Seguridad de la Información, Business Continuity Management y recuperación de desastres
Seguridad de la Información
No es fácil distinguir los efectos específicos de la Business Continuity Management (BCM), Seguridad de la Información (SI) y recuperación de desastres de TI. Las tres áreas tienen algo que ver con la seguridad, las pérdidas, los desastres y la protección. Durante este artículo queremos hablar sobre las funciones particulares de disciplinas que a menudo no se comprende por la dirección de la organización.
Para comenzar, vamos a echar un vistazo a las definiciones.
Business Continuity Management
Como dice su propio nombre, BCM protege a las organizaciones de consecuencias indeseables e incontrolables de las interrupciones del negocio. El personal es el recurso más valioso de una empresa, la protección de vida de los empleados es de máxima prioridad. Aparte de este aspecto, por lo general existe toda la gama de activos y recursos críticos a proteger. Se puede considerar un recurso crítico. La implantación de un enfoque de continuidad de negocio se rige por la norma ISO 22301.
Las interrupciones
Las interrupciones pueden o no tener nada que ver con los sistemas de TI. Pueden estar en funcionamiento, pero si una cadena de suministro importante ha sido interrumpida, la producción se puede detener de manera inesperada y de forma indefinida. Si un incendio destruye el almacén, sus entregas a los clientes pueden verse afectados. El personal no puede llegar al centro de la llamada de las empresas debido al mal tiempo, se verán afectadas por todas las ventas o el servicio al cliente.
Seguridad de la información
La Seguridad de la Información, como se especifica en la norma ISO 27001, se ocupa del manejo adecuado y seguro de información dentro de la empresa. El Sistema de Gestión de Seguridad de la Información no se centra sólo en los aspectos técnicos, sino que también se ocupa de manejo de la información en papel y aspectos humanos como la ingeniería social.
Un modelo para expresar la esencia de la seguridad de la información es el modelo de la CIA. El acrónimo de la confidencialidad, integridad y disponibilidad. Según las mejoras prácticas ampliamente aceptadas, necesita ser clasificada la información lo que significa que el acceso se va a organizar. Integridad proporciona la seguridad de que los resultados presentados por los sistemas de TI se pueden confiar y no han sido manipulados.
Existe una característica de la información mediante la cual se puede acceder por las personas autorizadas cuando es necesario. Un Sistema de TI que no se ejecuta o no es accesible es de ninguna utilidad. Si este sistema es de importancia para la empresa, es de interés para el enfoque de BCM. En ese momento tenemos una posición muy importante.
Es importante leer el siguiente artículo ISO 27001: ¿Qué significa la Seguridad de la Información? para aprender más sobre la seguridad de la información.
TI de recuperación de desastres
Si experimentamos un sistema que no está disponible, tenemos todas las razones para su creación y funcionamiento dentro de un período de un tiempo específico. Este marco de tiempo, se determina durante la fase de análisis del impacto empresarial del ciclo de vida BCM. La definición de los parámetros adecuados con la seguridad de la información es importante en el contexto de la seguridad tanto de la información como de la gestión de continuidad del negocio. La norma ISO 27031 describe los conceptos y principios de la tecnología de la información y la comunicación se prepara para la continuidad del negocio y la recuperación de desastres son parte del enfoque.
Cuando llega el desastre
TI de recuperación de desastres es sólo una actividad reactiva, un adecuado enfoque que exige medidas proactivas y preventivas para reducir la probabilidad y el impacto causado por un desastre. Esto se realiza mediante el diseño correctamente de los sistemas informáticos afectados, por lo general mediante la adición de elementos redundantes, evitando que se llamen puntos únicos de fallo.
Los tres términos
El BCM debe ser implementado según la norma ISO 22301. Por lo general es un pilar muy importante para la organización. No debe ser excluido en el enfoque BCM, pero las necesidades dedican aplicación según la norma ISO 27001.
TI de recuperación de desastres es una disciplina específica, se destina a restaurar los sistemas que han dejado de operar. Es un elemento crucial, pero es bastante inútil si se utiliza como una medida única. Es una táctica independiente, TI de recuperación de desastres no proporciona una protección adecuada para un negocio, ni es un sustituto de un enfoque de seguridad de la información.
BCM no es ciertamente un problema de TI interno, y cubre una gran cantidad de aspectos. Una aplicación adecuada de seguridad de la información es un elemento esencial e ideal para la construcción de un enfoque holístico.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.