, habilita distintas especificaciones técnicas testadas por un órgano de normalización. Este ha sido comprobado por la aplicación continua o reiterada de un proceso contra el que medir a la organización. La ISO 22301 no aclara qué debe hacerse para poder transformarse en un profesional de la disciplina. Ni, en ningún caso, la manera en la que aplicar la habilidades o conocimientos. O la forma en la que la organización puede implementar la continuidad de negocio.

Aspectos necesarios

El profesional en continuidad de negocio debe manifestar una sólida capacidad analítica, así como habilidades para la gestión de proyectos. O contar con fundamentos técnicos, llevar a cabo una comunicación efectiva y tener una suficiente capacidad autoritaria. También debe de comprender las técnicas de valoración de inversiones.

Es fundamental contar con un conocimiento amplio y funcional de las organizaciones. También es necesario entender y dominar la estrategia, el lenguaje, el modelo operativo y los distintos procedimientos de la organización.

En el supuesto de que se trate de un director ejecutivo que no conozca al detalle de los requerimientos para llevar a cabo un plan de continuidad de negocio, es muy recomendable hacerse las siguientes cuestiones:

• ¿Estamos sujetos a obligaciones legales relacionadas con la continuidad de negocio?
• ¿Qué expectativas tienen nuestros clientes en caso de que experimentemos un incidente disruptivo?
• ¿Cómo actúan nuestros competidores cuando se trata de la planificación de la continuidad de negocio?
• ¿Qué podríamos esperar en términos temporales de inactividad del producto si experimentáramos un incidente que impactara en la disponibilidad de cualquier recurso esencial?
• ¿Estamos preparados para comunicarnos en situación de crisis?
• ¿Los empleadores se encuentran listos para contestar ante un incidente?
• ¿Qué incidente nos afectará en mayor medida?

Software ISO 22301

Con el fin de llevar a cabo de una forma fácil y eficaz la automatización del Sistema de Gestión de la Continuidad de Negocio basado en la ISO 22301, las diferentes empresas y organizaciones hacen uso del Software ISOTools Excellence, herramienta que facilita y garantiza la aplicación de la misma.

La entrada ¿Por qué necesitas a la norma ISO 22301 en tu organización? se publicó primero en ISOTools México.

ISO 22301

La preocupación por la continuidad del negocio es una cuestión que está a la orden del día. Podemos encontrar la certificación en la ISO 22301 como una de las principales iniciativas estratégicas de las empresas. El sector de la tecnología de la información valora en gran medida los grandes inconvenientes que pueden surgir. Estos pueden ser económicos, empresariales o de cualquier otra índole, y pueden desembocar en una inactividad de la producción.

A continuación vamos a señalar algunas de las indicaciones más utilizadas acerca de la continuidad del negocio. Es recomendable tenerlas en cuenta si se decide implantar un Sistema de Gestión de Continuidad de Negocio según ISO 22301.

Los aspectos fundamentales que debemos intentar proteger a través del Sistema de Gestión de Continuidad de Negocio son:

• Recuperación ante interrupciones imprevistas
• Posibles bloqueos económicos o legales
• Daños en la reputación y las responsabilidades

Cuando se han fijado los objetivos sobre política de continuidad de negocio deben tenerse en cuenta una serie de cuestiones. Estas son la protección de las aplicaciones y los datos y servicios, así como otros aspectos prácticos:

• Restricciones en el presupuesto
• Restricciones en personal

Otra cuestión de especial atención es la política de nuestros proveedores. Así como su resistencia para adoptar un sistema de protección y recuperación en el caso de ocurrir una interrupción imprevista.

Un supuesto que no debemos de perder de vista es el estudio de las amenazas de ataques maliciosos a los que estamos expuestos. Estos pueden ser tanto desastres naturales como errores del propio ser humano. La organización debe estar siempre atenta acerca de las posibles amenazas que pueden aparecer. Estas pueden afectar a la infraestructura, las aplicaciones, datos esenciales o a la disponibilidad de la información.

A continuación vamos a desarrollar un listado con las mejores prácticas a considerar en el momento de diseñar e implantar la continuidad del negocio:

1. Automatizar

Actualmente las empresas no pueden continuar dependiendo de un manual donde consultar los procesos de recuperación. Estos procesos son tanto humanos como tecnológicos. Su objetivo es la recuperación de cortes y restauración del acceso a los datos y a las distintas aplicaciones.

La recuperación tras un desastre natural acontecido en los últimos diez años, obliga a las empresas a la implementación de sistemas automatizados de recuperación. Incluso para aquellas organizaciones que hayan pensado realizar la recuperación, las cuales deben disponer de centros de datos a distancia.

Otra causa es la disponibilidad del personal que debe de llevar a cabo las tareas de recuperación. En supuestos en los que tengan lugar desastres naturales, es muy frecuente que los empleados no lleguen a tiempo a sus puestos de trabajo o a los centros de recuperación. Bien sea por atascos ocasiones o por la disponibilidad del transporte público entre otras cuestiones.

La Continuidad de Negocio se logra con la #ISO22301
Click To Tweet

2. Las máquinas virtuales fallan

Debemos ser conscientes de la posibilidad de fallo e indisposición de las máquinas virtuales. Esto es independiente al nivel de protección que deseemos tener, pues son errores incorregibles. Por ello el plan de continuidad debe ser un plan mixto. En él debe considerarse la posibilidad de una copia de seguridad de los servidores virtuales.

3. La importancia de las pruebas

Si no se llevan a cabo pruebas de funcionamiento, cualquier plan de continuidad será siempre imperfecto. Las pruebas son un aspecto muy importante a la hora de definir un buen plan de continuidad. Esta cuestión es una de las más críticas en el momento de enfrentarnos a un sistema que responda al necesitarlo. Las pruebas deben estar planificadas con tiempo para que puedan realizarse correctamente. Dicha pruebas deben considerar cuestiones de fiabilidad en las modificaciones de los sistemas de copia de seguridad, los cuales aseguren la continuidad del negocio.

4. Deslocalización del centro de datos

Uno de los consejos es el de establecer una distancia razonables entre la producción y los espacios de recuperación. Con el objetivo de mantener alejados los problemas regionales que pudiesen afectar. Muchas pequeñas y medianas empresas poseen únicamente un centro de datos. A este tipo de empresas se les recomienda que lleven a cabo negociaciones con sus proveedores de servicios cloud. De forma que puedan contar con una opción de respaldo en una instalación remota.

5. Establecer prioridades

El impacto económico que genera el Sistema de Gestión de Continuidad de Negocio basado en ISO 22301 no es insignificante. Para poder implementar una solución económicamente viable es necesario determinar ciertas prioridades. Para ello debe realizarse un análisis de los procesos de negocio estableciendo las aplicaciones necesarias. Dentro de éstas debe indicarse cuales requieren disponibilidad inmediata y cuales pueden esperar un cierto tiempo.

6. Continuidad de negocio

El Sistema de Gestión de Continuidad de Negocio basado en la ISO 22301 se considera un servicio gestionado. Dicho sistema se encuentra dentro de todos los que componen la cartera de servicios de tecnología de la información. Para ello debe aprovecharse la experiencia en la selección de proveedores de tecnología de la información. Para seleccionar los sistemas con los que contar durante la recuperación dado el caso de una interrupción del servicio.

7. Impulsar la movilidad

Las empresas que promocionan el BYOD (Bring Your Own Device), conocido como “trae tu propio dispositivo”, favorecen la implementación de la ISO 22301. Solo se necesita de una conexión a internet fiable. Ello favorece que un gran porcentaje importante de los empleados no sean interrumpidos en las tareas que deben llevar a cabo desplazándose. Aunque con ello no se protege directamente de las incidencias que pudiesen ocurrir.

Software ISO 22301

El Software ISOTools Excellence es una plataforma tecnológica que facilita el llevar a cabo la implantación, mantenimiento y evaluación de un Sistema de Gestión de la Continuidad de Negocio, con el objetivo de poder identificar y controlar las posibles amenazas que se producen en la organización, según la norma ISO 22301.

La entrada Recomendaciones para implementar la ISO 22301 se publicó primero en ISOTools México.

ISO 22301

Cuando hablamos de planes de continuidad de negocio no podemos dejar de hacer referencia a la ISO 22301. Algunas personas creen que esto es una costosa tarea, mientras que otras creen que no persigue ningún propósito.

Ambas pueden estar en lo cierto. Aunque si no se lleva a cabo ningún tipo de ejercicio, examen o prueba, la empresa no será capaz de sobrevivir a un desastre real.

El objetivo del ejercicio y las pruebas

Para empezar, analizaremos una de las principales diferencias entre la seguridad de la información y la continuidad de negocio. Los incidentes más pequeños están relacionados con la seguridad de la información. Cuando estos tienen lugar ponen de relieve lo deficiente que puede llegar a ser nuestro sistema. Los incidentes perturbadores no trascienden con tanta frecuencia, por lo tanto no existe oportunidad de mejorar la continuidad del negocio.

Esta circunstancia señala las deficiencias de todo plan de continuidad de negocio. No importa como de bien estén descritos, pues es imposible poder prever todo lo que va a suceder. Por esta razón los ejercicios y las pruebas se encuentran vacías. Una solución es simular una situación realista con el objetivo de encontrar qué no funciona en la continuidad de negocio. Cuando se carece de incidentes reales, se desarrollan simuladores para poder mejorar los planes basados en la ISO 22301.

Métodos de realizar el ejercicio y las pruebas

Uno de los métodos, pero no el único evidentemente, es el cierre inesperado de energía. Este debe ser uno de los primeros en ser analizado, pues es uno de los más comunes.

Los métodos que se pueden utilizar para llevar a cabo el ejercicio y la prueba son:

• Seminario de orientación. Se trata más de un entrenamiento en el cual los detalles de los planes son explicados a los participantes. Se realiza por los trabajadores, los proveedores y el moderador.
• Verificación de escritorio. Consiste en un control de los planes a través de técnicas de auditoría, validación y verificación. Se lleva a cabo con el autor del plan y el modelador.
• Plan de tutorial. Se basa en un control de los planes a través de la interacción del equipo. Se realiza por los principales participantes del plan y el modelador. La intención de la prueba es llevar a cabo una reunión conjunta.
• Pruebas funcionales. Se trata de probar cada uno de los planes que están relacionados entre sí por las actividades seleccionadas. Se utilizan los recursos reales en un ejercicio controlado. Todos los trabajadores son necesarios y el modelador observa.
• Prueba completa. Consiste en que todas las actividades son trasladadas desde el sitio original al sitio alternativo. Participan todos los trabajadores, proveedores, modelador y auditores.

Como regla general, deberá empezar con el método más eficaz y cada año dar un paso e ir al método más difícil.

Conoce los tipos de pruebas y el ejercicio en base a la #ISO22301
Click To Tweet

Cómo preparar

El ejercicio y las pruebas son muy importantes, pudiendo incluso incidir en las operaciones diarias de la empresa. Asimismo en las decisiones acerca del método, alcance, objetivos y tiempos tomadas por la alta dirección. Previo a la realización de este tipo de propuesta, se deben consultar las cuestiones relativas con el jefe de departamento.

La administración debe decidir la frecuencia con la que llevar a cabo el ejercicio. Así como las pruebas que se van a realizar.

Quién incluir

Tanto la preparación como la coordinación del ejercicio y la prueba es llevada a cabo por la persona encargada de la continuidad de negocio en la organización. Todos los trabajadores de los distintos departamentos incluidos en el ejercicio y en las pruebas deben tomar parte.

El coordinador de continuidad del negocio es responsable de la preparación tanto de la prueba como del plan de ejercicio. Dicho plan define los objetivos de las pruebas. Se debe mostrar si las actividades serían recuperadas dentro del objetivo de tiempo de recuperación.

Cuando se ha realizado el ejercicio, la persona encargada coordinadora de la continuidad del negocio debe revisar todos los resultados. A continuación, tras revisarlos, deberá compararlos con los objetivos previamente planteados e informar sobre estos a la alta dirección.

Posibles alternativas

El ejercicio y las pruebas suponen un costo. Esto provoca que en la mayor parte de los casos no se realice la prueba completa. Por ello, no existe forma posible de averiguar qué es aquello que no funciona.

Software ISO 22301

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del Sistema de Gestión de Continuidad de Negocio basado en la norma ISO 22301. Permite a las empresas estar preparadas para actuar ante incidentes de diversa naturaleza. Se trata un software de sencilla implantación y funcionamiento, de estructura modular que permite la integración de la ISO 22301 con otras normas.

La entrada ISO 22301: Cómo mejorar la continuidad de negocio se publicó primero en ISOTools México.

ISO 22301

La inquietud acerca de una posible detención o interrupción en la cadena de suministro sigue siendo una de las diez principales preocupaciones en una organización; aproximadamente la mitad de los encuestados analiza una tendencia en la creciente complejidad de la cadena de suministro que hace a sus organizaciones débiles frente a los cambios provocados por enfrentamientos y adversidades naturales.

A pesar de esta concienciación del peligro, se ha advertido que una cuarta parte de todas las organizaciones no lleva a cabo ningún tipo de análisis de tendencias a largo plazo y, una tercera parte de aquellas organizaciones que si lo llevan a cabo no aprovechan los resultados para obtener una mayor comprensión de dichas amenazas.

En relación a todos estos posibles riesgos se ha elaborado la norma ISO 22301, la cual se encargar de dar detalle de cada uno de los requisitos necesarios para un sistema de gestión cuya función es la de proteger a la empresa de incidentes que provoquen una interrupción en la actividad, reducir la probabilidad de que se produzcan y garantizar la recuperación de la empresa. La ISO 22301 ha sido diseñada para proteger a la empresa frente a cualquier posible problema donde incluimos inclemencias meteorológicas extremas, desastres naturales, incendio, inundación, robo, enfermedad del personal, interrupción de servicios de Tecnología de la Información o ataque terrorista. El sistema de gestión basado en la ISO 22301 favorece la identificación de las amenazas relevantes y de las funciones empresariales críticas que podrían llegar a sufrir terribles consecuencias. Además permite establecer planes con antelación para asegurar que la empresa no interrumpe su actividad.

¿Qué ventajas y beneficios nos aporta la ISO 22301?

Podemos hablar de numerosas ventajas y beneficios en relación con las aportaciones que implica la implantación y la certificación de la Gestión de Continuidad del Negocio según la norma ISO 22301. Algunos de estas ventajas o beneficios son:

• Identificar y gestionar las amenazas actuales y futuras para la empresa.
• Conservar las funciones críticas listas y en correcto funcionamiento durante los posibles momentos de crisis.
• Disminuir el tiempo de interrupción tras cualquier incidencia y mejorar el tiempo de respuesta y recuperación.
• Disminuir el costo por ocurrencia de incidentes o desastres.
• Incrementar la estabilidad de los procesos comerciales.
• Alineación de los procesos comerciales y el proceso de gestión de riesgos operativos.
• Identificación de potenciales ahorros en las pólizas de seguro y con los proveedores de servicios.
• Cumplimiento asegurado de los requisitos relevantes y los estándares internacionales.
• Confianza y transparencia aseguradas para los socios relevantes y para el público.
• Ventajas competitivas a través del cumplimiento de los requisitos y de los estándares mundialmente reconocidos.
• Compromiso de Gerentes en la adopción e implementación de una gestión de emergencias y de prevención de emergencias en la empresa.
• Evaluación global de riesgos en todos los niveles comerciales.

#ISO22301: Cómo proteger a tu empresa de incidentes que provoquen una interrupción en la actividad
Click To Tweet

Fases del proyecto: Implantación y certificación

Cualquier tipo de Sistema de Gestión de Continuidad de Negocio al que podamos hacer referencia tiene como finalidad y objetivo principal el proporcionar y abastecer a la organización de la capacidad de reacción necesaria para conseguir volver a la normalidad y a una situación estable, de la forma más eficaz, tras una posible interrupción de las principales actividades del negocio causadas por cualquier tipo de desastre que ataque a la organización.

La norma ISO 22301 define al Sistema de Gestión de Continuidad de Negocio como aquel conjunto de procedimientos identificados que conducen a las organizaciones para responder, recuperar, reanudar y restaurar, tras una interrupción, a un nivel predefinido de operación. Normalmente esto cubre los recursos, servicios y actividades necesarias para garantizar la continuidad de las funciones críticas de la empresa.

Cualquier proyecto para la implantación y posterior certificación de un Sistema de Gestión de Continuidad del Negocio (SGCN) está formado por una serie de fases entre las que podemos enunciar la evaluación inicial y establecimiento del Sistema de Gestión de Continuidad del Negocio, el posterior análisis de impacto en el negocio y el análisis y gestión de riesgos, a continuación las estrategias de continuidad e implantación y operación del supuesto Sistema de Gestión de Continuidad del Negocio, con sus respectivas políticas, procedimientos, planes de formación, pruebas, validación y seguimiento de dicho Sistema de Gestión, y por último la certificación del sistema.

Software ISO 22301

El Software ISOTools Excellence es una plataforma tecnológica que favorece y facilita el llevar a cabo la implantación, mantenimiento y evaluación de un Sistema de Gestión de la Continuidad de Negocio, con la intención de poder identificar y controlar las posibles amenazas que se producen en las organizaciones  y empresas, según la norma ISO 22301.

La entrada ISO 22301: Actuación ante una parada de los principales procesos se publicó primero en ISOTools México.

ISO 22301

Dado los acontecimientos vividos y sufridos a nivel global por multitud de empresas en los últimos tiempos, se ha impulsado por parte de todas las organizaciones el desarrollo de una normativa coherente a nivel mundial para promover la toma de conciencia ante la necesidad de estar preparados para superar cualquier tipo de incidente que pueda llegar a interrumpir la actividad de la empresa. La normativa de la que estamos hablando es la norma internacional ISO 22301.

Los planes de recuperación del negocio tienen que revisarse y comprobarse con frecuencia para:

• Incluir y considerar cada uno de los tipos de amenazas posibles
• Analizar las interdependencias de nuestros procesos
• Incluir los factores clave
• Involucrar a toda la empresa teniendo en cuenta la relevancia que supone el apoyo de todos los empleados

Los principales beneficios que obtiene una empresa cuando implementa un Sistema de Gestión de Continuidad de Negocio eficiente, se pueden resumir en:

• Defender los intereses de los accionistas
• Mejorar el resultado operacional de la empresa
• Disminuir los riesgos
• Disminuir los costos
• Disminuir los tiempos de inactividad
• Mejorar la competitividad
• Mejorar la eficacia operativa
• Proteger los bienes materiales y del negocio
• Mejorar el cumplimiento de las legislaciones de seguridad y salud
• Mejorar la seguridad global
• Evitar las acciones derivadas de las responsabilidad de la empresa

Podemos encontrar a personas que buscan listas de control para llevar a cabo la auditoría interna de la ISO 22301, pues esperan que dichas listas de control les ayuden con la información a la que tienen acceso de la empresa.

El problema que tiene este tipo de cuestiones es que no son parte de una auditoría interna sino que realmente son parte de la evaluación del riesgo.

El objetivo de la evaluación de riesgos

El objetivo que busca la realización de una evaluación de riesgos es averiguar qué tipo de problemas se pueden encontrar en la información y en las operación, es decir, lo que puede llegar a poner en peligro la confidencialidad, la integridad y la disponibilidad de la información o lo que puede poner en peligro la continuidad de las operaciones.

Como parte de la evaluación del riesgo se debe de hacer lo siguiente:

• Identificar cada uno de los riesgos que se encuentran relacionados con la información
• Identificar a las personas que sean propietarias de ciertos riesgos
• Evaluar el impacto que generan dichos riesgos y la probabilidad de que sucedan
• Determinar el nivel de los riegos y clasificarlos
• Decidir si el riesgo tiene que ser tratado o si no es necesario

La evaluación de riesgos es parte de un proceso de gestión de riesgos, pudiendo considerarse como la parte crucial a la hora de aplicar la ISO 22301.

Como consecuencia, la evaluación de riesgos se debe llevar a cabo al principio del proyecto de implementación de la ISO 22301, mientras que la auditoría interna se lleva a cabo después de realizar la implementación con éxito.

#ISO22301: Auditoría interna vs. evaluación de riesgos
Click To Tweet

La auditoría interna

La auditoría interna, por el contrario, es una lista de todas las normas y los requisitos, donde debemos conocer si dichas normas y requisitos son cumplidos por la empresa.

Por lo general, las normas y los requisitos pueden ser los siguientes:

• Requisitos de la norma ISO 22301
• Requisitos de las partes interesadas
• Reglas establecidas por las propias políticas y procedimientos de la compañía

Al llevar a cabo la auditoría interna, es necesario comprobar si cada una de las reglas y los requisitos se cumplen en su totalidad en el alcance del Sistema de Gestión de Continuidad de Negocio.

Esto se lleva a cabo a través el uso de distintas técnicas:

• Examinar toda la documentación y los registros
• Entrevistar a los empleados
• Observaciones personales

Principales diferencias entre la auditoría interna y la evaluación de riesgos

Una de las principales diferencias es el modo de pensar. La evaluación de riesgos está pensada para situaciones que pueden suceder en el futuro, mientras que la auditoría interna se ocupa de cómo se han hecho las cosas en el pasado.

La segunda gran diferencia es que la auditoría interna se centra en el cumplimiento de distintas normas y requisitos, mientras que la evaluación de riesgos consiste en un análisis que proporciona una base para la construcción de determinadas reglas.

La tercera diferencia es que la evaluación de riesgos se lleva a cabo antes de comenzar con la aplicación de los controles de seguridad, mientras que la auditoría interna tiene lugar una vez que estos ya están implementados.

No podemos decir que uno es más importante que el otro, pues ambos son muy importantes para construir un Sistema de Gestión de Continuidad del Negocio. Sin embargo, ambos tienen una cosa en común, y es que son muy descuidados en las empresas, pues se perciben como sólo un ejercicio burocrático.

Software ISO 22301

El Software ISOTools Excellence es una plataforma tecnológica que facilita el llevar a cabo la implantación, mantenimiento y evaluación de un Sistema de Gestión de la Continuidad de Negocio, con el objetivo de poder identificar y controlar las posibles amenazas que se producen en la empresa, bajo los criterios de la norma ISO 22301.

La entrada ISO 22301: Auditoría interna vs. evaluación de riesgos se publicó primero en ISOTools México.

ISO 22301

La norma ISO 22301 es un estándar internacional para la gestión de la continuidad del negocio desarrollado por la Organización Internacional de Estandarización (ISO), y que está basado en la Norma Británica BS 25999 y otras normas regionales. Es una norma concretamente diseñada con el objetivo de proteger a la organización de cualquier posible problema que pueda sucederse, como son las inclemencias meteorológicas extremas, los incendios, las inundaciones, los desastres naturales, los robos, las interrupciones de servicios de tecnologías de la información, enfermedades del personal o ataques terroristas.

Requisitos de la norma

Los distintos requisitos de esta norma pueden clasificarse en los siguientes apartados:

Documentación

La última actualización de la norma ISO 22301 requiere la siguiente documentación con carácter obligatorio:

• Lista de requisitos legales, normativos y de otra naturaleza.
• Alcance del Sistema de Gestión de Continuidad del Negocio (SGCN).
• Política y objetivos de la continuidad del negocio.
• Evidencia de competencias de los trabajadores de la organización.
• Registros de comunicación con las partes interesadas.
• Análisis del impacto en la organización.
• Evaluación y perfil de riesgos.
• Estructura de respuesta a incidentes.
• Planes de continuidad del negocio.
• Procedimientos de recuperación.
• Resultados de acciones preventivas y correctivas, así como de supervisión y medición.
• Conclusiones de la auditoría interna y de la revisión por parte de la Dirección de la organización.

Contexto

En este apartado deben incluirse todos y cada uno de los requisitos necesarios para determinar el contexto del Sistema de Gestión de Continuidad de Negocio, concretando cómo deben de aplicarse en relación a las necesidades de la empresa dentro del alcance previamente establecido. Se requiere que se incluyan también los aspectos legales y regulatorios susceptibles de aplicación en la empresa.

Liderazgo

En este punto debemos abarcar las exigencias a la Alta Dirección acerca de su papel e implicación en el propio Sistema de Gestión de Continuidad de Negocio. Algunos de los requisitos que deben considerarse en este apartado son:

• Garantizar que el Sistema de Gestión de Continuidad de Negocio es compatible con la dirección estratégica de la empresa.
• Integrar los requerimientos del Sistema de Gestión de Continuidad de Negocio en los procesos de negocio.
• Transmitir a los trabajadores la importancia de una gestión eficaz y adecuadamente planificada de la continuidad del negocio.

Planeación

En relación con la planeación, los requerimientos básicos de la norma ISO 22301 son la definición de los objetivos o metas de la continuidad de negocio para una empresa en concreto y el desarrollo de los proyectos necesarios para conseguirlos. De igual forma se precisan las características principales de estos objetivos, que consisten en estar directamente relacionados con la política de continuidad del negocio y ser evaluables.

En el momento de determinar los objetivos es muy recomendable establecer con claridad cuál es el nivel mínimo de productos y servicios necesarios para que la empresa alcance los objetivos globales de negocio.

#ISO22301: Identifica los 7 ámbitos de clasificación de los requisitos
Click To Tweet

Soporte

El soporte exigido por la norma ISO 22301 para poder llevar a cabo el establecimiento, la implementación y el mantenimiento de un óptimo Sistema de Gestión de Continuidad de Negocio incorpora una serie de requisitos que son los siguientes:

• Competencias humanas
• Toma de conciencia y comunicaciones con partes interesadas
• Gestión documental
• Comunicaciones

Operación

Se impone a la empresa garantizar la existencia de procesos desarrollados para asegurar la adecuada implantación del Sistema de Gestión de Continuidad de Negocio.

Beneficios de la ISO 22301

Un Sistema de Gestión de Continuidad de Negocio basado en la norma ISO 22301 permite:

• Identificar los riesgos de mayor importancia y las funciones empresariales críticas que pueden llegar a sufrir consecuencias negativas.
• Determinar y gestionar las amenazas actuales y futuras para la organización.
• Usar un enfoque proactivo para reducir el impacto de los incidentes.
• Mantener las principales operaciones del negocio a punto y en funcionamiento durante momentos o situaciones de crisis.
• Reducir el tiempo de interrupción tras cualquier incidencia y mejorar el tiempo de recuperación.
• Demostrar su resiliencia a clientes, proveedores y para ofertas de licitación.
• Definir planes con anterioridad para garantizar que la organización no detiene su actividad.

Software ISO 22301

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del Sistema de Gestión de Continuidad de Negocio basado en la norma ISO 22301 bajo un enfoque por procesos de acuerdo al ciclo PHVA (Planear, Hacer, Verificar y Actuar). Permite a las empresas estar preparadas para actuar ante incidentes de diversa naturaleza. Se trata un software de sencilla implantación y funcionamiento, de estructura modular que permite la integración de la ISO 22301 con otras normas, como pueden ser la ISO 9001, ISO 14001 y OHSAS 18001.

La entrada Clasificación de los requisitos de la ISO 22301 se publicó primero en ISOTools México.

ISO 22301

El estándar ISO 22301 es una norma de carácter internacional que da respuesta de forma inmediata a la aparición de accidentes o incidentes en las organizaciones. Esta norma ofrece la posibilidad de adoptar un Sistema de Gestión de Seguridad (SGS) para la modificación y gestión de los incidentes que tengan graves consecuencias en la información utilizada por las organizaciones para que se pueda continuar el negocio.

La ISO22301 es una norma internacional que establece una serie de actuaciones para poder localizar e impedir las amenazas.

Para hacer frente a dichas amenazas de forma eficaz debemos de:

• Asegurar y garantizar la puesta en marcha de forma idónea de las actuaciones mediante la comunicación de los puntos débiles en la seguridad de la información para que se este bien preparado ante los posibles incidentes.
• Comunicación de la evolución y control sobre aquellas situaciones de seguridad de la información a través de la utilización de medios apropiados de gestión.
• Asegurar y garantizar el desarrollo de la gestión de incidentes de la seguridad sobre la información y mejora continua.
• Examinar y analizar los riesgos de seguridad en la información por medio de los instrumentos idóneos.
• Garantizar y confirmar una respuesta a través de la asignación de procedimientos de gestión y responsabilidades.
• Colección y recopilación de evidencias cuando se inicia una actuación contra una persona u organismo, después de la producción de un incidente de seguridad en la información, de acuerdo con las normas legislativas.

La Plataforma Tecnologíca, ISOTools ayuda a las empresas  a través de la norma internacional ISO-22301 para poder identicarl os incidentes de seguridad de la información, control de la eficiencia y planificaciones de las acciones correctivas y preventivas.

La entrada Solución de las incidencias a través de la ISO 22301 se publicó primero en ISOTools México.

ISO 22301

El estándar ISO 22301 es una norma internacional que ofrece un marco para la adopción de la gestión sobre la continuidad de la actividad en una organización.

La ISO22301 hará posible a las organizaciones a que puedan identificar los riesgos con el objetivo de reforzar así su capacidad de empresa. Todo esto ofrece a la organización un valor añadido en la marca, en la reputación y en las partes interesadas.

Gracias a la gestión de la continuidad del negocio, la organización podrá:

• Traducir un SGGN.
• Adoptar las etapas fundamentales para el BCMS y la BCM.
• Comprender los procedimientos relacionados con la implementación, establecimiento, revisión, funcionamiento y mejora, basado en la ISO-22301.
• Explicar el objetivo y los contenidos de la ISO 22301.
• Entender la finalidad de esta norma como instrumento para mejorar un SGCN,
• Puesta en marcha de buenas prácticas incluidas en el estándar internacional ISO 22301.

 Los objetivos señalados son:

• Reforzar el cumplimiento de las exigencias de un SGCB según el estándar ISO 22301.
• Determinar un plan de gestión de continuidad de negocio.
• Realizar un orden con los procedimientos prácticos con el objetivo de proceder a la adopción y definición de los distintos entregables de un plan de continuidad del negocio.

Los beneficios de esta norma son:

• Mejora en las relaciones mantenidas con terceros
• Mejora de  la imagen de la empresa.
• Mejora en la revisión y control de los trabajadores.
• Mejora en el registro de debilidades e incidentes.
• Mejora en la gestión de la empresa en general.

ISOTools realiza  la sistematización de  ISO 22301 de manera sencilla, posibilitando la gestión de los riesgos, identificación y reduciendo su ocurrencia en cualquier momento

La entrada Beneficios y objetivos de la norma ISO 22301 se publicó primero en ISOTools México.

ISO 22301

El estándar ISO 223601 es una norma de ámbito internacional que exige cierta documentación de materia obligatoria y de empleo usual.

En el Sistema de Gestión de Continuidad del Negocio adoptado por la norma ISO-22301, la documentación, es fundamental debido a que salvaguarda y cuida ciertos datos que son importantes.

Estos documentos y/o registros son:

• Transcendencia e importancia del Sistema de Gestión Continuidad del Negocio.
• Estudio de los efectos consecuentes de la actividad del negocio.
• Verificación de competencias del personal.
• Capacidad de respuesta ante los incidentes que se puedan producir.
• Evaluación de los riesgos.
• Requisitos legales, normativos, etc.
• Finalidad de la continuidad del negocio.
• Rendimientos de la auditoría interna.
• Política de continuidad del negocio.
• Procesos de métodos para conseguir la recuperación de la situación primera de la empresa.
• Reconocimiento de la comunicación.
• Rendimientos de la medición y vigilancia.
• Rendimientos de la verificación de la dirección.
• Procesos para dar solución a los incidentes producidos.
• Rendimientos de acciones disciplinarias.
• Rendimientos de acciones provisorias.

Los documentos de utilidad usual aludidos anteriormente son:

• Disminución del riesgo
• Proceso de mantenimiento del Sistema de Gestión Continuidad del Negocio.
• Procesos para controlar la información.
• Plan de formación y sensibilización.
• Contratos con proveedores.
• Crónica pos-ejercicio.
• Proceso de auditoria interna.
• Externalización de socios.
• Circunstancias de sucesos.
• Crónica post-ejercicio.
• Planes de ejercicio y pruebas.

La Plataforma Tecnológica, ISOTools, proporciona la documentación exigida por el estándar ISO22301 para su Sistema de Gestión de Continuidad del Negocio, facilitando un acceso mejor a la información mediante su sistematización.

La entrada ISO 22301 y la documentación necesaria para su certificación se publicó primero en ISOTools México.