Take the ISO 27001 course exam and get the
EU GDPR course exam for free
LIMITED-TIME OFFER – ENDS SEPTEMBER 29, 2022
  • (0)
    ISO-27001-ISO-22301-blog

    Blog de ISO 27001 e ISO 22301

    Recuperación ante desastres vs. Continuidad del negocio


    ¿Alguna vez le ha sucedido que su gerente le asigne la responsabilidad de implementar la continuidad del negocio simplemente porque usted es parte del departamento de TI? ¿Por qué se identifica continuidad del negocio con tecnología de la información?

    Probablemente porque la continuidad del negocio tiene sus orígenes en la recuperación ante desastres, y la recuperación ante desastres básicamente se trata de tecnología de la información. Veinte o treinta ańos atrás, la continuidad del negocio no existía conceptualmente, pero sí la recuperación ante desastres: la principal preocupación era cómo salvar los datos si se producía un desastre. En ese momento, era muy común comprar equipos costosos y colocarlos en una ubicación remota para que todos los datos importantes de una organización estuvieran resguardados si, por ejemplo, se produjera un terremoto. No sólo resguardados sino también que los datos se procesarían más o menos con la misma capacidad que si estuvieran en la ubicación principal.

    Pero después de un tiempo se hizo evidente… ¿para qué servirían los datos si no existieran operaciones comerciales en las cuales utilizarlos? Así fue como surgió la idea de la continuidad del negocio: su objetivo es permitir que el negocio siga funcionando, aún en caso de una interrupción importante.

    Definiciones

    Veamos las definiciones: continuidad del negocio es la “capacidad estratégica y táctica de la organización para planificar y responder ante los incidentes e interrupciones del negocio con el fin de permitir la continuidad de las actividades comerciales en un nivel aceptable previamente definido» (BS 25999-2:2007); mientras que recuperación ante desastres se refiere «al proceso, políticas y procedimientos relacionados con preparar la recuperación o continuación de la infraestructura tecnológica crítica de una organización después de un desastre natural o producido por el hombre» (Wikipedia.org).

    Como puede ver en las definiciones, en la recuperación ante desastres el énfasis se encuentra en la tecnología, mientras que para la continuidad del negocio son las actividades comerciales. Por lo tanto, la primera es parte de la segunda; la puede considerar como uno de los principales facilitadores de las actividades comerciales, o como la parte tecnológica de la continuidad del negocio.

    Sin embargo, es posible que usted haya notado algo más: la definición de continuidad del negocio está tomada de la norma BS 25999-2, la principal norma sobre gestión de continuidad del negocio, mientras que la definición de recuperación ante desastres está extraída de Wikipedia. En realidad, «continuidad del negocio» es un término oficial reconocido por las normas, mientras «recuperación ante desastres» no.

    Importancia de la implementación

    Entonces, ¿por qué no es una buena idea que un departamento de TI implemente la continuidad del negocio para toda la organización? Porque la continuidad del negocio es principalmente un asunto comercial, no un tema de TI. Si el departamento de TI implementara la continuidad del negocio para toda la organización, no podría definir la criticidad de las actividades comerciales ni de la información. Además, es un interrogante ver si lograría el compromiso de las partes comerciales de la organización.

    La mejor forma de organizar la implementación de la continuidad del negocio es que el sector comercial lidere el proyecto; de esta forma lograría mayor concienciación y aceptación de todos los sectores de la organización. El departamento de TI debe cumplir su función en ese proyecto, una función clave, preparando los planes de recuperación ante desastres.

    Consulte este webinar Implementing Business Impact Analysis according to ISO 22301 que explica cómo definir el RTO y RPO para actividades comerciales críticas.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conéctese con Dejan: