¿Cómo establecer un plan de continuidad del negocio?
Continuidad del Negocio
Es necesario conocer todos los elementos que debemos tener en cuenta para elaborar un plan de continuidad de negocio.
Cada empresa deberá tener una forma de abordar este tema, puede ser muy útil para establecer los principios que puedan servir a todos.
En una primera aproximación a la elaboración de un plan de continuidad del negocio que puede plantear como imprescindibles los siguientes puntos:
El protocolo inicial
Ante una interrupción de las operaciones, tienen que estar perfectamente establecidos cuáles son los pasos a seguir. Este plan no solo tiene que estar establecido sino además ejercitado y probado.
En ese sentido debemos tener claro los siguientes puntos:
- Protocolos de alerta.
- Protocolos de alerta e informaciones de contacto a responsables en la toma de decisiones.
- Establecer de forma clara los protocolos de responsabilidades por áreas, departamentos, etc. de forma que todo el mundo conozca quien se encuentra a cargo de cualquier situación que se plantee.
Medidas de Control Iniciales
El primer objetivo sea cual sea la causa de la interrupción, es evitar que la situación empeore poniendo los medios de contención previstos. No se trata de perder el tiempo en análisis profundo de las causas, retrasando las decisiones en espera de una información detallada de lo que está sucediendo. Se trata de tomar medidas sencillas en base a la comprensión de lo sucedido, la causa y el potencial impacto del evento.
Restablecer el servicio
Es necesario restaurar los servicios afectados es el siguiente paso. Para ello se hace necesario que se encuentre constituido por el equipo de gestión de incidentes, basado en el plan de recuperación que se encuentra elaborado y a evaluación del impacto del evento en los servicios, estableciendo la determinación de los servicios que se deben activar.
Comunicación
La respuesta eficiente a un incidente pasa por una buena comunicación. En primer lugar entre todas las partes implicadas en las acciones para restaurar el servicio. Es necesario evitar acciones cruzadas y ofrecer una respuesta coordinada.
En este sentido se hace necesario que se encuentren establecidos los protocolos de comunicación, los responsables y las tareas de comunicación asignadas.
Planes de recuperación
Se emplean cuando se han iniciado las tareas iniciales de respuesta a un incidente siendo capaz de invocar a los planes de continuidad de negocio. El alcance de una respuesta planificada debe responder al menos a:
- ¿Cuál es el escenario del incidente?
- Determinar el impacto del incidente
- Cuáles son las estrategias de respuesta disponibles
- Cuáles son los recursos disponibles para ofrecer una respuesta
- Cuáles son los protocolos y las herramientas para medir y gestionar los esfuerzos de recuperación
Contemplar la posible extensión del plan de recuperación
Se deberá preparar para que la recuperación supere todos los planes esperados siendo una necesidad dentro del plan de recuperación. Es necesario estar preparado para responder a las siguientes cuestiones:
- Existe de un plan de rotación de personal con funciones y responsabilidades así como traspaso de tareas para una respuesta extendida.
- Recursos alternativos en cuanto a proveedores, instalaciones o equipamiento tecnológico de terceros que nos ayuden a superar una crisis mantenida en el tiempo.
- Si nuestra actividad afecta a terceros como autoridades locales o administración pública.
Plan de normalización
Debemos tener previsto un plan de normalización que nos ayude a evaluar y analizar la situación que se ha superado.
De forma básica debemos ser capaces de saber recoger la información necesaria para evaluar el comportamiento de la empresa durante la crisis para evaluar la nueva situación de la misma después de reestablecer las operaciones.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.