Pla de continuïtat del negoci

Què aporta el Pla de continuïtat del negoci?

Un pla de continuïtat del negoci (Business Continuity Plan o BCP) explica com una organització ha de recuperar i restaurar les seves funcions critiques, després d’una interrupció total o parcial no desitjada o d’un desastre.

Un pla de continuïtat del negoci està vinculat amb la gestió de riscos. Indica com es prepara per futurs incidents que poden posar-la en perill. Les possibles situacions, inclouen des d’incidents tecnològics,  locals (com ara incendis, o inundacions), incidents regionals, nacionals o internacionals.

Fases per implantar el Pla de continuïtat del negoci

L’aplicació d’un pla de continuïtat del negoci es fa seguint les fases següents:

  1. Fase d’anàlisi i avaluació de riscos. Primer cal fer una anàlisi de l’impacte econòmic en el cas d’interrupció dels processos crítics. Tres aspectes clau per l’anàlisi:
    • Criticitat dels recursos d’informació relacionats amb els processos crítics del negoci.
    • Període de recuperació crític abans d’incórrer en pèrdues significatives.
    • Sistema de classificació de riscos.
  2. Selecció d’estratègies. A la gestió de la continuïtat del negoci recomanem aplicar una combinació de mesures preventives, detectives i correctives per:
    • Eliminar del tot l’amenaça
    • Minimitzar la probabilitat de que passi.
    • Minimitzar l’efecte.

    Hem de tenir en compte que les interrupcions més prolongades i més costoses, en particular els desastres que afecten a les instal·lacions, requereixen recuperació (offsite).

  3. Desenvolupament del pla de continuïtat del negoci. Implica tenir en compte:
    1. Personal requerit
    2. Àrees de treball
    3. Registres vitals- Backups d’informació
    4. Aplicacions crítiques.
    5. Dependències d’altres àrees.
    6. Dependències de terceres parts.
    7. Criticitat dels recursos d’informació.
    8. Participació del personal de seguretat informàtica i els usuaris finals.
    9. Anàlisi de tots els tipus de recursos d’informació.
  4. Proves i manteniment del pla de continuïtat del negoci. Sols fent simulacres del Pla de continuïtat del negoci podrem assegurar que aquest és eficient i eficaç. Hem de tenir en compte que abans o després, qualsevol organització es trobarà amb una incidència de seguretat.

 Normes relacionades

  • ISO 27001 – Sistema de gestió de la seguretat de la informació.
  • ISO/IEC 27002 – Codi de pràctica. Gestió de la seguretat de la informació.
  • ISO/IEC 27031 – Tecnologia de la informació – Tècniques de seguretat – Guies per la preparació de tecnologies d’informació i comunicacions per la continuïtat de negocis.
  • ISO/PAS 22399 – Guia per la preparació davant incidents i la gestió de la continuïtat operacional.
  • ISO/IEC 24762 – Directrius pels serveis de recuperació de desastres de les tecnologies d’informació i comunicacions.
  • IWA 5:2006– Preparació per emergències.