Aquí está el artículo de: Abril, 2025

El segundo paso en la construcción de tu SGI para las TICs: ISO 27001 (continuación)

En el artículo previo mencionaba en la parte final de este, que la segunda lección aprendida de estos seis años de trabajar con normas ISO para las organizaciones o departamentos de TI, nos indica que después de implementar el Sistema de Gestión de Seguridad de la Información, con base en la norma ISO 27001 y como complemento al proceso de Gestión de seguridad de la información del Sistema de Gestión de Servicios, basado en la norma ISO 20000-1, se da inicio a la construcción de un Sistema de Gestión Integral o SGI para las TICs. Recordemos que la ISO 27001 establece una serie de requisitos para implementar y eventualmente certificar un Sistema de Gestión de Seguridad de la Información. De estos requisitos, algunos están orientados hacia la construcción del Sistema de Gestión Integral (ej. auditoría interna o mejora continua) y otros hacia las actividades para llevar a cabo una gestión de riesgos de seguridad de la información (ej. controles físicos o tecnológicos). También se mencionó que un Sistema de Gestión de Seguridad de la Información, permite cubrir sin mayor problema, los requisitos establecidos para el proceso de Gestión de seguridad de la información de la ISO 20000-1; pues bien, una situación similar se presenta con el proceso de Gestión de continuidad del servicio, de la misma norma ISO 20000-1.

ISO 20000-1: el proceso de Gestión de Continuidad del Servicio

Como ya se dijo anteriormente, la norma ISO 20000-1 establece una serie de requisitos para implementar y certificar un Sistema de Gestión de Servicios, de estos, algunos están orientados hacia la construcción del sistema de gestión ISO (comunes con otros sistemas de gestión como la ISO 27001 ó 22301) y otros hacia la gestión del servicio de TI (ITSM por sus siglas en inglés). De estos últimos requisitos especializados en el servicio de TI, se desprenden aquellos que dan lugar a los procesos de referencia para la gestión del servicio y en particular, los requisitos relacionados con la sección 8.7 Aseguramiento del servicio.

Como también ya se dijo anteriormente, en la sección 8.7 de la norma ISO 20000-1 se encuentran contenidos los requisitos, para establecer tres procesos de la gestión del servicio siendo estos los siguientes: 1) Gestión de la disponibilidad del servicio, 2) Gestión de la continuidad del servicio y 3) Gestión de seguridad de la información.

De estos tres procesos ya se trató el caso del número 3), por lo que en esta ocasión nos referiremos al caso del proceso de Gestión de continuidad del servicio, un proceso para el cual existe también una norma ISO especializada en la materia y que es la ISO 22301 para los Sistemas de Gestión de Continuidad del Negocio o SGCN.

El proceso de Gestión de continuidad del negocio de la ISO 20000-1 establece para su cumplimiento y eventual certificación, la implementación de cuatro aspectos principales:

• la valoración y documentación de los riesgos a la continuidad del servicio,
• la determinación y documentación de los requisitos de continuidad del servicio,
• la creación, implementación y mantenimiento de uno o más planes de continuidad del servicio, y por último,
• la planeación, realización, documentación y evaluación de las pruebas aplicadas al(os) plan(es) de continuidad del servicio, así como la detonación de las acciones necesarias cuando se encuentren deficiencias.

En la sección siguiente, abordaremos las similitudes y conveniencia que existe al desarrollar e implementar el proceso de Gestión de continuidad del servicio de la ISO 20000-1, con los requisitos que se establecen en la norma ISO 22301, abriéndose con esto la oportunidad para seguir integrando y robusteciendo el Sistema de Gestión Integral o SGI en la organización o departamento de TI.

ISO 22301: el Sistema de Gestión de Continuidad del Negocio

La norma ISO 22301 establece una serie de requisitos para implementar y certificar un Sistema de Gestión de Continuidad del Negocio o SGCN. De estos requisitos, algunos están dirigidos hacia las partes correspondientes al sistema de gestión ISO y otros hacia las actividades especializadas para llevar a cabo una gestión de continuidad del negocio.

Un Sistema de Gestión de Continuidad del Negocio basado en la ISO 22301, establece para su cumplimiento y eventual certificación, la implementación de los siguientes aspectos claves para la continuidad del negocio:

• la determinación de las obligaciones legales, regulatorias y/o contractuales aplicables en materia de continuidad del negocio (“compliance”),
• la definición de un alcance aplicable a los productos y/o servicios, así como a los procesos prioritarios para los que será necesario asegurar niveles de servicio mínimos aceptables, en caso de presentarse un “incidente disruptivo”,
• una política de continuidad del negocio alineada al propósito organizacional,
• la definición de roles y responsabilidades especializados en continuidad del negocio,
• la definición de las actividades necesarias para realizar el Análisis de Impacto al Negocio (BIA por sus siglas en inglés) y la Valoración de Riesgos (RA por sus siglas en inglés),
• la ejecución sistemática de las actividades vinculadas al BIA y al RA,
• la definición e implementación de estrategias y soluciones de continuidad del negocio de acuerdo con los resultados del BIA y el RA,
• la definición, documentación e implementación de planes y procedimientos de continuidad del negocio, de acuerdo con las estrategias y soluciones seleccionadas,
• un programa de ejercicios y pruebas de la continuidad del negocio,
• la evaluación periódica de las capacidades y la documentación elaborada en materia de continuidad del negocio, y por último,
• la medición, auditoría, revisión, corrección y mejora continua de los resultados del SGCN.

Si observamos con atención los puntos anteriores, encontraremos que un Sistema de Gestión de Continuidad del Negocio, permite cubrir sin mayor problema, los requisitos establecidos para el proceso de Gestión de continuidad del servicio de la ISO 20000-1.

ISO 22301, complemento ideal para el Sistema de Gestión de Servicios o SGS

Comparando los requisitos establecidos para implementar un Sistema de Gestión de Continuidad del Negocio, con los del proceso de Gestión de continuidad del servicio de la ISO 20000-1, podemos destacar que el primero nos permite cubrir no solo los requisitos establecidos para el proceso de Gestión de continuidad del servicio, sino que adicionalmente integra otros elementos que resultan claves y valiosos para la organización y su continuidad del servicio o del negocio, como son:

1. el “compliance” aplicable a la continuidad del negocio,
2. la definición de una política como “directriz” principal en materia de continuidad del negocio,
3. la definición de los roles y responsabilidades en continuidad del negocio o
4. la evaluación periódica de las capacidades aplicables al SGCN.

Así pues, después de la integración del Sistema de Gestión de Seguridad de la Información, al Sistema de Gestión de Servicios basado en la norma ISO 20000-1, el siguiente paso a seguir en la construcción del Sistema de Gestión Integral o SGI, sería abordar los temas relacionados con la continuidad del negocio mediante la norma ISO 22301, dando lugar con esto al proceso de robustecimiento del SGI para la organización o departamento de TI. Así, el SGI quedaría conformado hasta ahora por un Sistema de Gestión de Servicios como pilar, luego un Sistema de Gestión de Seguridad de la Información y posteriormente un Sistema de Gestión de Continuidad del Negocio, estos últimos como complemento estratégico para el SGS.

En el siguiente artículo, continuaré explicándote la cuarta lección aprendida de estos años de observación y cuestionamiento consultivo para descubrir juntos, ¿qué es lo que sigue después de un Sistema de Gestión de Continuidad del Negocio? ¡Espéralo!, seguramente seguirá despertando tu interés por las normas ISO aplicables a las organizaciones o departamentos de TI.

Referencias consultadas

1. International Standard ISO/IEC 20000-1:2018. Information technology – Service management - Part 1: Service Management System Requirements. Published in Geneva, Switzerland. Third edition.

2. International Standard ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection - Information security management systems - Requirements.

3. International Standard ISO 22301:2019. Security and resilience – Business continuity management systems - Requirements.