ISO 27001 & BS 25999

¿Tiene sentido implementar la continuidad del negocio en empresas pequeñas? ¿Por qué podrían necesitar algo tan costoso como esto si el dueño del negocio tiene en su cabeza toda la información que necesita?

Permítanme comenzar con una historia que escuché recientemente: una pequeña empresa, que vende diversos tipos de equipamiento a una gran base de clientes, sufrió un robo. El ladrón irrumpió en sus oficinas durante la noche y robó todos los ordenadores, además de otros elementos de valor. Si bien el propietario de esta empresa había realizado una copia de seguridad de los datos, el problema es que esa copia estaba resguardada en otro ordenador dentro de la misma oficina. Muy poco tiempo después, la compañía quedó en bancarrota; simplemente porque no pudo recuperar información esencial para su negocio.

Este es un ejemplo clásico del síndrome “A mí no me va a pasar” que aqueja a la mayoría de las pequeñas empresas.

Marco referencial para continuidad del negocio

¿Esto quiere decir que las compañías pequeñas necesitan invertir en costosas ubicaciones de recuperación ante desastres con equipamiento que permita un alto nivel de disponibilidad? Por supuesto que no.

En algunos casos, la continuidad del negocio realmente no es necesaria porque el dueño del negocio sí tiene toda la información en su cabeza, pero estos casos son muy excepcionales. ¿Cuántos de ellos no tienen un ordenador portátil con distintos tipos de información importante? El sólo pensar en cómo permitir la disponibilidad de esta información en el caso que se produzca un desastre ya es parte de un esfuerzo de continuidad del negocio.

Los dueños de las pequeñas empresas deben evaluar detenidamente qué información y demás recursos son importantes para sus negocios, cómo garantizar que esa información y recursos estén disponibles en caso que se produzca un desastre y qué pasos se deben seguir para recuperar las actividades del negocio en esos casos extremos. Estos pasos no son más que la ejecución del análisis del impacto en el negocio, de la estrategia de continuidad del negocio, y de los planes de continuidad del negocio; de la misma forma en que lo haría cualquier compañía más grande al implementar la continuidad del negocio. Todo esto se detalla en la principal norma sobre este tema: BS 25999-2.

Cómo prepararse

Ahora bien, la diferencia entre empresas pequeñas y grandes radica en la complejidad y en el costo de los preparativos que las más pequeñas deben afrontar para la continuidad del negocio:

• Copias de seguridad de datos electrónicos: las empresas pequeñas pueden utilizar algunas de las herramientas que realizan copias de seguridad de los datos de sus ordenadores en la nube en forma casi instantánea. Por supuesto que se deben tomar los recaudos pertinentes para que todos los datos necesarios sean incluidos.
• Copias de seguridad de documentos en papel: ahora las empresas pequeñas pueden eliminar casi por completo de sus actividades diarias los documentos en papel y pueden transferir todo a formato electrónico. En casos excepcionales en que deben existir documentos en papel, estos pueden ser escaneados dentro del marco de la continuidad del negocio.
• Ubicaciones alternativas para oficinas: en la mayoría de los casos será suficiente que los empleados continúen trabajando desde sus hogares; la condición sería que tuvieran una conexión a Internet, ordenadores portátiles o PC y claves. Si el trabajo desde el hogar no es lo más adecuado, siempre es posible alquilar una habitación de hotel en menos de una hora.
• Hardware: a menos que se utilice un tipo especial de ordenador para una actividad comercial, es muy sencillo encontrar uno alternativo: en casa, generalmente, hay un ordenador particular o se puede pedir prestado uno a algún pariente o se puede comprar uno en cualquier negocio de computación.
• Personal: probablemente este sea el aspecto más difícil. Supongamos que un empleado no está disponible y que es el único que conoce determinada información (por ejemplo, claves administrativas, los pasos que hay que seguir para un proyecto importante, etc.); para esos casos, los preparativos pasarían por documentar toda esta información para que pueda ser utilizada sin necesidad de que el empleado esté presente. Otro ejemplo sería si falta un empleado y nadie más tiene el tiempo ni los conocimientos para reemplazarlo; en este caso, la preparación pasaría por identificar de antemano quién tendría disponibilidad para ser contratado con poca anticipación para realizar el trabajo del empleado que no está. Por supuesto que aquí la clave es identificar a alguien que posea las habilidades o aptitudes adecuadas.

Como conclusión: no hay diferencia entre organizaciones grandes y pequeñas en relación al marco de la continuidad del negocio; ambas deben pensar detenidamente qué preparativos necesitan realizar para superar una situación de desastre. La diferencia está en el nivel de los preparativos, ya que las empresas más pequeñas pueden hacerlos con muy poca inversión.

También puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 – Parte 3: Planificación de la continuidad del negocio (es un curso de capacitación disponible para la venta).

¿Su gerencia le ha asignado la tarea de implementar la continuidad del negocio pero usted no sabe muy bien cómo hacerlo? Aunque no se trata de una tarea sencilla, puede utilizar la metodología de la norma BS 25999-2 para facilitar las cosas. Los siguientes son los pasos principales que necesita seguir para implementar esta norma:

1. Obtener el apoyo de la dirección

Si bien no es un paso obligatorio de la norma BS 25999-2, sí se trata de un paso crucial al inicio: si la dirección no comprende los beneficios de la continuidad del negocio y no se compromete con el proyecto, lo más probable es que su proyecto fracase.

2. Tomarlo como un proyecto

La creación de su sistema de gestión de la continuidad del negocio (SGCN) le demandará bastante tiempo y recursos ya que debe definir claramente qué se necesita hacer, dentro de qué plazos y cuáles son las funciones en la implementación del proyecto. En otras palabras, debe aplicar métodos de gestión de proyectos.

3. Definir objetivos y alcance; redactar una Política de GCN

Debe definir qué es lo que usted desea lograr con el SGCN; es decir, cumplir, disminuir el nivel de riesgo, requisitos de sus clientes o socios, etc. También debe definir qué incluirá en su SGCN, si a toda la organización o solamente a una parte. Por ejemplo, puede decidir que incluirá sólo el centro de datos si usted suministra servicios de alojamiento a sus clientes. Todo esto tiene que estar documentado en la Política de GCN.

4. Definir las funciones y las responsabilidades para el SGCN

Como el SGCN se convertirá en una actividad permanente en su organización, es necesario asignar responsabilidades precisas, especialmente para el “promotor” del SGCN (alguien que sea responsable por el SGCN pero que no esté involucrado en las actividades diarias del mismo) y para el “coordinador de GCN”, “gerente de GCN” o similar (una o más personas con tareas activas relacionadas con el SGCN). Lo mejor es documentar estas funciones y responsabilidades en su Política de GCN.

5. Implementar procedimientos obligatorios

La norma BS 25999-2 requiere que se implementen los siguientes cuatro procedimientos obligatorios: control de documentos y registros, auditoría interna, medidas preventivas y correctivas. Estos procedimientos son, en realidad, la base de su sistema de gestión, igual que con las normas ISO 27001 o ISO 9001.

6. Realizar un análisis de impactos en el negocio y evaluación de riesgos

Mediante el análisis de impactos en el negocio usted debe identificar las actividades críticas, su período máximo tolerable de interrupción, sus dependencias (incluidas las dependencias con proveedores y socios externos) y debe establecer objetivos de tiempo de recuperación.

Al realizar la evaluación de riesgos encontrará realmente cuáles pueden ser las causas de interrupción de sus actividades críticas; pueden ser naturales pero también puede tratarse de actividades realizadas por personas (ya sea en forma maliciosa o accidental). También tendrá que llevar a cabo el tratamiento de riesgos, que implica que debe decidir cómo disminuir la posibilidad de que algo funcione mal. Desafortunadamente, la evaluación y el tratamiento de riesgos no están muy bien definidos en esta norma; por lo tanto, podría consultar la norma ISO 27001, que los describe mucho más detalladamente.

7. Determinar la estrategia de continuidad del negocio

Antes de continuar con la redacción de planes de continuidad del negocio, en realidad debe determinar qué recursos necesitará para retomar sus actividades críticas: qué empleados, ubicaciones, datos, hardware, software, proveedores, socios externos, etc.

La estrategia de continuidad del negocio no sólo debe determinar lo que usted necesita, sino también cómo hará para asegurar esos recursos.

8. Desarrollar planes de gestión de incidentes y planes de continuidad del negocio

El objetivo de los planes de gestión de incidentes es describir cómo se responderá directamente ante la ocurrencia de un incidente (por ej., incendio, terremoto, amenaza de bomba, corte de electricidad, etc.) para evitar que se agrande y para intentar disminuir sus efectos directos.

Por otro lado, el objetivo de los planes de continuidad del negocio es describir cómo se recuperarán las actividades críticas, cómo se harán funcionar conjuntamente todos los recursos que se han preparado. Esto quiere decir que es necesario detallar quién hará qué cosa, en qué plazo, utilizando qué datos y tecnología, para poner nuevamente a su organización en funcionamiento.

Todos esto planes tienen ser redactados detalladamente porque deben ser ejecutados aún en el caso que los principales empleados no se encuentren disponibles; por lo tanto, es necesario redactarlos de tal forma que otra persona pueda ejecutarlos.

9. Capacitación y concienciación

Necesita definir el nivel de competencias necesario para la ejecución de los planes de continuidad del negocio ante el caso de una interrupción y, luego, debe capacitar a todo el personal (tanto empleados como socios externos) para llegar a este nivel de competencias.

Sin embargo, esto no es suficiente. También debe explicarle a su personal por qué es necesaria la GCN. Aceptémoslo, sus planes de continuidad del negocio se utilizarán, con suerte, una única vez; por lo tanto, la mayoría de las personas lo consideran una pérdida de tiempo. Por eso, debe explicarles por qué debe existir esta planificación. (Consultar Cómo abordar a quienes no creen en la GCN)

10. Ensayo de GCN

Si piensa que ha redactado los planes de manera perfecta, probablemente se equivoque. Es casi imposible redactar un plan sin errores en el primer intento. Por eso resulta obligatorio ensayar parte del SGCN; debe verificar sus planes en una situación que, más o menos, se asemeje a una interrupción real. Solamente allí podrá determinar qué planificó correctamente y qué no.

11. Mantenimiento y revisión del SGCN

Otra forma de mantener actualizado su SGCN es definiendo intervalos en los que revisará sus planes de continuidad del negocio, pero también otras cuestiones (por ej., contratos con proveedores y socios externos, capacitación y concienciación, etc.). Existe toda clase de cambios en el entorno que amenazan con hacer obsoleta su documentación: es suficiente que un empleado abandone la empresa para tener un número telefónico inservible en un plan si esa persona cumplía una función en el SGCN.

S i se produjo un incidente real, también es obligatorio realizar revisiones después de ocurrido el mismo para ver cómo reaccionó la organización, si siguió los planes o no.

12. Auditoría interna

El objetivo de la auditoría interna es averiguar si hay algo que se está haciendo mal, de manera objetiva. El auditor debe ser una persona que pueda descubrir si algo se hace mal dentro de su SGCN para poder corregirlo. Si se realiza correctamente, la auditoría interna puede ser una de las mejores formas para mejorar su SGCN. (Leer Dilemas con los auditores internos de las normas ISO 27001 y BS 25999-2)

13. Revisión por parte de la dirección

Como se mencionó anteriormente, es muy importante que la dirección se involucre en el proyecto. La revisión por parte de la dirección está diseñada justamente para eso. La norma requiere que la dirección examine todos los hechos importantes sobre la GCN y que decida si ha cumplido su objetivo. Una vez que está hecha, la dirección debe decidir qué mejoras se deben implementar.

14. Medidas preventivas y correctivas

Lo mejor sería evitar que se produzcan errores (o, en términos de BS 25999-2, las “no conformidades”); para esto es que se utilizan las medidas preventivas, representan una forma sistemática de corregir las cosas antes de que generen problemas. Similares a las medidas preventivas, también hay medidas correctivas que solucionan los problemas que ya se han producido.

Ahora la pregunta es ¿por qué usaría usted la norma BS 25999-2? Aunque (todavía) no es una norma internacional, es la norma más reconocida a nivel mundial para la continuidad del negocio. Los pasos mencionados arriba están diseñados por los mejores especialistas en este tema. Por eso, si desea implementar las prácticas más aceptadas para continuidad del negocio, no busque más.

Aquí puede descargar el diagrama del proceso de implementación de la norma BS 25999-2 que muestra todos estos pasos junto con la documentación requerida (requiere inscripción).

Probablemente se ha preguntado por qué tiene que realizar un análisis de impactos en el negocio (AIN) una vez que ya ha sido realizada la evaluación de riesgos. Ya identificó todos los riesgos, ¿verdad? Ya le demandó bastante tiempo analizar su empresa, entonces ¿por qué hacer otro análisis?

Bien, el objetivo del AIN es diferente. Para la continuidad del negocio todo tiene que ver con el tiempo; no importa que usted pueda recuperar sus actividades comerciales si no lo logra en un tiempo razonable. “Razonable” es lo que tiene que determinar el AIN. Su principal objetivo es encontrar cuál es el objetivo de tiempo de recuperación para cada actividad crítica de la organización.

Esta clase de análisis generalmente se toma muy ligeramente; la empresa, a menudo, no es consciente de que los malos resultados pueden generar gastos innecesarios o pueden crear una estrategia inadecuada de continuidad del negocio, aunque también se subestiman los esfuerzos necesarios para realizar un AIN.

Por lo tanto, estos son algunos consejos que harán que su análisis de impactos en el negocio sea más efectivo:

Tómelo como un (mini) proyecto. Defina quién será la persona responsable de su implementación y qué autoridad tendrá, defina el alcance, los objetivos y el período de tiempo.

Haga las tareas, prepare un buen cuestionario. Un cuestionario bien estructurado le ahorrará mucho tiempo y hará que los resultados sean más precisos. Las normas BS 25999-1 y BS 25999-2 le proporcionarán una noción bastante amplia de qué debe contener; entre otras cosas, usted tiene que identificar los impactos producidos por las interrupciones y tiene que determinar cómo estos impactos varían en el tiempo, identificar los recursos necesarios para la recuperación, etc. Una buena práctica es utilizar tanto preguntas cualitativas como cuantitativas para identificar los impactos.

Defina un criterio claro. Si sus entrevistados tienen que responder preguntas asignando valores, por ejemplo, de 1 a 5, asegúrese de explicar con exactitud qué significa cada una de estas cinco puntuaciones. No es extraño que el mismo evento sea evaluado como catastrófico por los empleados de menor nivel mientras que la alta gerencia evalúa su impacto como moderado.

Recolecte los datos a través de la interacción personal. Los mejores resultados se obtienen cuando alguien experto en continuidad del negocio realiza una entrevista con la persona responsable de una actividad crítica. De esa forma se clarifican muchas preguntas sin responder y se logran respuestas equilibradas. Si no es posible realizar las entrevistas, al menos organice un taller de trabajo con todos los participantes para que ellos puedan aclarar todas las dudas que tengan. Es decir, no les envíe simplemente los cuestionarios y les llame la atención si no se los devuelven a tiempo.

Determina los objetivos de tiempo de recuperación sólo después de que haya identificado todas las interdependencias. Por ejemplo, a través del cuestionario usted puede llegar a la conclusión de que para una actividad crítica “A” el período máximo tolerable de interrupción es de 2 días; sin embargo, el período máximo tolerable de interrupción para la actividad crítica “B” es 1 día y no se puede recuperar sin la ayuda de la actividad crítica “A”. Esto significa que el objetivo de tiempo de recuperación  para “A” será de 1 día en lugar de 2 días.

De acuerdo a mi experiencia, los resultados del AIN muchas veces son impensados; generalmente el objetivo de tiempo de recuperación es mayor de lo que se pensaba inicialmente y el AIN revela las dependencias de algunos recursos que se transforman, en realidad, en un punto único de falla. Pero lo mejor de todo, es que el análisis de impactos en el negocio es la forma más efectiva de hacer pensar a la gente sobre lo inesperado; generando esta concienciación, usted aumenta las posibilidades de supervivencia de su empresa.

También puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 – Parte 1: Análisis del impacto en el negocio (es un curso de capacitación disponible para la venta).