This post is also available in: Português Español
La capacidad que tiene una empresa para continuar con sus actividades normales después de incidentes de seguridad digital es tan relevante que ya cuenta con una certificación ISO en el tema. Se trata de la norma ISO 22301 – Sistemas de gestión de la continuidad del negocio. Publicado por la International Organization for Standardization (ISO), describe cómo gestionar la continuidad del negocio en una empresa después de eventos adversos, ya sea por un fallo de seguridad digital o no.
En este contexto, es importante destacar que la continuidad del negocio es la capacidad de una empresa para continuar con la entrega de productos o servicios a niveles aceptables predefinidos después de un incidente de interrupción. Por tanto, se trata de la preparación de una organización para hacer frente a situaciones que podrían impedirle alcanzar sus objetivos más básicos del día a día, y también los del medio y largo plazo.
Con la norma ISO 22301, una empresa puede ser acreditada por un organismo de certificación de confianza, demostrando su cumplimiento a sus clientes, socios, proveedores y otras partes interesadas.
Por lo tanto, la norma ISO 22301 define la gestión de la continuidad de las actividades como parte de la gestión global de los riesgos en una empresa, que se solapa parcialmente con la gestión de la seguridad de la información y la gestión de las TI. La ISO también se convierte en un argumento relevante para los equipos de ventas, que pueden buscar nuevos clientes mostrando una certificación internacional de seguridad en sus operaciones.
Beneficios de la ISO 22301
Además de esta potenciación del sector comercial, existen otras ventajas. La primera de ellas es el cumplimiento de requisitos legales. Cada vez son más los países que definen leyes y normativas que exigen el cumplimiento de la continuidad de la actividad de negocios.
Algunas instituciones financieras privadas también exigen a sus proveedores y socios que apliquen estas soluciones. Por lo tanto, la norma ISO 22301 proporciona un marco y una metodología que apoya el cumplimiento de estos requisitos. Esto reduce el esfuerzo administrativo y operativo, así como el número de sanciones a pagar en caso de eventos adversos.
Distinguirse en el mercado es otra ventaja. Frente a los competidores sin certificación, una empresa acreditada por la norma ISO 22301 tendrá una importante ventaja, sobre todo cuando se trata de clientes que son sensibles a mantener la continuidad de sus operaciones y la entrega de sus productos y servicios. Además, esa ISO puede mejorar su reputación y ayudarlo a llegar a nuevos clientes, así será más fácil demostrar que determinado negocio está entre los mejores del sector.
También hay un beneficio que es en realidad una consecuencia de la ISO 22301: la reducción de la dependencia de ciertos profesionales. A menudo, ciertas actividades críticas de una empresa dependen de algunos empleados que son difíciles de sustituir, cuyas competencias son más raras en el mercado. Los directivos que son conscientes de ello pueden hacer uso de las prácticas de continuidad del negocio para no estar a merced de estas personas, ya sea por las soluciones de sustitución implementadas o por la documentación de las tareas relacionadas.
Esto también ayuda a prevenir daños a gran escala. Hoy en día, cada minuto de servicio inactivo es sinónimo de pérdida económica. E incluso si la empresa no es tan sensible a los períodos cortos de tiempo de inactividad, los incidentes disruptivos tendrán un costo. Al implementar prácticas de continuidad comercial que cumplen con la norma ISO 22301, la empresa ahorrará dinero, tanto al evitar que ocurran incidentes disruptivos como al poder recuperarse más rápido.
¿Cómo funciona la norma ISO 22301?
Como ya se vio, el enfoque de ISO 22301 es garantizar la continuidad de la entrega de productos y servicios después de la ocurrencia de situaciones disruptivas, lo que incluye eventos asociados con la seguridad digital. Es algo que se hace determinando las prioridades de continuidad del negocio, a través del análisis de impacto, identificando qué posibles eventos pueden afectar las operaciones.
Luego, se debe alinear lo que se debe hacer para evitar que sucedan estos eventos y luego definir cómo recuperarse, de manera aceptable, en el menor tiempo posible, es decir, la mitigación del riesgo o el tratamiento del riesgo. Por tanto, la idea principal de la ISO 22301 se basa en el análisis de impacto y la gestión de riesgos. De esta manera, basta con averiguar qué actividades son las más importantes y qué riesgos pueden afectarlas, y luego abordar esos riesgos de forma sistemática.
Las estrategias y soluciones que deben implementarse suelen adoptar la forma de políticas, procedimientos e implementación técnica/física, por ejemplo, instalaciones, software y equipos. En muchos casos, las empresas no cuentan con todo el hardware y software necesario. Por lo tanto, la implementación de la ISO 22301 implicará no solo definir las reglas organizacionales necesarias para evitar incidentes disruptivos, sino también desarrollar planes y asignar recursos técnicos para permitir la continuidad y recuperación de las actividades rutinarias.
Términos utilizados en la norma
- Sistema de Gestión de la Continuidad del Negocio (BCMS):
es parte de un sistema de gestión general que garantiza que la continuidad del negocio se planifique, implemente, mantenga y mejore continuamente.
- Interrupción Máxima Aceptable (MAO):
define la cantidad máxima de tiempo que se puede interrumpir una actividad sin causar un daño inaceptable (también llamado Período de Interrupción Máximo Tolerable – MTPD)
- Objetivo de tiempo de recuperación (RTO):
trata del tiempo predeterminado en que se debe reanudar un producto, servicio o actividad o se deben recuperar los recursos.
- Objetivo de punto de recuperación (RPO):
maneja la pérdida máxima de datos, es decir, la cantidad mínima de datos utilizados por una actividad que necesita ser restaurada.
- Objetivo Mínimo de Continuidad de Negocio (MBCO):
es el nivel mínimo de servicios o productos que una empresa necesita producir para lograr sus objetivos establecidos después de reanudar sus operaciones comerciales.
This post is also available in: Português Español