Consiga 4 meses GRATIS de Conformio para implementar ISO 27001

Recuperación ante desastres vs. Continuidad del negocio


¿Alguna vez le ha sucedido que su gerente le asigne la responsabilidad de implementar la continuidad del negocio simplemente porque usted es parte del departamento de TI? ¿Por qué se identifica continuidad del negocio con tecnología de la información?

Probablemente porque la continuidad del negocio tiene sus orígenes en la recuperación ante desastres, y la recuperación ante desastres básicamente se trata de tecnología de la información. Veinte o treinta ańos atrás, la continuidad del negocio no existía conceptualmente, pero sí la recuperación ante desastres: la principal preocupación era cómo salvar los datos si se producía un desastre. En ese momento, era muy común comprar equipos costosos y colocarlos en una ubicación remota para que todos los datos importantes de una organización estuvieran resguardados si, por ejemplo, se produjera un terremoto. No sólo resguardados sino también que los datos se procesarían más o menos con la misma capacidad que si estuvieran en la ubicación principal.

Pero después de un tiempo se hizo evidente… ¿para qué servirían los datos si no existieran operaciones comerciales en las cuales utilizarlos? Así fue como surgió la idea de la continuidad del negocio: su objetivo es permitir que el negocio siga funcionando, aún en caso de una interrupción importante.

Definiciones

Veamos las definiciones: continuidad del negocio es la “capacidad estratégica y táctica de la organización para planificar y responder ante los incidentes e interrupciones del negocio con el fin de permitir la continuidad de las actividades comerciales en un nivel aceptable previamente definido» (BS 25999-2:2007); mientras que recuperación ante desastres se refiere «al proceso, políticas y procedimientos relacionados con preparar la recuperación o continuación de la infraestructura tecnológica crítica de una organización después de un desastre natural o producido por el hombre» (Wikipedia.org).

Como puede ver en las definiciones, en la recuperación ante desastres el énfasis se encuentra en la tecnología, mientras que para la continuidad del negocio son las actividades comerciales. Por lo tanto, la primera es parte de la segunda; la puede considerar como uno de los principales facilitadores de las actividades comerciales, o como la parte tecnológica de la continuidad del negocio.

Sin embargo, es posible que usted haya notado algo más: la definición de continuidad del negocio está tomada de la norma BS 25999-2, la principal norma sobre gestión de continuidad del negocio, mientras que la definición de recuperación ante desastres está extraída de Wikipedia. En realidad, «continuidad del negocio» es un término oficial reconocido por las normas, mientras «recuperación ante desastres» no.

Importancia de la implementación

Entonces, ¿por qué no es una buena idea que un departamento de TI implemente la continuidad del negocio para toda la organización? Porque la continuidad del negocio es principalmente un asunto comercial, no un tema de TI. Si el departamento de TI implementara la continuidad del negocio para toda la organización, no podría definir la criticidad de las actividades comerciales ni de la información. Además, es un interrogante ver si lograría el compromiso de las partes comerciales de la organización.

La mejor forma de organizar la implementación de la continuidad del negocio es que el sector comercial lidere el proyecto; de esta forma lograría mayor concienciación y aceptación de todos los sectores de la organización. El departamento de TI debe cumplir su función en ese proyecto, una función clave, preparando los planes de recuperación ante desastres.

Consulte este webinar Implementing Business Impact Analysis according to ISO 22301 que explica cómo definir el RTO y RPO para actividades comerciales críticas.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.