Boris Delgado
Director de Soluciones de Digitalización y Tecnología
Carlos Manuel Fernández
Asesor Estratégico de TI
AENOR.
Estamos inmersos en tiempos muy convulsos donde convivimos con multitud de riesgos y amenazas. Es el caso de la reciente invasión de Rusia a Ucrania, con un modelo de guerra híbrida (física y virtual) que está teniendo graves consecuencias, algunas de ellas aún imprevisibles; o la crisis energética, con el riesgo de falla en el suministro eléctrico. Y, sin duda, la crisis sanitaria global provocada por el COVID-19 con impactos permanentes en la sociedad, el gobierno y las empresas desde hace ya dos años, y que ha cambiado la forma trabajar y relacionarse entre las organizaciones y personas.
Todos estos escenarios de riesgo y amenazas impactan de forma directa en la actividad de las organizaciones y las personas. La consecuencia final es que muchas empresas no han sido capaces de mantener su actividad.
Según los últimos datos reportados por BCI (Business Continuity Insitute):
- El 80 % de las empresas que no disponían de un plan de continuidad de negocio cesaron su actividad a los 13 meses de sufrir un incidente grave.
- El 56 % de las empresas que han sufrido una interrupción en su cadena de proveedores en los últimos 12 meses han tenido pérdidas financieras y daño reputacional.
- El 61 % de las organizaciones informó que, entre uno y cinco ciberataques, habían accedido con éxito a sus sistemas en el último año.
Considerando estos escenarios y los datos disponibles, saber cómo formular un plan de continuidad de negocio para el presente y futuro es crucial para garantizar la estabilidad de una organización y su futuro crecimiento.
Soluciones para resistir a lo extraordinario
Para ayudar a las organizaciones a superar los riesgos y amenazas derivados de estas situaciones de crisis, AENOR cuenta con la Plataforma de Confianza: ”Fortalecer la Seguridad y Continuidad”.
Se trata de un conjunto de soluciones para riesgos, actuales y futuros, que forman parte del Ecosistema Digital de AENOR basado en estándares internacionales ISO (best practices). Las TIC son tecnologías transversales a cualquier organización, y como indica IDC (consultora de inteligencia de negocio&TI): “son el Sistema Operativo de los Negocios”.
En consecuencia, el objetivo de esta plataforma es proporcionar seguridad, resiliencia y confianza ante los escenarios de riesgos y amenazas de esta era digital en los procesos de negocio, sistemas y servicios de TIC de las organizaciones.
Cuenta con tres principales soluciones de evaluación de la conformidad relacionadas entre sí y basadas en normas o estándares internacionales: Sistema de Gestión de Continuidad de Negocio ISO 22301, Sistema de Gestión de Seguridad de la Información ISO/IEC 27001 y Sistema de Gestión de Servicios de Tecnologías de la Información ISO/IEC 20000-1.
Actualmente, más de 1.000 organizaciones han confiado en estas certificaciones de AENOR como herramientas para desempeñar sus actividades con resiliencia, calidad y seguridad en el ámbito TIC. Y es que, se convierten en un aliado imprescindible para conseguir, por ejemplo, que el teletrabajo, la continuidad de las operaciones o la ciberseguridad sean una realidad.
Pero no hay que dejar de mencionar nuevos retos en los que AENOR ya trabaja para dar respuesta a las necesidades de las organizaciones y la sociedad. Ciberseguridad en vehículos e IoT, blockchain, BigData y su relación con la Inteligencia Artificial, modelos matemáticos, datos y algoritmos son aspectos que decidirán cómo actuar ante escenarios de crisis actuales o futuras.
Las soluciones de la Plataforma de Confianza: ”Fortalecer la Seguridad y Continuidad” están alineadas con los fondos Next Generation. Así, las organizaciones que dispongan de estos sistemas de gestión certificados por AENOR estarán en mejor disposición para acceder a dichos fondos
Sistema de Gestión de Continuidad de Negocio
Para dotar a una organización de la resiliencia necesaria, AENOR dispone de la certificación de Sistema de Gestión de Continuidad de Negocio de acuerdo con el Estándar internacional ISO 22301. Basado en la mejora continua, tiene como objetivo la identificación de los procesos críticos de la organización (a través del BIA-Business Impact Analysis) junto con un análisis de riesgos TIC y no TIC.
Para ello, se consideran los tiempos máximos de recuperación, clientes, empleados, proveedores críticos y stakeholders para que, ante incidentes disruptivos, el comité de crisis tome las decisiones más adecuadas; y, en su caso, ejecute los correspondientes planes de continuidad para no detener o recuperar la actividad y la operación de la organización lo antes posible.
Ciberseguridad y ciberresiliente
A través del análisis y gestión de riesgos de los procesos de negocio/servicios de TI y sus activos de información, hardware y software, se aplica un set de controles técnicos, organizativos y legales para mitigar dichos riesgos. Se trata de los certificados AENOR de Gestión de Seguridad de la Información según la Norma ISO/IEC 27001, Privacidad de la Información ISO 27701 y Esquema Nacional de Seguridad (ENS).
Estas soluciones de evaluación de la conformidad disponen de los controles para la contingencia/continuidad TIC, lo que permite que la organización sea “ciberresiliente” ante, por ejemplo, las oleadas de ciberataques a las organizaciones en el ámbito mundial.
Asimismo, hay que mencionar la gestión de incidencias de seguridad que en estos tiempos se han incrementado precisamente por los accesos remotos (teletrabajo) a los recursos corporativos.
Las certificaciones de AENOR se convierten en un aliado imprescindible para que las organizaciones consigan, por ejemplo, que el teletrabajo, la continuidad de las operaciones o la ciberseguridad sean una realidad
Calidad, Disponibilidad y Continuidad de servicios TI
La certificación AENOR de Gestión de Servicios e Tecnologías de la Información de acuerdo con la Norma ISO/IEC 20000-1 tiene como objetivo garantizar la capacidad, disponibilidad y continuidad de la prestación de los servicios de TI (on-premise/local o en cloud/nube) para el desempeño eficaz de la actividad de los empleados de la organización y la relación con sus clientes.
Es el caso de las actuales herramientas colaborativas para el teletrabajo, los procesos de gestión de la capacidad (demanda actual y futura en relación con un servicio TIC, como puede ser el escritorio remoto, videoconferencia o acceso a espacios compartidos), proceso de disponibilidad y continuidad del servicio TIC, o proceso de gestión de incidentes. Incluso el proceso de gestión de acuerdos en el ámbito de servicio con proveedores en la cadena de suministro. Estos procesos han sido y serán relevantes para garantizar la operación de los servicios TI de la organización en el momento actual.
Gestión global del riesgo
La certificación AENOR de Gestión del Riesgo según la Norma UNE-ISO 31000 establece las bases para crear una cultura del riesgo dentro de la organización para que sea consciente del entorno en el que se encuentra. Es aplicable a cualquier organización independientemente de su tamaño, actividad, tipos de riesgos y localización.
Esta solución se enfoca al riesgo corporativo y se debería integrar en todos los niveles de la organización, permitiendo el avance en la gestión de otros tipos de riesgos más específicos y en detalle como los operativos, jurídicos, financieros o de personal. Dar cumplimiento a los aspectos recogidos en la UNE-ISO 31000 implica disponer de una sistemática y una metodología para llevar a cabo una gestión global del riesgo de manera eficaz.
La UNE-ISO 31000 está en consonancia con BIA-Business Impact Analysis y el Análisis de Riesgos de ISO 22301. Se trata de una norma general que abarca todos los tipos de riesgo, dando cobertura y apoyo a otras normas que traten de forma concreta riesgos específicos, como ambientales (ISO 14001), laborales (ISO 45001) o los propios de ciberseguridad (ISO 27001).
Alineada con los fondos Next Generation EU
Las soluciones de la Plataforma de Confianza: ”Fortalecer la Seguridad y Continuidad” están alineadas con los fondos Next Generation. Así, las organizaciones que dispongan de estos sistemas de gestión certificados por AENOR estarán en mejor disposición para acceder a dichos fondos.
Por su parte, el conjunto de soluciones englobadas en AENOR Project Trust también ayuda a las empresas españolas a acceder a los fondos europeos del Plan de Recuperación, Transformación y Resiliencia.
Y es que, esta herramienta integra un conjunto de soluciones que refuerzan la confianza que despiertan los proyectos; desde una certificación que avala el alineamiento del proyecto con uno o varios pilares y ejes transversales de los definidos en el Plan, hasta un conjunto de certificaciones ampliamente reconocidas en campos como la sostenibilidad o la digitalización, donde precisamente la continuidad de negocio, la calidad de los servicios de TI y la ciberseguridad son de vital importancia.