EL PLAN DE CONTINUIDAD DE NEGOCIO


Uno de los documentos fundamentales que es recomendable tener en nuestra empresa es un Plan de Continuidad de Negocio. Este plan se compone de varias fases que comienzan con un análisis de los procesos que componen la organización, cuyo objetivo es el mantenimiento del negocio de la organización priorizando operaciones de negocio críticas necesarias para continuar en funcionamiento después de un incidente no planificado. Para su elaboración, hay que tener en cuenta dos preguntas clave:
¿Cuáles son los recursos de información relacionados con los procesos críticos del negocio de la compañía?
¿Cuál es el período de tiempo de recuperación crítico para los recursos de información en el cual se debe establecer el procesamiento del negocio antes de que se experimenten pérdidas significativas o aceptables?
Un Plan de Continuidad reducirá el número y la magnitud de las decisiones que se toman durante un período en que los errores pueden resultar mayores. El Plan establecerá, organizará y documentará los riesgos, responsabilidades, políticas y procedimientos, acuerdos con entidades internas y externas. La activación de un Plan de Continuidad debería producirse solamente en situaciones de emergencia y cuando las medidas de seguridad hayan fallado.
BENEFICIOS
Identifica los diversos eventos que podrían impactar sobre la continuidad de las operaciones y su impacto financiero, humano y de reputación sobre la organización.
Obliga a conocer los tiempos críticos de recuperación para volver a la situación anterior al desastre sin comprometer al negocio.
Previene o minimiza las pérdidas para el negocio en caso de desastre.
Clasifica los activos para priorizar su protección en caso de desastre.
Aporta una ventaja competitiva frente a la competencia.
Fomenta e implica a los recursos humanos de la compañía en las actividades de continuidad.

FASES

El Plan de Continuidad de Negocio se compone de las siguientes fases:
FASE I- ANÁLISIS DE NEGOCIO Y EVALUACIÓN DEL RIESGO
Para desarrollar un Plan de Continuidad con garantía de éxito, lo primero es conocer y entender cuáles son los procesos de negocio que son esenciales dentro de la compañía en la que se va a desarrollar el Plan, con el objetivo de asegurar la continuidad de la actividad en caso de contingencia. Para ello debemos empezar por responder a cuestiones tales como:
¿Cuáles son las actividades más importantes para la compañía?
¿Cómo afectaría económicamente una interrupción de los servicios a medida que va pasando el tiempo sin reanudar el servicio?
¿Cuál sería la capacidad operativa de la empresa a medida que pasa el tiempo?
¿Cuál es el plazo máximo para volver a la normalidad sin llegar a incurrir en graves pérdidas?
Para conocer cuáles son las necesidades de la compañía en cuanto a estrategias de continuidad, vamos a utilizar dos mecanismos de análisis:

Análisis de Impacto (BIA – Business Impact Analysis): Nos permitirá identificar la urgencia de recuperación de cada función de negocio, determinando el impacto en caso de interrupción. Esta información nos permitirá seleccionar cuál es la estrategia más adecuada.
Dentro del Análisis de Impacto podemos distinguir las siguientes actividades:
Obtención de la Relación de Procesos: Establecer los procesos de negocio que se realizan en la compañía.
Obtención de la Relación de Aplicaciones: Establecer la relación de aplicaciones que soportan los procesos de la compañía.
Relación de Departamentos y Usuarios: Se identifican los departamentos que hay en la empresa y el nombre de las personas que la componen y que intervienen en los procesos.
Determinar cuáles son los Procesos Críticos: Pueden darse dos valoraciones, una basada en la importancia para la compañía de los procesos cuya ausencia tendría un impacto alto en la actividad de la compañía (valoración cualitativa). La otra, se referiría a las pérdidas económicas por período debido a la ausencia de los procesos (valoración cuantitativa).
Período Máximo de Interrupción: El acumulado de pérdidas suele ir creciendo linealmente a medida que pasan los días y las actividades están interrumpidas. No obstante, a partir de un momento que denominaremos Período Máximo de Interrupción, las pérdidas sufren un aumento significativo y las funciones no podrían ser reasumidas.
Análisis de Riesgos: El Objetivo de un análisis de riesgos es identificar y analizar los diferentes factores de riesgo que potencialmente podrán afectar a las actividades que queremos proteger. La evaluación de riesgos supone imaginarse lo que puede ir mal y a continuación estimar el impacto que supondría para la organización. Se ha de tener en cuenta la probabilidad de que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.

El objetivo de un Análisis de Riesgos es poner de manifiesto aquellas debilidades actuales que por su situación o su importancia pueden poner en marcha, antes de lo deseable, el Plan de Recuperación de Negocio. El Análisis de Riesgo debe centrarse en los procesos/actividades del negocio que se han considerado críticos, aunque también puede extenderse a aquellos que no lo son. La evaluación de riesgos supone imaginarse lo que puede ir mal y a continuación estimar el coste que supondría. Se ha de tener en cuenta la probabilidad de que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado. En lo fundamental, la evaluación de riesgos que se ha de llevar a cabo ha de contestar, con la mayor fiabilidad posible, a las siguientes preguntas:
  • ¿Qué se intenta proteger?
  • ¿Cuál es su valor para uno o para la organización?
  • ¿Frente a qué se intenta proteger?
  • ¿Cuál es la probabilidad de un ataque?
Existen diferentes metodologías de Análisis de Riesgos:
MARION
OCTAVE
MAGERIT 
Para realizar un análisis de riesgos debemos de seguir los siguientes pasos:
1- IDENTIFICAR ACTIVOS
Para cada uno de los procesos críticos de la compañía es necesario realizar un inventario de los activos involucrados en el proceso. Los activos se definen como los recursos de una compañía que son necesarios para la consecución de sus objetivos de negocio. Ejemplos de activos de una compañía pueden ser:
Información
Equipamiento
Conocimiento
Sistemas

2-IDENTIFICAR AMENAZAS
Una amenaza se define como un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus servicios. A la hora de analizar los riesgos hay que evaluar las distintas amenazas que pueden provenir de las más diversas fuentes. Entre éstas se incluyen los agresores malintencionados, las amenazas no intencionadas y los desastres naturales.
3- EVALUAR VULNERABILIDADES
Las vulnerabilidades son debilidades que pueden ser explotadas para convertir una amenaza en un riesgo real que puede causar daños graves en una compañía. Las vulnerabilidades en sí mismas no causan daño alguno, sino que es una condición o un conjunto de condiciones que pueden permitir a una amenaza afectar a un activo. Para identificar las vulnerabilidades que pueden afectar a una compañía debemos responder a la pregunta: ¿Cómo puede ocurrir una amenaza?

4-EVALUACIÓN DEL IMPACTO
Los incidentes causan un impacto dentro de la organización, que también deberá tomarse en cuenta a la hora de calcular los riesgos. La valoración del impacto puede realizarse de forma cuantitativa, estimando las pérdidas económicas, o de forma cualitativa, asignando un valor dentro de una escala (p.e. alto, medio, bajo).
Por ejemplo, el robo de información confidencial de la compañía puede causar un impacto alto si ésta cae en malas manos.
En otro caso, podemos estimar las pérdidas económicas de equipos tangibles valorando el coste de reposición y puesta en marcha.
5-EVALUACIÓN DEL RIESGO
Riesgo es la posibilidad de que se produzca un impacto determinado en la organización. El riesgo calculado es simplemente un indicador ligado al par de valores calculados de vulnerabilidad y el impacto, ambos ligados a su vez de la relación entre el activo y la amenaza a la que el riesgo calculado se refiere.
El riesgo suele expresarse en términos cualitativos (Alto, Medio, Bajo).

Cuanto más baja sea la probabilidad de ocurrencia (no existan vulnerabilidades) y el impacto sobre la compañía sea también bajo, estaremos en un nivel de riesgo bajo. Sin embargo, si existen vulnerabilidades que aumenten la probabilidad de ocurrencia o el impacto del incidente sea alto para la compañía, estaremos en unos niveles de riesgo medio-alto.
A modo de ejemplo se muestra la siguiente tabla:
Una vez que se han evaluado los riesgos, queda decidir qué hacemos con ellos. Se pueden tomar diferentes caminos:
Transferir el riesgo a través de seguros o subcontratando la gestión del riesgo a terceras empresas.
Aceptar el riesgo (posicionamiento aprobado por la dirección de la compañía).
Reducir el riesgo con controles que los mitiguen.
Eliminar el riesgo (eliminando la causa o el foco del riesgo).
6-EVALUAR CONTRAMEDIDAS
Para reducir riesgos se utilizan los denominados controles o medidas de seguridad. Podemos clasificar los controles en:

Controles preventivos.
-Identifican potenciales problemas antes de que ocurran
-Previenen errores, omisiones o actos maliciosos.
Ejemplos:
Realizar copias de seguridad de los archivos.
Contratar seguros para los activos.
Establecer procedimientos / políticas de seguridad.
Establecer control de acceso a la información.
Establecer control de acceso físico.
Controles detectivos
o Identifican y “reportan” la ocurrencia de un error, omisión o acto malicioso ocurrido.
Ejemplos:
Monitorización de eventos.
Auditorías internas.
Revisiones periódicas de procesos.
Sensores de humo.
Detección de virus (Antivirus).
Controles Correctivos
o Minimizan el impacto de una amenaza.
o Solucionan errores detectados por controles detectivos.
o Identifican la causa de los problemas con el objeto de corregir errores producidos.
o Modifican los procedimientos para minimizar futuras ocurrencias del problema.
Ejemplos:
Parches de seguridad.
Corrección de daños por virus.
Recuperación de datos perdidos.

FASE II-SELECCIÓN DE ESTRATEGIAS DE RESPALDO
Una vez identificados y evaluados los riesgos, algunas medidas que se pueden llevar a cabo para afrontarlos son:
No hacer nada: Este tipo de actuación podría utilizarse en aquellas funciones o actividades que se han clasificado como “no urgentes” en el Análisis de Impacto. En este tipo de estrategia se asume el riesgo.
Utilización de espacios propios: Espacios existentes en la compañía tales como salas de formación, cafeterías, etc. Este tipo de estrategia requiere una planificación minuciosa.
Reutilización de recursos: Reubicación de personal con funciones no urgentes en tareas que requieren una mayor prioridad. En este caso se debe poner cuidado en convertir la función no urgente en urgente por ser desatendida durante demasiado tiempo.
Trabajo Remoto o Teletrabajo: Posibilidad de trabajar desde ubicaciones exteriores a la compañía mediante conexión remota.
Acuerdos Recíprocos: Acuerdos entre dos organizaciones (o dos unidades de negocio de la propia compañía diferentes) con características de equipamiento/espacio similares que permitiría a cada una de las partes recuperar funciones en la otra localización. En este caso es importante definir las condiciones de uso y la realización de pruebas periódicas para asegurar las condiciones pactadas.
Sitio alternativo subcontratado a terceros: Contratación con compañías especializadas de espacios alternativos para la recuperación de la actividad. En este caso hay que asegurar que estas compañías pueden proporcionar unos tiempos de recuperación acordes con las necesidades de la organización. Este tipo de compañías pueden proporcionar diferentes de soluciones:
o Espacio dedicado: Se garantiza la disponibilidad inmediata del espacio. En contrapartida este servicio es más caro que otras alternativas.
o Espacio compartido: Se comparte el espacio con otras compañías. Es más barato que un centro dedicado.
o Espacios móviles: Se pueden utilizar rápidamente, pero tienen un espacio limitado.
o Módulos prefabricados: Pueden tardar unos días en estar disponibles para su uso.
Localizaciones diversas: Se traslada la operación pero no el personal.
Centro replicado: Solución que permite trasladar de forma inmediata la operación y continuar la actividad de forma inmediata. También puede denominarse “centro espejo”. Esta solución es normalmente la más cara, pero también la mejor solución en el caso de que se necesite una recuperación muy rápida de la operación.

FASE III- DESARROLLO DEL PLAN DE CONTINUIDAD
En esta fase se van a definir los equipos que van a intervenir en la aplicación de las estrategias de respaldo seleccionadas:
Comité de Crisis: Encargado de dirigir las acciones durante la contingencia y recuperación.
Equipo de Recuperación: Su función es restablecer todos los sistemas necesarios (voz, datos, comunicaciones, etc.).
Equipo Logístico: Responsable de toda la logística necesaria en el esfuerzo de recuperación.
Equipo de las Unidades de Negocio: Encargados de la realización de pruebas que verifiquen la recuperación de los sistemas críticos.
Equipo de Relaciones Públicas: Encargado de las comunicaciones a los medios de comunicación y clientes.
El personal asignado a cada uno de los equipos puede variar dependiendo del tamaño de la organización y de la estrategia de recuperación seleccionada. Una persona puede pertenecer a más de un equipo, siempre y cuando no existan incompatibilidades en las tareas a realizar.

A su vez, la tercera fase se divide en los siguientes procedimientos:
a) ALERTA
La Fase de Alerta define los procedimientos de actuación ante las primeras etapas de un suceso que implique la pérdida parcial o total de uno o varios servicios críticos. Dividiremos esta fase en tres partes: Notificación: Define cómo y quién debe ser informado en primera instancia de lo ocurrido. Evaluación: Análisis de la situación y valoración inicial de los daños. Definición de estrategias. Ejecución del Plan: Decisión del equipo director de disparar el Plan debido al alcance de los daños.
b)TRANSICIÓN
La Fase de Transición es la fase previa a la de recuperación de los sistemas. Es importante que en esta fase exista una coordinación entre los diferentes equipos y equipos de logística, ya que son éstos los encargados de que todo esté disponible para comenzar la recuperación en el menor tiempo posible. Podemos dividir la fase de transición en dos partes principalmente:
Procedimientos de concentración y traslado de personas y equipos. Realizaremos una descripción general de los procedimientos, que podrá completarse una vez que se tome una solución definitiva. Una vez avisados los equipos y puesto en marcha el Plan, deberán acudir al centro de reunión. En el caso de que la emergencia se declare en horas de trabajo, se tomará como punto de encuentro los lugares designados en el Plan de Emergencia. Si el incidente ocurre fuera del horario de trabajo, el lugar de reunión será el designado como centro de respaldo, o cualquier otro designado por el Comité de Dirección de Crisis.
Procedimientos de puesta en marcha del centro de recuperación.Una vez concentrados los distintos equipos que van a intervenir en la recuperación, y con todos los elementos necesarios disponibles para comenzar la recuperación, hay que poner en marcha este centro, estableciendo la infraestructura necesaria, tanto de software como de comunicaciones, etc.
Ambos procedimientos son la base del proceso de recuperación de los sistemas. Si esta parte falla, no será posible comenzar la recuperación, y por tanto el Plan de Continuidad fallará. A continuación pasamos a describir de manera detallada cada uno de los procedimientos y equipos que deben interactuar en esta fase de transición.
C)RECUPERACIÓN
Una vez que hemos establecido las bases para comenzar la recuperación, se procederá a la carga de datos y a la restauración de los servicios críticos. Este proceso y el anterior suele precisar los mayores esfuerzos e intervenciones para cumplir con los plazos fijados. Podemos dividir esta fase en dos:
  • Procedimientos de Restauración. Estos procedimientos se refieren a las acciones que se llevan a cabo para restaurar los sistemas críticos.
  • Procedimientos de soporte y gestión. Una vez restaurados los sistemas hay que comprobar su funcionamiento, realizar un mantenimiento sobre los mismos y protegerlos, de manera que se reanude el negocio con las máximas garantías de éxito. Los integrantes del equipo de unidades de negocio serán los encargados de comprobar y verificar el correcto funcionamiento de los procesos.
D)VUELTA A LA NORMALIDAD/FIN DE LA EMERGENCIA
Una vez con los procesos críticos en marcha y solventada la contingencia, debemos plantearnos las diferentes estrategias y acciones para recuperar la normalidad total de funcionamiento. Para ello vamos a dividir esta fase en diferentes procedimientos:
Análisis del impacto. El análisis de impacto pretende realizar una valoración detallada de los equipos e instalaciones dañadas para definir la estrategia de vuelta a la normalidad.
Procedimientos de vuelta a la normalidad. Una vez determinado el impacto deben establecerse los mecanismos que en la medida de lo posible lleven a recuperar la normalidad total de funcionamiento. Estas acciones incluyen las necesidades de compra de nuevos equipos, mobiliario, material, etc.
Una vez solventado el incidente y vuelto a la normalidad, cada equipo deberá realizar un informe de las acciones llevadas a cabo y sobre el cumplimiento de los objetivos del Plan de Continuidad, los tiempos empleados, dificultades con las que se encontraron, etc. Toda esta información servirá para valorar si el Plan ha funcionado según lo planeado, así como conocer los posibles fallos, y en su caso, tenerlos en cuenta para la adecuación del mismo.
FASE IV. PRUEBAS Y MANTENIMIENTO
El Plan de Continuidad no se considerará válido hasta que no se haya superado satisfactoriamente el Plan de Pruebas que asegure la viabilidad de las soluciones adoptadas.
El Plan de Pruebas diseñado tiene como objetivos:
Evaluar la capacidad de respuesta ante una situación de desastre que afecte a los recursos de la compañía.
Probar la efectividad y los tiempos de respuesta del Plan para comprobar que están alineados con la definición realizada en el diseño.
Identificar las áreas de mejora en el diseño y ejecución del Plan.
Comprobar si los procedimientos desarrollados son adecuados para soportar la recuperación de las operaciones de negocio.
Evaluar si los participantes del ejercicio están suficientemente familiarizados con la operativa en situación de contingencia.
Concienciación y formación para los empleados a través de la realización de pruebas.
Las pruebas pueden consistir en:
-Ejercicios técnicos: Este tipo de ejercicio requerirá la ejecución de procedimientos de notificación y operativos, el uso de equipos de hardware, software y posibles centros y métodos alternativos para asegurar un rendimiento adecuado. Ejemplos de elementos verificados durante un ejercicio de simulación son:
  • Procedimientos de emergencia.
  • Métodos alternativos.
  • Líneas de telecomunicaciones de backup.
  • Procedimientos de notificación Vendedores / Clientes.
  • Capacidad y rendimiento del hardware.
  • Portabilidad del software.
  • Accesibilidad al centro de respaldo.
  • Movilización de los equipos de trabajo
  • Recuperación de ficheros y documentación almacenados en lugar externo.
  • Recuperación de datos.
-Test completo:
Los ejercicios de test son ejercicios planificados que implican la restauración real de la capacidad de proceso en un centro alternativo. Generalmente, los procesos en producción no son interrumpidos, pero puede planificarse su restauración y validación en el centro alternativo. Normalmente, este tipo de prueba requiere la participación de toda la organización de continuidad del negocio, incluyendo usuarios, personal técnico y de operaciones.
Por último, una vez aplicadas satisfactoriamente las estrategias y tras una buena actuación de los equipos de trabajo, se irán incorporando soluciones a los Sistemas de Información y los activos informáticos irán evolucionando para dar respuesta a las necesidades planteadas.
Un Plan de Continuidad bien planificado evitará que éste quede obsoleto y sea viable ni eficaz para combatir las amenazas a la confidencialidad, integridad y disponibilidad de nuestra información corporativa, por lo que es necesaria su correcta implantación con el objetivo de restablecer la continuidad de nuestro negocio.


A continuación un vídeo sobre la importancia de la implantación de un Plan de Negocio para PYMES.

Comentarios

Publicar un comentario

Entradas populares de este blog

MÉTODO DE ANÁLISIS DE RIESGOS NIST SP 800-30

Imagen
La Seguridad Informática en una empresa es fundamental para evitar intrusiones y accesos inesperados a documentación confidencial que podría comprometer nuestra imagen corporativa y en los peores casos, provocar grandes pérdidas económicas. Por ello es fundamental que nuestra entidad cuente con equipos informáticos seguros, para lo cual es fundamental analizar las amenazas y vulnerabilidades a los que estamos sometidos y el nivel de riesgo que ello implica. Para ello, existen métodos de análisis eficaces, que nos facilitan la tarea de combatir a atacantes que quieren atentar contra la privacidad de nuestros datos. Cabe citar el método de análisis de riesgos NIST SP 800-30 . Este método nació en el seno del National Institute of Standard Technology (Instituto Nacional de Estándares y Tecnología), agencia federal fundada en 1901 para la Administración de Tecnología de Departamento de Comercio de los Estados Unidos. La norma NIST SP 800-30 nace con los siguientes objeti
Leer más

PRINCIPALES FACTORES DE RIESGO LABORAL EN LA DOCENCIA

Imagen
 En el entorno de la enseñanza podemos estar expuestos a riesgos laborales que pueden poner en peligro nuestra seguridad, en lugares que en principio nos podrían parecer inocuos, como es el caso de las aulas. Por riesgo laboral entendemos aquellos acontecimientos que pueden provocar que un trabajador sufra un determinado daño derivado del trabajo durante el ejercicio de su función. El desarrollo de la actividad docente en las aulas, implica una serie de riesgos para la seguridad y salud de los profesores, que éstos han de conocer.  Éstos son los principales riesgos a los que está sometido un docente en las aulas: -Condiciones de seguridad. Hay que citar el Real  Real Decreto 486/1997, de 14 de abril, por que se establecen las disposiciones mínimas de salud y seguridad en el trabajo , especialmente sus 6 anexos que tratan de las condiciones de seguridad en lugares de trabajo; orden, limpieza y mantenimiento; condiciones medioambientales; iluminación; seguridad higiénica y desc
Leer más

AUTOCONTROL Y SUS BENEFICIOS EN EL TRABAJO

Imagen
 El autocontrol se define como la capacidad para dominar los pensamientos, emociones y acciones para desarrollar bienestar y satisfacción en distintas áreas, ya sea en el plano personal, social o laboral. El autocontrol se consigue con tres instrumentos esenciales: 1- Autoobservación: Para cumplir las metas que nos proponemos debemos evaluar nuestras conductas, para lo cual debemos registrar de forma detallada nuestras tareas, al igual que los momentos en que surgen los inconvenientes que interrumpen el ritmo de las actividades, se pierde la concentración y caemos en los errores. De esta forma definimos un conjunto de tácticas para ajustar la conducta a las metas que se han establecido y lograr avanzar hacia el desarrollo personal. 2-  Autorrefuerzo: Administración de recompensas definidas por el individuo. Por ejemplo, al terminar una tarea frotarse las manos diciendo: "Trabajo finalizado". También lo empleamos para ajustar ideas. Por ejemplo, si obtenemos mejores
Leer más