Construyendo mi SGI para mis TICs: ¿después de la ISO 27001, qué sigue?
(Por David Mondragón Tapia)
El segundo paso en la construcción de tu SGI para las TICs: ISO 27001 (continuación)
En el artículo previo mencionaba en la parte final de este, que la segunda lección aprendida de estos seis años de trabajar con normas ISO para las organizaciones o departamentos de TI, nos indica que después de implementar el Sistema de Gestión de Seguridad de la Información, con base en la norma ISO 27001 y como complemento al proceso de Gestión de seguridad de la información del Sistema de Gestión de Servicios, basado en la norma ISO 20000-1, se da inicio a la construcción de un Sistema de Gestión Integral o SGI para las TICs. Recordemos que la ISO 27001 establece una serie de requisitos para implementar y eventualmente certificar un Sistema de Gestión de Seguridad de la Información. De estos requisitos, algunos están orientados hacia la construcción del Sistema de Gestión Integral (ej. auditoría interna o mejora continua) y otros hacia las actividades para llevar a cabo una gestión de riesgos de seguridad de la información (ej. controles físicos o tecnológicos). También se mencionó que un Sistema de Gestión de Seguridad de la Información, permite cubrir sin mayor problema, los requisitos establecidos para el proceso de Gestión de seguridad de la información de la ISO 20000-1; pues bien, una situación similar se presenta con el proceso de Gestión de continuidad del servicio, de la misma norma ISO 20000-1.
ISO 20000-1: el proceso de Gestión de Continuidad del Servicio
Como ya se dijo anteriormente, la norma ISO 20000-1 establece una serie de requisitos para implementar y certificar un Sistema de Gestión de Servicios, de estos, algunos están orientados hacia la construcción del sistema de gestión ISO (comunes con otros sistemas de gestión como la ISO 27001 ó 22301) y otros hacia la gestión del servicio de TI (ITSM por sus siglas en inglés). De estos últimos requisitos especializados en el servicio de TI, se desprenden aquellos que dan lugar a los procesos de referencia para la gestión del servicio y en particular, los requisitos relacionados con la sección 8.7 Aseguramiento del servicio.
Como también ya se dijo anteriormente, en la sección 8.7 de la norma ISO 20000-1 se encuentran contenidos los requisitos, para establecer tres procesos de la gestión del servicio siendo estos los siguientes: 1) Gestión de la disponibilidad del servicio, 2) Gestión de la continuidad del servicio y 3) Gestión de seguridad de la información.
De estos tres procesos ya se trató el caso del número 3), por lo que en esta ocasión nos referiremos al caso del proceso de Gestión de continuidad del servicio, un proceso para el cual existe también una norma ISO especializada en la materia y que es la ISO 22301 para los Sistemas de Gestión de Continuidad del Negocio o SGCN.
El proceso de Gestión de continuidad del negocio de la ISO 20000-1 establece para su cumplimiento y eventual certificación, la implementación de cuatro aspectos principales:
En la sección siguiente, abordaremos las similitudes y conveniencia que existe al desarrollar e implementar el proceso de Gestión de continuidad del servicio de la ISO 20000-1, con los requisitos que se establecen en la norma ISO 22301, abriéndose con esto la oportunidad para seguir integrando y robusteciendo el Sistema de Gestión Integral o SGI en la organización o departamento de TI.
ISO 22301: el Sistema de Gestión de Continuidad del Negocio
La norma ISO 22301 establece una serie de requisitos para implementar y certificar un Sistema de Gestión de Continuidad del Negocio o SGCN. De estos requisitos, algunos están dirigidos hacia las partes correspondientes al sistema de gestión ISO y otros hacia las actividades especializadas para llevar a cabo una gestión de continuidad del negocio.
Un Sistema de Gestión de Continuidad del Negocio basado en la ISO 22301, establece para su cumplimiento y eventual certificación, la implementación de los siguientes aspectos claves para la continuidad del negocio:
Si observamos con atención los puntos anteriores, encontraremos que un Sistema de Gestión de Continuidad del Negocio, permite cubrir sin mayor problema, los requisitos establecidos para el proceso de Gestión de continuidad del servicio de la ISO 20000-1.
ISO 22301, complemento ideal para el Sistema de Gestión de Servicios o SGS
Comparando los requisitos establecidos para implementar un Sistema de Gestión de Continuidad del Negocio, con los del proceso de Gestión de continuidad del servicio de la ISO 20000-1, podemos destacar que el primero nos permite cubrir no solo los requisitos establecidos para el proceso de Gestión de continuidad del servicio, sino que adicionalmente integra otros elementos que resultan claves y valiosos para la organización y su continuidad del servicio o del negocio, como son:
Así pues, después de la integración del Sistema de Gestión de Seguridad de la Información, al Sistema de Gestión de Servicios basado en la norma ISO 20000-1, el siguiente paso a seguir en la construcción del Sistema de Gestión Integral o SGI, sería abordar los temas relacionados con la continuidad del negocio mediante la norma ISO 22301, dando lugar con esto al proceso de robustecimiento del SGI para la organización o departamento de TI. Así, el SGI quedaría conformado hasta ahora por un Sistema de Gestión de Servicios como pilar, luego un Sistema de Gestión de Seguridad de la Información y posteriormente un Sistema de Gestión de Continuidad del Negocio, estos últimos como complemento estratégico para el SGS.
En el siguiente artículo, continuaré explicándote la cuarta lección aprendida de estos años de observación y cuestionamiento consultivo para descubrir juntos, ¿qué es lo que sigue después de un Sistema de Gestión de Continuidad del Negocio? ¡Espéralo!, seguramente seguirá despertando tu interés por las normas ISO aplicables a las organizaciones o departamentos de TI.
Referencias consultadas
1. International Standard ISO/IEC 20000-1:2018. Information technology – Service management - Part 1: Service Management System Requirements. Published in Geneva, Switzerland. Third edition.
2. International Standard ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection - Information security management systems - Requirements.
3. International Standard ISO 22301:2019. Security and resilience – Business continuity management systems - Requirements.
Necesitamos su consentimiento para cargar las traducciones
Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.