La mejor definici\u00f3n de la gesti\u00f3n de la seguridad de la informaci\u00f3n se encuentra en la norma internacional ISO\/IEC 27001<\/a>, mientras que la gesti\u00f3n de la continuidad del negocio est\u00e1 mejor definida en la norma brit\u00e1nica BS 25999-2<\/a>; por lo tanto, si deseamos comparar ambos temas, lo m\u00e1s inteligente ser\u00eda darle una mirada a lo que dicen ambas normas.<\/p>\n Primero, la TI de una parte importante tanto en la ISO 27001 como en la BS 25999-2, pero de ninguna forma estas normas se refieren solamente a TI, el \u00e9nfasis est\u00e1 puesto sobre procesos y activos comerciales y los riesgos relacionados. Es verdad que la TI es la principal herramienta para procesar los datos, pero es un hecho que los mayores riesgos siguen estando relacionados con las actividades maliciosas e involuntarias de las personas. Por lo tanto, los riesgos asociados con la seguridad de la informaci\u00f3n o con la continuidad del negocio no pueden resolverse s\u00f3lo con tecnolog\u00eda de la informaci\u00f3n; es mucho m\u00e1s importante definir la organizaci\u00f3n, los procesos y las responsabilidades dentro de la organizaci\u00f3n.<\/p>\n Pero \u00bfqu\u00e9 es b\u00e1sicamente la seguridad de la informaci\u00f3n? La norma ISO 27001 la define como \u201cpreservaci\u00f3n de confidencialidad, integridad y disponibilidad de la informaci\u00f3n\u201d. Por otro lado, la norma BS 25999-2 define la continuidad del negocio como la \u201ccapacidad estrat\u00e9gica y t\u00e1ctica de la organizaci\u00f3n para planificar y responder ante los incidentes e interrupciones del negocio con el fin de permitir la continuaci\u00f3n de las actividades comerciales en un nivel aceptable, previamente definido\u201d.<\/p>\n No parecen muy similares. Sin embargo, hay algo que las asemeja mucho: la disponibilidad. El enfoque de ambas, de la seguridad de la informaci\u00f3n y de la continuidad del negocio, es mantener disponible la informaci\u00f3n para aquellos que la necesitan; en ese sentido, el Anexo A de la ISO 27001 ofrece algunos controles dedicados exclusivamente a la continuidad del negocio.<\/p>\n Adem\u00e1s, ambas normas requieren la realizaci\u00f3n de una evaluaci\u00f3n de riesgos para identificar potenciales problemas relacionados con la informaci\u00f3n; como tambi\u00e9n demandan gesti\u00f3n de documentaci\u00f3n, la realizaci\u00f3n de auditor\u00edas internas, revisiones por parte de la gerencia y medidas correctivas y preventivas. Esto quiere decir que si usted ya tiene documentaci\u00f3n<\/a> para la ISO 27001, puede utilizar esos mismos procedimientos para la BS 25999-2 (con algunas peque\u00f1as adaptaciones).<\/p>\n \u00bfCu\u00e1les son las diferencias? La principal diferencia radica en el nivel de detalle. La norma ISO 27001 abarca un \u00e1rea mucho m\u00e1s amplia y, por lo tanto, no es muy precisa respecto de la continuidad del negocio. Por otro lado, la norma BS 25999-2 describe detalladamente c\u00f3mo hacer un an\u00e1lisis de impactos en el negocio, c\u00f3mo definir una estrategia de continuidad del negocio o c\u00f3mo debe ser el contenido de los planes de continuidad del negocio, entre otras cosas.<\/p>\n Para cerrar, lo importante aqu\u00ed es que usted pueda pensar en la continuidad del negocio como parte de la seguridad de la informaci\u00f3n. El uso pr\u00e1ctico de ello, es que en el momento de la implementaci\u00f3n de la continuidad del negocio en el marco de la ISO 27001, es mejor usar la norma BS 25999-2 como directriz.<\/p>\n