Escenarios en Continuidad de Negocio

¿Para el cumplimiento con el tema de continuidad del negocio hay situaciones específicas que deben ser revisadas o puedo, de acuerdo a las actividades del negocio, plantear mis escenarios y basado en estos generar mi plan de continuidad para ISO 27001?. Como ejemplo planteo que mis escenarios propuestos son la pérdida de confianza por el filtrado o publicación de información de un cliente, que pudiera resultar en una demanda civil, y también planteo la indisponibilidad de personal clave de la organización. Espero mi pregunta sea clara, pretendo llevar estos dos escenarios y su respectivo plan a mi documentación para ISO 27001. Gracias 
 

Respuesta:

ISO 27001 no es muy específica en lo relativo a escenarios, por tanto para cumplir con el estándar podrías escribir un Plan de Continuidad de Negocio (Business Continuity Plan - BCP), o sólo un Plan de Recuperación ante Desastres (Disaster Recovery Plan - DRP). Ten en cuenta que son cosas diferentes, aquí puedes encontrar más información al respecto (en inglés) “Disaster recovery vs Business continuity” : https://advisera.com/27001academy/blog/2010/11/04/disaster-recovery-vs-business-continuity/
No obstante, puedes implementar tu plan basándote en tu negocio (y también en tu experiencia), aunque hay muchos escenarios que pueden ser comunes en cualquier situación (un ejemplo, el relacionado con la indisponibilidad de las personas/trabajadores).

Ten en cuenta también que la Continuidad de Negocio es tratada en profundidad en la ISO 22301, mientras que ISO 27001 está más relacionada con el Plan de Recuperación ante Desastres, lo cual está más relacionado con la infraestructura TI.

Por tanto, mi recomendación en tu caso es que uses el Plan de Recuperación ante Desastres porque es más "tecnológico", e igualmente puedes considerar el escenario relacionado con la indisponibilidad de tus empleados, pero creo que no es necesario que consideres el escenario relacionado con la publicación de información, porque no está directamente relacionado con la infraestructura TI. Pero importante, piensa que tus escenarios tienen que estar basados en los resultados del análisis de riesgos. También puedes ver nuestra plantilla (puedes ver una versión gratuita clickeando en "Demo gratis") "Ejemplos de escenarios de incidentes disruptivos"  https://advisera.com/27001academy/es/documentation/ejemplos-de-escenarios-por-eventos-de-interrupcion-del-negocio/ 
Finalmente, también puedes ver nuestro tookit de documentos de ISO 22301 aquí: https://advisera.com/27001academy/es/paquete-de-documentos-sobre-iso-22301/  o nuestro paquete Premium, el cual incluye documentos sobre ISO 27001 e ISO 22301 (recuerda que siempre puedes ver una versión gratuita clickeando en "Demo gratis"): https://advisera.com/27001academy/es/paquete-premium-de-documentos-sobre-iso-27001-iso-22301/