Está en la página 1de 4

Normas de seguridad y continuidad del negocio

Sistema de Gestión de Continuidad de Negocio.

Continuidad de negocio es el término que se acuña para referirse a las estrategias y


planificación mediante las cuales las organizaciones se preparan para dar respuesta a
eventos catastróficos tales como incendios, inundaciones, ataques cibernéticos, accidentes
o errores humanos.
Un Sistema de Gestión de Continuidad de Negocio (SGCN o BCMS en sus siglas en inglés)
certificado bajo la norma ISO 22301 – el estándar de mayor aceptación a nivel internacional-
ayuda a las organizaciones a prepararse para las emergencias, a gestionar las crisis y
mejorar su capacidad de recuperación operacional, asegurar la cadena de suministro y
protegerse, por ejemplo, su reputación ante una crisis.

En el actual contexto en el que llevan a cabo su actividad, todas las organizaciones pueden
estar sujetas a interrupciones como fallos de la tecnología, inundaciones, incendios,
interrupciones de servicios públicos o incluso u ataque terrorista.

Las consecuencias de las interrupciones del negocio inesperadas pueden ser de largo
alcance y pueden implicar la pérdida de bienes y servicios, la pérdida de la vida de
personas, o la imposibilidad de entregar productos/servicios clave para la supervivencia de
la organización.

ISO 22301 es una norma internacional de gestión de continuidad de negocio. Esta ha sido
creada en respuesta a la fuerte demanda internacional que obtuvo la norma británica
original, BS 25999-2 y otras normas.

ISO 22301 identifica los fundamentos de un Sistema de Gestión de la Continuidad de


negocio, estableciendo el proceso, los principios y la terminología de gestión de continuidad
de negocio.

Proporciona una base de entendimiento, desarrollo e implantación de continuidad de


negocio dentro de la organización. Se usa para asegurar a las partes interesadas clave que
su empresa está totalmente preparada y que puede cumplir con los requisitos internos,
regulatorios y del cliente.

La norma proporciona a las organizaciones un marco que asegura que ellos pueden
continuar trabajando durante las circunstancias más difíciles e inesperadas, siempre
protegiendo a sus empleados, manteniendo su reputación y proporcionando la capacidad
de continuar trabajando y comercializando.

Ventajas de un Sistema de Gestión de Continuidad de Negocio


Las organizaciones que apuestan por implementar y certificar un Sistema de Gestión de
Continuidad de Negocio de acuerdo a la ISO 22301 se benefician de importantes ventajas:
• Clientes más satisfechos. La certificación de la ISO 22301 demuestra a los clientes y
posibles clientes que nuestro producto o servicio es fiable y, lo más importante, que lo
seguirá siendo.
• Solidez empresarial. Una organización que cuenta con una estrategia y un plan para
superar grandes adversidades estará mucho más preparada en el caso de emergencias ya
que estará realizando una gestión eficaz de sus riesgos.
• Mejor gestión de los riesgos organizacionales. Gestionar los riesgos ayudará a la
organización a recuperarse rápidamente en caso de crisis y a proteger su reputación.
• Credenciales de negocio probados. Demostrar que la organización ha sido verificada por
un organismo independiente frente a un estándar reconocido a nivel internacional habla en
positivo de la organización y refuerza su imagen de marca.
• Capacidad para conseguir más ventas. En muchas ocasiones, las especificaciones de los
pliegos de condiciones de las ofertas públicas o privadas requieren la certificación de la ISO
22301 para el suministro. De modo que, la obtención de la certificación abre puertas de
negocio.
• Reconocimiento internacional. La organización será reconocida y valorada a nivel mundial.
• Cumplimiento de aspectos legales. Certificar la ISO 22301 y mantener un Sistema de
Gestión de Continuidad de Negocio ayudarán a la organización a comprender qué
requisitos legales le afectan y debe cumplir y cómo afectan a su actividad y a sus clientes
o destinatarios de la actividad que realizan.
• Ahorro de tiempo y costes. La certificación de la ISO 22301 es la forma en que mejor
podemos demostrar que cumplimos con los requisitos de continuidad de negocio frente a
proveedores ya que unos querrán saber que tenemos capacidad de respuesta ante una
interrupción técnica. A otros les preocupará nuestra capacidad para de reacción en las
emergencias y la gestión de las crisis. Y cada uno de esos requerimientos individuales
conllevan tiempo y recursos para satisfacerlos. Ser capaz de implementar un estándar es
un mecanismo muy eficaz para hacer frente a todas estas obligaciones.

ISO 27001

Sistemas de Gestión la Seguridad de la Información

ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e


integridad de los datos y de la información, así como de los sistemas que la procesan.

El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la


Información permite a las organizaciones la evaluación del riesgo y la aplicación de los
controles necesarios para mitigarlos o eliminarlos.
La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la
competitividad y la imagen de una organización.

La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o


controles establecidos en la norma ISO 27002.

Cómo funciona la ISO 27001


El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de
la información en una empresa. Esto lo hace investigando cuáles son los potenciales
problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego
definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es
decir, mitigación o tratamiento del riesgo).

Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos:
investigar dónde están los riesgos y luego tratarlos sistemáticamente.

Las medidas de seguridad (o controles) que se van a implementar se presentan, por lo


general, bajo la forma de políticas, procedimientos e implementación técnica (por ejemplo,
software y equipos). Sin embargo, en la mayoría de los casos, las empresas ya tienen todo
el hardware y software pero utilizan de una forma no segura; por lo tanto, la mayor parte de
la implementación de ISO 27001 estará relacionada con determinar las reglas
organizacionales (por ejemplo, redacción de documentos) necesarias para prevenir
violaciones de la seguridad.

Como este tipo de implementación demandará la gestión de múltiples políticas,


procedimientos, personas, bienes, etc., ISO 27001 ha detallado cómo amalgamar todos
estos elementos dentro del sistema de gestión de seguridad de la información (SGSI).

Por eso, la gestión de la seguridad de la información no se acota solamente a la seguridad


de TI (por ejemplo, cortafuegos, anti-virus, etc.), sino que también tiene que ver con la
gestión de procesos, de los recursos humanos, con la protección jurídica, la protección
física, etc.

Consulte también La lógica básica de ISO 27001: ¿Cómo funciona la seguridad de la


información?
¿Por qué ISO 27001 es importante para su empresa?
Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la
implementación de esta norma para la seguridad de la información:

Cumplir con los requerimientos legales cada vez hay más y más leyes, normativas y
requerimientos contractuales relacionados con la seguridad de la información. La buena
noticia es que la mayoría de ellos se pueden resolver implementando ISO 27001 ya que
esta norma le proporciona una metodología perfecta para cumplir con todos ellos.
Obtener una ventaja comercial – si su empresa obtiene la certificación y sus competidores
no, es posible que usted obtenga una ventaja sobre ellos ante los ojos de los clientes a los
que les interesa mantener en forma segura su información.
Menores costos – la filosofía principal de ISO 27001 es evitar que se produzcan incidentes
de seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto,
evitándolos su empresa va a ahorrar mucho dinero. Y lo mejor de todo es que la inversión
en ISO 27001 es mucho menor que el ahorro que obtendrá.
Una mejor organización – en general, las empresas de rápido crecimiento no tienen tiempo
para hacer una pausa y definir sus procesos y procedimientos; como consecuencia, muchas
veces los empleados no saben qué hay que hacer, cuándo y quién debe hacerlo. La
implementación de ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a
las empresas a escribir sus principales procesos (incluso los que no están relacionados con
la seguridad), lo que les permite reducir el tiempo perdido de sus empleados.
Consulte también Calculador gratuito del Retorno sobre la Inversión en Seguridad
¿Dónde interviene la gestión de seguridad de la información en una empresa?
Básicamente, la seguridad de la información es parte de la gestión global del riesgo en una
empresa, hay aspectos que se superponen con la ciberseguridad, con la gestión de la
continuidad del negocio y con la tecnología de la información: