Consejos para implementar la norma ISO 22301
ISO 22301
La preocupación por la continuidad del negocio está en pleno auge, la certificación en ISO 22301 se encuentra en todas las iniciativas estratégicas de las organizaciones del sector de la tecnología de la información, que valoran más que nadie, los grandes inconvenientes, sean económicos, empresariales, etc. que pueden generar una inactividad de la producción.
Durante este post se resumen algunas de las recomendaciones más utilizadas sobre la continuidad de negocio, se deben tener en cuenta a la hora de implantar un Sistema de Continuidad de Negocio según la norma ISO 22301.
Los principales puntos que podemos proteger gracias al Sistema de Gestión de Continuidad de Negocio son:
- Recuperación ante interrupciones imprevistas.
- Posibles bloqueos económicos o legales.
- Daños en la reputación y las responsabilidades.
Una vez se establecen todos los objetivos de la política de continuidad de negocio, no sólo debemos tener en cuenta la protección de las aplicaciones, los datos y los servicios según la empresa utilizando una amplia gama de amenazas, sino que tenemos que evaluar otros aspectos prácticos a tener en cuenta como pueden ser:
- Limitaciones en el presupuesto.
- Limitaciones en personal.
La política de nuestros proveedores y su resistencia a la hora de adoptar un sistema de protección y recuperación si se diera alguna interrupción imprevista.
Algo que no se nos puede pasar por alto es estudiar las amenazas de ataques malicioso a los que nos encontramos expuestos, pueden ser desastres naturales o errores humanos. La empresa tiene que estar siempre alerta sobre las amenazas que pueden afectar a la infraestructura, aplicaciones, datos esenciales y disponibilidad de la información.
Vamos a realizar un listado con las mejores prácticas que se deben tener en cuenta a la hora de realizar el diseño y la implantación de la continuidad de negocio:
1. Automatizar
A día de hoy, las organizaciones no pueden seguir dependiendo de un manual en el que tengan que consultar todos los procesos humanos y tecnológicos para recuperarse de los cortes y restaurar el acceso a los datos y las aplicaciones.
La recuperación tras un desastre natural ocurrido durante la últimos diez años, impone a las organizaciones la implementación de sistemas automatizados de recuperación, incluso para las empresas que hayan planeado realizar la recuperación deben disponer de centros de datos a distancia.
Otro motivo es la disponibilidad del personal que tiene que realizar las tareas de recuperación. En situaciones en los que se produzcan desastres naturales, es muy común que los trabajadores no lleguen a tiempo a sus puestos de trabajo o a los centros de recuperación, ya sea por los atascos ocasionados o por la disponibilidad de transporte público, etc.
2. Las máquinas virtuales fallan
Se debe hacer frente a la posibilidad de que las máquinas virtuales, por mucho nivel de protección que deseamos tener, tiene que estar sujetas a fallos e indisposiciones. El plan de continuidad tiene que ser un plan mixto, en el que se contemple la copia de seguridad de los servidores virtuales.
3. La importancia de las pruebas
Un buen plan de continuidad, será siempre imperfecto sino se realizan pruebas de funcionamiento. Las pruebas son muy importantes para establecer un buen plan de comunidad. Dicho factor, es uno de los más críticos a la hora de enfrentarnos a un sistema que responda cuando lo necesitamos. Las pruebas tienen que estar planificadas con periodicidades adecuadas, deben contemplar aspectos de fiabilidad en la permuta de los sistemas de copia de seguridad que nos garanticen la continuidad del negocio.
4. Deslocalización del centro de datos
El primer consejo será establecer una distancia razonable entre la producción y los lugares de recuperación con el fin de mantenerse alejado de los problemas regionales. Muchas PYMES poseen un solo centro de datos, por lo que se aconseja que realicen negociaciones con sus proveedores de servicios en la nube y así disponer de una opción de respaldo en una instalación remota.
5. Establecer prioridades
Un Sistema de Gestión de la Continuidad de Negocio según la norma ISO 22301 genera un impacto económico que no se puede considerar como insignificante. Para poder implantar una solución económicamente viable será necesario establecer ciertas prioridades, se tiene que realizar un análisis de los procesos de negocio en profundidad para establecer las aplicaciones necesarias que deben estar disponibles de inmediato y las que pueden esperar un tiempo.
6. Continuidad de negocio
Nuestro Sistema de Gestión de Continuidad de Negocio según la norma ISO 22301 se considera como un servicio gestionado, está dentro de todos los que componen la cartera de servicios TI. Para ello tenemos que aprovechar la experiencia en la selección de proveedores de TI, para seleccionar los sistemas que nos ayudarán durante la recuperación si sucediera una interrupción del servicio.
7. Impulsar la movilidad
Las organizaciones que promocionan el BYDO (trabaja desde tu propio dispositivo), favorecen la implementación de la norma ISO 22301. Es suficiente con tener una conexión a internet fiable, por lo que se considera un factor que contribuye con facilitada de que un porcentaje relevante de nuestros trabajadores no sean interrumpidos en las tareas que deben realizar desplazándose. Con esto, no se está protegiendo de forma directa las incidencias que puedan suceder.
Software ISO 22301
El Software ISOTools Excellence realiza la automatización del estándar internacional ISO 22301 de forma sencilla, haciendo posible la gestión de los riesgos, identificación y disminución de su ocurrencia en cualquier momento.