La creciente digitalización de los últimos años ha transformado la forma en que las empresas entregan sus productos y servicios. Cada vez más, los usuarios requieren que estos sean prestados a tiempo y con la máxima calidad. Sin embargo, estas promesas de valor pueden verse afectadas por eventos adversos que obstaculizan el desarrollo de los procesos dentro de las organizaciones.
Por lo anterior, las empresas han comenzado a analizar las adversidades y a generar acciones para responder a ellas, a través de un plan de continuidad de negocio que les permita permanecer en operación, conforme al estándar ISO 27001 en su dominio 17 del anexo A - Declaración de Aplicabilidad (SOA).
¿Qué es la continuidad del negocio?
El plan de continuidad de negocio busca que ante una adversidad, crisis o desastre tengas presente cuáles son las actividades vitales de tu empresa y la información crítica para poder operar. El plan implica anticipar las acciones que puedes llevar a cabo para continuar entregando los productos o servicios de tu empresa sin afectar a tus clientes.
Para el desarrollo de las actividades críticas, tal vez requieras acceso a la información de tus negocios potenciales, sus estados de cuenta, los compromisos realizados con los clientes o de los pedidos que te han hecho para que les brindes productos o servicios. En este punto es donde cobra importancia el plan de continuidad de seguridad de la información.
En este artículo te mostraremos los aspectos que debes considerar sobre la seguridad de la información en la gestión de la continuidad de tu negocio.
Continuidad de seguridad de la información
Piensa en la información que usas y a la que accedes en tu vida diaria; de toda ella ¿cuál es importante mantener? Tal vez necesitas constantemente acceso a tu correo electrónico o información de tus cuentas bancarias, puede que tengas post o escritos que son de tu propiedad, pero que solo revisas una vez a la semana. Tu información médica puede que la consultes esporádicamente pero requieres poder acceder a ella en cierto momento sin demoras.
De la misma manera funciona el plan de continuidad de seguridad de la información, existe información vital para tu empresa y para los procesos que son la columna vertebral en el día a día de tu empresa, mientras que hay otra que no es tan vital para la operación. En este sentido la ISO 27001 en su anexo A recomienda los siguientes pasos para identificar la información vital de la empresa y para elaborar un plan de seguridad de la información para la continuidad del negocio:
- Clasifica
Puedes identificar los tipos de información analizándola en cada proceso crítico y calificándola de la siguiente manera:
- Crítica: la que se convierte en la base de la operación del proceso; sin esta no se podrían llevar a cabo las actividades.
- Esencial: datos del proceso que sirven de referencia para apoyar la operación crítica, pero que pueden ser fácilmente reemplazados en caso de pérdida o falta de disponibilidad.
- No esencial: documentos de trabajo o temporales cuya pérdida no afectan las actividades.
- Planifica
Teniendo una clasificación clara, puedes comenzar a planificar la continuidad de seguridad de la información de la siguiente manera:
El primer paso para preparar a tu empresa, es informar quien tendrá autoridad tanto para activar el plan de seguridad de la información, como para gestionar la comunicación al interior de la empresa y con otras partes interesadas.
Luego, un segundo paso puede ser establecer cómo vas a asegurar la información de acuerdo a la criticidad de la misma y la necesidad de tus procesos. Por ejemplo, si tu área comercial maneja algún CRM pero por la contingencia no pueden usarlo, tal vez deban comenzar a trabajar momentáneamente a través de otra aplicación colaborativa, o si tu proceso de calidad normalmente usa un software para registrar los resultados de las pruebas realizadas, tal vez debas continuar temporalmente con una bitácora en papel mientras se restablece el proceso en su totalidad.
Es importante en este punto que se documenten los pasos a seguir para ir levantando estos planes de seguridad de la información, ya que se debe evitar que dependan de una persona, lo ideal es que este documento pueda ejecutarse por cualquiera de las personas responsables de este rol.
Y para concluir con la preparación, un tercer paso es incluir también la confidencialidad, disponibilidad e integridad de la información, de forma que evites accesos no autorizados a la misma, que dejes alguna información vital por fuera del plan que diseñes o crees brechas de seguridad que sean aprovechadas por terceros para robar tu información.
Ten presente que si estableces acciones y formas alternativas para acceder y modificar información o si se llegan a generar cambios estos deben quedar reflejados de alguna manera en el sistema principal que se utiliza una vez la situación de crisis se supere.
- Verifica, revisa y evalúa
Vas a tener una cena importante y quieres hacer un plato nuevo que nunca has hecho. En este caso si te lanzas a hacerlo sin ninguna guía o experiencia previa, te arriesgas a que algo salga mal, tal vez se queme o quede con algún sabor que no sea el que esperas. Es probable que prefieras realizar la receta previamente siguiendo ciertos pasos para saber lo que debes ajustar para que tu cena quede como deseas.
Del mismo modo funciona la continuidad del negocio de seguridad de la información, una vez establecido, no puedes darte el lujo de esperar a un desastre para ponerlo a prueba y hasta ese momento saber si funciona o no. Por lo tanto es necesario ponerlo a prueba para verificar si las acciones que estableciste funcionan, si la información que definiste que debías guardar es suficiente, si los métodos establecidos para restablecerla aseguran que la información crítica pueda seguir siendo consultada y si los tiempos que estableciste se cumplen o tienen alguna desviación.
Al poner a prueba el plan de continuidad de seguridad de información debes evaluarlo para generar los ajustes que creas pertinentes. De igual forma si tuviste que activar el mismo ante una crisis real, debes también evaluar cómo resultó su puesta en marcha. Ten presente siempre buscar la mejora de este plan porque puede que cada vez que lo ejecutes comiences a tener hallazgos que son muy valiosos y que no debes dejar pasar.
- Redundancias
Cuando alguien está realizando su tesis de grado, uno de los mayores miedos es que la información que se va incorporando se pierda. Esto regularmente genera que se empiecen a crear copias con diferentes nombres ”TESIS”, “TESIS1”, “TESIS FINAL”, “TESIS FINAL FINAL””TESIS ESTA SI ES” y que se comiencen a guardar en diferentes lugares, por correo, en un medio externo o a copiar en varios computadores.
A estas copias se les conoce como redundancia de la información, y se soluciona básicamente generando una copia que impacte en la menor medida posible la información que ya se guardó. Esta práctica también aplica para el plan de continuidad de la información de tu negocio. Tal vez existe información que debes asegurar que no se pierda, pueden ser diseños o un directorio de clientes, las solicitudes que te han hecho o los ingresos y egresos monetarios de la empresa.
Para esta redundancia existen muchas soluciones, algunas más sofisticadas que otras. Si eres una empresa pequeña tal vez con saber que una copia de toda la información queda en en la nube es suficiente, si eres una empresa de software o financiera, tal vez debes tener varios servidores con copias para evitar que tú y tus clientes pierdan la información.
Cumplimiento de requisitos legales y contractuales
Si aplicas en tu negocio los aspectos mencionados, la información que necesitas para mantener la continuidad de tu negocio estará protegida y disponible para enfrentar cualquier evento adverso que debas enfrentar. Sin embargo, otras medidas importantes que debes cumplir para garantizar la continuidad del negocio son las asociadas a la legalidad en la implementación de la seguridad de la información. Al respecto, la norma ISO 27001 en su dominio 18 del anexo A - Declaración de Aplicabilidad (SOA), nos indica que debes asegurar el cumplimiento de:
- Legislación y requisitos contractuales
Debes tener en cuenta que el desconocer la ley nunca te exime de cumplirla. En este sentido, el cumplimiento tanto de las normas como de lo pactado con terceros aplica para todas las empresas, conozcan o no las leyes, para este caso las que tienen que ver con seguridad de la información. Es por esto que debes estar al tanto de las actualizaciones de nueva legislación de seguridad de información que se emita, como por ejemplo todo lo relacionado con el habeas data a nivel local e internacional en caso de tener clientes o manejar terceros en el exterior.
De igual forma, ten muy presente cuál es el compromiso que estás haciendo a nivel de seguridad de la información con los clientes o proveedores, tal vez estás aceptando que te auditen periódicamente o aceptando la responsabilidad de entregar informes respecto a la seguridad de la información de forma periódica.
- Derechos de propiedad intelectual
Sin lugar a duda internet se ha convertido en un gran mar de información que nos permite encontrar diferentes cosas, algunas veces afectando los derechos de propiedad que tiene un inventor sobre alguna idea, información o producto. Al asegurar el cumplimiento de los derechos de propiedad intelectual, permiten que los propietarios de la idea/invento se beneficien completamente.
Un ejemplo de ello es el uso de software sin licencia o adulterado, lo cual es ilegal. Es por esto que se debe revisar al interior de tu empresa que el software que sea instalado sea de fuentes legales, en caso de requerirse tener acceso a las licencias de la misma.
De igual forma revisa el cumplimiento de la norma en otros ámbitos de tu empresa, por ejemplo en los diseños, diseños industriales, circuitos integrados, marcas, signos distintivos, lemas comerciales y otros elementos relacionados con el mercado, la industria y el comercio, etc. dado que en estos casos también hay propiedad intelectual donde debes cubrir a tu empresa.
- Protección de los registros
Tal vez hayas escuchado a través de las noticias diferentes estafas en las cuales se suplanta a una persona o se realizan cambios en lo que se ha firmado o aceptado, o personas que se encuentran en algún problema porque les están cobrando algún servicio o producto que ya pagó en su momento.
Esto puede pasar tanto a una persona como a una empresa, es por esto que se debe revisar la protección de los registros de forma que se pueda dar respuesta a las siguientes preguntas
- ¿Los registros que se tienen permanecen inalterados?
- ¿Se mantienen los registros el tiempo suficiente?
- ¿Existe alguna legislación que me indique el tiempo de retención de un registro?
- ¿Se realiza la eliminación de registros de una forma segura?
Ten presente que los registros muchas veces contienen información valiosa y que deben ser tratados con especial cuidado tanto en su retención como en su disposición final, con el fin de que no se filtre información o se altere la misma.
- Revisión de protección de datos e información personal
De acuerdo a la información generada por la SIC durante el 2020 se impusieron multas por $7580 millones de pesos a diferentes empresas por incumplimiento a ley de habeas data financiero ( Ley Estatutaria 1266 de 2008) y habeas data general (Ley Estatutaria 1581 de 2012).
Teniendo en cuenta este antecedente, es importante verificar que tu empresa tiene implementado un sistema de protección de datos personales y cumple con lineamientos, como:
- Responsabilidades de protección de datos personales
- Autorización del titular de los datos personales
- Mecanismo de atención frente a solicitudes respecto a los datos personales
- Gestión de incidentes
- Notificación frente a los entes de control del manejo de datos personales
Revisiones de seguridad de la información
Dentro del cumplimiento se deben llevar a cabo una serie de revisiones enfocadas en hallar oportunidades de mejora o brechas en tu sistema de gestión, y que tal vez no son fáciles de identificar. Puedes apoyarte en un tercero para hacerlas y se deberían centrar en lo siguiente:
- ¿Se cumplen los objetivos de seguridad de información?
- ¿Se siguen las políticas de seguridad de la información?
- ¿El enfoque de seguridad aplica o se debe generar cambios?
- ¿Existe alguna situación, evento o desastre que no se haya tenido en cuenta y que pueda afectar la seguridad de la información?
- Reglamentación de controles criptográficos
Tu organización también debe proteger la confidencialidad, autenticidad e integridad de la información mediante la ayuda de técnicas criptográficas. Es decir, utilizar controles criptográficos para la protección de claves de acceso a sistemas, datos y servicios.
Los lineamientos para el uso adecuado y eficaz de la criptografía depende de la legislación de cada país, por lo que cada empresa debe asegurarse de conocer y cumplir dichas normas, si debe o no encriptar datos sensibles (origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical , salud, orientación sexual, etc) o cierta información de interés privado o público.
- Cumplimiento de políticas y normas de seguridad
Si estás a cargo de un departamento o un proceso en tu organización, puedes revisar que las políticas de seguridad de la información se están implementando., que los accesos y permisos están habilitados de acuerdo a los lineamientos, que se manejan las contraseñas y la información de forma correcta y que se cumplen las demás instrucciones de seguridad de la información en la empresa
El propósito de esta revisión es en primer lugar, no esperar a que ocurra algún evento que afecte la seguridad de la información para realizar ajustes, sino tener conciencia que de esta manera se evitan situaciones que pueden afectar a nuestros procesos y finalmente a la empresa, los clientes o terceros.
- Cumplimiento técnico
Esta última revisión está enfocada en los sistemas de información que utilizas en tu organización. Debes tener presente que por defecto tanto el software como el hardware vienen con algunas vulnerabilidades que pueden poner en riesgo la seguridad de la información. Es por esto que debes realizar tanto revisiones técnicas como de análisis de vulnerabilidades o pruebas de intrusión que puedan evidenciar brechas técnicas.
Recuerda que la falta de estas revisiones pueden terminar afectando tu información o la de tus clientes.
Con toda la información mencionada anteriormente y un poco de ayuda ya estás listo para crear e implementar tu plan de continuidad de seguridad de la información en tu negocio. Recuerda que es importante documentarlo todo para tener un respaldo de tu plan y ajustarlo en cuanto hayan cambios. Además, ya sabes cuáles son los aspectos de cumplimiento que no pueden pasarse por alto en tu organización para cumplir a cabalidad con la norma ISO 27001.
Te invitamos a que administres y controles la seguridad de la información en tu empresa de forma simple y efectiva con KAWAK®, el software para sistemas de gestión que centraliza los insumos que necesitas para tomar las medidas preventivas y correctivas sobre la confidencialidad, disponibilidad e integridad de la información.
