Estándares de continuidad de negocio y gestión de incidentes
Cualquier organización está expuesta a incidentes que pueden provocar una parada de su actividad y ser un obstáculo para la continuidad de su negocio.
Es por ello que cada vez más las organizaciones están preocupadas por cómo recuperarse ante un posible desastre y cómo planificar todas sus actividades de cara a dar la mejor respuesta antes, durante y después de un incidente grave capaz de producir una interrupción en sus principales procesos de negocio.
Su objetivo es resolver cualquier problema o incidente de una manera rápida, eficaz y eficiente, analizando cómo se ha producido dicha incidencia y ocupándose de que no vuelva a ocurrir en el futuro.
Hasta el año 2012 existían publicados multitud de códigos de buenas prácticas y estándares internacionales, desarrollados por grupos de expertos, que servían de guía para proyectos de implementación de preparación, gestión y respuesta ante incidentes.
Las principales normas, estándares y códigos de buenas prácticas se ocupaban de la prevención o de la gestión de los incidentes en la base al momento del tiempo en el que se encuentra el evento disruptivo. Algunas de las más significativas, y que sirvieron de punto de partida:
- Para prevención o preparación ante incidentes:
- ISO 22399: guía para la preparación ante incidentes y gestión de la continuidad operativa.
- PAS 200 / BS 11200: gestión de crisis. Orientación y buenas prácticas.
- ISO 31000: gestión de riesgos .
- Durante el incidente:
- ISO 22320 : gestión de emergencias y respuesta a incidentes.
- Durante / Después del incidente:
- ISO 27031 : Gestión de la Tecnología de Información y Comunicación y obtención de Continuidad de Negocio.
En el año 2012, con el fin de dotar de una norma común internacional, la Organización Internacional de Estandarización (ISO por sus siglas en inglés) publicó el estándar ISO22301 para desarrollar Sistemas de Gestión de Continuidad de Negocio, que abarca todos los momentos de la gestión de eventos disruptivos de cualquier tipo (desastres naturales, interrupciones tecnológicas, delitos financieros, incumplimientos regulatorios, etc), desde el análisis de posibles riesgos que pueden afectar a la organización, hasta la gestión y respuesta de incidentes cuando ya se han producido.
Esta norma sigue complementando con algunas de las anteriores, aún en uso, y otras derivadas de ella, tales como:
- ISO 22313: guía para un sistema de gestión de continuidad de negocio y mejora continua.
- ISO 22317: directrices para el análisis del impacto en el negocio.
- ISO 22318: continuidad de las cadenas de suministro.
- ISO 22398: pautas de ejercicio.
- ISO 22399: preparación ante incidentes.
Desde entonces, la norma ISO 22301 se ha convertido en el principal estándar de referencia en lo concerniente a la continuidad de negocio y la gestión de incidentes.
Complementarias también a esta norma, centradas o relacionadas con el aspecto tecnológico del análisis y gestión de incidentes, se encuentran estándares como:
- ISO 27001: Sistemas de Gestión de Seguridad de la Información (SGSI).
- ISO 20000: Sistema de Gestión de Servicios de Tecnologías de la Información.
- Guías NIST – SP 800: conjunto de documentos relacionados con el análisis y gestión de riesgos tecnológicos.
- ITIL (Biblioteca de Infraestructura de Tecnologías de la Información): buenas prácticas destinadas a la gestión de servicios de tecnologías de la información.
En GlobalSUITE Solutions ofrecemos la ayuda y el asesoramiento necesario para la implementación de su Sistema de Gestión de Continuidad de Negocio y la obtención de su certificación. Además, contamos con el software GlobalSUITE®, íntegramente desarrollado por nuestro equipo, permite la implantación, gestión y mantenimiento de todos los requisitos exigidos por la norma ISO 22301 en todo tipo de organizaciones y sectores.