| 25 años generando CONFIANZA
Índice de contenidos
ToggleContinuidad del Negocio
En un entorno cada vez más exigente, las empresas no pueden permitirse sufrir interrupciones importantes en su cadena de producción o línea de negocio. De ahí que disponer de un Sistema de la Continuidad del Negocio (SGCN), basado en un estándar internacional y de prestigio como la norma ISO 22301, se esté convirtiendo en toda una exigencia para las organizaciones.
Ante la amenaza u ocurrencia de cualquier evento negativo o alterador, disponer de un SGCN bien diseñado y correctamente implantado es una garantía, para la propia empresa y ante terceros (la ISO 22301 es certificable), de que la organización podrá reanudar sus operaciones y servicios en unos tiempos adecuados.
Principales amenazas para la continuidad del negocio
Debido a la espectacular introducción de las Tecnologías de la Información (TI) en prácticamente todas las organizaciones, existe una tendencia generalizada a identificar los peligros exclusivamente con las amenazas relacionadas con los sistemas informáticos. Pero lo cierto es que existen otras áreas susceptibles de sufrir problemas que puedan comprometer la actividad normalizada y fluida de las empresas.
Se considera que existen 10 grandes áreas de peligro para el negocio:
- Interrupciones no planificadas en TI y telecomunicaciones.
- Ciberataques.
- Brechas de datos.
- Malas condiciones climatológicas.
- Interrupción del suministro de red.
- Fuego.
- Incidentes de seguridad.
- Incidentes de salud y seguridad.
- Actos de terrorismo.
- Nuevas leyes o regulaciones.
Enmarcadas en algunas de estas áreas, encontramos una serie de situaciones de peligro frecuentes y recurrentes:
- Un deficiente control de acceso a los sistemas informáticos.
- Existencia de vulnerabilidades web.
- Falta de formación y concienciación entre los trabajadores.
- Procesos de gestión ante incidentes de seguridad ineficaces o mal planteados.
- Problemas de adaptación a los cambios regulatorios y normativos.
- Inexistencia o insuficiente control del acceso a la red de los usuarios internos y terceros, tales como proveedores o invitados a la red corporativa.
- Fugas de información.
- Existencia de vulnerabilidades en los filtros informativos que provocan fraudes y robos de información.
- Uso de software inseguro.
- Falta de planificación en la continuidad de negocio.
¿Qué hacer ante una situación de crisis?
Cuando se ha producido un evento adverso que puede poner en peligro la continuidad del negocio debe producirse, en primer lugar, una invocación por parte de la Dirección de las acciones que deben activarse para continuar con la actividad.
A partir de aquí, ya puede definirse la estrategia más adecuada para restablecer la situación al punto de partida, es decir, que el tiempo que transcurre desde el inicio del incidente hasta que se recupere la actividad normal sea el mínimo posible.
Una vez tenemos la estrategia, el siguiente paso consiste en concretar los pasos o acciones que sean necesarias para recuperar la operatividad normal,
Un esquema genérico de pasos a ejecutar una vez se ha producido la incidencia puede ser el siguiente:
- Restitución, de activos, suministros y entorno.
- Arranque de los sistemas y servicios.
- Pruebas de comprobación de los sistemas restaurados.
- Puesta en operación.
- Retirada de los planes de respaldo.
- Registro de las acciones y sus resultados.
En cuanto a los procedimientos utilizados para poner en marcha las acciones preventivas y activas para asegurar la continuidad del negocio, la norma ISO 22301 determina los siguientes requisitos:
- Se debe establecer y documentar los protocolos de comunicación necesarios.
- Los procedimientos deben tener una cierta flexibilidad en lo que respecta a las respuestas.
- Se deben incidir directamente en aquellos procedimientos que sean más críticos en las operaciones.
- Ha de procurarse la disposición de todos los recursos necesarios para ejecutar todas las acciones, tanto preventivas como de reposición de la actividad, una vez se haya producido la interrupción.
- Orientación a la detección de incidentes.
- Disponer de procesos de activación, operación, coordinación y comunicación de respuestas.
- En todo momento debe haber un flujo de comunicación constante.
La Plataforma ISOTools facilita la automatización de la ISO 22301
El software ISOTools garantiza la continuidad de negocio a través de una solución basada en la automatización y mantenimiento de un SGCN práctico y eficaz, según los requisitos de la norma ISO 22301.
¿Desea saber más?
Entradas relacionadas
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...
La norma ISO 19011 es una guía para hacer auditorías de sistemas de gestión, a través de un marco claro y conciso para planificar y...