La Continuidad del Negocio en la norma ISO 27001

La gestión de la Continuidad del Negocio, forma parte de la lista de Controles incluidos en el Anexo A de la norma ISO 27001 2017. Como su propio nombre indica, trata de garantizar que la organización pueda sobrevivir ante un acontecimiento que pueda poner en riesgo su futuro. Se trata de un control costoso de implementar, ya que deberemos definir planes de contingencia, implementarlos en la organización y probar regularmente su correcto funcionamiento.

Los mismos acontecimientos no afectan de la misma manera a unas u otras empresas, ya que su actividad y los requisitos de sus clientes, hacen que las consecuencias de un mismo hecho sean anecdóticas o muy críticas. Por ejemplo, el incendio del CPD en una empresa de desarrollo informático puede suponerle la ruina, mientras que en un despacho de abogados puede suponer perder unas horas de trabajo.

NOTA: Pese a que la norma ISO 27001 2017, se centra en aquellos desastres que tengan relación con la información crítica de la organización. Existe una norma específica, la ISO 22301 Continuidad de Negocio, que amplía el ámbito de aplicación a otros factores y activos.

Posibles sucesos

El primer paso siempre será identificar todos aquellos sucesos naturales o no, relacionados con los Activos de información, cuyas consecuencias puedan poner en serio riesgo la continuidad del negocio. Dado que su impacto en la relación con los clientes, o sus costes económicos, podrían hacer que la empresa llegase a cerrar.

1. Falta de acceso a la organización: Fuertes nevadas, cortes de carreteras, terremotos... pueden hacer que los empleados no puedan acceder a las instalaciones de la empresa. Y por tanto, que la empresa detenga su actividad temporalmente.
2. Caída de las comunicaciones: La caída de internet o la conexión telefónica, puede provocar una falta de comunicación con los clientes que en un determinado momento puede ser crítica.
3. Paradas de producción: Las huelgas de los trabajadores o posibles boicots, pueden suponer paradas de la producción. Y no cumplir los compromisos acordados con los clientes.
4. Pérdida de información: Las consecuencias de un virus informático o del secuestro de la información (ramsonware), pueden poner en manos de terceros la continuidad de la empresa.
5. Pérdida de equipos: La rotura del CPD o el robo de equipos informáticos, pueden suponer un riesgo demasiado elevado. No por su valor económico, sino por la información que contienen y las consecuencias de perderla.
6. Pérdida de las instalaciones: Los incendios accidentales o provocados, los sabotajes de personal externo o interno, o alguna catástrofe natural, puede suponer la pérdida de edificios completos. Y de todo lo que en ellos está contenido.
7. Pérdida personales: Las muertes por accidente de empleados clave, son sucesos siempre olvidados. Nos tenemos que hacer preguntas como: ¿Qué pasaría si muere el gerente en un accidente de tráfico?

Planes de contingencia

Los planes de contingencia son la herramienta clave para garantizar la continuidad del negocio, por lo que su creación debe ser realizada con gran precisión y detalle. En ellos se definirán todos los protocolos y acciones a realizar en el caso de que uno de los sucesos se produzca, y ponga en riesgo la continuidad del negocio. Posteriormente los simulacros deberán ayudarnos a corregir errores y mejorar los resultados, enfocados en recuperar el estado de normalidad lo antes posible.

Los pasos a realizar para definir los planes de contingencia, son los siguientes:

1. Paso 1: Asignar responsabilidades: El primer paso será determinar la persona responsable de: definir los planes, seleccionar al personal, y mejorar continuamente los resultados.
2. Paso 2: Definir los planes de contingencia: A continuación se crearán los Plan de Contingencia para cada uno o un conjunto de posibles acontecimientos adversos. El uso de flujogramas y mapas de las instalaciones, son básicos para crear los primeros bocetos de los protocolos.
3. Paso 3: Comprar material y equipos: Disponer de servidores de contingencia en otras ubicaciones, routers y cableado para poder crear una red provisional, y equipos de sustitución... suelen ser habituales en los planes de contingencia.
4. Paso 4: Formar al personal de intervención: Con los planes de contingencia definidos y el material de intervención adquirido, ya podemos formar a las personas que integrarán el equipo de intervención. En la mayoría de ocasiones formado por el personal del departamento informático y mandos intermedios.
5. Paso 5: Realizar simulacros: Es el momento de probar si los planes de contingencia son adecuados y están bien implantados. Ver que el personal los ejecuta correctamente, que no falta material y éste es el adecuado, y que los protocolos son eficaces.
6. Paso 6: Mejora continua: Los planes de contingencia deben ser optimizados y mejorados cada año, y centrarse en reducir el tiempo de recuperación al estado de normalidad anterior al suceso Éste suele ser el indicador más utilizado para controlar la mejora continua de los planes de contingencia.

RECOMENDACIÓN: Lo mejor es comenzar por planes de contingencia muy sencillos y fáciles de realizar, mejorándolos en los años posteriores con protocolos más complejos que reduzcan los tiempos de recuperación y mejoren los resultados. De esta manera, evitarás que los equipos de intervención se desmotiven al obtener malos resultados en los primeros simulacros.

NOTA: Los simulacros son fundamentales dentro del proceso para garantizar la continuidad del negocio. En ellos, se detectan detalles que hacen que dichos planes lleguen a un punto de bloqueo y no se puedan terminar de ejecutar. Los más habituales son por falta de llaves o contraseñas de acceso a determinados recursos, en un momento determinado de la ejecución del plan.