Como parte de la gestión de la seguridad de la información es muy importante tener un plan de contingencia para garantizar la continuidad del negocio. El estándar certificable y auditable ISO 22301:2012, puede utilizarse como guía para establecer un modelo que garantice la seguridad de la información en caso de una emergencia.
En el 2007 se publicaba la norma BS 25999, el primer estándar certificable que definía los requisitos y buenas prácticas que debería seguir una empresa, independiente de su tamaño, para implementar un sistema para la gestión de la continuidad del negocio. Después de una serie de revisiones, fue publicado el estándar ISO 22301:2012 que basado en el ciclo de mejora continua, plantea los pasos para planear, implementar, operar, revisar y mejorar la gestión de la continuidad del negocio.
Como parte de los requerimientos que se deben tener en cuenta dentro de la implementación de este estándar es la definición de las necesidades de la organización, lo cual se logra estableciendo un alcance determinado. Debe quedar muy claro cuáles son los procesos que quedan cubiertos por los planes de continuidad.
La selección de los procesos incluidos en el alcance del sistema, debe estar basado en la definición del apetito al riesgo, el cual debe ser aprobado por la dirección de la organización, para garantizar que esté conforme con la definición estratégica de la organización.
Para una organización iniciar con la implementación de este modelo de continuidad, lo más recomendable es empezar por lo más general e ir particularizando de acuerdo a las características de cada proceso.
Siguiendo este orden de ideas debería iniciarse con el Análisis de Impacto en el Negocio, respetando el nivel de apetito al riesgo. De esta forma se pueden definir los requerimientos de recursos y la estructura de para responder a incidentes.
El resultado de estos análisis deben quedar plasmados en el Plan de Continuidad del Negocio (BCP, Business Continuty Planning), uno de los requisitos documentales fundamentales de la ISO 22301:2012, debe contemplar las acciones que la organización debe seguir para recuperar y restaurar las actividades críticas del negocio en un tiempo prudencial y de manera progresiva regresar a la normalidad; garantizando en todo momento la integridad, confidencialidad y disponibilidad de la información.
Lo más importante dentro de la gestión de la continuidad del negocio es que los planes de continuidad sean probados. De nada sirve tener todo documentado, definidos los responsables, contar con la tecnología de respaldo si no se hacen pruebas para determinar que las actividades definidas para responder ante una emergencia son las adecuadas para la organización. Si bien el estándar es único, la forma en que se desarrolla y se aplica es único y debe estar en concordancia con los procesos más críticos del negocio.
Como se puede observar los requerimientos que exigen esta normatividad, están en concordancia con la serie de normas ISO 27000 para la gestión de la seguridad de la información. La continuidad del negocio es fundamental para garantizar que las operaciones más críticas del negocio sigan funcionando de tal forma que los clientes no se vean afectados, pero siempre garantizando la seguridad de la información. Y recuerden hay que planear para lo peor, esperando siempre lo mejor.