Gestión de Continuidad del Negocio y Normas ISO 22301 y 27001

Clase 36 de 39Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Clase anteriorSiguiente clase

Resumen

¿Qué es la gestión de continuidad del negocio?

La gestión de continuidad del negocio es un conjunto de procedimientos y estrategias que garantizan la reanudación oportuna de los servicios tras una interrupción. Conocido también como BCP por sus siglas en inglés o PCN, este concepto se centra en asegurar que las operaciones continúen aun sin tecnología. Esta norma ha tomado relevancia en tiempos recientes por la importancia de mantener las operaciones en situaciones imprevistas.

¿Cómo se diferencia el BCP del DRP?

Es fundamental entender la distinción entre un BCP y un DRP. Mientras que el BCP se centra en la continuidad de la operación general de la empresa sin la intervención de la tecnología, el DRP, o plan de recuperación de desastres, se concentra en restaurar los servicios tecnológicos. Ambos deben estar alineados para minimizar el impacto en la organización frente a eventos adversos.

Ejemplo de situaciones donde aplicar BCP y DRP

  • BCP: Durante un incendio, la prioridad es evacuar y proteger a las personas mientras continúan las operaciones manuales.
  • DRP: Restauración de servidores y equipos tecnológicos dañados, reinstauración de backups, etc.

¿Cómo se construye un plan de continuidad de negocio?

  1. Impacto del análisis del negocio (BIA):
    • Involucrar a todos los dueños de procesos.
    • Identificar procesos críticos que sostienen la operación esencial.
    • Priorizar actividades que podrían afectar la supervivencia de la organización.
  2. Identificación de procesos críticos:
    • Ejemplos incluyen el registro de estudiantes en una universidad o la atención al cliente en una institución bancaria.

¿Qué son el RTO y RPO?

Dos conceptos clave que deben integrarse tanto en el análisis del BIA como en la construcción de un BCP:

  • RTO (Tiempo Objetivo de Recuperación): Tiempo máximo que una actividad puede interrumpirse antes de que afecte significativamente la operación.

    • Ejemplo: En un banco, la atención a clientes no debe detenerse más de diez minutos para evitar sanciones.

  • RPO (Punto Objetivo de Recuperación): Nivel aceptable de pérdida de datos medido en tiempo que una organización puede soportar.

    • Ejemplo: Si un servidor se colapsa, ¿cuántos datos pueden perderse antes de reiniciar la operación?

¿Cuáles son las normativas relacionadas con la gestión de continuidad?

  • ISO 22301: Ofrece lineamientos detallados para la gestión de continuidad del negocio.
  • ISO 27001: Exige definir estos parámetros, facilitando una integración efectiva de la seguridad de la información con la continuidad del negocio.

La creación y actualización constante de un plan de continuidad de negocio es fundamental para garantizar una respuesta eficaz ante cualquier interrupción. Integrar adecuadamente BIA, RTO y RPO asegurará un enfoque robusto y eficiente.