ISO 27001 ¿Cómo ayuda a una organización un plan de contingencia?
ISO 27001
El principal objetivo que tiene la ISO 27001 es asegurar que la empresa tiene la suficiente capacidad como para cubrir la demanda actual y futura de su negocio.
Se debe realizar un plan de capacidad, que incluirá todas las necesidades del negocio:
- Los requisitos de rendimiento actual y futuro.
- Planificar de forma temporal todos los costes que tendrán las actualizaciones.
- Evaluar de forma anticipada todos los efectos que se generan en la capacidad de actualizar el servicio.
- Prevenir los impactos que generan cambios externos, como pueden ser legislativos.
- Los datos y procesos pueden realizar análisis predictivos.
Tenemos que realizar la identificación de métodos, procedimientos y técnicas para realizar la monitorización de los servicios que se realizan, ajustar el rendimiento y establecer una provisión de la capacidad adecuada.
Resolución de conflictos
Los objetivos de la norma ISO27001 para la resolución de conflictos debe estar basada en la prioridad que tenga. Dicha prioridad se tiene que basar en la repercusión y la urgencia. Dicha repercusión se puede basar en un nivel de daño real o potencial al negocio del cliente. La urgencia se tiene basar en el tiempo en el que se detecta un problema y el momento en que esto repercute en el negocio.
Planificar la resolución de incidencias debe contar con:
- Prioridad
- Aptitudes disponibles
- Coste de la resolución
- Tiempo empleado en gestionar la resolución
Cuando sea necesario gestionar los problemas se tiene que desarrollar y mantener soluciones que permitan la gestión de las incidencias ayudando a todos los usuarios a restaurar el servicio.
Cuando se produzca un error sólo se puede cerrar cuando se haya realizado una acción correctiva y el error deje de existir.
Para poder gestionar los problemas se debe acceder a la información sobre todas las áreas de negocio que se ven afectadas por dicho problema.
La información obtenida al realizar las soluciones se debe almacenar de forma provisional.
Plan de contingencia
Un plan de contingencia en un Sistema de Gestión de Seguridad de la Información ISO-27001 se puede definir como: “presentación para tomar decisiones específicas cuando surja una condición que no se encuentre considerada en el proceso de planeación formal”.
Por lo que es un conjunto de procedimientos que permiten la recuperación en casos de desastres, un plan formal que describe todos los pasos que se tienen que seguir en caso de que suceda una emergencia.
Tiene diferentes fases que son:
- Antes (como un plan de respaldo)
- Durante (plan de emergencia)
- Después (plan de recuperación tras el desastre)
Según la norma ISO 27001 establecer un adecuado plan de contingencia minimiza las pérdidas en caso de desastre y facilita la reanudación de las operaciones de una forma rápida, eficaz y oportuna.
El término desastre lo podemos definir como: “Interrupción en la capacidad de acceso a la información y el procesamiento de ésta mediante equipos informáticos, necesaria para el correcto funcionamiento del negocio”.
El plan de contingencia en un Sistema de Gestión de Seguridad de la Información es un control preventivo, ya que se establece como un instrumento que facilita la prevención eventual ante un desastre.
Es muy recomendable establecer un modelo del cual partan las organizaciones que se han preocupado por su desarrollo y crecimiento, que han establecido una estructura en la empresa con una función que define la administración de riegos, con lo que se obtienen grandes resultados.
El plan de contingencia implica que se debe invertir tiempo, dinero y esfuerzo, pero su valor sólo se puede medir en caso de que suceda algún desastre.
El principal objetivo que sigue el plan de contingencia en el SGSI ISO27001 es el de mantener la compañía y las actividades operando aún en una situación de desastre, por lo que se puede habilitar una opción en la que la empresa pueda dar una respuesta rápida a los problemas críticos, por lo que se permite una pronta recuperación de la operación normal en la organización.
El plan de contingencia depende mucho de la organización, ya que de forma inevitable supondrá unos elevados gastos. Aunque por otro lado, es muy importante conocer su utilidad ya que no depende de la probabilidad de que suceda un desastre, sino de las consecuencias que éste puede tener.
Se deben considerar todas pérdidas parciales o totales en los procesamientos de datos, y pueden venir causadas por:
- Pérdidas financieras directas
- Pérdidas financieras indirectas
- Pérdidas en la producción
- Pérdida de clientes
- Incremento de costos en apoyo
- Incremento de costos en compensación
- Pérdidas de control
- Obtener información incorrecta
- Bases de datos pérdidas
En una empresa, el plan de contingencia debe tener en cuenta dos aspectos básicos:
- Operacional: cada usuario debe saber cuándo aparece un problema y debe saber a quién tiene que llamar. El plan de contingencia debe contener a las personas encargadas de tomar decisiones si sucede un desastre.
- Administrativo: se contemplas aspectos como, definir los riesgos y los porcentajes, identificar las aplicaciones críticas, proceder a la recuperación de la información, especificar las alternativas, localizar los medios de respaldo, bases de datos que deben ser reconstruidos, localizar un software de reemplazo, localizar otro equipo de apoyo, obtener ayuda por parte de algún proveedor, generar un procedimiento que cuente con los pasos que se deben seguir durante el desastre y hasta que se vuelva a la normalidad, etc.
El plan de recuperación, según ISO-27001, debe tener las siguientes características:
- Actual
- Factible
- Entendible
- Documentado
- Probado
Software Sistema de Gestión de Seguridad de la Información
El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de las diferentes fases del ciclo de mejora continua.