Plan de continuidad del negocio

¿Qué aporta a su empresa?

Un plan de continuidad del negocio (Business Continuity Plan o BCP) de acuerdo con la norma ISO 22301 explica cómo una organización debe recuperar y restaurar sus funciones críticas, después de una interrupción total o parcial no deseada o de un desastre.

Un plan de continuidad del negocio está vinculado con una gestión de riesgos, de acuerdo con la norma ISO 31000. Indica cómo se debería actuar delante de posibles incidentes que pueden implicar peligro. Tiene en cuenta incidentes tecnológicos,  locales (cómo incendios o inundaciones), incidentes regionales, nacionales o internacionales.

Fases de implantar el plan de continuidad del negocio

Para planificar la continuidad del negocio, seguimos las siguientes fases:

  1. Planteamiento. A partir del análisis de riesgos, midiendo el impacto económico en el caso de interrupción de los procesos críticos. Tres aspectos clave para el análisis:
    • Criticidad de los recursos de información relacionada con los procesos críticos del negocio.
    • Período de recuperación crítico, antes de incurrir en pérdidas significativas.
    • Sistema de clasificación de riesgos.
  2. Selección de estrategias para la recuperación. En la gestión de la continuidad del negocio recomendamos aplicar una combinación de medidas correctivas y de mejora para:
    • Eliminar la amenaza.
    • Minimizar la probabilidad de que pase.
    • Minimizar el efecto.

    Debemos tener en cuenta que las interrupciones más prolongadas y más costosas, en particular los desastres que afecten a las instalaciones, requieren recuperación (offsite).

  3. Gestión del plan de continuidad del negocio para su desarrollo. Implica tener en cuenta:
    1. Personal requerido.
    2. Áreas de trabajo.
    3. Registros vitales – Backups de información.
    4. Aplicaciones críticas.
    5. Dependencias de otras áreas.
    6. Dependencias de terceras partes.
    7. Criticidad de los recursos de información.
    8. Participación del personal de seguridad informática y los usuarios finales.
    9. Análisis de todos los tipos de recursos de información.
  4. Pruebas y mantenimiento del plan. Para medir si se aceptan los riesgos residuales, medir la resiliencia, medir si se aceptan los riesgos residuales, y si procede, establecer nuevos procedimientos. Sólo haciendo simulacros del Plan, podremos asegurar que éste es eficiente y eficaz. Debemos tener en cuenta que antes o después, cualquier organización se encontrará con una incidencia de seguridad.

Le podemos ayudar a realizar y mantener el plan. Pregúntenos cómo.