Pla de continuïtat del negoci

Plan de continuïtat del negoci

Un pla de continuïtat del negoci (Business Continuity Plan o BCP) explica com una organització ha de recuperar i restaurar les seves funcions critiques, després d’una interrupció total o parcial no desitjada o d’un desastre. Un pla de continuïtat del negoci indica com una organització es prepara per futuros incidentes que puedan poner en peligro a ésta y
a su misión básica a largo plazo. Las situaciones posibles incluyen
desde incidentes locales (como incendios, terremotos, inundaciones, tsunamis etc.), incidentes de carácter regional, nacional o internacional hasta incidentes como pandemias, etc.

Introducción

La continuidad del negocio es un concepto que pertenece a una
disciplina superior denomianda “Administración de continuidad de
negocios (BCM por sus siglas en inglés) y que abarca tanto el plan para la recuperación de desastres
(DRP), de naturaleza típicamente tecnológica, como el plan para el
restablecimiento del negocio, que normalmente se enfoca en los procesos
críticos del mismo. Además, los planes de “Manejo de Crisis” y de
“administración de incidentes” suelen formar parte de la disciplina
completa de BCM. Recuperación de desastres es la capacidad para
responder a una interrupción de los servicios tecnológicos mediante la
implementación de un plan para restablecer las funciones críticas de la
organización. Ambos se diferencian de la planeación de prevención de
pérdidas, la cuál implica la calendarización de actividades como
respaldo de sistemas, autenticación y autorización (seguridad), revisión
de virus y monitoreo de la utilización de sistemas (principalmente para
verificaciones de capacidad). En esta ocasión hablaremos sobre la
importancia de contar con la capacidad para restablecer la
infraestructura tecnológica de la organización en caso de una disrupción
severa, es decir, un plan de recuperación de desastres (DRP).
Este plan es la respuesta prevista por la empresa ante aquellas
situaciones de riesgo que le pueden afectar de forma crítica, es decir,
impidiendo la operación tecnológica que soporta los procesos de negocio
más importantes. No importa el tamaño de la empresa o el coste de las
medidas de seguridad implantadas, toda organización necesita un Plan de
recuperación de desastres o uno de continuidad de negocio, ya que tarde o
temprano se encontrara con una incidencia de seguridad o algún evento
que detenga súbitamente la operación de una empresa.
Lo primero que se debe realizar es un análisis del impacto al negocio
(BIA). Éste es básicamente un informe que nos muestra el coste
ocasionado por la interrupción de los procesos críticos de negocio.
Una vez obtenido este informe, la compañía tiene la capacidad de
clasificar los procesos de negocio en función de su criticidad y lo que
es más importante: establecer la prioridad de recuperación (o su orden
secuencial).
En el BIA se identifican los componentes claves requeridos para
continuar con las Operaciones de Negocio luego de un incidente, dentro
de estos componentes se encuentran:

  • Personal requerido
  • Áreas de trabajo
  • Registros vitales- Backups de información
  • Aplicativos críticos
  • Dependencias de otras áreas
  • Dependencias de terceras partes
  • Criticidad de los recursos de información
  • Participación del personal de seguridad informática y los usuarios finales
  • Análisis de todos los tipos de recursos de información

Tres aspectos claves para el análisis:

  • Criticidad de los recursos de información relacionados con los procesos críticos del negocio
  • Período de recuperación crítico antes de incurrir en pérdidas significativas
  • Sistema de clasificación de riesgos

Una estrategia de Recuperación es una combinación de medidas preventivas, detectivas y correctivas para:

  • Eliminar la amenaza completamente
  • Minimizar la probabilidad de que ocurra
  • Minimizar el efecto

Las interrupciones más prolongadas y más costosas, en particular los
desastres que afectan a las instalaciones, requieren recuperación (offsite).

Aplicación

El plan de continuidad de negocio abarca todos los sectores de
negocio, dado con más énfasis en aquellos donde la disponibilidad de la
información es su mayor activo. A partir del 11 de septiembre de 2001, los planes de continuidad de negocio cobraron importancia abarcando con mayor cobertura a compañías del sector financiero
y sus asociados, donde hoy en día tiene su mayor aplicación. No hay
importancia del tamaño de la empresa o institución, un plan de
continuidad puede ser aplicado tanto a empresas grandes, medianas,
pequeñas e incluso micro empresas. Como todo proceso, la aplicación de
un plan de continuidad involucra determinados pasos obligatorios para
garantizar la funcionalidad del mismo, estas fases son:

  1. Fase de análisis y evaluación de riesgos
  2. Selección de estrategias
  3. Desarrollo del plan
  4. Pruebas y mantenimiento del plan.

Mantenimiento

Este plan es la respuesta prevista por la empresa ante aquellas
situaciones de riesgo que le pueden afectar de forma crítica .No importa
el tamaño de la empresa o el coste de las medidas de seguridad
implantadas, toda organización necesita un Plan de continuidad de
negocio ya que tarde o temprano se encontrará con una incidencia de
seguridad.

Véase también

Referencias

Bibliografía adicional

International Organization for Standardization
  • ISO 27001: Sistema de gestió de la seguretat de la informació.
  • ISO/IEC 27002:2005 (renumerado ISO17999:2005): Código de práctica. Gestión de seguridad de la información.
  • ISO/IEC 27031:2011: Tecnología de información – Técnicas de
    seguridad – Guías para preparación de tecnologías de información y
    comunicaciones para continuidad de negocios.
  • ISO/PAS 22399:2007: Guía para la preparación frente a incidentes y la gestión de continuidad operacional.
  • ISO/IEC 24762:2008: Directrices para los servicios de recuperación
    de desastres de las tecnologías de información y comunicaciones.
  • IWA 5:2006: Preparación para emergencias.