ISO 22301 ¿Qué es la continuidad de negocio?
Continuidad de negocio
Los planes de continuidad de negocio es un tema muy controvertido. Algunas personas piensan que cuesta demasiado, mientras que otros piensan que no persigue ningún propósito.
Ambos podrían estar en lo cierto, pero si no realiza ningún ejercicio ni pruebas, su organización nunca sería capaz de sobrevivir a un desastre real.
El propósito del ejercicio y las pruebas
Una de las principales diferencias entre la seguridad de la información y la continuidad de negocio es que los incidentes más pequeños que se encuentran relacionados con la seguridad de la información suceden, y cuando lo hacen nos ofrece una idea de los deficiente que era nuestro sistema. Los incidentes perturbadores no ocurren tan a menudo, esto significa que no existe oportunidad de mejorar la continuidad del negocio.
Esto significa que sus planes de continuidad de negocio están mal. No importa lo bien descritos que estén, es imposible prever todo. Este es el motivo por el que los ejercicios y las pruebas están vacías. Se debe simular una situación realista con el fin de encontrar lo que no funciona en la continuidad de negocio. Cuando se carece de incidentes reales, se crean simuladores para poder mejorar los planes.
Maneras de realizar el ejercicio y las pruebas
Si pensó que su prueba debe incluir el cierre inesperado de energía, te equivocas, esto no es sólo uno de los métodos disponibles deberá ser el primero analizado.
Los métodos que se pueden utilizar para realizar el ejercicio y la prueba son:
Seminario de orientación
Es más de un entrenamiento, en el que los detalles de los planes se explican a los participantes. Se lleva a cabo por los empleados, los proveedores y el moderador.
Verificación de escritorio
Control de los planes por medio de técnicas de auditoría, validación y verificación, se realiza con el autor del plan y el modelador.
Plan de tutorial
Control de los planes por medio de la interacción del equipo. Se lleva a cabo por los principales participantes del plan y el modelador. La intención de la prueba es realizar una reunión conjunta.
Las pruebas funcionales
Se prueban todos los planes que están relacionados entre sí por las actividades seleccionadas. Se utilizan los recursos reales en un ejercicio controlado. Todos los empleados son necesarios y el modelador observa.
Prueba completa
Todas las actividades se trasladan desde el sitio original al sitio alternativo. Participan todos los empleados, proveedores, modelador y auditores.
Como regla general, deberá comenzar con el método más eficaz y cada año dar un paso e ir al método más difícil.
Cómo preparar
Ya que el ejercicio y las pruebas son muy importantes, tanto que pueden influir en las operaciones diarias de la organización. Además de en las decisiones que se toman sobre el método, el alcance, los objetivos y el tiempo deben ser tomadas por la alta dirección. Por supuesto, antes de realizar la propuesta de este tipo para la gestión de su parte superior, se tiene con consultar sobre estos temas con los jefes de departamento.
Su administración tiene que decidir con qué frecuencia el ejercicio y las pruebas se llevan a cabo. La nueva tecnología se puso en práctica, se ofrecieron nuevos procesos.
Quién incluir
La preparación y coordinación del ejercicio y de la prueba se hace generalmente por la persona que está a cargo de la continuidad de negocio. Todos los empleados de los departamentos que se incluyen en el ejercicio y las pruebas deben tomar parte en ella.
El coordinador de la continuidad del negocio debe preparar la prueba y el plan de ejercicio, que define los objetivos de las pruebas. Se tiene que mostrar si las actividades serían recuperadas dentro del objetivo de tiempo de recuperación.
Una vez se lleva a cabo el ejercicio, la persona que coordina la continuidad del negocio debe revisar todos los resultados y compararlos con los objetivos planteados, e informar sobre ellos a la alta dirección.
¿Hay alguna alternativa?
El ejercicio y las pruebas cuestan dinero, en la mayoría de los casos no será capaz de realizar la prueba completa.
No existe ninguna manera de averiguar lo que no funciona.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.