Dejan Kosutic A primera vista, la seguridad de la información y la continuidad del negocio no tienen mucho en común. Alguien podría agregar que la única semejanza es que ambas están relacionadas con TI.
La mejor definición de la gestión de la seguridad de la información se encuentra en la norma internacional ISO/IEC 27001, mientras que la gestión de la continuidad del negocio está mejor definida en la norma británica BS 25999-2; por lo tanto, si deseamos comparar ambos temas, lo más inteligente sería darle una mirada a lo que dicen ambas normas.
Primero, la TI de una parte importante tanto en la ISO 27001 como en la BS 25999-2, pero de ninguna forma estas normas se refieren solamente a TI, el énfasis está puesto sobre procesos y activos comerciales y los riesgos relacionados. Es verdad que la TI es la principal herramienta para procesar los datos, pero es un hecho que los mayores riesgos siguen estando relacionados con las actividades maliciosas e involuntarias de las personas. Por lo tanto, los riesgos asociados con la seguridad de la información o con la continuidad del negocio no pueden resolverse sólo con tecnología de la información; es mucho más importante definir la organización, los procesos y las responsabilidades dentro de la organización.
Pero ¿qué es básicamente la seguridad de la información? La norma ISO 27001 la define como “preservación de confidencialidad, integridad y disponibilidad de la información”. Por otro lado, la norma BS 25999-2 define la continuidad del negocio como la “capacidad estratégica y táctica de la organización para planificar y responder ante los incidentes e interrupciones del negocio con el fin de permitir la continuación de las actividades comerciales en un nivel aceptable, previamente definido”.
No parecen muy similares. Sin embargo, hay algo que las asemeja mucho: la disponibilidad. El enfoque de ambas, de la seguridad de la información y de la continuidad del negocio, es mantener disponible la información para aquellos que la necesitan; en ese sentido, el Anexo A de la ISO 27001 ofrece algunos controles dedicados exclusivamente a la continuidad del negocio.
Además, ambas normas requieren la realización de una evaluación de riesgos para identificar potenciales problemas relacionados con la información; como también demandan gestión de documentación, la realización de auditorías internas, revisiones por parte de la gerencia y medidas correctivas y preventivas. Esto quiere decir que si usted ya tiene documentación para la ISO 27001, puede utilizar esos mismos procedimientos para la BS 25999-2 (con algunas pequeñas adaptaciones).
¿Cuáles son las diferencias? La principal diferencia radica en el nivel de detalle. La norma ISO 27001 abarca un área mucho más amplia y, por lo tanto, no es muy precisa respecto de la continuidad del negocio. Por otro lado, la norma BS 25999-2 describe detalladamente cómo hacer un análisis de impactos en el negocio, cómo definir una estrategia de continuidad del negocio o cómo debe ser el contenido de los planes de continuidad del negocio, entre otras cosas.
Para cerrar, lo importante aquí es que usted pueda pensar en la continuidad del negocio como parte de la seguridad de la información. El uso práctico de ello, es que en el momento de la implementación de la continuidad del negocio en el marco de la ISO 27001, es mejor usar la norma BS 25999-2 como directriz.
También puede dar un vistazo a nuestro webinar gratuito ISO 27001 & ISO 22301: Why is it better to implement them together?
