| 25 años generando CONFIANZA
ISO 27001
La norma ISO 27001 es un suplemento óptimo para la Continuidad de Negocio, ya que simplifica la reacción ante la interrupción de las actividades que establece la empresa y resguarda la totalidad de los procesos críticos de negocio de los efectos que pueden ocasionar los desastres o perjuicios importantes que se den en los Sistemas de Información, así como asegurar una reiniciación lo más pronto posible.
Se debe de llevar a cabo un procedimiento de Gestión de la Continuidad de Negocio para reducir los posibles efectos que se puedan generar en la organización y poder recuperarse de pérdidas de activos de información.
Estos efectos pueden presentarse como resultados de desastres naturales, fallos en los equipos, acciones intencionadas y accidentes, por lo que tienen que compaginar los controles precautorios y de recuperación. En el seno de dicho procedimiento se tienen que reconocer todos los procesos críticos de negocio y se debe integrar la totalidad de requisitos del Sistema de Gestión de Seguridad de la Información basado en la norma ISO27001.
Los efectos que producen los desastres, los fallos de seguridad, la disponibilidad del servicio y las pérdidas de servicio deben estar sometidos al análisis de los efectos empresariales. Incluso debe desarrollarse e implementarse los planes de seguimiento de la empresa para asegurar una reanudación veloz y oportuna de la parte integral del proceso global de continuidad del negocio y de otros procesos de gestión de la organización.
En la Gestión de la Continuidad del Negocio se tienen que incluir los controles globales con el fin de identificar y disminuir todos los riesgos posibles, e incluso desarrollar un proceso en el cual se genere la evaluación de riesgos. Es necesario limitar las consecuencias que producen los incidentes perjudiciales y asegurar que la Seguridad de la Información es la adecuada para fundamentar todos los procesos empresariales que se consideren disponibles.
Sobre el Plan de Continuidad del Negocio podemos poner un claro ejemplo:
Identificar los activos críticos
Tenemos que reconocer en base a la disponibilidad.
Analizar el impacto de interrupción
En cuestión del modelo de amenazas consideradas a lo largo del análisis de riesgos, puede que tomemos distintas opciones:
- Tratar el tipo de riesgo.
- Procedimiento de continuidad de negocio.
- No hacer nada.
- Finalizar la actividad.
Quien decide sobre los casos en los que se tiene que realizar un procedimiento de continuidad de negocio es el comité de empresa.
Identificar a los responsables
Se debe adjudicar un Responsable de Seguridad en el rol de gestor del proceso y se encarga de coordinar las distintas actividades en relación con la Gestión de la Continuidad del Negocio.
Estimar la estrategia de recuperación
La persistencia de los servicios TI puede lograrse mediante medidas preventivas, que evita que se suspensión de los servicios o que se recuperen los distintos niveles del servicio en el menor periodo posible.
- Acciones preventivas.
- Acciones de recuperación.
Definición de recursos para recuperarse
Cuando se concrete el alcance, tras realizar un análisis de riesgos y vulnerabilidades, a continuación se tiene que conceptuar una estrategia de prevención y recuperación, considerando necesario atribuir y organizar los recursos necesarios globales.
- Programa de Prevención de Riesgos.
- Programa de Gestión de Emergencias.
- Programa de Recuperación.
En cuanto al Programa de Prevención de Riegos: el objetivo es el de eludir o reducir el impacto de los desastres que se podrán llegar a producir en la infraestructura. Conforme a las medidas se pueden determinar:
- Duplicar Sistemas Críticos.
- Políticas de Backups.
- Almacén de datos distribuidos.
- Sistemas de Seguridad pasivos.
- Sistema de Alimentación Eléctrica alternativa.
Entre las personas que conforman la entidad suelen provocarse reacciones de pánico en cuanto a los incidentes, perjudicando a la producción de la entidad e causando daños más graves que el propio incidente. Con lo cual, es muy importante que la mencionada situación de emergencia esté determinada mediante los responsables, así como que se conozcan a la perfección las labores que debe desarrollar cada sujeto, siguiendo los protocolos de actuación dependiendo de la situación que se dé.
Los programas de gestión de emergencias deben tener en cuenta aspectos como:
- Informar a la totalidad de los clientes y usuarios de la interrupción que se puede estar provocando y de la degradación del servicio ofrecido.
- Deben existir protocolos de actuación que pongan en marcha el plan de recuperación que se corresponda.
- Evaluar el impacto de la contingencia de la infraestructura.
- Atribuir funciones de emergencia al personal de la empresa.
En los casos en los que se producen interrupciones en el servicio, su control es vital, por lo que llega el momento de poner en funcionamiento todos los procedimientos de recuperación con los que se cuente.
El programa de recuperación debe insertar lo siguiente:
- Volver a organizar al personal involucrado en el incidente.
- Establecer los sistemas de hardware y software necesarios.
- Recuperar todos los datos y reiniciar el servicio.
Los procedimientos de recuperación, dependen en gran medida de las contingencias y de las alternativas de recuperación con la que se cuente.
Establecer los procedimientos
Por la dirección de la empresa se tienen que aprobar tanto los procedimientos de contingencia como los de continuidad de negocio.
En cada procedimiento se tiene que insertar:
- La persona encargada de comenzar el proceso.
- Las condiciones perfectas para que se comience el proceso.
- Escalar los accidentes.
- Organizar a los trabajadores.
- Gestionar el incidente.
- Mantener las actividades.
- Implementar las prioridades de recuperación.
La manera de eludir las diferentes interrupciones de negocio que se puedan ocasionar, son las siguientes:
- Contratar un seguro que englobe todos los deterioros.
- Revisar la política de blackup.
- Contratar servicios de “housing” con el proveedor.
- Supervisar que se logren todos los acuerdos que se han contratado con terceras personas.
- Revisar todos los sistemas críticos.
- Garantizar que se restablezca la alimentación eléctrica.
Pruebas y revisión de procedimientos
Cada cierto tiempo se tienen que elaborar informes en los cuales se incluyan la totalidad de información que sea relevante para la entidad global.
Difusión y concienciación
Se tiene que implementar un calendario periódico en los cuales se establezcan pruebas a los programas de recuperación y otro calendario en los que describan los cursos de formación basándose en todos los protocolos de actuación en posición de emergencia.
SGSI
Sistema de Gestión de Seguridad de la Información o SGSI es competente para dar respuesta a multitud de controles para el tratamiento de la información.
De este modo nos podemos asegurar que los factores vinculados a la Seguridad de la Información no causen problemas ni interrupciones en la Continuidad de Negocio.
Para saber más sobre los Sistemas de Gestión de Riesgos y Seguridad: https://www.isotools.us/normas/riesgos-y-seguridad/
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La estructura de ISO 42001 es la acostumbrada por ISO para sus estándares certificables, y con posibilidad de…