¿Cómo salir airoso de una crisis gracias a la norma ISO 22301?

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

¿Cómo salir airoso de una crisis gracias a la norma ISO 22301?

¿Cómo salir airoso de una crisis gracias a la norma ISO 22301?

ISO 22301

ISO 22301

Una crisis o un desastre es algo que ninguna empresa, independientemente de su tamaño, quiere pasar. Debido a esto, muchas organizaciones optan por la continuidad de negocio. El Sistema de Continuidad de Negocio basado en la norma ISO 22301, puede reducir al mínimo las posibilidades de que este se produzca, y si se llega a producir, reduce su impacto y minimiza el tiempo que se tarda en reanudar su actividad.

Un elemento clave para la minimización de los impactos y la reanudación de las actividades es el Plan de Continuidad de Negocio. Expone la gente que debe participar, las actividades que se deben realizar y los recursos que se asignarán durante un incidente perturbador. Todo dependerá del tamaño de la empresa y la complejidad, esto puede incluir tanto una pequeña empresa o una gran multinacional.

Durante este artículo queremos abordar el momento más difícil, que es durante la perturbación o el incidente. Muchas actividades se deberán llevar a cabo de forma paralela, esto puede abrumar a los miembros de todo el equipo. Para ayudar a manejar esto, se presentan papeles críticos que deben ser considerados al designar las responsabilidades.

Ciclo de vida y responsabilidades

Si tomamos como referencia la norma ISO 22301, un ciclo de vida puede venir descrito por los siguientes pasos:

  • Elaboración: definición de escenarios en los que se puede producir un acontecimiento perturbador, y que hacer para manejar dicho tipo de incidentes potencialmente catastróficos.
  • Pruebas: se deben realizar ejercicios y simulaciones que aseguren los planes, las personas, los recursos y que funcionará de forma correcta durante el evento.
  • Ejecución: cuando un evento perturbador llega a la empresa, los impactos se puede reducir al mínimo y los procesos de negocio deben reanudarse.
  • Actualización: se debe realizar una actualización después de realizar la activación del plan, por lo que se pueden corregir los errores o mejorarlos.

La elaboración, las pruebas y la puesta a punto se encuentran bajo la responsabilidad de la persona encargada.

Durante un evento perturbador, la persona encargada será la responsable de poner en marcha todas acciones. Normalmente no suele ser una persona sola si no un equipo que suele estar formado por el encargado, el líder y demás miembros del equipo.

¿Cómo puede interrumpir un evento un negocio?

Un incidente interrumpe el negocio cuando la interrupción dura más de lo que sería aceptable para una empresa y esto puede ocurrir cuando:

  • Fallos en la infraestructura externa, lo que impide que la empresa entregue los productos.
  • La infraestructura de la empresa no es capaz de ofrecer productos o prestar servicios.
  • La fuerza de trabajo de la empresa es incapaz de realizar sus actividades.

Si cada una de estas situaciones por si sola ya no es un problema importante, cuando se producen junto, como consecuencia de un desastre natural de gran magnitud, se pone la cosa peor. El encargado deberá:

  • Coordinar esfuerzos con las partes externas para manejar la falta de infraestructura
  • Realizar las actividades definidas para manejar el fallo interno
  • Ayudar al personal herido y apoyar a sus familias

Estas actividades pueden ser muy diferentes entre sí y no pueden ser priorizadas en detrimento de otra.

Papeles críticos a considerar

Cada empresa puede ser golpeada por un evento que puede dar lugar a la situación que hemos descrito antes, pero entonces ¿cómo se deberá considerar que la situación se desarrolle por su responsable?

La principal idea es evitar que una sola persona responsable de las actividades que abarcan más de una línea de acción. Y es posible conseguirlo mediante la organización de actividades teniendo en cuenta estas funciones:

  • Líder: es el miembro del equipo responsable de todas las actividades que se relacionan con las personas afectadas durante el evento. El equipo designado debe cuidar de evacuar al personal, ofrecer los primeros auxilios y ponerse en contacto con los servicios de emergencia y las familias.
  • Líder de negocios: es un miembro del equipo responsable de todas las actividades que se relacionan con la coordinación de la infraestructura externa, teniendo en cuenta las rutas alternativas y proveedores. Además de ser responsable de garantizar productos y servicios.
  • Líder de infraestructura: miembro del equipo responsable de las actividades que se relacionan con la recuperación de la infraestructura interna. Esta función se puede subdividir, si es necesario, de acuerdo con el tipo de infraestructura.
  • Líder de comunicaciones: miembro del equipo que es el punto de contacto con los medios de comunicación y los servicios públicos, para evitar malentendidos de comunicación.

Se debe tener en cuenta que puesto que estas son funciones, no existe necesidad de tener una persona para llevar a cabo exclusivamente cada función. Su empresa sólo debe tener cuidado de no designar dos o más de estas funciones a la misma persona.

¿Qué pasa si la división de los papeles no es posible?

Cuando una empresa, debido a su tamaño o recursos, no es capaz de dividir las funciones en un equipo deberá comprobar el impacto que esta situación tendrá sobre su Recovery Time Objetive (RTO) y hacer los ajustes apropiados, ya sea mediante la asignación de más personas o por redefinir las prioridades y los objetivos de recuperación.

Software ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

Loading Facebook Comments ...