PLAN DE CONTINUIDAD DE NEGOCIO VICTOR BALAGUER FERNANDEZ 2CI2G
Índice
1. 2. &. ).
¿A quién va dirigida? ¿Pr qué e! i"#r$an$e %a cn$inuidad? ¿Cu'% e! %a u$i%idad de e!$a gu(a? ¿Pr qué e! nece!ari ad#$ar un #%an de Cn$inuidad de Negci? *. ¿Pr d+nde e"#e,ar? -. E!$ruc$ura de %a gu(a . /a!e I0 Di!e de% #%an e!$a3%eci"ien$ de %a #%($ica de Cn$inuidad de Negci 4. /a!e II0 Cnci"ien$ de %! #rce!! de negci de %a rgani,aci+n an'%i!i! de rie!g! 5. /a!e III0 6edida! #reven$iva! 17. /a!e I80 E!$ra$egia! de recu#eraci+n 11. /a!e 80 De!arr%% e i"#%an$aci+n de% #%an 12. /a!e 8I0 6an$eni"ien$ de% #%an 1&. ¿9ué de3 recrdar? 1). 6'! in:r"aci+n
1. ¿A quién va dirigida?
Los principios de esta gua! si "ien est#n dirigidos especia$%ente a $a pe&ue'a ( %ediana e%presa espa'o$a! as co%o a $os pro)esiona$es aut*no%os! son ap$ica"$es a cua$&uier e%presa espa'o$a+ La intenci*n de esta gua es &ue sea e,p$otada por a&ue$ a$ &ue $e -a sido enco%endada $a responsa"i$idad de e.ecutar $as %edidas orientadas a garanti/ar $a continuidad de sus acti0idades de negocio
2. ¿Pr qué e! i"#r$an$e %a cn$inuidad? Es necesario &ue $as organi/aciones esta"$e/can una serie de %edidas t1cnicas! organi/ati0as ( procedi%enta$es &ue garanticen $a continuidad de $as acti0idades o procesos de negocio en caso de tener &ue a)rontar una contingencia gra0e+
&. ¿Cu'% e! %a u$i%idad de e!$a gu(a? Esta gua tiene e$ o".eti0o de identicar ( e,p$icar de )or%a desg$osada $as acti0idades necesarias para dise'ar! i%p$antar ( %antener un 3$an de Continuidad de Negocio+ 4ue $a organi/aci*n asi%i$e ( entienda cada una de $as )ases ( tareas &ue co%ponen dic-o 3$an+ Resa$tar ( concienciar a $as organi/acio5nes acerca de $a i%portancia crtica &ue tiene asegurar $a continuidad de sus operaciones! as co%o $a necesidad de -acer )rente de )or%a proacti0a a incidentes gra0es de seguridad+
). ¿Pr qué e! nece!ari ad#$ar un #%an de Cn$inuidad de Negci? Toda organi/aci*n depende de sus recursos! de$ persona$ ( de $as tareas &ue da a da son e.ecutadas con e$ n de %antener $os "enecios ( $a esta"i$idad+ La %a(ora posee "ienes tangi"$es! e%p$eados! siste%as ( tecno$o5gas de in)or%aci*n! etc+ 6i a$guno de estos co%ponentes es da'ado o de.a de estar accesi"$e por $a ra/*n &ue sea! $a organi/aci*n puede para$i/arse+ Cuanto %a(or sea e$ tie%po de inacti0idad! %a(or es $a pro"a"i$idad de &ue tenga &ue co%en/ar de nue0o desde cero+ Inc$uso %uc-as organi/aciones no son capaces de recuperarse despu1s de ser 0cti%a de a$g7n desastre+ Ade%#s puede aportar otros "enecios8 • Ventaja competitiva frente a otras organizaciones • Gestión preventiva de los riesgos • Previene o minimiza las pérdidas • Asegura la “resiliencia” de las actividades de negocio ante interrup-ciones • Menor riesgo de sufrir sanciones económicas al adaptarse a reue-rimientos regulatorios • Asignación m!s eficiente de las inversiones en materia de seguri-dad
*. ¿Pr d+nde e"#e,ar? Toda organi/aci*n de"e tener en consideraci*n 9 aspectos c$a0es8 5Un 3$an de Continuidad de Negocio re&uiere de tie%po ( recursos 5La direcci*n! co%o ente &ue to%a $as decisiones ( proporciona $os )ondos necesarios! de"e ser concienciada ( de"e estar con0encida de $a necesidad de este tipo de p$anes+ -"onocer la organización es necesario # cr$tico% Toda organi/aci*n de"e conocer cu#$ es su #%"ito de negocio ( $os procesos &ue $e per%iten desarro$$ar su acti0idad+ 5Un paso c$a0e &ue una organi/aci*n de"e a"ordar cuando decide i%pu$sar un p$an de continuidad de negocio es decidir acerca de$ a$cance de$ %is%o+ -"ola&oración de las !reas ue componen la empresa -Plantearse la necesidad de asesoramiento e'terno
-. E!$ruc$ura de %a gu(a
(ase )% *ise+o del Plan # esta&lecimiento de la Pol$tica de "ontinuidad de ,egocio (ase ))% "onocimiento de los procesos de negocio de la organización # an!lisis de riesgos ue impactan en las actividades de negocio (ase )))% Medidas preventivas (ase )V% strategia de recuperación (ase V% *esarrollo e implantación del Plan (ase V)% Mantenimiento del Plan
. /a!e I0 Di!e de% #%an e!$a3%eci"ien$ de %a #%($ica de Cn$inuidad de Negci
.%/% 0&jetivos1 2ué se va a 3acer # por ué% .%4%5areas1
Designar un coordinador de continuidad de negocio8 &ue se encargar# de gestionar ( super0isar e$ proceso de e$a"oraci*n e i%p$antaci*n de$ p$an de continuidad de negocio+ E$a"orar $a po$tica de continuidad de negocio8 Un docu%ento senci$$o! c$aro ( conciso &ue esta"$ece a a$to ni0e$ :estrat1gico; $os o".eti0os! e$ a$cance ( $as responsa"i$idades en $a gesti*n de $a continuidad de negocio en $a organi/aci*n+ Esta"$ecer $a p$anicaci*n de$ pro(ecto8 E$ coordinador o e&uipo de continuidad de"e ap$icar sus -a"i$idades de gesti*n de pro(ectos para progra%ar ( desarro$$ar $os co%ponentes de$ p$an de tra"a.o+ .%6%7iesgos asociados al dise+o del plan # esta&leci-miento de la pol$tica de continuidad de negocio1
Con %#s )recuencia de $a deseada! $as organi/aciones no disponen de un per$ con $as capacidades ( aptitudes necesarias para a)rontar con garantas $a adopci*n de un p$an de continuidad de negocio+ Este -ec-o se acent7a %#s cuanto %enor es e$ ta%a'o de $a organi/aci*n+ .%8%7ecomendaciones1
Es i%portante &ue e$ coordinador disponga de $as siguientes capacidades o conoci%ientos8 $idera/go! conoci%iento de $a organi/aci*n ( de sus acti0idades de negocio! -a"i$idades socia$es de co%unicaci*n ( capacidad para gestionar pro(ectos+ 3ara un e&uipo de continuidad de negocio! es aconse.a"$e &ue est1 )or%ado por persona$ &ue pertene/ca o cono/ca $as di)erentes acti0idades de negocio+ E$ contenido de $a po$tica de continuidad de negocio de"e ser c$aro! senci$$o ( conciso! con e$ n de e0itar interpretaciones o e,pectati0as err*neas+
4. /a!e II0 Cnci"ien$ de %! #rce!! de negci de %a rgani,aci+n an'%i!i! de rie!g! 9%/%0&jetivos1
Entender $a organi/aci*n %ediante $a identicaci*n de productos ( ser0icios c$a0e! as co%o $as acti0idades ( recursos crticos &ue $os soportan Esti%ar e$ i%pacto ( $as consecuencias de $os posi"$es )a$$os en esas acti0idades ( recursos crticos Identicar ( 0a$orar $os riesgos &ue podran interru%pir $a entrega de $os productos ( ser0icios de $a e%presa! as co%o de $os recursos so"re $os &ue est#n soportados+ Adiciona$%ente! $a e,terna$i/aci*n de deter%inados ser0icios u operacio 5 nes a"re un nue0o #%"ito de gesti*n
9%4%5areas1 9%4%/%studiar los procesos # actividades de negocio1 tanto las actividades de negocio ue se encargan del desarrollo de productos # servicios de la organización: como los recursos;activos6 ue dan soporte a dic3as actividades de&en ser identificados # analizados descri&iendo las personas implicadas: la información # las aplicaciones empleadas: los proveedores utilizados: etc% 9%4%4%)dentificar # valorar el impacto asociado a las interrupciones de los procesos de negocio1
$ i%pacto tota$ asociado a $a para5$i/aci*n de a$guna acti0idad de $a
organi/aci*n depende de 0arios )actores8
9%4%6%)dentificar actividades: recursos cr$ticos # prioridades de recuperación asociadas1 A la 3ora de identificar # priorizar las actividades # recursos cr$ticos: de&e tener en cuenta auellos ue: en caso de pérdida: tendr$an el ma#or impacto so&re la actividad empresarial en el menor tiempo posi&le 'isten dos par!metros mu# espec$ficos ue est!n estrec3amente relacio-nados con la recuperación1 5iempo de 7ecuperación 0&jetivo < RTO= esta&lece la urgencia ue las diferentes unidades de negocio precisan para volver a su funcionamiento 3a&itual% Por tanto: determina los plazos en los ue de&en volver a funcionar con normalidad% Punto de 7ecuperación 0&jetivo < RPO= se refiere al punto m!s reciente en el tiempo en el ue los sistemas pueden ser recuperados: reflejando por tanto cu!nta es la cantidad de información ue una organización puede permitirse perder sin ue le afecte negativamente% >&icación en el tiempo del 750 # el M5* antes de ue una empresa sufra pérdidas graves
9%4%8%An!lisis de riesgos1 consiste en identificar las amenazas so&re estos activos # su pro&a&ilidad de ocurrencia: las vulnera&ilidades asociadas a cada activo # el impacto ue las citadas amenazas pueden provocar so&re la dis-poni&ilidad de los mismos%
)nterrelaciones entre las varia&les ue componen el riesgo
todas las metodolog$as siguen la siguiente secuencia de acción1 )dentificar activos )dentificar # evaluar las amenazas so&re los activos identificados previamente # su pro&a&ilidad de ue sucedan% )dentificar # valorar las vulnera&ilidades o de&ilidades asociadas a los activos: las cuales pueden ser e'plotadas por las amenazas% Valorar el impacto resultante de ue una amenaza se aprovec3e de una vulnera&ilidad del activo # provoue da+o so&re el mismo% "alcular el riesgo como la pro&a&ilidad de ue se produzca un impacto determinado en la organización% *escripción de tipos de an!lisis de riesgos
'isten diferentes opciones para 3acer frente a los riesgos1 aceptarlo: transferirlo: reducirlo o evitarlo% 9%6%7iesgos asociados al conocimiento de los procesos de negocio # an!lisis de riesgos1 ?i no interpretan correctamente los riesgos a los se e'pone # cómo impacta la paralización de sus actividades de negocio: son varios los pro&lemas ue pueden surgir1 *ificultad para preparar la respuesta ante incidentes de seguridad% )dentificación # priorización errónea de los impactos en el negocio # de los riesgos% *erivado del punto anterior: deficiencias para seleccionar las prioridades # los procedimientos de recuperación m!s adecuados% 9%8%7ecomendaciones1 @os analisis de&en ser a&ordados con la estrec3a cola&oración de auellas figuras ue conocen en detalle las actividades de la organización% s preferi&le ue la organización adopte un enfoue cualitativo%
5./a!e III0 6edida! #reven$iva! %/%0&jetivos 1 l propósito de esta fase consiste en aplicar medidas de seguridad ueeviten en la medida de lo posi&le ue se produzcan incidentes de seguridad ue: al no ser gestionados adecuadamente: 3agan necesaria la activacióndel plan de continuidad de negocio% %4%5areas: %4%/%)dentificación # aplicación de medidas de seguridad% la organización de&e identificar # aplicar controles o medidas de seguridad ue1 7eduzcan la pro&a&ilidad de ue las actividades cr$ticas sufran interrupciones% *isminu#an el tiempo de una eventual interrupción% @imiten el impacto ue una paralización de las actividades cr$ticas pueda provocar en la organización% )ncrementen la fortaleza del negocio mediante la eliminación de puntos de fallo Bnicos %6%7iesgos asociados al esta&lecimiento de medidas preventivas Ca&e la posi&ilidad de ue la organización adopte un modelo de gestión am&icioso al a&ordar la implantación de medidas de seguridad costosas de aplicar: engorrosas de mantener # ue 3acen frente a riesgos ue no son cr$ticos% @a selección de medidas de seguridad inadecuadas ue no atajan de&idamente los riesgos a los ue est! e'puesta la organización puede conllevar un gasto económico inBtil% %8%7ecomendaciones1 l proceso de identificar e implantar medidas de seguridad de&e estar &asado en un
euili&rio entre los siguientes factores1 7iesgo ue est! siendo mitigado o impacto ue estar$a siendo reducido% "oste de implantar la;s medida;s de seguridad
17. /a!e I80 E!$ra$egia! de recu#eraci+n /D%/%0&jetivos 1 l o&jetivo perseguido en esta fase consiste en identificar las alternativas de recuperación de las actividades cr$ticas de la organización en los marcos de tiempo definidos # aceptados% /D%4%5areas : 10.2.1.Selección
de alternativas de recuperación%
factores1 @a cuant$a económica @os &eneficios l 5iempo M!'imo Permitido de )nterrupción l 5iempo de 7ecuperación 0&jetivo @a perdida m!'ima de información ue una empresa se puede permitir es importante destacar los siguientes aspectos con respecto a la selección de las estrategias de recuperación1 @a elección de las diferentes alternativas de recuperación depende de las necesidades de la organización @o m!s comBn # recomenda&le es adoptar una com&inación de las estrategias de recuperación para los distintos recursos cr$ticos% l tiempo de recuperación o&jetivo <750= definido por la organización para sus actividades cr$ticas siempre de&e ser menor al tiempo m!'imo permitido de interrupción
11. /a!e 80 De!arr%% e i"#%an$aci+n de% #%an //%/%0&jetivos 1 se pretende gestionar la respuesta a incidentes # asegurar la continuidad de actividades cr$ticas //%4%5areas: 11.2.1.*efinir
las figuras o los euipos necesarios para la activación # ejecución del plan de continuidad de negocio (unciones clave de la activación # ejecución del plan1 respuesta a incidentes: comité de crisis: servicios civiles de emergencia necesariamente localiza&les en caso de cat!strofe: log$stica: recuperación # relaciones pB&licas% //%4%4%*esarrollar los procedimientos de alerta # actuación @os o&jetivos # el alcance de cada uno de ellos de&en ser documentados # f!ciles de leer # entender por todos los miem&ros implicados: considerando1 @as actividades # recursos cr$ticos ue de&en ser recuperados @os tiempos de recuperación de dic3as actividades # recursos% n ué situación o situaciones de&e ser utilizado cada plan% )nformación Btil para la gestión de la contingencia
tapas transcurridas desde la detección de un incidente;desastre 3asta la recuperación de la normalidad en el centro de tra&ajo 3a&itual
7espuesta a incidentes1 -"onfirmar el tipo de incidente # su criticidad% -5omar el control de la situación pro&lem!tica generada por el incidente% -Acotar o limitar el impacto ue dic3o incidente pueda provocar% Procedimientos de recuperación -2uién: cómo # &ajo ué circunstancias de&e ser activado% -Persona;s ue de&en ser informadas de la activación del plan de continuidad en primer lugar -@ocalización f$sica de las personas ue intervienen en el plan% -2ué servicios est!n disponi&les: cu!ndo # dónde -n ué momento # de ué forma la información ue se genera en la ejecución del plan de continuidad es transmitida a responsa&les: empleados: unidades de dirección: etc% Plan de vuelta a la normalidad //%4%6%*isponer de los medios # recursos necesarios para ejecutar el plan de continuidad de negocio • ?ervicios generales: medios materiales: transporte: medios de almacenamiento: etc% • 5ecnolog$a
//%67iesgos asociados al desarrollo e implantación del plan la organización de&e tener preparada para los mismos una estrategia de respaldo #
disponi&ilidad% //%87ecomendaciones1 Para evitar pérdidas de los planes de continuidad de negocio de&en mantenerse copias de los mismos en diferentes localizaciones # esté disponi&le para las personas ue participan en el mismo en diferentes formatos
12. /a!e 8I0 6an$eni"ien$ de% #%an =2+=+O".eti0os • )nculcar # promocionar una cultura de continuidad de negocio en la organización de forma ue paulatinamente se convierta en un proceso cr$tico a gestionar &ajo un ciclo de mejora continua% • Cajo el citado ciclo: mejorar la eficiencia # la solidez del plan o planes de continuidad de negocio% • 5ransmitir fia&ilidad a empleados: clientes: accionistas so&re la capacidad de la organización para superar posi&les interrupciones de sus operaciones% • Minimizar la pro&a&ilidad # el impacto de las interrupciones% • Adaptar el plan de continuidad a los cam&ios organizativos # de negocio ue sufren las empresas: revisando periódicamente los an!lisis de riesgos: los An!lisis de )mpacto en el ,egocio
Ti#! de #rue3a! de% P%an de Cn$inuidad de Negci
//%4%6%Actualización
1&. ¿9ué de3 recrdar?
1). 6'! in:r"aci+n
E;T; 2*5550277- > ( British Standard en ing$1s ) pri%era nor%a "rit#nica para $a gesti*n de
continuidad de negocio+
I;OIEC 27720277* > c*digo de "uenas pr#cticas para $ a Gesti*n de $a 6eguridad de $a
In)or%aci*n+
PA; 0277- > :Publicly Available Specifcation en ing$1s; gua de "uenas pr#cticas de $a e%itida por British
continuidad de $os ser0icios de tecno$ogas de $a in)or%aci*n :TI; Standards Institute (BSI)+
I;OIEC 27777 > gesti*n de $os ser0icios re$acionados con $as tecno$ogas de $a in)or%aci*n+
GUÍA; DE A@UDA 6anua% de 3uena! #r'c$ica! 277 Gua para instaurar Buenas 3r#cticas G$o"a$es en 63 ?@@5+ para rea$i/ar
Gesti*n de Continuidad de Negocio+ Contingency Planning Guide for Information Technology Systems: NI6T 3u"$icaci*n de$ Network Inormation Security and echnolo!y (NIS)+ Gua p$anes de contingencia so"re tecno$ogas ( siste%as de in)or%aci*n+
ENLACE; DE INTE=; B$$#0cer$.in$ec.e!e$:rn$in$eci"g/i%ein$eccer$!g!i .3!igru#.e! $$#0.$e3ci.rg ( .3ci!#ain.c" $$#0.drii.rg $$#0.i!"!:ru".e! $$#0.ni!$.rg F $$#0#"i.rg
