ISO 27001 & BS 25999

¿Tiene sentido implementar la continuidad del negocio en empresas pequeñas? ¿Por qué podrían necesitar algo tan costoso como esto si el dueño del negocio tiene en su cabeza toda la información que necesita?

Permítanme comenzar con una historia que escuché recientemente: una pequeña empresa, que vende diversos tipos de equipamiento a una gran base de clientes, sufrió un robo. El ladrón irrumpió en sus oficinas durante la noche y robó todos los ordenadores, además de otros elementos de valor. Si bien el propietario de esta empresa había realizado una copia de seguridad de los datos, el problema es que esa copia estaba resguardada en otro ordenador dentro de la misma oficina. Muy poco tiempo después, la compañía quedó en bancarrota; simplemente porque no pudo recuperar información esencial para su negocio.

Este es un ejemplo clásico del síndrome “A mí no me va a pasar” que aqueja a la mayoría de las pequeñas empresas.

Marco referencial para continuidad del negocio

¿Esto quiere decir que las compañías pequeñas necesitan invertir en costosas ubicaciones de recuperación ante desastres con equipamiento que permita un alto nivel de disponibilidad? Por supuesto que no.

En algunos casos, la continuidad del negocio realmente no es necesaria porque el dueño del negocio sí tiene toda la información en su cabeza, pero estos casos son muy excepcionales. ¿Cuántos de ellos no tienen un ordenador portátil con distintos tipos de información importante? El sólo pensar en cómo permitir la disponibilidad de esta información en el caso que se produzca un desastre ya es parte de un esfuerzo de continuidad del negocio.

Los dueños de las pequeñas empresas deben evaluar detenidamente qué información y demás recursos son importantes para sus negocios, cómo garantizar que esa información y recursos estén disponibles en caso que se produzca un desastre y qué pasos se deben seguir para recuperar las actividades del negocio en esos casos extremos. Estos pasos no son más que la ejecución del análisis del impacto en el negocio, de la estrategia de continuidad del negocio, y de los planes de continuidad del negocio; de la misma forma en que lo haría cualquier compañía más grande al implementar la continuidad del negocio. Todo esto se detalla en la principal norma sobre este tema: BS 25999-2.

Cómo prepararse

Ahora bien, la diferencia entre empresas pequeñas y grandes radica en la complejidad y en el costo de los preparativos que las más pequeñas deben afrontar para la continuidad del negocio:

• Copias de seguridad de datos electrónicos: las empresas pequeñas pueden utilizar algunas de las herramientas que realizan copias de seguridad de los datos de sus ordenadores en la nube en forma casi instantánea. Por supuesto que se deben tomar los recaudos pertinentes para que todos los datos necesarios sean incluidos.
• Copias de seguridad de documentos en papel: ahora las empresas pequeñas pueden eliminar casi por completo de sus actividades diarias los documentos en papel y pueden transferir todo a formato electrónico. En casos excepcionales en que deben existir documentos en papel, estos pueden ser escaneados dentro del marco de la continuidad del negocio.
• Ubicaciones alternativas para oficinas: en la mayoría de los casos será suficiente que los empleados continúen trabajando desde sus hogares; la condición sería que tuvieran una conexión a Internet, ordenadores portátiles o PC y claves. Si el trabajo desde el hogar no es lo más adecuado, siempre es posible alquilar una habitación de hotel en menos de una hora.
• Hardware: a menos que se utilice un tipo especial de ordenador para una actividad comercial, es muy sencillo encontrar uno alternativo: en casa, generalmente, hay un ordenador particular o se puede pedir prestado uno a algún pariente o se puede comprar uno en cualquier negocio de computación.
• Personal: probablemente este sea el aspecto más difícil. Supongamos que un empleado no está disponible y que es el único que conoce determinada información (por ejemplo, claves administrativas, los pasos que hay que seguir para un proyecto importante, etc.); para esos casos, los preparativos pasarían por documentar toda esta información para que pueda ser utilizada sin necesidad de que el empleado esté presente. Otro ejemplo sería si falta un empleado y nadie más tiene el tiempo ni los conocimientos para reemplazarlo; en este caso, la preparación pasaría por identificar de antemano quién tendría disponibilidad para ser contratado con poca anticipación para realizar el trabajo del empleado que no está. Por supuesto que aquí la clave es identificar a alguien que posea las habilidades o aptitudes adecuadas.

Como conclusión: no hay diferencia entre organizaciones grandes y pequeñas en relación al marco de la continuidad del negocio; ambas deben pensar detenidamente qué preparativos necesitan realizar para superar una situación de desastre. La diferencia está en el nivel de los preparativos, ya que las empresas más pequeñas pueden hacerlos con muy poca inversión.

También puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 – Parte 3: Planificación de la continuidad del negocio (es un curso de capacitación disponible para la venta).

¿Su gerencia le ha asignado la tarea de implementar la continuidad del negocio pero usted no sabe muy bien cómo hacerlo? Aunque no se trata de una tarea sencilla, puede utilizar la metodología de la norma BS 25999-2 para facilitar las cosas. Los siguientes son los pasos principales que necesita seguir para implementar esta norma:

1. Obtener el apoyo de la dirección

Si bien no es un paso obligatorio de la norma BS 25999-2, sí se trata de un paso crucial al inicio: si la dirección no comprende los beneficios de la continuidad del negocio y no se compromete con el proyecto, lo más probable es que su proyecto fracase.

2. Tomarlo como un proyecto

La creación de su sistema de gestión de la continuidad del negocio (SGCN) le demandará bastante tiempo y recursos ya que debe definir claramente qué se necesita hacer, dentro de qué plazos y cuáles son las funciones en la implementación del proyecto. En otras palabras, debe aplicar métodos de gestión de proyectos.

3. Definir objetivos y alcance; redactar una Política de GCN

Debe definir qué es lo que usted desea lograr con el SGCN; es decir, cumplir, disminuir el nivel de riesgo, requisitos de sus clientes o socios, etc. También debe definir qué incluirá en su SGCN, si a toda la organización o solamente a una parte. Por ejemplo, puede decidir que incluirá sólo el centro de datos si usted suministra servicios de alojamiento a sus clientes. Todo esto tiene que estar documentado en la Política de GCN.

4. Definir las funciones y las responsabilidades para el SGCN

Como el SGCN se convertirá en una actividad permanente en su organización, es necesario asignar responsabilidades precisas, especialmente para el “promotor” del SGCN (alguien que sea responsable por el SGCN pero que no esté involucrado en las actividades diarias del mismo) y para el “coordinador de GCN”, “gerente de GCN” o similar (una o más personas con tareas activas relacionadas con el SGCN). Lo mejor es documentar estas funciones y responsabilidades en su Política de GCN.

5. Implementar procedimientos obligatorios

La norma BS 25999-2 requiere que se implementen los siguientes cuatro procedimientos obligatorios: control de documentos y registros, auditoría interna, medidas preventivas y correctivas. Estos procedimientos son, en realidad, la base de su sistema de gestión, igual que con las normas ISO 27001 o ISO 9001.

6. Realizar un análisis de impactos en el negocio y evaluación de riesgos

Mediante el análisis de impactos en el negocio usted debe identificar las actividades críticas, su período máximo tolerable de interrupción, sus dependencias (incluidas las dependencias con proveedores y socios externos) y debe establecer objetivos de tiempo de recuperación.

Al realizar la evaluación de riesgos encontrará realmente cuáles pueden ser las causas de interrupción de sus actividades críticas; pueden ser naturales pero también puede tratarse de actividades realizadas por personas (ya sea en forma maliciosa o accidental). También tendrá que llevar a cabo el tratamiento de riesgos, que implica que debe decidir cómo disminuir la posibilidad de que algo funcione mal. Desafortunadamente, la evaluación y el tratamiento de riesgos no están muy bien definidos en esta norma; por lo tanto, podría consultar la norma ISO 27001, que los describe mucho más detalladamente.

7. Determinar la estrategia de continuidad del negocio

Antes de continuar con la redacción de planes de continuidad del negocio, en realidad debe determinar qué recursos necesitará para retomar sus actividades críticas: qué empleados, ubicaciones, datos, hardware, software, proveedores, socios externos, etc.

La estrategia de continuidad del negocio no sólo debe determinar lo que usted necesita, sino también cómo hará para asegurar esos recursos.

8. Desarrollar planes de gestión de incidentes y planes de continuidad del negocio

El objetivo de los planes de gestión de incidentes es describir cómo se responderá directamente ante la ocurrencia de un incidente (por ej., incendio, terremoto, amenaza de bomba, corte de electricidad, etc.) para evitar que se agrande y para intentar disminuir sus efectos directos.

Por otro lado, el objetivo de los planes de continuidad del negocio es describir cómo se recuperarán las actividades críticas, cómo se harán funcionar conjuntamente todos los recursos que se han preparado. Esto quiere decir que es necesario detallar quién hará qué cosa, en qué plazo, utilizando qué datos y tecnología, para poner nuevamente a su organización en funcionamiento.

Todos esto planes tienen ser redactados detalladamente porque deben ser ejecutados aún en el caso que los principales empleados no se encuentren disponibles; por lo tanto, es necesario redactarlos de tal forma que otra persona pueda ejecutarlos.

9. Capacitación y concienciación

Necesita definir el nivel de competencias necesario para la ejecución de los planes de continuidad del negocio ante el caso de una interrupción y, luego, debe capacitar a todo el personal (tanto empleados como socios externos) para llegar a este nivel de competencias.

Sin embargo, esto no es suficiente. También debe explicarle a su personal por qué es necesaria la GCN. Aceptémoslo, sus planes de continuidad del negocio se utilizarán, con suerte, una única vez; por lo tanto, la mayoría de las personas lo consideran una pérdida de tiempo. Por eso, debe explicarles por qué debe existir esta planificación. (Consultar Cómo abordar a quienes no creen en la GCN)

10. Ensayo de GCN

Si piensa que ha redactado los planes de manera perfecta, probablemente se equivoque. Es casi imposible redactar un plan sin errores en el primer intento. Por eso resulta obligatorio ensayar parte del SGCN; debe verificar sus planes en una situación que, más o menos, se asemeje a una interrupción real. Solamente allí podrá determinar qué planificó correctamente y qué no.

11. Mantenimiento y revisión del SGCN

Otra forma de mantener actualizado su SGCN es definiendo intervalos en los que revisará sus planes de continuidad del negocio, pero también otras cuestiones (por ej., contratos con proveedores y socios externos, capacitación y concienciación, etc.). Existe toda clase de cambios en el entorno que amenazan con hacer obsoleta su documentación: es suficiente que un empleado abandone la empresa para tener un número telefónico inservible en un plan si esa persona cumplía una función en el SGCN.

S i se produjo un incidente real, también es obligatorio realizar revisiones después de ocurrido el mismo para ver cómo reaccionó la organización, si siguió los planes o no.

12. Auditoría interna

El objetivo de la auditoría interna es averiguar si hay algo que se está haciendo mal, de manera objetiva. El auditor debe ser una persona que pueda descubrir si algo se hace mal dentro de su SGCN para poder corregirlo. Si se realiza correctamente, la auditoría interna puede ser una de las mejores formas para mejorar su SGCN. (Leer Dilemas con los auditores internos de las normas ISO 27001 y BS 25999-2)

13. Revisión por parte de la dirección

Como se mencionó anteriormente, es muy importante que la dirección se involucre en el proyecto. La revisión por parte de la dirección está diseñada justamente para eso. La norma requiere que la dirección examine todos los hechos importantes sobre la GCN y que decida si ha cumplido su objetivo. Una vez que está hecha, la dirección debe decidir qué mejoras se deben implementar.

14. Medidas preventivas y correctivas

Lo mejor sería evitar que se produzcan errores (o, en términos de BS 25999-2, las “no conformidades”); para esto es que se utilizan las medidas preventivas, representan una forma sistemática de corregir las cosas antes de que generen problemas. Similares a las medidas preventivas, también hay medidas correctivas que solucionan los problemas que ya se han producido.

Ahora la pregunta es ¿por qué usaría usted la norma BS 25999-2? Aunque (todavía) no es una norma internacional, es la norma más reconocida a nivel mundial para la continuidad del negocio. Los pasos mencionados arriba están diseñados por los mejores especialistas en este tema. Por eso, si desea implementar las prácticas más aceptadas para continuidad del negocio, no busque más.

Aquí puede descargar el diagrama del proceso de implementación de la norma BS 25999-2 que muestra todos estos pasos junto con la documentación requerida (requiere inscripción).

¿Alguna vez le ha sucedido que su gerente le asigne la responsabilidad de implementar la continuidad del negocio simplemente porque usted es parte del departamento de TI? ¿Por qué se identifica continuidad del negocio con tecnología de la información?

Probablemente porque la continuidad del negocio tiene sus orígenes en la recuperación ante desastres, y la recuperación ante desastres básicamente se trata de tecnología de la información. Veinte o treinta ańos atrás, la continuidad del negocio no existía conceptualmente, pero sí la recuperación ante desastres: la principal preocupación era cómo salvar los datos si se producía un desastre. En ese momento, era muy común comprar equipos costosos y colocarlos en una ubicación remota para que todos los datos importantes de una organización estuvieran resguardados si, por ejemplo, se produjera un terremoto. No sólo resguardados sino también que los datos se procesarían más o menos con la misma capacidad que si estuvieran en la ubicación principal.

Pero después de un tiempo se hizo evidente… ¿para qué servirían los datos si no existieran operaciones comerciales en las cuales utilizarlos? Así fue como surgió la idea de la continuidad del negocio: su objetivo es permitir que el negocio siga funcionando, aún en caso de una interrupción importante.

Definiciones

Veamos las definiciones: continuidad del negocio es la “capacidad estratégica y táctica de la organización para planificar y responder ante los incidentes e interrupciones del negocio con el fin de permitir la continuidad de las actividades comerciales en un nivel aceptable previamente definido” (BS 25999-2:2007); mientras que recuperación ante desastres se refiere “al proceso, políticas y procedimientos relacionados con preparar la recuperación o continuación de la infraestructura tecnológica crítica de una organización después de un desastre natural o producido por el hombre” (Wikipedia.org).

Como puede ver en las definiciones, en la recuperación ante desastres el énfasis se encuentra en la tecnología, mientras que para la continuidad del negocio son las actividades comerciales. Por lo tanto, la primera es parte de la segunda; la puede considerar como uno de los principales facilitadores de las actividades comerciales, o como la parte tecnológica de la continuidad del negocio.

Sin embargo, es posible que usted haya notado algo más: la definición de continuidad del negocio está tomada de la norma BS 25999-2, la principal norma sobre gestión de continuidad del negocio, mientras que la definición de recuperación ante desastres está extraída de Wikipedia. En realidad, “continuidad del negocio” es un término oficial reconocido por las normas, mientras “recuperación ante desastres” no.

Importancia de la implementación

Entonces, ¿por qué no es una buena idea que un departamento de TI implemente la continuidad del negocio para toda la organización? Porque la continuidad del negocio es principalmente un asunto comercial, no un tema de TI. Si el departamento de TI implementara la continuidad del negocio para toda la organización, no podría definir la criticidad de las actividades comerciales ni de la información. Además, es un interrogante ver si lograría el compromiso de las partes comerciales de la organización.

La mejor forma de organizar la implementación de la continuidad del negocio es que el sector comercial lidere el proyecto; de esta forma lograría mayor concienciación y aceptación de todos los sectores de la organización. El departamento de TI debe cumplir su función en ese proyecto, una función clave, preparando los planes de recuperación ante desastres.

También puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 – Parte 1: Análisis del impacto en el negocio (es un curso de capacitación disponible para la venta).

¿Alguna vez ha escuchado algo como “eso no se puede hacer”, “no tiene sentido” o “sería inútil si se produjera una catástrofe”? Si ya ha implementado la gestión de la continuidad del negocio, probablemente sí. Obviamente, estas actitudes no aportan nada a su proyecto; por eso, aquí le presentamos algunas sugerencias sobre cómo tratar con este tipo de personas.

“Si se produjera una catástrofe, no podríamos hacer nada”

Probablemente, ésta sea la más habitual. Está bien, es posible que tengan razón; a menos que usted haya preparado la estrategia de continuidad del negocio y los planes de continuidad del negocio realmente tomando en cuenta todos los posibles escenarios. Si lo hizo de esta forma, puede explicarles que ha preparado una ubicación alternativa que se encuentra suficientemente alejada para resistir cualquier tipo de desastre, que ha generado copias de seguridad de los datos, que hay un reemplazo para cualquier empleado de la empresa, que ya cuenta con proveedores alternativos para todos los servicios críticos, etc.

“Si se desata una guerra nuclear, no servirá de nada”

Bueno, a menos que usted sea un proveedor militar, no tendría importancia, ¿verdad? Básicamente, ante este tipo de escenarios catastróficos, probablemente su negocio ya no tendría ningún sentido.

“No tiene sentido”

Sencillamente, rece para que nunca tenga que utilizar la continuidad del negocio. Aún sin mencionar los más que conocidos ejemplos como el 11/9 o el Huracán Katrina, basta preguntar ¿alguna vez ha sufrido un apagón eléctrico? ¿O se le rompió el servidor? ¿O tal vez un ordenador que contenía datos importantes? ¿Escuchó alguna vez que un edificio se haya incendiado íntegramente? Es suficiente leer los titulares de los periódicos para comprender que esas cosas le suceden a cualquiera.

“Lo haremos solamente para cumplir con el auditor”

Prioridad incorrecta. Si lo hace correctamente, se protegerá a usted mismo y, como consecuencia, su auditor estará satisfecho.

“No podemos prever todos los incidentes”

Es verdad. Al menos al principio. Pero si realiza correctamente la evaluación de riesgos, si consulta diversas publicaciones y recursos y controla periódicamente la evaluación, es posible que, con el tiempo, pueda tomar en cuenta todos los riesgos posibles. Una vez que sepa cuáles son, puede preparar la respuesta.

“Ante un caso de emergencia, la gente pensará primero en cuidar a sus familias, no el negocio”

También es verdad. En el caso de un terremoto, ¿quién no llamaría primero a su familia para verificar si se encuentra a salvo? Pero si planifica detenidamente quién se puede ir a su casa después de ocurrido un incidente y quién debe quedarse para resolver la situación, y si se ocupa de las familias de los empleados que se deben quedar (por ej., asignando esta tarea a otros empleados), tal vez le pueda haber encontrado una solución a este problema.

“Las personas reaccionan irracionalmente en situaciones de crisis”

Completamente cierto. Pero si capacita a sus empleados (y proveedores o socios) periódicamente, y practica los planes de continuidad del negocio, se habituarán a situaciones estresantes y, probablemente, responderán en la forma correcta si se produjera una situación de este tipo.

Si ya ha implementado proyectos similares, sabrá que la concienciación es importante. Si sus compañeros de trabajo no son conscientes del objetivo de este tipo de proyectos, a usted le resultará muy difícil llevar adelante la implementación. Por no decir que podría fracasar el proyecto entero. Es por ello que debe evaluar el hecho de generar conciencia con anticipación.

También puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 – Parte 2: Estrategia de continuidad del negocio (es un curso de capacitación disponible para la venta).

Si comenzó a implementar la gestión de la continuidad del negocio, probablemente el mayor desafío que está enfrentado sea la redacción de los planes de continuidad del negocio.

¿Por qué es tan difícil? Bueno, tiene que pensar diversos escenarios en los cuales se podrían producir desastres (u otro tipo de interrupción de las actividades comerciales) y tiene que idear una forma para manejar este tipo de incidentes excepcionalmente raros pero potencialmente catastróficos.

Entre los problemas que tiene la gente que redacta estos planes se incluye qué debe contener el plan (cuáles son los elementos principales), qué tan largo (o detallado) debe ser, qué pasos debe incluir, etc.

Una de las mejores soluciones para todos estos problemas radica en utilizar la norma BS 25999-2 que, junto con la BS 25999-1, define una estructura sobre cómo se deben redactar los planes.

Según estas normas, los planes de continuidad del negocio deben consistir de (1) un plan de respuesta a los incidentes y (2) planes de recuperación. Un plan de respuesta a los incidentes generalmente es un único plan redactado para toda la organización y describe qué se debe hacer inmediatamente después de que se produce un desastre: disminuir los efectos del incidente, comunicar a los servicios de emergencia, evacuación del edificio, reunión en los puntos de encuentro, organización del transporte a las ubicaciones alternativas, etc.

Los planes de recuperación generalmente se redactan en forma separada para cada actividad crítica y los pasos que se deben incluir normalmente son los siguientes: cuándo y cómo realizar la comunicación con los diversos grupos de interés (empleados y sus familiares, accionistas, clientes, socios, organismos oficiales, medios de comunicación, etc.), cómo armar el equipo, cómo recuperar la infraestructura, cómo controlar si las aplicaciones están funcionando y si los derechos de acceso son correctos, cómo verificar qué datos faltan o han sido alterados por el desastre, cómo recuperar los datos y cómo decidir cuándo la recuperación ha terminado para poder comenzar el funcionamiento normal.

Los planes de recuperación de después de desastres (los planes de recuperación de la infraestructura de ICT) son los que se deben redactar con mucho cuidado porque deben detallar cómo configurar cada sistema que se ejecuta dentro del objetivo de tiempo de recuperación de una actividad crítica determinada. Generalmente, esto se hace redactando un detallado plan de recuperación para cada sistema que se debe recuperar.

Por regla general, estos planes deben tener un nivel de detalle que permita que otros empleados (o personal externo) pueda ejecutarlo si la gente que trabaja con esa actividad crítica no está disponible. Por lo tanto, hay que usar el sentido común cuando se redactan los planes; deben ser comprensibles para todo el mundo, no sólo para usted.

Según mi experiencia, el mayor desafío al redactar estos planes se encuentra en que los empleados se tienen que enfrentar con algo completamente diferente, algo en lo que nunca han tenido que pensar. Para superar este problema, es recomendable organizar un taller en el que, con o sin un moderador, los empleados puedan compartir sus ideas sobre “qué sucedería si…”,  “cómo reaccionar cuando…”. etc.

La verdad es que, con el sólo hecho de que sus empleados hayan comenzado a pensar en la continuidad del negocio, ya tiene hecho el 50% del trabajo. Con esta forma de ver las cosas, los resultados de la planificación de la continuidad del negocio es mucho mejor.

También puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 – Parte 3: Planificación de la continuidad del negocio (es un curso de capacitación disponible para la venta).

A primera vista, la seguridad de la información y la continuidad del negocio no tienen mucho en común. Alguien podría agregar que la única semejanza es que ambas están relacionadas con TI.

La mejor definición de la gestión de la seguridad de la información se encuentra en la norma internacional ISO/IEC 27001, mientras que la gestión de la continuidad del negocio está mejor definida en la norma británica BS 25999-2; por lo tanto, si deseamos comparar ambos temas, lo más inteligente sería darle una mirada a lo que dicen ambas normas.

Primero, la TI de una parte importante tanto en la ISO 27001 como en la BS 25999-2, pero de ninguna forma estas normas se refieren solamente a TI, el énfasis está puesto sobre procesos y activos comerciales y los riesgos relacionados. Es verdad que la TI es la principal herramienta para procesar los datos, pero es un hecho que los mayores riesgos siguen estando relacionados con las actividades maliciosas e involuntarias de las personas. Por lo tanto, los riesgos asociados con la seguridad de la información o con la continuidad del negocio no pueden resolverse sólo con tecnología de la información; es mucho más importante definir la organización, los procesos y las responsabilidades dentro de la organización.

Pero ¿qué es básicamente la seguridad de la información? La norma ISO 27001 la define como “preservación de confidencialidad, integridad y disponibilidad de la información”. Por otro lado, la norma BS 25999-2 define la continuidad del negocio como la “capacidad estratégica y táctica de la organización para planificar y responder ante los incidentes e interrupciones del negocio con el fin de permitir la continuación de las actividades comerciales en un nivel aceptable, previamente definido”.

No parecen muy similares. Sin embargo, hay algo que las asemeja mucho: la disponibilidad. El enfoque de ambas, de la seguridad de la información y de la continuidad del negocio, es mantener disponible la información para aquellos que la necesitan; en ese sentido, el Anexo A de la ISO 27001 ofrece algunos controles dedicados exclusivamente a la continuidad del negocio.

Además, ambas normas requieren la realización de una evaluación de riesgos para identificar potenciales problemas relacionados con la información; como también demandan gestión de documentación, la realización de auditorías internas, revisiones por parte de la gerencia y medidas correctivas y preventivas. Esto quiere decir que si usted ya tiene documentación para la ISO 27001, puede utilizar esos mismos procedimientos para la BS 25999-2 (con algunas pequeñas adaptaciones).

¿Cuáles son las diferencias? La principal diferencia radica en el nivel de detalle. La norma ISO 27001 abarca un área mucho más amplia y, por lo tanto, no es muy precisa respecto de la continuidad del negocio. Por otro lado, la norma BS 25999-2 describe detalladamente cómo hacer un análisis de impactos en el negocio, cómo definir una estrategia de continuidad del negocio o cómo debe ser el contenido de los planes de continuidad del negocio, entre otras cosas.

Para cerrar, lo importante aquí es que usted pueda pensar en la continuidad del negocio como parte de la seguridad de la información. El uso práctico de ello, es que en el momento de la implementación de la continuidad del negocio en el marco de la ISO 27001, es mejor usar la norma BS 25999-2 como directriz.

También puede dar un vistazo a nuestro webinar gratuito ISO 27001 y BS 25999-2: ¿Por qué es importante implementarlas juntas?.