¿Qué es el Marco de Gestión de la Continuidad de Negocio ISO 22301?

La continuidad empresarial es un elemento importante del funcionamiento normal de cualquier organización. Disponer de un plan detallado contribuye en gran medida a que los procesos de recuperación tras ciberataques y catástrofes naturales sean mucho más ágiles y cómodos, especialmente en las grandes organizaciones. Sin embargo, el gran número de situaciones potenciales puede hacer que sea difícil predecir e imaginar cualquier situación posible a partir de la cual trabajar, lo que hace necesaria la introducción de algún tipo de norma que se pueda utilizar como plantilla para cada situación.

Aquí es donde entra en juego la norma ISO 22301, una norma internacional cuyo objetivo principal es servir de marco para que las empresas se preparen, respondan y se recuperen de todo tipo de incidentes, ya sean violaciones de datos, catástrofes naturales, cortes de electricidad, etc.

Este artículo no sólo cubre la norma ISO 22301, sino que también la sitúa en el contexto de las soluciones de copia de seguridad y recuperación. Las soluciones de copia de seguridad y recuperación son esenciales para mantener la continuidad de la empresa, ya que garantizan que los datos vitales puedan restaurarse rápidamente en caso de pérdida de datos o fallo del sistema.

Como resultado del calentamiento global, el aumento de las tensiones geopolíticas, el ransomware y otras amenazas, la copia de seguridad y la recuperación se han vuelto más críticas que nunca en el ámbito de la continuidad empresarial. El cumplimiento de la norma ISO 22301 indicaría que una solución de copia de seguridad y recuperación es compatible con un enfoque estructurado de la gestión de riesgos, las estrategias de recuperación y la mitigación de la pérdida de datos, en consonancia con los objetivos más amplios de la continuidad del negocio y la planificación de la recuperación ante desastres.

Más adelante hablaremos de ello. Sin embargo, nuestro primer paso sería definir la naturaleza y el propósito de la norma ISO 22301 con más detalle, pero también nos gustaría cubrir las ventajas, los pasos de certificación y las posibles deficiencias de la norma ISO 22301.

¿Qué es la norma ISO 22301 y la gestión de la continuidad del negocio?

ISO 22301:2019 «Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Requisitos» es la norma mundial para BCMS – Business Continuity Management Systems, desarrollada por la Organización Internacional de Normalización. Se trata de un marco integral que ayuda a las empresas a desarrollar estrategias de continuidad del negocio, al tiempo que identifica posibles amenazas y evalúa su impacto potencial en el proceso.

El objetivo principal de la norma ISO 22301 es ayudar a las empresas a crear y mejorar sus sistemas de gestión de la continuidad de las actividades. Invertir en un sólido plan de gestión de la continuidad del negocio puede ofrecer múltiples beneficios, entre ellos una mayor resistencia de los datos y un impacto mucho menor de la mayoría de los sucesos perturbadores en el bienestar de la empresa.

Principios fundamentales de la norma ISO 22301

La norma ISO 22301 ofrece los medios para crear y mejorar los planes de continuidad de negocio existentes. Existen varios principios básicos que esta norma utiliza para ofrecer recomendaciones a las empresas:

1. La evaluación de riesgos es el primer elemento importante de esta norma, ya que identifica los problemas potenciales y las formas de mitigarlos o resolverlos. Una comprensión clara de todos los riesgos y problemas potenciales de la empresa debería permitir reorganizar los recursos de manera eficiente para estar preparados de antemano para los problemas más destacados.
2. BIA, o Análisis de Impacto en el Negocio, es la parte necesaria del proceso de evaluación de riesgos que permite a la empresa identificar sus funciones de negocio para valorar su criticidad y costes de mantenimiento. Ambos valores deben permitir evaluar el trastorno que supondría la interrupción repentina de cada una de estas funciones (y la rapidez con la que una organización puede restablecer la función en cuestión a su estado de funcionamiento).
3. El plan de continuidad de negocio se elabora teniendo en cuenta los resultados tanto del BIA como de la evaluación de riesgos. De este modo, una estrategia de continuidad de negocio podría explicar cómo exactamente una empresa mantendría o restauraría cada una de sus funciones críticas durante y después de una catástrofe de cualquier tipo -con sistemas de copia de seguridad, planes de comunicación de crisis y lugares de trabajo alternativos como ejemplos de posibles medidas-.
4. Las estrategias de respuesta a incidentes también desempeñan un papel importante en la norma ISO 22301 y sus esfuerzos de continuidad empresarial, creando un esquema bien definido de cómo una empresa planea detectar, responder y gestionar diversos problemas o incidentes que afectan a la empresa. Un protocolo de respuesta a incidentes claro y definido debe ser capaz de minimizar el impacto de una interrupción potencial, si no mitigarlo por completo.
5. Revisión y mejora continua son ambas necesarias para garantizar la relevancia de un plan de continuidad de negocio definido por la norma ISO 22301. Las auditorías y pruebas periódicas de los planes y estrategias existentes podrían poner de manifiesto posibles problemas y áreas de mejora en el futuro.

Seguir los requisitos de la norma ISO 22301 es una excelente manera de desarrollar una estrategia de continuidad de negocio resistente que ofrezca múltiples ventajas a sus usuarios, como mejoras en el cumplimiento, aumento de la resistencia de los datos, etc.

El modelo PCDA en los requisitos de la norma ISO 22301

La estructura de la norma ISO 22301

La norma ISO 22301, como documento normativo, puede adquirirse por un precio en formato físico o electrónico. Se divide en diez cláusulas principales:

1. Ámbito de aplicación
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización
5. Liderazgo
6. Planificación
7. Apoyo
8. Operación
9. Evaluación del rendimiento
10. Mejora

Las cláusulas 1,2 y 3 sirven para definir el ámbito de aplicación, las referencias normativas y las definiciones del documento, respectivamente. Las cláusulas 4 a 10, por su parte, esbozan el proceso para alcanzar una cierta competencia en la creación de planes de continuidad de negocio.

Norma ISO 22301 y PCDA

Cabe señalar que la norma ISO 22301, al igual que cualquier otra norma ISO, sirve como explicación de lo que una empresa debe ser capaz de lograr para alcanzar la competencia mínima en la norma, sin descripciones detalladas sobre cómo lograrlas (ya que siguen siendo recomendaciones, ante todo).

También sigue el modelo Planificar-Hacer-Verificar-Actuar, que es un enfoque cíclico que explica la mejora continua en cuatro pasos básicos:

• Planificar – análisis de riesgos, identificación de objetivos y establecimiento de procedimientos para los distintos elementos del SGCN.
• Hacer – implantación del plan de continuidad de negocio utilizando los procesos desarrollados en el paso anterior.
• Comprobar – supervisión de procesos y medición de resultados, así como evaluación del rendimiento en relación con las políticas y objetivos existentes.
• Actuar – diversas acciones correctivas basadas en los resultados recogidos durante el paso anterior.

Como puede ver, esta secuencia de eventos también es similar a la selección de principios fundamentales que hemos mencionado antes sobre la norma ISO 22301. También comienza con los procesos de planificación y análisis antes de sumergirse en la implementación real y terminar en un ciclo de revisiones y auditorías periódicas con fines de mejora.

Continuidad de negocio ISO 22301 y soluciones de copia de seguridad

Como una de las prácticas principales en la continuidad de negocio, los procesos de copia de seguridad y recuperación y el programa que los proporciona se tratan como elementos importantes de los procesos de continuidad de negocio con una serie de ventajas sustanciales.

Uno de los casos de uso más básicos de un sistema de copia de seguridad es la capacidad de proteger los datos frente a muchas situaciones en las que podrían corromperse o verse comprometidos de alguna manera, ya sea a través de un ciberataque, un fallo de hardware, un desastre natural, etc. La misma lógica puede aplicarse a los procesos de recuperación como parte inseparable de la combinación de funciones «copia de seguridad y recuperación», ofreciendo capacidades de restauración de datos rápidas y versátiles para mejorar los tiempos de recuperación y minimizar el tiempo de inactividad.

Algunas copias de seguridad pueden incluso ir un paso más allá y utilizar la función de inmutabilidad como una característica opcional, proporcionando una capa de seguridad adicional contra diversas amenazas cibernéticas para evitar que cualquier usuario no autorizado interactúe con datos inmutables. Además, las copias de seguridad se utilizan a menudo como un elemento inseparable para la mayoría de los marcos de cumplimiento debido a la capacidad de cumplir los requisitos de los marcos normativos o de otro tipo con el almacenamiento seguro de datos.

Volviendo a los requisitos de la norma ISO 22301, una estrategia de copia de seguridad competente debería integrarse siempre con el plan de continuidad del negocio para alcanzar los objetivos necesarios en términos de resistencia de los datos. Los sistemas de copia de seguridad también pueden ser monitorizados y mejorados, funcionando como otro requisito que se cumplió para la ISO 22301.

¿Cuáles son los beneficios de ISO 22301 – la norma de continuidad de negocio?

La norma ISO 22301 no sólo puede ofrecer cierto grado de estandarización a un entorno, sino que también proporciona una serie de otras ventajas, la mayoría de las cuales incluso pueden actuar como motivadores para que otras empresas se certifiquen también con esta norma. Teniendo esto en cuenta, podemos repasar ahora las ventajas más destacables de la ISO 22301 como norma de continuidad de negocio:

• Las mejoras en la gestión de riesgos permiten reducir o mitigar los riesgos operativos, financieros o de reputación de la empresa como consecuencia de eventos disruptivos.
• Mayor resistencia operativa para mejorar las probabilidades de que una empresa supere los eventos disruptivos con daños mínimos.
• Cumplimiento normativo en forma de compromiso de una empresa con la continuidad del negocio ayuda a cumplir los requisitos normativos (lo que, en sí mismo, puede ser una ventaja competitiva en determinados sectores y campos de trabajo).
• Una mayor confianza de las partes interesadas es posible gracias al compromiso de una empresa con la creación de un SGCN detallado y flexible que demuestre su capacidad de recuperación y un nivel de preparación para diversas catástrofes.

El proceso de certificación ISO 22301

Una vez que una empresa ha decidido seguir adelante con el proceso de certificación de esta norma ISO, tiene que pasar por una secuencia moderadamente compleja de acontecimientos y acciones, entre los que se incluyen:

1. Implantación de un sistema eficaz de gestión de la continuidad del negocio (SGCN) de acuerdo con todos los procesos mencionados anteriormente:
   1. Análisis de riesgos.
   2. Implantación del plan.
   3. Auditoría interna exhaustiva.
2. Presentar los resultados de una auditoría y otros detalles sobre el plan de SGCN a la alta dirección de la organización para identificar áreas de mejora y discutir la asignación de recursos.
3. Solicitar una auditoría externa a un organismo de certificación independiente acreditado. La auditoría propiamente dicha se compone de:
   1. Visión general del estado del sistema.
   2. Descripción general de la documentación.
   3. Una auditoría detallada in situ realizada para confirmar el cumplimiento de la norma.
   4. Evaluación de la implantación del SGCN y de su eficacia.
4. Si la auditoría consigue encontrar algún tipo de no conformidad que imposibilite la presentación de la certificación, la empresa necesita abordar todas estas cuestiones y aportar pruebas de su resolución antes de que se tome la decisión final.
5. Revisión completa de todos los hallazgos durante la auditoría externa para evaluar si se puede conceder el certificado ISO 22301.
6. El cumplimiento continuado debe garantizarse con auditorías de vigilancia periódicas (una vez al año en la mayoría de los casos). Todo el procedimiento debe realizarse desde cero cada tres años para obtener la recertificación.

La minuciosidad del proceso de evaluación suele hacer que se tarde varios meses en completarlo, en función de los niveles de preparación de la empresa, su tamaño y otros factores, siendo los casos de una sola evaluación que dura todo un año algo habitual en entornos grandes y complejos.

ISO 22301 y su correlación con otras normas

Normas como la ISO 22301 prácticamente nunca existen en su propia burbuja y siempre tendrían algún tipo de solapamiento con otras normas o requisitos de diferentes industrias. En esta sección, nos gustaría mostrar las normas más destacadas que se solapan con la ISO 22301 de una forma u otra.

ISO 27001

La norma ISO 27001 -Gestión de la seguridad de la información- presenta un solapamiento sustancial con la norma ISO 22301 en lo que respecta a la gestión de riesgos y la respuesta a incidentes como elementos activos en la planificación de la continuidad del negocio. La mayor diferencia entre la ISO 22301 y la ISO 27001 es el hecho de que esta última es mucho más específica con su área objetivo, trabajando específicamente en el campo de la seguridad de la información, que es una de las varias áreas de interés de la ISO 22301.

ISO 31000

ISO 31000 – Gestión de Riesgos – tiene un nivel moderado de solapamiento con ISO 22301 debido al hecho de que ambas normas cubren la gestión de riesgos como un tema. Sin embargo, la norma ISO 22301 puede proporcionar una cobertura mucho más amplia de esta área, y la ISO 31000 puede actuar como un marco detallado para el control de riesgos en múltiples situaciones (incluida la creación de un BCSM).

ISO 9001

ISO 9001 es una norma de gestión de la calidad con cierto grado de solapamiento con ISO 22301. De hecho, el enfoque general de la norma ISO 22301 en forma de mejoras continuas y enfoques basados en procesos es exactamente lo que cubre la norma ISO 9001, mejorando la gestión de la calidad y aumentando al mismo tiempo la capacidad de recuperación de una organización.

ISO 22313

Como ya se ha mencionado, la norma ISO 22301 proporciona un marco en forma de múltiples requisitos que hay que cumplir para obtener la certificación, sin mencionar los pasos exactos que hay que dar en el proceso. La gran razón de ello es la existencia de la norma ISO 22313, que es una norma de Sistemas de Gestión de la Continuidad del Negocio – Orientación, que ofrece un conjunto detallado de instrucciones sobre cómo debe implantarse el SGCN, para empezar.

NFPA 1600

La NFPA 1600 es una norma sobre gestión de continuidad, emergencias y crisis que se parece mucho a la ISO 22301 en su estructura. Las mayores diferencias entre ambas son el hecho de que la ISO 22301 es internacional y la NFPA 1600 está orientada a Norteamérica, así como el hecho de que la NFPA 1600 tiene un conjunto más detallado de instrucciones para la gestión de emergencias (lo que la convierte en una opción preferible en algunos sectores).

Dificultades potenciales de la implantación de la norma ISO 22301

ISO 22301 puede servir como una gran base para la creación de políticas detalladas de continuidad de negocio con mejoras continuas. Al mismo tiempo, la norma en cuestión es moderadamente compleja y tiende a encontrar múltiples retos en el camino, algunos de los cuales vamos a mostrar a continuación:

• Desarrollo y mantenimiento actualizados de la documentación. La introducción de un programa específico de gestión de planes y documentación en una fase temprana del desarrollo del SGCN debería reducir la gravedad de este reto.
• Equilibrio cuidadoso entre los recursos disponibles y el alcance potencial del SGCN. Limite el alcance del plan desde el principio para permitir una posible ampliación en el futuro.
• Adquisición de los recursos y compromiso de la dirección para el plan de continuidad de negocio. Asegurarse de que la alta dirección conoce los planes y procesos de continuidad de la actividad desde el principio para mitigar los efectos de este problema.
• Asegurar una concienciación completa y un alto porcentaje de participación en la realización de la estrategia. Invertir en programas de formación y concienciación para ofrecer suficiente información a todos los implicados.
• Realizar BIA y evaluaciones de riesgos detalladas. Emplear la ayuda y orientación de profesionales y consultores certificados para resolverlo.

ISO 22301 en el contexto del backup y la recuperación

Como se ha mencionado anteriormente en el artículo, los sistemas de copia de seguridad y recuperación suelen ser una parte esencial para lograr la certificación ISO 22301. Sin embargo, sólo algunas soluciones de copia de seguridad cumplen o superan los requisitos para la certificación. Un ejemplo de solución integral que supera todos los requisitos desde la perspectiva de copia de seguridad y recuperación es Bacula Enterprise.

Bacula Enterprise puede desempeñar un papel fundamental para las organizaciones que aspiran a obtener la certificación ISO 22301, ya que proporciona soluciones sólidas de copia de seguridad y recuperación que respaldan directamente la gestión de la continuidad del negocio (BCM). Uno de los aspectos clave de la norma ISO 22301 es garantizar que los datos y sistemas críticos puedan restaurarse rápidamente después de un incidente para minimizar las interrupciones. La función bare metal recovery de Bacula Enterprise es esencial en este contexto, ya que permite a las empresas recuperar sistemas completos desde cero, incluso en caso de fallo total del hardware. Esta capacidad se alinea con el requisito de la norma ISO 22301 para garantizar que las funciones esenciales se restauren de forma eficaz durante desastres o cortes del sistema, apoyando la continuidad de las operaciones. Por supuesto, tener una capacidad de recuperación Bare Metal es importante para una solución de copia de seguridad, pero lo más importante es que esa solución tiene que poder integrarse en el entorno de TI de una organización. Bacula es especialmente fuerte en este aspecto, con un nivel de flexibilidad que va más allá de sus competidores.

Más allá de la recuperación Bare Metal, las capacidades avanzadas de generación de informes y supervisión de Bacula proporcionan a las organizaciones información detallada sobre el estado de las copias de seguridad, las pruebas de recuperación y las posibles vulnerabilidades. La norma ISO 22301 hace hincapié en la realización de auditorías periódicas y en la mejora continua de los procesos de continuidad de negocio, y las herramientas de generación de informes de Bacula ofrecen una clara visibilidad del estado de las operaciones de copia de seguridad, así como prodigiosas herramientas de búsqueda de gran alcance para todos los medios respaldados por Bacula. Estos informes se pueden utilizar para verificar que se están cumpliendo los objetivos de recuperación y para proporcionar pruebas de cumplimiento durante las auditorías de certificación ISO 22301. Esto garantiza que las estrategias de copia de seguridad de una organización no sólo son operativas, sino que también están alineadas con los requisitos de preparación y responsabilidad de la certificación.

La seguridad es otro elemento crucial tanto de la norma ISO 22301 como de Bacula Enterprise. Bacula ofrece altos niveles de seguridad, incluido el cifrado de datos en tránsito y en reposo, que es fundamental para proteger la información empresarial crítica frente a accesos no autorizados o infracciones. La norma ISO 22301 exige que las organizaciones protejan sus datos durante las interrupciones, y las funciones de seguridad de Bacula ayudan a cumplir estas normas garantizando que los datos de las copias de seguridad permanezcan seguros, incluso cuando se restauran después de un incidente. La arquitectura modular de Bacula también ofrece a los arquitectos de TI varias opciones sobre cómo y dónde implementar Bacula, lo que aumenta aún más su potencial de seguridad. En el momento de escribir estas líneas, la mayor organización de defensa de Occidente confía en Bacula para realizar copias de seguridad y recuperar sus datos y aplicaciones críticos. En general, las capacidades mencionadas hacen de Bacula una solución integral para las organizaciones que buscan conseguir y mantener la certificación ISO 22301, al tiempo que garantizan un marco de continuidad de negocio sólido y resistente.

Conclusión

Debido a la naturaleza actual del entorno empresarial, ser capaz de mantener el acceso a su información de forma continua ante diversas interrupciones es un elemento crucial para el éxito de cualquier empresa. La norma ISO 22301 es un marco estandarizado para los planes de continuidad de negocio que muestra cómo debe funcionar el mínimo de un BCMS de principio a fin.

Aunque la guía paso a paso en sí no está incluida en la norma, sigue siendo una piedra angular importante de los esfuerzos de continuidad del negocio debido a su naturaleza estandarizada. La posibilidad de certificarse teniendo en cuenta esta norma también aporta una serie de ventajas útiles, como una mayor resistencia de los datos, una evaluación de riesgos más precisa, una mayor confianza de los accionistas e incluso una posible ventaja competitiva en determinados campos.

La creación de una estrategia integral de continuidad de negocio siguiendo la norma ISO 22301 ya no es sólo una recomendación: muchos sectores exigen este enfoque desde el principio, por lo que es prácticamente obligatorio en muchas situaciones. La existencia de planes de continuidad de negocio también puede considerarse un paso estratégico para asegurar el futuro de su entorno empresarial a largo plazo, razón por la cual el uso de normas como la ISO 22301 es tan recomendable hoy en día.