Continuidad de negocio según ISO 22301
Realizar pruebas de continuidad de negocio es la única forma de establecer la eficacia de un Sistema de Gestión de la Continuidad del Negocio, basado en la norma ISO 22301.
Sin embargo, a pesar de ser esta una verdad conocida, en muchas organizaciones no se efectúan estas pruebas, argumentando que estas nunca podrán ser completadas debido a la imposibilidad de reproducir en su totalidad una situación de desastre real que impida la continuidad del negocio. Los altos costes de estos simulacros, son otro argumento esgrimido por quienes se oponen a ellos.
¿Por qué realizar pruebas de continuidad de negocio según ISO 22301?
Porque permiten garantizar la eficacia del plan de continuidad del negocio. Es preciso tener en cuenta que no solo un desastre puede afectar la continuidad del negocio.
En lo referente específicamente a la seguridad de la información, es posible que se presente una interrupción en la continuidad del negocio, derivada de un pequeño incidente que, eventualmente puede representar pérdida de información afectando de esta forma la continuidad del negocio.
Sin embargo, estos incidentes ofrecen la oportunidad de aprender y descubrir formas de mejorar el Sistema. Veamos como:
- Con el fin de garantizar la eficacia del plan de continuidad, se crea un esquema de prueba que es aprobado por el comité de crisis.
- El plan de prueba, debe asegurar la simulación de una situación de desastre real o de un incidente que pueda generar la interrupción temporal del negocio.
- La prueba debe asegurar la recuperación de información o el restablecimiento de las condiciones normales de desarrollo del negocio que se presentaban al momento del inicio del simulacro.
- Los participantes en las pruebas de continuidad de negocio según ISO 22301 deben haber sido capacitados y advertidos de que se trata de un simulacro y no de un evento real.
Es posible efectuar igualmente pruebas no anunciadas, pero estas tienen un tratamiento especial, que seguro será tema de otro de nuestros contenidos. Entre tanto, y ante el supuesto de que no se presentan incidentes de poca relevancia, que permitan probar el sistema, conviene entender la forma de realizar las pruebas de continuidad de negocio según ISO 22301.
¿Cómo realizar pruebas de continuidad de negocios según ISO 22301?
Algunas personas piensan que cortar el suministro eléctrico y esperar que los empleados sigan el plan de Gestión de Continuidad del Negocio es suficiente para probar la eficacia del Sistema.
En la realidad no es tan sencillo. Aunque es una prueba fácil de llevar a cabo, y que de una u otra forma aporta información valiosa, lo cierto es que es preciso contemplar otros métodos. Veamos:
Seminarios de orientación
Se trata de un entrenamiento en donde, de forma teórica, se prevén todos los detalles del plan de continuidad de negocio, con la participación de las partes interesadas (empleados, miembros de la Alta Dirección, proveedores y, por supuesto, el encargado del Sistema como moderador de la actividad).
Pruebas de escritorio
Pueden resultar a primera vista inoficiosas, pero cuando se llevan a cabo siguiendo estrictas normas de auditoría, ejerciendo la debida validación y verificación, arrojan resultados interesantes.
Pruebas funcionales
Es el clásico simulacro anunciado, que cuenta con la participación de todas las partes interesadas, incluyendo proveedores, bajo circunstancias controladas, incluyendo la supervisión del moderador, que generalmente es el encargado del Sistema.
Pruebas completas
Estas pruebas contemplan la ocurrencia de un desastre de grandes proporciones. Para efectuarlas es necesario contar con un sitio alternativo, la participación de todos los empleados, observadores, la Alta Dirección y, por supuesto, el administrador del sistema.
Una recomendación apenas lógica: inicie en su organización las pruebas de menor a mayor grado de complejidad, según las hemos referenciado en este informe.
Realizar pruebas de continuidad de negocio según ISO 22301 requiere como mínimo de la participación y el conocimiento de los jefes de departamento, en especial los relacionados con Tecnología e Informática.
Por supuesto, los resultados y las conclusiones deben ser documentadas, así como las acciones correctivas que permitan mejorar el sistema.
ISOTools Excellence
El Software ISOTools Excellence ayuda a las organizaciones a administrar de forma óptima los procesos del Sistema de Gestión de Continuidad de Negocio y mejorar su eficacia en la identificación de riesgos y la mitigación de los efectos adversos ante interrupciones, incidencias o desastres.
Si desea conocer cómo esta herramienta software puede ayudarle a gestionar de forma más eficiente su SGCN, solicite ahora sin compromiso que uno de nuestros consultores se ponga en contacto con usted y le ofrezca un asesoramiento personalizado.
¿Desea saber más?
Entradas relacionadas
Circular 3335 Al finalizar el año 2017 se publicó la circular 3335. La normativa de seguridad laboral entró…
Algunas cosas se pueden comprar sin hacer mayores preguntas. Un software para gestionar el Sistema de Cumplimiento no…
Hemos hablado de la importancia del plan de respuesta a emergencias, de las características que este documento debe…
La automatización del control de documentos es una necesidad apremiante para muchas organizaciones que, a diario, reciben y…