Que tu negocio no pare. Guía para la continuidad de negocio y Sistemas de Gestión de la Información
Guía para la continuidad de negocio y Sistemas de Gestión de la Información
Hoy en día tenemos muy presentes la necesidad de proteger la información esencial de la empresa tanto la información interna como la de todos sus públicos ya sean proveedores, clientes u otro. Por ello, se creó la normativa recogida en ISO/ IEC 27000 que establece una implementación efectiva en cuanto a seguridad desarrollada en las normas ISO 27001 / ISO 27002.
La normativa ISO 27001 nos aporta un Sistema de Gestión de la Información (SGSI) destinada a proteger la información contra cualquier amenaza. Pero, ¿qué pretende preservar el SGSI?
- Confidencialidad
- Integridad
- Disponibilidad de la información
El sistema de continuidad de negocio se basa en tener los recursos necesarios para dar una respuesta inmediata y eficaz ante cualquier situación grave de contingencia. De esta manera poder recuperar nuestra actividad normal en un plazo lo más inmediato posible y poder recuperar la actividad de nuestro negocio sin que se vea comprometido.
Para ello debemos elaborar un Plan de Contingencia y Continuidad de negocio que nos permita regular los mecanismos necesarios para poner en marcha ante un incidente grave de seguridad. Con estos mecanismos conseguiremos:
- Mantener nuestros servicios en unos límites predefinidos
- Implantar un periodo de recuperación mínimo
- Recuperar la situación inicial previa al incidente
- Analizar los resultados, y por consiguiente, los motivos del incidente
- Evitar suspender las actividades de la empresa
En el caso de sufrir un caso como el expuesto, contar con un Plan de Contingencia y Continuidad de Negocio repercutirá positivamente en la imagen y reputación de la empresa.
Fases de un plan de continuidad de negocio:
Fase 0: Determinación del alcance
En el caso de que nuestra empresa muestre un cierto grado de complejidad organizativa, plantear un proceso de mejora puede suponer implementar un número de recursos y tiempo excesivo. Para ello es recomendable empezar por aquellas áreas o departamentos con una importancia mayor e ir progresivamente ampliando la continuidad de toda la organización.
A partir de aquí, podemos plantear el enfoque desde dos punto: activo o de proceso:
- Enfoque por activo: acepta la mejora de la continuidad de un conjunto de activos, desde aquí, obtendremos la información de los procesos que se usan. Este es un enfoque técnico.
- Enfoque por proceso: busca mejorar la continuidad de un proceso determinado, con su independencia de los activos informáticos que le dan soporte. Este es un enfoque más de negocio.
Fase 1: Análisis de la organización
En esta fase nos esforzamos en recuperar toda la información necesaria y así poder establecer cuales son los procesos de negocio crítico, conocer cuales son los activos que les dan soporte, cuáles son las necesidades temporales y de recursos de la organización.
Para ello mantendremos unas actividades necesarias:
- Mantener reuniones con los usuarios finales de nuestro proceso seleccionado. Con esto obtendremos las dependencias de proveedores, el personal implicado, las aplicaciones usadas e información sobre las necesidades temporales de estas aplicaciones. El segundo proceso es recopilar toda la información de las aplicaciones y obtener los detalles necesarios de su funcionamiento, instalación, proveedores, etc.
- Analizar el impacto sobre el negocio: A partir de la información recopilada en los pasos anteriores debemos realizar el documento desde el punto de vista del negocio. En este documento debe estar recogido todos los requisitos temporales y recursos de los procesos, junto al Análisis de Riesgos, decide qué iniciativas implantar.
- Analizar el riesgo: Para ello estudiaremos qué pueden materializarse afectando a los procesos de alcance, la probabilidad, el impacto y cuáles son los activos que intervienen en los procesos de negocio fundamentales.
Para ello debemos realizar una serie de pasos:
- Determinar las amenazas.
- Concretar la probabilidad de amenazas e impacto.
- Realizar el resultado de la probabilidad por el impacto de cada una de las amenazas.
Fase 2: Determinación de la estrategia de continuidad
Una vez conocidos los activos que le dan soporte a la organización, debemos realizar pautas de qué hacer, en caso de tener una desastre, seremos capaces de tener una recuperación en un periodo de tiempo mínimo. Para conseguirlo, debemos establecer diferentes estrategias de recuperación.
La información que tenemos que disponer será:
- Los procesos críticos del negocio, sus tiempos necesarios de recuperación y sus requisitos de pérdida de datos.
- Los recursos implicados en cada uno de los procesos: aplicaciones, etc.
- Los tiempos de recuperación de cada uno de los recursos que pueda garantizar nuestro personal técnico.
- Los riesgos a los que se encuentra sometida la infraestructura TIC
Algunos de los elementos potencialmente afectados por una contingencia son:
- Personal
- Locales
- Tecnología
- Información
- Proveedores
Fase 3: Respuesta a la contingencia
Partiendo de las anteriores estrategias de recuperación establecidas, debemos hacer una selección e implantación de las iniciativas necesarias, y por consiguiente se documenta el Plan de Crisis con todos los documentos respectivos.
El plan de crisis debe contener todos los elementos necesarios para la gestión de los momentos iniciales de una crisis;
- Condiciones de disparo. Situaciones límite que deben darse para que se declare la situación de crisis.
- Flujos de toma de decisiones
- Medios para la declaración de la situación de crisis
- Personal responsable de activar el plan de crisis
- Teléfonos y datos del personal implicado en la gestión de crisis
- Niveles de priorización en la recuperación de la infraestructura de la empresa
- Requisitos temporales de puesta en marcha
- Planes operativos existentes y personal responsable de su activación
Fase 4: Prueba, mantenimiento y revisión
En base a la infraestructura tecnológica de nuestra organización, desarrollaremos los planes de prueba y mantenimiento.
La finalidad del plan de mantenimiento es mantener actualizada toda la información que se cree ante un cambio significativo de la organización tanto a nivel de infraestructura TIC, personal u otro aspecto implicado en el proceso.
El objetivo del plan de prueba es exponer los distintos tipos de pruebas de contingencia que debemos llevar a cabo. Esto nos permite, garantizar que la información del plan se mantenga actualizada, asegurar que la situación de contingencia, la organización podrá recuperarse en los tiempos establecidos, aspectos que puedan determinar la continuidad de la organización, incrementar la cohesión del personal implicado, mejorar el conocimiento de los usuarios al respecto e incrementar la confianza de los usuarios con la organización
Fase 5: Concienciación
A parte del análisis y la implantación, es fundamental que tanto el personal técnico como los responsables de cada apartado de la empresa conozcan qué es y qué supone el Plan de Continuidad de Negocio y qué se espera de ellos.
Software ISOTools
Si quiere la seguridad real de su información y la gestión adecuada de sus controles, el Software ISOTools es la solución que estaba buscando.
Contacte con nosotros y consúltenos.