El pan y la mantequilla, las películas y las palomitas de maíz, el café y los libros, el sol y la playa, la seguridad de la información y la continuidad del negocio: parejas destinadas a estar juntas y a ser exitosas eternamente. Todas son relevantes por sí solas, pero juntas son imparables. 

Cuando se unen la seguridad de la información y la continuidad del negocio no solo es con el fin de preservar la confidencialidad, integridad y disponibilidad de la información, sino que garantizamos la capacidad de la organización de recuperar sus operaciones, en niveles y tiempos esperado, ante una interrupción. La gestión eficaz de ambos aspectos fortalece la resiliencia organizacional y propicia una relación de confianza con las partes interesadas, que requieren interactuar con organizaciones con procesos seguros y continuos, que cada vez son más frecuentes en el mundo BANI en el que conviven. 

Aunque la seguridad de la información y la continuidad del negocio tienen su identidad por separado, hay una relación estrecha entre ellas, por lo que se pueden desarrollar ambos sistemas de gestión en la organización considerando uno la existencia del otro, e inclusive integrarlos, y esto puede ser una estrategia no solo inteligente sino necesaria. Por tanto, cuando definimos el alcance de cada sistema de gestión (el de SI y el de CN) debemos hacerlo conscientes de cuáles elementos de estos serán comunes: lugares, sedes, áreas, procesos, servicios, personas, infraestructura TI, entre otros. Esto no quiere decir que se deba implementar ambos sistemas al mismo tiempo, de hecho, generalmente se implementa primero el de seguridad de la información, aunque esto no es una regla. 

¿Y qué pasa si no implementamos ambos sistemas de manera integrada? Igualmente tendremos que hacer coincidir ambos en algún momento. Esto se debe a que:

1) la ISO/IEC 27001: 2022, norma que establece los requisitos para implementar, mantener y mejorar un sistema de gestión de seguridad de la información, presenta controles específicos para la continuidad de negocio: 5.29 Seguridad de la información durante una interrupción y 5.30 Preparación de las TIC para la continuidad del negocio, los cuales, en resumen, solicitan que la organización planifique cómo mantener la seguridad de la información a un nivel apropiado durante una interrupción y prepare a las TIC para la continuidad del negocio.

2) la ISO 22301: 2019, norma que establece los requisitos para implementar, mantener y mejorar un sistema de gestión de continuidad de negocio, presenta requisitos para identificar riesgos de interrupción de las actividades prioritarias de la organización, es decir, hacer referencia a eventos que tengan el potencial de interrumpir dichas actividades, entre los cuales, y por la naturaleza del mundo BANI actual, se deberían considerar los riesgos de seguridad de la información con ese potencial de interrupción.

La relación entre la seguridad de la información y la continuidad del negocio es bidireccional y sinérgica. Ambas contribuyen a la reducción de riesgos, fortalecen la resiliencia organizacional, aumentan la confianza de clientes y otras partes interesadas y ayudan con el cumplimiento normativo, legal y reglamentario. Son dos aspectos que no deberían ser tratados de manera aislada. La integración de ambos crea una defensa robusta contra las amenazas y asegura que la organización pueda operar de manera ininterrumpida y eficaz, incluso ante adversidades. Por lo tanto, la seguridad de la información y la continuidad de negocio deberían ser parte esencial de la estrategia de toda organización.