El estándar ISO 22301 ayuda a configurar un Sistema de Gestión de Continuidad del Negocio.
Uno de los principales efectos que ha dejado la pandemia que sigue afectando al mundo, es el de la suspensión total o parcial de actividades de los negocios de prácticamente cualquier industria, y en muchos casos, esto se debe a que la contingencia realmente afectó las operaciones comerciales, o bien, que las organizaciones no estaban del todo preparadas para resistir los daños provocados por esta misma.
Es por ello que, ante situaciones adversas, es imperante que las organizaciones de cualquier giro operen bajo normas como la ISO 22301, concebida como un Sistema de Gestión de Continuidad del Negocio que ayuda a determinar las amenazas potenciales de una organización, incluyendo desde los impactos que podrían afectar la operación del negocio, hasta la consolidación de un marco laboral en el que se enriquezca la capacidad de reacción, de forma eficaz, frente a cualquier eventualidad[1].
Esta norma detalla los requisitos para planificar, establecer, implementar, operar, monitorear, revisar, mantener y mejorar continuamente dicho Sistema de Gestión, con el fin de proteger y reducir la probabilidad de ocurrencia de un incidente disruptivo y que pueda poner en riesgo las operaciones; aplica para todo tipo de negocio, o a áreas de negocio. En ese sentido cabe señalar que, para esta norma, la continuidad de negocio es la capacidad de una organización para continuar con la entrega de productos o servicios a capacidades aceptables predefinidas ante una interrupción.
La aplicación del ISO 22301 ayuda a que una organización sea resiliente ante un evento disruptivo y se recupere para seguir con sus operaciones, aunque sea a un nivel mínimo admisible, y así el negocio continúe. Es un proceso latente que se libera cuando sucede una interrupción y contempla procedimientos de emergencia, contingencia y planes de mitigación, con la idea de que los servicios y productos críticos de una organización se reactiven en un tiempo adecuado para que el cliente no resulte afectado.
Los eventos disruptivos tienen distinto origen, surgen ante una ruptura brusca o inesperada y pueden provocar un cambio determinante. Dentro de ese tipo de eventos figuran los ciberataques, los cuales se manifiestan de distinta forma, causan daños de diferente magnitud, pueden causar la suspensión de operaciones, representan un alto costo para las organizaciones y han ido aumentando progresivamente[2].
De hecho, de acuerdo con reportes de AWS[3], en el último trimestre del 2019 registraron 282,582 eventos de ciberseguridad de sus clientes, en tanto que para el primer cuarto de este año detectaron 310,954, es decir, hubo un aumento del 10%. Asimismo, hubo un incremento de 283% de ataques de negación del servicio en el mismo lapso, al pasar de 0.6 terabites por segundo de ataque a 2.3 Tbps. Esto por citar solo un par de parámetros que muestran la tendencia de las ciber agresiones.
Precisamente porque los ataques cibernéticos pueden afectar la marcha de una organización, es vital que las organizaciones se preparen con el Sistema de Gestión de Continuidad del Negocio, citado anteriormente, el cual contempla un proceso holístico de administración que incluye a toda la organización: dirección, gerencia, ventas, e identifica amenazas potenciales y los impactos que pueden causar. Esto proporciona un marco para desarrollar una organización resiliente con capacidad para dar una respuesta eficaz que salvaguarde los intereses de sus partes interesadas.
Una organización resiliente no sabe cuándo va a recibir un ciberataque, pero va a poder responder y mitigar los efectos para que en ningún momento tenga que suspender sus operaciones completamente. Precisamente para disminuir las afectaciones de los ataques cibernéticos, una de las soluciones recomendadas es considerar acceder a la nube, un recurso que, según reporta AWS, ha contribuido a que se haya reducido más del 50% el tiempo de inactividad cuando surge una acción disruptiva.
Esto se debe a que la nube ofrece una alta disponibilidad de infraestructura y durabilidad, junto con una configuración automática, gestión de vulnerabilidades, perímetros de seguridad, certificaciones, uso de machine learning, y otras funcionalidades, dependiendo del proveedor. Asimismo, permite trabajar bajo el modelo de responsabilidad compartida, en donde el proveedor se encarga de la seguridad de los centros de datos, y el cliente se responsabiliza de la seguridad de las aplicaciones y de la información que va a subir a la nube, porque ellos son los propietarios de los datos.
La nube, entonces, representa un recurso que por lo menos en materia de ciberseguridad va a contribuir a que una empresa sea más resiliente, pero vale la pena entonces que las organizaciones hagan suyo el estándar ISO 22301, para que sus costos sean menores ante cualquier contingencia. Nunca se sabe cuándo va a ser la próxima.