¿Cuáles son los puntos básicos para elaborar un plan de continuidad del negocio?
Continuidad del Negocio
La Gestión de la Continuidad del Negocio es el proceso en el que se consigue la capacidad y se mantiene, además conforma una parte vital de la gestión de seguridad de sistemas de información, que hoy en día se conoce de forma común como seguridad cibernética.
La mayoría de las empresas de hoy son sumamente dependientes de la tecnología de la información, pero queda claro que la tecnología puede verse afectada por una amplia gama de incidentes potencialmente desastrosos. Van desde cortes en el suministro de energía hasta pérdida de datos causadas por equivocaciones de los empleados o por criminales informáticos.
Durante el artículo de hoy queremos realizar un repaso de todos los elementos que debemos tener en cuenta a la hora de realizar un plan de continuidad del negocio.
Cada empresa tiene una forma de abordar este tema, puede ser útil que se establezcan los principios que pueden servirles.
En primera estancia, durante la elaboración de un plan de continuidad se pueden plantear como imprescindibles los siguientes puntos:
El protocolo inicial
Ante una interrupción de las operaciones, tiene que ser perfectamente establecidos según los pasos a seguir. Este plan no solo tiene que establecerse sino que además queda ejercitado y probado.
En este sentido debemos tener claros los siguientes puntos:
- Protocolos de alerta
- Protocolos de alerta e informaciones de contacto a responsables en la toma de decisiones
- Establecer de forma clara todos los protocolos de responsabilidad por área, departamentos, etc. de manera que todo el mundo conozca quien se encuentra en cualquier situación que se plantee.
Medidas de control iniciales
El primer objetivo sea cual sea la causa de la interrupción, es necesario que se evite que la situación empeore poniendo los medios de contención previstos. En este momento no se trata de perder tiempo realizando análisis de las causas. Es necesario tomar medidas sencillas en base de la comprensión de lo sucedido, la causa y el potencial impacto del evento.
Restablecer el servicio
Es necesario restaurar los servicios afectados. Para conseguirlo se necesita una constitución del equipo de gestión de incidentes que se basa en el plan de recuperación ya elaborado y a evaluación del impacto del evento de los servicios, establecer cómo y qué servicios se deben activar.
Comunicación
La respuesta eficiente a un incidente pasa por una buena comunicación. En primer lugar se debe comunicar entre todas las partes implicadas en las acciones para restaurar el servicio para evitar las acciones que han sido cruzadas y dar una respuesta coordinada.
Es necesario que se encuentran establecidos todos los protocolos de comunicación, responsables y tareas de comunicación que se encuentran asignadas.
Planes de recuperación
Cuando se inician las tareas iniciales de respuesta a un incidente es hora de invocar a los planes de continuidad del negocio. El alcance de una repuesta planificada o un plan de continuidad tiene que responder al menos a:
- El escenario del incidente
- Determinar el impacto del incidente
- Las estrategias de respuesta disponibles
- Los recursos disponibles para la respuesta planificada
- Los protocolos y las herramientas para gestionar los esfuerzos de recuperación
Contemplar la posible extensión del plan de recuperación
Se encuentra preparado para que la recuperación supere los planes esperados siendo una necesidad dentro del plan de recuperación. En este caso debemos estar preparados para responder a las siguientes cuestiones:
- Es necesario establecer un plan de rotación del personal con diferentes funciones y responsabilidades, además del traspaso de tareas para una respuesta extendida.
- Plan de recursos alternativos en cuanto a proveedores, instalaciones o equipamiento tecnológico de terceros que nos faciliten la superación de una crisis mantenida en el tiempo.
- Si nuestra actividad afecta a terceros como autoridades locales o administración pública.
Plan de normalización
Es necesario tener previsto un plan de normalización que nos facilite una evaluación y un análisis de la situación que hemos superado. Es básico que seamos capaces de conocer la información necesaria para evaluar el comportamiento de la empresa durante la crisis, además de evaluar la nueva situación de la misma después del restablecimiento de las operaciones.
Software ISO 27001
ISOTools Excellence permite una implementación automatizada de los Sistemas de Gestión de la Seguridad de la Información, aportando una variedad de funcionalidades que faciliten en gran medida la gestión del mismo. Además, añadimos la flexibilidad que permite, al poder adaptarse a las características de cada organización.