¿Continuidad de negocio en un SGSI?

En este artículo se analiza qué cambió en la saga de estándares ISO 27002 respecto de la continuidad de negocio.

Introducción

En este artículo se aborda el posible solape entre 2 disciplinas bastante relacionadas entre sí, aunque cada una con su área específica: la seguridad de la información y la continuidad de negocio. En particular, se analiza el grado en que los 2 estándares de referencia (ISO 27001 e ISO 22301) están, o no, solapados.

En un artículo aparte trataré las áreas de confluencia de ambos mundos y cómo puede llevarse a cabo la implantación de ambos estándares sin caer en redundancias innecesarias.

La razón de escribir este artículo se debe a que, en no pocas ocasiones, me han manifestado cosas como:

  • “Si tengo un SGSI certificado, entonces ya tengo continuidad de negocio”
  • “Para que una organización cumpla con los controles del capítulo 17 de la ISO 27002, basta con que tenga hecho un BIA y disponga de un DRP”

[Read more…]

Estrategia de Continuidad de Negocio – II

La semana pasada hacíamos algunas reflexiones sobre la fase de estrategia dentro del ciclo de vida de la continuidad de negocio, y como ejemplo, nos planteábamos qué estrategias utilizar en el caso hipotético de que nuestra oficina en Madrid no estuviese disponible y tuviésemos que recuperar el proceso en 24h.... Leer Más

Estrategia de Continuidad de Negocio – I

En este artículo se hacen algunas reflexiones sobre la fase de estrategia dentro del ciclo de vida de la continuidad de negocio.

Es más que habitual que los clientes, y no pocos consultores, a la hora de mejorar la resiliencia de las organizaciones, propongan un “Plan de Continuidad de Negocio”. En realidad, se debería hablar de implantar una “Gestión de la Continuidad de Negocio”, ya que de lo que se trata es de poner en marcha una serie de procesos, actividades y capacidades interrelacionadas. De aquí en adelante usaremos las siglas BCM para referirnos a dicha Gestión.

Sí, hay que reconocer que uno de los posibles resultados del BCM puede ser la elaboración de uno o varios planes que definan cómo actuar ante un evento inesperado y recuperar una funcionalidad de negocio o una capacidad TIC. No obstante, dichos planes no son, por supuesto, los únicos “outputs” del BCM, aunque sí es cierto que son los más visibles y, por desgracia, los auditores suelen limitarse a verificar la existencia de los mismos cuando evalúan las capacidades de recuperación de la organización (el clásico de poner la marca de “cumple” en la casilla de verificación).

[Read more…]