Publicado el

ISO 27001:2022 – Esta semana hablamos de este control: A.5.30 Preparación de las TIC para la continuidad del negocio

A.5.30 Preparación de las TIC para la continuidad del negocio

Descripción: Este control requiere que su tecnología de la información y comunicación esté preparada para posibles interrupciones, de modo que la información y los activos necesarios estén disponibles cuando se requieran. Esto incluye la planificación, implementación, mantenimiento y pruebas de preparación.

Tecnología: Si no ha invertido en soluciones que permitan la resiliencia y redundancia de sus sistemas, es posible que necesite introducir tecnología de este tipo, que puede ir desde la copia de seguridad de datos hasta enlaces de comunicación redundantes. Estas soluciones deben planificarse en función de su evaluación de riesgos y de la rapidez con la que necesita recuperar sus datos y sistemas.

Organización/procesos: Además del proceso de planificación, que debe tener en cuenta los riesgos y las necesidades comerciales de recuperación, también debe establecer el proceso de mantenimiento para su tecnología y el proceso de pruebas para sus planes de recuperación ante desastres y/o continuidad del negocio.

Personal: Haga que los empleados sean conscientes de las posibles interrupciones que podrían ocurrir y capacítelos sobre cómo mantener la tecnología de TI y comunicación para que esté lista para una interrupción.

Documentación: La norma ISO 27001 no requiere documentación específica; sin embargo, si es una empresa más pequeña, puede incluir la preparación de las TIC en los siguientes documentos:

Plan de recuperación ante desastres: planificación, implementación y mantenimiento
Informe de auditoría interna: pruebas de preparación
Si es una organización más grande o si ha implementado la norma ISO 22301, entonces debe documentar la preparación a través del análisis de impacto en el negocio, la estrategia de continuidad del negocio, el plan de continuidad del negocio y el plan y el informe de pruebas de continuidad del negocio.