[vc_row][vc_column][vc_column_text]Sabemos que un incidente puede pasar en cualquier momento y por ello las organizaciones deben estar preparadas para protegerse y reaccionar ante cualquier acontecimiento que pueda dañar la continuidad de negocio. De esta forma se garantiza poder dar una respuesta planificada ante cualquier fallo de seguridad, esto repercutirá positivamente en el cuidado de nuestra imagen y reputación como empresa, además de mitigar el impacto financiero y la pérdida de información crítica ante estos incidentes.
Cuando hablamos de Continuidad de Negocio nos referimos a la capacidad que tienen las empresas para sobrevivir ante un riesgo que se pueda presentar de manera interna o externa, afectando el normal desarrollo de las actividades; ya sea un incendio, un terremoto o una pandemia; ponen en riesgo el funcionamiento de las operaciones . Desafortunadamente algunas de ellas deben cerrar o cesar su actividad ya que no están preparadas para encarar o mitigar este tipo de desastres, sin embargo se pueden mejorar las posibilidades de superar un incidente si se siguen ciertas estrategias probadas y de confianza.
En resumen, lo más importante es actuar de manera inmediata para poder seguir prestando los servicios de forma habitual evitando así las posibles pérdidas, por supuesto sin olvidar contar con una gestión de continuidad de negocio.
Gestión de la continuidad de negocio
“La gestión de la continuidad de negocio (GCN) busca sostener en niveles previamente definidos y aceptados, los productos y servicios críticos del negocio a través de la estructuración de procedimientos, tecnología e información, los cuales son desarrollados, compilados y mantenidos en preparación para su uso durante y después de una interrupción o desastre, con el fin de proteger los intereses de las partes interesadas, la reputación, las finanzas, los activos críticos y otros aspectos generadores de valor”. Así lo da a entender Rodrigo Ferrer, en su documento “Metodología para la Gestión de la Continuidad del Negocio”, publicado en 2015.
Una correcta y adecuada implementación de un Sistema de Gestión de Continuidad de Negocio se puede llevar a cabo gracias a la ISO 22301 pues esta norma reúne todos los requisitos en donde se deberá identificar las capacidades que tiene una organización para enfrentar algún tipo de incidente, además ofrece diferentes claves que permiten mejorar el negocio internamente y realizar una correcta planificación para garantizar la continuidad de este.
Para entender un poco más la Norma ISO 22301 veamos en qué consiste.
¿Qué es la Norma ISO 22301?
Creada por la Organización Internacional de Normalización (ISO) esta norma brinda buenas prácticas y formas para llevar a cabo la gestión de la continuidad de negocio, ofrece un marco básico el cual permite que se pueda continuar trabajando durante una eventualidad de riesgo , velando por la seguridad de sus empleados, infraestructura y evitando que la reputación se vea afectada hasta el punto de crear una crisis interna y externa.También hay que tener en cuenta que otorga una certificación permitiendo que la entidad pueda demostrarle a sus clientes, empleados y proveedores que están blindados frente a este tema.
¿Qué Información se debe documentar?
- Alcance.
- Lista de requisitos legales, normativos y de otra índole.
- Política de la continuidad de negocio.
- Objetivos de la continuidad del negocio.
- Competencias del personal.
- Comunicación con las partes interesadas.
- Análisis del impacto en el negocio.
- Evaluar el riesgo.
- Estructura de la respuesta ante incidentes.
- Planes de continuidad del negocio.
- Procedimientos de recuperación.
- Resultados de acciones preventivas.
- Auditoría interna.
- Revisión de la dirección.
- Acciones correctivas.
- Mejora continua.
La norma ISO 22301 está organizada según la siguiente estructura:
- Ámbito de aplicación.
- Referencias normativas.
- Términos y definiciones.
- Contexto de la organización. Consiste en identificar el alcance del SGCN, teniendo en cuenta los objetivos estratégicos de la organización, sus productos y servicios claves, su tolerancia al riesgo, así como cualquier obligación reglamentaria.
- Liderazgo. La alta dirección debe demostrar un compromiso continuo con el SGCN. A través de su liderazgo y acciones, la dirección puede crear un ambiente en el cual el personal esté completamente involucrado y el sistema de gestión pueda funcionar de manera eficaz en sinergia con los objetivos de la organización.
- Planificación. Se establecen objetivos estratégicos y principios para la orientación del SGCN en su totalidad.
- Soporte. La gestión diaria de un Sistema de Gestión de la Continuidad de Negocio, se basa en el uso de los recursos apropiados para cada actividad. Estos recursos incluyen personal competente, toma de conciencia y comunicación, etc. todo esto debe estar apoyado por la documentación que sea necesaria.
- Operación. Después de la planificación del SGCN, la organización debe ponerlo en funcionamiento.
- Evaluación del desempeño. La norma ISO 22301 requiere un seguimiento permanente del sistema, así como revisiones periódicas para mejorar su operación.
- Mejora. La organización puede mejorar continuamente la eficacia de su sistema de gestión a través del uso de la política de continuidad de negocio, los objetivos, los resultados de auditorías, los indicadores, las acciones correctivas y preventivas y la revisión por la dirección.
Dentro de los tipos de proyectos de continuidad de negocio tenemos el plan de continuidad de negocio y el plan de recuperación ante desastres.
Plan de continuidad de negocio (BCP) según la ISO 22301
Es un plan que se diseña y ajusta a los objetivos, estructura y alcance de cada organización con el propósito de mantener la operación normal en caso de que se presente alguna eventualidad que pueda afectar de manera directa o indirecta las actividades cotidianas. Contribuye a la protección de la reputación de la institución, prevención en pérdidas económicas, servicio al cliente y cumplimiento de plazos.
Por otro lado, también permite que se anticipe a los riesgos a los que están expuestos y a cómo actuar frente a la crisis.
Ventajas de tener un BCP:
-Mantener el nivel de servicio en límites predefinidos.
-Establecer un periodo de recuperación.
-Determinar la capacidad que puede tener la empresa en caso de materializarse un riesgo de alto impacto.
-Mitigar permanentemente el riesgo de interrupción de servicios.
-Administrar una eventual crisis, protegiendo principalmente la integridad de las personas y activos de la empresa.
-Garantizar el principio de la “empresa en marcha” logrando la recuperación de la operación crítica en el menor tiempo posible.
-Contener el impacto y minimizar la probabilidad de cometer errores.
Las fases de un plan de continuidad de negocio son:
- Determinación del alcance : se debe clasificar cada una de las áreas dándole una clasificación de prioridad a cada una de ellas para identificar cuáles son las más vulnerables y de esta manera poder ir trabajando en la continuidad de la organización.
- Análisis de la empresa: se debe recoger toda la información de la organización con el fin de identificar cuáles son los procesos de negocios críticos (activos), cómo se les dará soporte y cuáles son las necesidades que se presentan.
- Determinación de la estrategia: una vez estén definidos los activos se debe establecer que si en caso de que se llegue a presentar una amenaza están en la capacidad de recuperar estos activos en corto plazo, si por el contrario requiere de un tiempo mayor se deben establecer estrategias.
- Respuesta a la contingencia: se elegirán las estrategias necesarias que se pondrán en marcha en caso de presentarse un desastre y se creará un plan de crisis en donde se documentará toda la información.
- Pruebas, mantenimiento y revisión: En este punto es demasiado importante contar con recursos tecnológicos que permitirán crear planes de prueba, mantenimiento y revisión, para identificar cuáles son las buenas prácticas y en qué se debe mejorar.
- Concienciación: Se debe crear una cultura dentro de la organización para que todos los empleados conozcan el plan de acción y se apropien de la situación, al igual que entiendan cuál será su rol dentro de este plan.
Plan de recuperación ante desastres (DRP)
Está orientado a la reconstrucción de la infraestructura informática y las aplicaciones estratégicas de la empresa, utiliza un plan de copias de seguridad que garantiza en caso de siniestro o incidente, la puesta en funcionamiento de la empresa.
En función de las necesidades y del presupuesto de una empresa, un DRP se basa en numerosas estrategias que permiten recobrar la actividad en el menor tiempo posible. Es por ello, que la puesta en servicio se determina en función de las probabilidades de riesgo, sus efectos y de la eficacia de los servicios involucrados. Entre las medidas que pueden definirse en el marco de un DRP se encuentran las copias de seguridad y los sistemas redundantes.[/vc_column_text][/vc_column][/vc_row]