La pandemia desafió la resiliencia empresarial ¿qué aprendimos de la ISO 22301?

La pandemia desafió la resiliencia empresarial ¿qué aprendimos de la ISO 22301?

La norma ISO 22301 tiene un enfoque en la resiliencia de la organización y hace énfasis en la preparación y mantenimiento de los recursos necesarios para trabajar durante y después de una contingencia. La norma también establece un programa de pruebas y verificaciones sobre los procedimientos alternativos.

La norma ISO 22301 es una guía para garantizar la continuidad del negocio en caso de contingencias. Esta norma se centra en identificar los requisitos necesarios para asegurar que los procesos de negocios críticos puedan ser recuperados y estar disponibles para los clientes, proveedores y cualquier otra organización que deba acceder a ellos.

La versión actual tiene un enfoque en la resiliencia de la organización, lo que significa que se hace énfasis en la preparación y mantenimiento de los recursos necesarios durante y después de una contingencia, incluyendo el diseño y desarrollo de documentación, procedimientos manuales y respuestas específicas a incidentes, hardware, software y recursos humanos. La norma también establece un programa de pruebas y verificaciones de los procedimientos alternativos.

La resiliencia es un concepto que se aplica tanto a los individuos como a las organizaciones. En el contexto de la norma ISO 22301, se refiere a la capacidad de una organización para sobreponerse y recuperarse de una situación adversa, como un ataque de ciberseguridad, incendios, etc. La norma se enfoca en preparar a la organización para estos eventos y garantizar su capacidad de continuar sus operaciones.

El cumplimiento de los requisitos de seguridad de la información es fundamental para garantizar la protección de los datos y sistemas de una organización. La interpretación correcta de estos requisitos es crucial para establecer las definiciones y políticas adecuadas, así como para capacitar internamente a los diferentes grupos de interés, como usuarios finales, personal técnico, directivos y responsables de tecnología.

La comprensión de la importancia de la continuidad del negocio es esencial para estar preparados frente a situaciones adversas. Esto implica la identificación de los recursos necesarios, la capacitación en su uso y el conocimiento de cómo actuar en caso de una contingencia. Además, mejorar la cultura interna y la madurez de la organización en cuanto a la gestión de proyectos, análisis y mitigación de riesgos y respuesta a incidentes.

La selección de las personas idóneas para llevar a cabo estas tareas es importante, pero también es necesario preparar a todas las personas que ejecutan procesos críticos en la organización para actuar adecuadamente en caso de una contingencia. La capacitación en continuidad no debe ser un proceso aislado, sino una parte integral de la formación de todas las personas involucradas en procesos críticos.

 

El impacto de la pandemia en la seguridad de la información

En tiempos de pandemia y cuarentena, la seguridad de la información ha sido un aspecto crítico para las organizaciones. Aquellas que han implementado y cumplen con la norma ISO 27001 se encuentran en una posición privilegiada, ya que han madurado en su enfoque de resiliencia y están mejor preparadas para hacer frente a situaciones inesperadas.

Primero ha sido COVID19, luego la guerra Ucrania-Rusia, en contextos del mundo caótico actual ¿quién nos asegura que no habrá otra pandemia o cuarentena pronto?

Es posible que, durante la pandemia, algunas empresas hayan tenido que modificar sus procedimientos y protocolos de seguridad debido a la naturaleza de la contingencia, pero el hecho de tener una cultura de seguridad en la información les permite responder de manera más efectiva y eficiente. Además, trabajar en contingencia desde el hogar plantea nuevos desafíos para proteger los sistemas y datos de la compañía, por lo que es fundamental sensibilizar a los empleados y prepararlos para esta situación.

La pandemia ha demostrado que es importante tener un enfoque de previsibilidad y documentación en la gestión de riesgos. Muchas empresas no incluían la posibilidad de una pandemia en su mapa de riesgos, lo que ha demostrado ser un error. Es esencial evaluar y medir el impacto de este tipo de situaciones para poder mitigar los riesgos y garantizar la continuidad del negocio. La documentación de las acciones tomadas durante la pandemia también es crucial para mejorar en el futuro y estar preparados para situaciones similares.

Las empresas que han implementado un proceso de continuidad de negocios y han formalizado un análisis de impacto en el negocio están tomando medidas más serias para mejorar su seguridad de la información. La certificación asegura una mejora continua y una metodología sólida para la gestión de riesgos.

 

¿Está su empresa lista para enfrentar una contingencia?´

El desarrollo de un plan de continuidad del negocio requiere un análisis de impacto en el negocio que evalúe los riesgos y probabilidades. Este análisis debe considerar tanto impactos tangibles como intangibles, incluyendo el impacto económico y reputacional de la empresa. La reputación es un factor que tiene un impacto económico importante, aunque puede ser difícil de cuantificar.

El análisis de impacto en el negocio también es útil para informar otras estrategias empresariales, como la gestión de proyectos y la gestión de riesgos. En particular, debe abordar el apetito de riesgo de pérdida de datos y la asignación de presupuesto para la protección de los datos. Esto incluye la tecnología y metodología utilizadas para proteger los datos, así como los costos asociados con la protección física de los datos fuera de la empresa.

La certificación según la norma ISO 22301 de continuidad de negocios no solo garantiza que la empresa esté actualizada, sino que también brinda una visión objetiva de su preparación para la continuidad del negocio a través de auditorías externas. Un reporte de auditor puede identificar áreas de mejora y brindar recomendaciones para la renovación o certificación continua.

En conclusión, la certificación ISO 22301 es un aspecto crucial en la gestión de la continuidad del negocio y la seguridad de la información. La norma se enfoca en asegurar la resiliencia de la organización y garantizar que los procesos críticos puedan ser recuperados ante una contingencia. La comprensión y cumplimiento de esta norma es esencial para garantizar la protección de los datos y sistemas de una organización y prepararla para situaciones adversas. La capacitación y formación de todas las personas involucradas en procesos críticos es fundamental para asegurar la continuidad del negocio. Por lo tanto, es importante tomar conciencia de la importancia de la certificación ISO 22301 y trabajar para alcanzarla.