ISO 22301 ¿Cómo establecer un plan de continuidad de negocio?
ISO 22301
La ISO 22301 es una norma basada en la BS 25999. Se cuenta con 106 requisitos que mandan en la implantación del plan de continuidad de negocio. La gestión de la continuidad del negocio ayuda a disminuir la posibilidad de ocurrencia de un incidente, y en caso de producirse, la organización se encuentra preparada para responder de manera adecuada y así reducir de forma drástica el daño del incidente.
La norma ISO 22301 establece todos los requisitos de planificar, establecer, implantar, operar, monitorear, revisar, mantener y realizar la mejora continua del sistema en cuanto a la respuesta y recuperación de los incidentes, cuando suceden.
Algunos beneficios de la gestión de continuidad del negocio son:
- Identificar y gestionar las amenazas actuales y futuras de la empresa.
- Método proactivo para minimizar el impacto de los incidentes.
- Operar funciones críticas durante los momentos del incidente.
- Mejorar el tiempo de reacción.
La norma ISO 22301 establece la metodología general para la continuidad de negocio. Dentro de la información documentada que se debe desarrollar:
- El alcance.
- La lista de requisitos legales, normativos y de otra índole.
- Política de la continuidad de negocio.
- Objetivos de la continuidad del negocio.
- Competencias del personal.
- Comunicación con las partes interesadas.
- Análisis del impacto en el negocio.
- Evaluar el riesgo.
- Estructura de la respuesta ante incidentes.
- Planes de continuidad del negocio.
- Procedimientos de recuperación.
- Resultados de acciones preventivas.
- Auditoría interna.
- Revisión de la dirección.
- Acciones correctivas.
- Mejora continua.
Se cuenta con la misma estructura de la norma ISO 9001, proporciona las bases para la gestión de negocios y demostrar el grado de confiabilidad de la empresa. la ISO 22301 refuerza la definición de los objetivos y su seguimiento, define de forma clara la responsabilidad de la dirección y la mejora de la planificación de todos los recursos para garantizar la continuidad del negocio. Su implantación es un gran beneficio y una forma de prevención antes de que ocurra un incidente.
Como parte de la gestión de la seguridad de la información es muy importante tener un plan de contingencia para garantizar la continuidad del negocio. El estándar es certificable y auditable según la norma ISO 22301, se puede utilizar como guía para establecer un modelo que garantice la seguridad de la información en caso de una emergencia.
En el año 2007 se publicó la norma BS 25999, el primer estándar certificable que define los requisitos y las buenas prácticas que debe seguir una organización, de forma independiente a su tamaño, para implantar un sistema de gestión de continuidad de negocio. Posteriormente se publicó el estándar de ISO 22301 que se encuentra basado en el ciclo de mejora continua, se plantean los pasos para planificar, implantar, operar, revisar y mejorar la gestión de la continuidad de negocio.
Debe quedar muy claro todos los procesos que quedan cubiertos por los planes de continuidad. Las selecciones de los procesos se incluyen en el alcance del sistema, se debe basar en la definición de apetito al riesgo, debe ser aprobado por la dirección de la organización para garantizar que se encuentre conforme a la definición estratégica de la empresa.
Para una empresa iniciar con la implantación del modelo de continuidad, lo más recomendable es comenzar por lo más general e ir particularizando según las características de cada proceso.
Si seguimos esta orden de ideas debería iniciarse con el Análisis de Impacto en el Negocio, se respeta el nivel de apetito al riego. De esta manera se pueden definir todos los requisitos de recursos y la estructura para responder a los incidentes.
Los resultados obtenidos de los análisis deben estar plasmados en el Plan de Continuidad del Negocio, uno de los requisitos documentales fundamentales de la norma ISO 22301, tiene que contemplar las acciones que la empresa tiene que seguir recuperar y restaurar las actividades críticas del negocio siguiendo un tiempo prudencial y de forma progresiva regresar a la normalidad, garantizando en todo el momento la integridad, confidencialidad y disponibilidad de la información.
Lo más importante dentro de la gestión de la continuidad del negocio es que los planes de continuidad se prueben. Si bien el estándar es único, la manera en la que se desarrolla y se aplica es único y debe encontrarse en concordancia con los procesos más críticos del negocio.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.