The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

Continuidad del negocio para empresas pequeñas; ¿es necesaria o no?

¿Tiene sentido implementar la continuidad del negocio en empresas pequeñas? ¿Por qué podrían necesitar algo tan costoso como esto si el dueño del negocio tiene en su cabeza toda la información que necesita?

Permítanme comenzar con una historia que escuché recientemente: una pequeña empresa, que vende diversos tipos de equipamiento a una gran base de clientes, sufrió un robo. El ladrón irrumpió en sus oficinas durante la noche y robó todos los ordenadores, además de otros elementos de valor. Si bien el propietario de esta empresa había realizado una copia de seguridad de los datos, el problema es que esa copia estaba resguardada en otro ordenador dentro de la misma oficina. Muy poco tiempo después, la compañía quedó en bancarrota; simplemente porque no pudo recuperar información esencial para su negocio.

Este es un ejemplo clásico del síndrome “A mí no me va a pasar” que aqueja a la mayoría de las pequeñas empresas.

Marco referencial para continuidad del negocio

blogpost-banner-22301-es

¿Esto quiere decir que las compañías pequeñas necesitan invertir en costosas ubicaciones de recuperación ante desastres con equipamiento que permita un alto nivel de disponibilidad? Por supuesto que no.

En algunos casos, la continuidad del negocio realmente no es necesaria porque el dueño del negocio sí tiene toda la información en su cabeza, pero estos casos son muy excepcionales. ¿Cuántos de ellos no tienen un ordenador portátil con distintos tipos de información importante? El sólo pensar en cómo permitir la disponibilidad de esta información en el caso que se produzca un desastre ya es parte de un esfuerzo de continuidad del negocio.

Los dueños de las pequeñas empresas deben evaluar detenidamente qué información y demás recursos son importantes para sus negocios, cómo garantizar que esa información y recursos estén disponibles en caso que se produzca un desastre y qué pasos se deben seguir para recuperar las actividades del negocio en esos casos extremos. Estos pasos no son más que la ejecución del análisis del impacto en el negocio, de la estrategia de continuidad del negocio, y de los planes de continuidad del negocio; de la misma forma en que lo haría cualquier compañía más grande al implementar la continuidad del negocio. Todo esto se detalla en la principal norma sobre este tema: BS 25999-2.

Cómo prepararse

Ahora bien, la diferencia entre empresas pequeñas y grandes radica en la complejidad y en el costo de los preparativos que las más pequeñas deben afrontar para la continuidad del negocio:

  • Copias de seguridad de datos electrónicos: las empresas pequeñas pueden utilizar algunas de las herramientas que realizan copias de seguridad de los datos de sus ordenadores en la nube en forma casi instantánea. Por supuesto que se deben tomar los recaudos pertinentes para que todos los datos necesarios sean incluidos.
  • Copias de seguridad de documentos en papel: ahora las empresas pequeñas pueden eliminar casi por completo de sus actividades diarias los documentos en papel y pueden transferir todo a formato electrónico. En casos excepcionales en que deben existir documentos en papel, estos pueden ser escaneados dentro del marco de la continuidad del negocio.
  • Ubicaciones alternativas para oficinas: en la mayoría de los casos será suficiente que los empleados continúen trabajando desde sus hogares; la condición sería que tuvieran una conexión a Internet, ordenadores portátiles o PC y claves. Si el trabajo desde el hogar no es lo más adecuado, siempre es posible alquilar una habitación de hotel en menos de una hora.
  • Hardware: a menos que se utilice un tipo especial de ordenador para una actividad comercial, es muy sencillo encontrar uno alternativo: en casa, generalmente, hay un ordenador particular o se puede pedir prestado uno a algún pariente o se puede comprar uno en cualquier negocio de computación.
  • Personal: probablemente este sea el aspecto más difícil. Supongamos que un empleado no está disponible y que es el único que conoce determinada información (por ejemplo, claves administrativas, los pasos que hay que seguir para un proyecto importante, etc.); para esos casos, los preparativos pasarían por documentar toda esta información para que pueda ser utilizada sin necesidad de que el empleado esté presente. Otro ejemplo sería si falta un empleado y nadie más tiene el tiempo ni los conocimientos para reemplazarlo; en este caso, la preparación pasaría por identificar de antemano quién tendría disponibilidad para ser contratado con poca anticipación para realizar el trabajo del empleado que no está. Por supuesto que aquí la clave es identificar a alguien que posea las habilidades o aptitudes adecuadas.

Como conclusión: no hay diferencia entre organizaciones grandes y pequeñas en relación al marco de la continuidad del negocio; ambas deben pensar detenidamente qué preparativos necesitan realizar para superar una situación de desastre. La diferencia está en el nivel de los preparativos, ya que las empresas más pequeñas pueden hacerlos con muy poca inversión.

Este webinar gratuito también le ayudará a: Escribir un plan de continuidad del negocio de acuerdo a la ISO 22301.

Si le gustó este artículo, suscríbase para recibir actualizaciones.

Amplíe su conocimiento con nuestros recursos gratuitos sobre las normas ISO 27001 / ISO 22301.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

NUESTROS CLIENTES

NUESTROS SOCIOS

  • Advisera es un Proveedor TPECS Certificado Global Ejemplar para IS, QM, EM, TL y las Unidades de Competencia AU.
  • ITIL® es una marca registrada de AXELOS Limited. Usada bajo licencia de AXELOS Limited. Todos los derechos reservados.
  • DNV GL Business Assurance es uno de los principales proveedores de certificaciones de sistemas de gestión acreditadas.