ISO 27001 & BS 25999

¿Alguna vez le ha sucedido que su gerente le asigne la responsabilidad de implementar la continuidad del negocio simplemente porque usted es parte del departamento de TI? ¿Por qué se identifica continuidad del negocio con tecnología de la información?

Probablemente porque la continuidad del negocio tiene sus orígenes en la recuperación ante desastres, y la recuperación ante desastres básicamente se trata de tecnología de la información. Veinte o treinta ańos atrás, la continuidad del negocio no existía conceptualmente, pero sí la recuperación ante desastres: la principal preocupación era cómo salvar los datos si se producía un desastre. En ese momento, era muy común comprar equipos costosos y colocarlos en una ubicación remota para que todos los datos importantes de una organización estuvieran resguardados si, por ejemplo, se produjera un terremoto. No sólo resguardados sino también que los datos se procesarían más o menos con la misma capacidad que si estuvieran en la ubicación principal.

Pero después de un tiempo se hizo evidente… ¿para qué servirían los datos si no existieran operaciones comerciales en las cuales utilizarlos? Así fue como surgió la idea de la continuidad del negocio: su objetivo es permitir que el negocio siga funcionando, aún en caso de una interrupción importante.

Definiciones

Veamos las definiciones: continuidad del negocio es la “capacidad estratégica y táctica de la organización para planificar y responder ante los incidentes e interrupciones del negocio con el fin de permitir la continuidad de las actividades comerciales en un nivel aceptable previamente definido” (BS 25999-2:2007); mientras que recuperación ante desastres se refiere “al proceso, políticas y procedimientos relacionados con preparar la recuperación o continuación de la infraestructura tecnológica crítica de una organización después de un desastre natural o producido por el hombre” (Wikipedia.org).

Como puede ver en las definiciones, en la recuperación ante desastres el énfasis se encuentra en la tecnología, mientras que para la continuidad del negocio son las actividades comerciales. Por lo tanto, la primera es parte de la segunda; la puede considerar como uno de los principales facilitadores de las actividades comerciales, o como la parte tecnológica de la continuidad del negocio.

Sin embargo, es posible que usted haya notado algo más: la definición de continuidad del negocio está tomada de la norma BS 25999-2, la principal norma sobre gestión de continuidad del negocio, mientras que la definición de recuperación ante desastres está extraída de Wikipedia. En realidad, “continuidad del negocio” es un término oficial reconocido por las normas, mientras “recuperación ante desastres” no.

Importancia de la implementación

Entonces, ¿por qué no es una buena idea que un departamento de TI implemente la continuidad del negocio para toda la organización? Porque la continuidad del negocio es principalmente un asunto comercial, no un tema de TI. Si el departamento de TI implementara la continuidad del negocio para toda la organización, no podría definir la criticidad de las actividades comerciales ni de la información. Además, es un interrogante ver si lograría el compromiso de las partes comerciales de la organización.

La mejor forma de organizar la implementación de la continuidad del negocio es que el sector comercial lidere el proyecto; de esta forma lograría mayor concienciación y aceptación de todos los sectores de la organización. El departamento de TI debe cumplir su función en ese proyecto, una función clave, preparando los planes de recuperación ante desastres.

También puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 – Parte 1: Análisis del impacto en el negocio (es un curso de capacitación disponible para la venta).

¿Alguna vez ha escuchado algo como “eso no se puede hacer”, “no tiene sentido” o “sería inútil si se produjera una catástrofe”? Si ya ha implementado la gestión de la continuidad del negocio, probablemente sí. Obviamente, estas actitudes no aportan nada a su proyecto; por eso, aquí le presentamos algunas sugerencias sobre cómo tratar con este tipo de personas.

“Si se produjera una catástrofe, no podríamos hacer nada”

Probablemente, ésta sea la más habitual. Está bien, es posible que tengan razón; a menos que usted haya preparado la estrategia de continuidad del negocio y los planes de continuidad del negocio realmente tomando en cuenta todos los posibles escenarios. Si lo hizo de esta forma, puede explicarles que ha preparado una ubicación alternativa que se encuentra suficientemente alejada para resistir cualquier tipo de desastre, que ha generado copias de seguridad de los datos, que hay un reemplazo para cualquier empleado de la empresa, que ya cuenta con proveedores alternativos para todos los servicios críticos, etc.

“Si se desata una guerra nuclear, no servirá de nada”

Bueno, a menos que usted sea un proveedor militar, no tendría importancia, ¿verdad? Básicamente, ante este tipo de escenarios catastróficos, probablemente su negocio ya no tendría ningún sentido.

“No tiene sentido”

Sencillamente, rece para que nunca tenga que utilizar la continuidad del negocio. Aún sin mencionar los más que conocidos ejemplos como el 11/9 o el Huracán Katrina, basta preguntar ¿alguna vez ha sufrido un apagón eléctrico? ¿O se le rompió el servidor? ¿O tal vez un ordenador que contenía datos importantes? ¿Escuchó alguna vez que un edificio se haya incendiado íntegramente? Es suficiente leer los titulares de los periódicos para comprender que esas cosas le suceden a cualquiera.

“Lo haremos solamente para cumplir con el auditor”

Prioridad incorrecta. Si lo hace correctamente, se protegerá a usted mismo y, como consecuencia, su auditor estará satisfecho.

“No podemos prever todos los incidentes”

Es verdad. Al menos al principio. Pero si realiza correctamente la evaluación de riesgos, si consulta diversas publicaciones y recursos y controla periódicamente la evaluación, es posible que, con el tiempo, pueda tomar en cuenta todos los riesgos posibles. Una vez que sepa cuáles son, puede preparar la respuesta.

“Ante un caso de emergencia, la gente pensará primero en cuidar a sus familias, no el negocio”

También es verdad. En el caso de un terremoto, ¿quién no llamaría primero a su familia para verificar si se encuentra a salvo? Pero si planifica detenidamente quién se puede ir a su casa después de ocurrido un incidente y quién debe quedarse para resolver la situación, y si se ocupa de las familias de los empleados que se deben quedar (por ej., asignando esta tarea a otros empleados), tal vez le pueda haber encontrado una solución a este problema.

“Las personas reaccionan irracionalmente en situaciones de crisis”

Completamente cierto. Pero si capacita a sus empleados (y proveedores o socios) periódicamente, y practica los planes de continuidad del negocio, se habituarán a situaciones estresantes y, probablemente, responderán en la forma correcta si se produjera una situación de este tipo.

Si ya ha implementado proyectos similares, sabrá que la concienciación es importante. Si sus compañeros de trabajo no son conscientes del objetivo de este tipo de proyectos, a usted le resultará muy difícil llevar adelante la implementación. Por no decir que podría fracasar el proyecto entero. Es por ello que debe evaluar el hecho de generar conciencia con anticipación.

También puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 – Parte 2: Estrategia de continuidad del negocio (es un curso de capacitación disponible para la venta).

Si comenzó a implementar la gestión de la continuidad del negocio, probablemente el mayor desafío que está enfrentado sea la redacción de los planes de continuidad del negocio.

¿Por qué es tan difícil? Bueno, tiene que pensar diversos escenarios en los cuales se podrían producir desastres (u otro tipo de interrupción de las actividades comerciales) y tiene que idear una forma para manejar este tipo de incidentes excepcionalmente raros pero potencialmente catastróficos.

Entre los problemas que tiene la gente que redacta estos planes se incluye qué debe contener el plan (cuáles son los elementos principales), qué tan largo (o detallado) debe ser, qué pasos debe incluir, etc.

Una de las mejores soluciones para todos estos problemas radica en utilizar la norma BS 25999-2 que, junto con la BS 25999-1, define una estructura sobre cómo se deben redactar los planes.

Según estas normas, los planes de continuidad del negocio deben consistir de (1) un plan de respuesta a los incidentes y (2) planes de recuperación. Un plan de respuesta a los incidentes generalmente es un único plan redactado para toda la organización y describe qué se debe hacer inmediatamente después de que se produce un desastre: disminuir los efectos del incidente, comunicar a los servicios de emergencia, evacuación del edificio, reunión en los puntos de encuentro, organización del transporte a las ubicaciones alternativas, etc.

Los planes de recuperación generalmente se redactan en forma separada para cada actividad crítica y los pasos que se deben incluir normalmente son los siguientes: cuándo y cómo realizar la comunicación con los diversos grupos de interés (empleados y sus familiares, accionistas, clientes, socios, organismos oficiales, medios de comunicación, etc.), cómo armar el equipo, cómo recuperar la infraestructura, cómo controlar si las aplicaciones están funcionando y si los derechos de acceso son correctos, cómo verificar qué datos faltan o han sido alterados por el desastre, cómo recuperar los datos y cómo decidir cuándo la recuperación ha terminado para poder comenzar el funcionamiento normal.

Los planes de recuperación de después de desastres (los planes de recuperación de la infraestructura de ICT) son los que se deben redactar con mucho cuidado porque deben detallar cómo configurar cada sistema que se ejecuta dentro del objetivo de tiempo de recuperación de una actividad crítica determinada. Generalmente, esto se hace redactando un detallado plan de recuperación para cada sistema que se debe recuperar.

Por regla general, estos planes deben tener un nivel de detalle que permita que otros empleados (o personal externo) pueda ejecutarlo si la gente que trabaja con esa actividad crítica no está disponible. Por lo tanto, hay que usar el sentido común cuando se redactan los planes; deben ser comprensibles para todo el mundo, no sólo para usted.

Según mi experiencia, el mayor desafío al redactar estos planes se encuentra en que los empleados se tienen que enfrentar con algo completamente diferente, algo en lo que nunca han tenido que pensar. Para superar este problema, es recomendable organizar un taller en el que, con o sin un moderador, los empleados puedan compartir sus ideas sobre “qué sucedería si…”,  “cómo reaccionar cuando…”. etc.

La verdad es que, con el sólo hecho de que sus empleados hayan comenzado a pensar en la continuidad del negocio, ya tiene hecho el 50% del trabajo. Con esta forma de ver las cosas, los resultados de la planificación de la continuidad del negocio es mucho mejor.

También puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 – Parte 3: Planificación de la continuidad del negocio (es un curso de capacitación disponible para la venta).

¿Está pensando en implementar la norma BS 25999-2 sobre gestión de la continuidad del negocio? ¿Pero escuchó que le costará mucho dinero? Probablemente le cueste algún dinero, pero no necesariamente tanto como pensaba; puede solucionar esto con una buena estrategia de continuidad del negocio.

La estrategia de continuidad del negocio, según la define la norma BS 25999-2, es una “metodología que tiene una organización para asegurar su recuperación y continuidad frente a un desastre o algún otro incidente grave o interrupción del negocio”. Por lo tanto, el tema es prepararse lo mejor posible uno mismo para contrarrestar un desastre en el caso que se produzca. Esta preparación puede incluir medidas institucionales (diseño de planes, firma de contratos con proveedores o socios, ejercitación, revisión, concienciación de la gente, etc.) y medidas que incluyan la inversión en equipamiento, infraestructura, etc.

El tiempo es un factor muy importante en la recuperación: si no recupera su actividad comercial a tiempo, probablemente perderá sus clientes y, en consecuencia, perderá su negocio también. Por eso, la estrategia de continuidad del negocio debe establecer el objetivo de tiempo de recuperación (RTO, por sus siglas en inglés) para cada una de sus actividades críticas; es posible que el RTO sea diferente para cada una de ellas.

Una consideración importante: cuanto más corto es el RTO, mayor será la inversión que necesitará. Por ejemplo, si desea recuperar su centro de datos en menos de una hora, tendrá que invertir en una ubicación alternativa con casi el mismo equipamiento que la ubicación principal; en cambio, si desea recuperar su centro de datos en dos semanas, la inversión será mucho menor porque será suficiente almacenar las cintas de respaldo en una ubicación alternativa, contando luego con dos semanas para obtener el equipamiento necesario. Todo esto significa que su RTO no debe ser demasiado prolongado pero tampoco demasiado corto.

Una vez que se establece el RTO, todavía necesitará realizar otras inversiones; sin embargo, con una buena estrategia de continuidad del negocio, podrá disminuir esa inversión aún teniendo la posibilidad de recuperar sus actividades críticas dentro del objetivo de tiempo de recuperación. Estos son algunos ejemplos:

• Es posible que no necesite si propio centro de datos en una ubicación alternativa (en la mayoría de los países se puede alquilar este tipo de servicio a una empresa especializada), lo cual significa que no necesitará invertir en infraestructura, incluso, tal vez, ni siquiera en equipamiento o software.
• Es posible que no necesite oficinas en una ubicación alternativa ya que los empleados que no tienen que atender clientes personalmente pueden trabajar desde sus hogares.
• Es posible que no necesite una ubicación alternativa para nada si tiene otras unidades de negocio en diferentes lugares que pudieran hacerse cargo de las actividades críticas afectadas por el desastre.
• Es posible que no necesite comprar equipamiento por adelantado si puede encontrar un proveedor que le garantice la entrega del equipamiento dentro de su RTO.
• Etc.

En todos estos ejemplos, necesitará incrementar sus capacidades organizativas, pero si desea ahorrar dinero, seguramente es algo merece ser tenido en cuenta.

También puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 – Parte 2: Estrategia de continuidad del negocio (es un curso de capacitación disponible para la venta).

A primera vista, la seguridad de la información y la continuidad del negocio no tienen mucho en común. Alguien podría agregar que la única semejanza es que ambas están relacionadas con TI.

La mejor definición de la gestión de la seguridad de la información se encuentra en la norma internacional ISO/IEC 27001, mientras que la gestión de la continuidad del negocio está mejor definida en la norma británica BS 25999-2; por lo tanto, si deseamos comparar ambos temas, lo más inteligente sería darle una mirada a lo que dicen ambas normas.

Primero, la TI de una parte importante tanto en la ISO 27001 como en la BS 25999-2, pero de ninguna forma estas normas se refieren solamente a TI, el énfasis está puesto sobre procesos y activos comerciales y los riesgos relacionados. Es verdad que la TI es la principal herramienta para procesar los datos, pero es un hecho que los mayores riesgos siguen estando relacionados con las actividades maliciosas e involuntarias de las personas. Por lo tanto, los riesgos asociados con la seguridad de la información o con la continuidad del negocio no pueden resolverse sólo con tecnología de la información; es mucho más importante definir la organización, los procesos y las responsabilidades dentro de la organización.

Pero ¿qué es básicamente la seguridad de la información? La norma ISO 27001 la define como “preservación de confidencialidad, integridad y disponibilidad de la información”. Por otro lado, la norma BS 25999-2 define la continuidad del negocio como la “capacidad estratégica y táctica de la organización para planificar y responder ante los incidentes e interrupciones del negocio con el fin de permitir la continuación de las actividades comerciales en un nivel aceptable, previamente definido”.

No parecen muy similares. Sin embargo, hay algo que las asemeja mucho: la disponibilidad. El enfoque de ambas, de la seguridad de la información y de la continuidad del negocio, es mantener disponible la información para aquellos que la necesitan; en ese sentido, el Anexo A de la ISO 27001 ofrece algunos controles dedicados exclusivamente a la continuidad del negocio.

Además, ambas normas requieren la realización de una evaluación de riesgos para identificar potenciales problemas relacionados con la información; como también demandan gestión de documentación, la realización de auditorías internas, revisiones por parte de la gerencia y medidas correctivas y preventivas. Esto quiere decir que si usted ya tiene documentación para la ISO 27001, puede utilizar esos mismos procedimientos para la BS 25999-2 (con algunas pequeñas adaptaciones).

¿Cuáles son las diferencias? La principal diferencia radica en el nivel de detalle. La norma ISO 27001 abarca un área mucho más amplia y, por lo tanto, no es muy precisa respecto de la continuidad del negocio. Por otro lado, la norma BS 25999-2 describe detalladamente cómo hacer un análisis de impactos en el negocio, cómo definir una estrategia de continuidad del negocio o cómo debe ser el contenido de los planes de continuidad del negocio, entre otras cosas.

Para cerrar, lo importante aquí es que usted pueda pensar en la continuidad del negocio como parte de la seguridad de la información. El uso práctico de ello, es que en el momento de la implementación de la continuidad del negocio en el marco de la ISO 27001, es mejor usar la norma BS 25999-2 como directriz.

También puede dar un vistazo a nuestro webinar gratuito ISO 27001 y BS 25999-2: ¿Por qué es importante implementarlas juntas?.