Continuidad de negocio

Continuidad de negocio

Continuidad de negocio

Antecedentes

Es imposible garantizar la seguridad total  por lo que las empresas deben estar preparadas para protegerse ante un posible desastre que pudiera paralizar su actividad. Hoy en día la información es un activo esencial en cualquier organización, y los sistemas de información se apoyan en tecnologías complejas y novedosas que también están expuestas a amenazas de seguridad. Por todo ello, es conveniente tener elaboradas unas pautas que indiquen cómo actuar en caso de que haya un fallo que comprometa la continuidad del negocio de nuestra empresa.

Nuestro plan para la continuidad de negocio debe tener en cuenta las personas responsables de aplicarlo, las operativas a seguir (por ejemplo: implementar un mecanismo de respaldo para nuestra información más crítica), los activos implicados (tanto personales como físicos), indicadores, etc. Una vez que tengamos el plan de continuidad debemos comprobar que sabemos ponerlo en marcha.

Cuando contratemos servicios tecnológicos (en la nube o a proveedores externos) o que impliquen el tratamiento de nuestra información, debemos exigir y comprobar que tienen planes de contingencia disponibles que se adecuen a nuestra política para la continuidad del negocio.

Objetivos

Diseñar y probar un plan de continuidad de negocio (PCN) que nos permita recuperar en un plazo razonable la operativa habitual de nuestra empresa para garantizar la continuidad del negocio.

Puntos clave

Los puntos clave de esta política son:

  • Determinar el alcance del plan de continuidad del negocio. Debemos seleccionar los activos para los cuales garantizar la continuidad. Para ello nos basaremos en los activos críticos de la clasificación de activos de información [10]. 

  • Concretar el flujo de responsabilidades. Para una correcta ejecución del plan de continuidad del negocio tenemos que determinar quién(es) debe(n) hacerse cargo de la situación en caso de desastre. Definiremos las responsabilidades, la secuencia de decisiones y los canales adecuados para establecer las comunicaciones oportunas. 

  • Realización del BIA (Análisis del Impacto en el Negocio). Para calcular el riesgo al que estamos sometidos, debemos estudiar las implicaciones de un incidente grave en los activos de información. Para ello determinaremos, entre otros: 

    • cuáles son las actividades principales de la organización; 

    • las dependencias, con otros procesos o proveedores, de las actividades anteriores; 

    • el máximo tiempo que podemos estar sin esa actividad o actividades; 

    • el tiempo mínimo de recuperación del servicio a niveles aceptables. 

  • Definir la política de comunicación y aviso a entidades externas. En ciertos casos puede ser necesario determinar qué personas deben notificar las situaciones de desastre a las autoridades pertinentes y a los medios de comunicación. Analizaremos qué tipo de mensaje se debe transmitir y cómo. 

  • Caducidad del plan de continuidad del negocio. Con el fin de mantener actualizado nuestro plan de continuidad de negocio, determinaremos la periodicidad con la cual debería revisarse. Asimismo, analizaremos la necesidad de actualizar nuestro plan tras acometer cambios importantes en nuestros sistemas de información. 

  • Elegir la estrategia de continuidad. Determinaremos que estrategia es la más adecuada para nuestra empresa. Implantaremos políticas de copias de seguridad, donde definiremos la información que debe incluirse en dichas copias, qué tipo de soporte se utilizará, con qué periodicidad y en qué instalaciones físicas. Asimismo, se deberían definir pruebas periódicas para verificar la integridad y la correcta recuperación de la información. Por otro lado, estudiaremos la conveniencia de implantar un centro de respaldo a raíz de los resultados obtenidos durante la elaboración del BIA (Análisis del Impacto en el Negocio). Esto es especialmente importante si el alcance del Plan es el CPD. 

  • Detallar la respuesta a la contingencia. Se deben detallar los procedimientos y controles que aseguren el nivel de continuidad de los procesos y activos esenciales ante una situación adversa. 

  • Desarrollar actividades para verificar, revisar y evaluar el plan de continuidad del negocio. Para garantizar que el plan de continuidad del negocio es válido evaluaremos cada cierto tiempo todos los procedimientos y controles que lo componen, para modificarlos, eliminarlos o añadir nuevos si fuera necesario. Estas actividades se tendrán en cuenta sobre todo tras acometer cambios sustanciales en nuestros  sistemas. 

 

¡¡¡ NO TE LA JUEGUES !!!

La máxima seguridad es tu comprensión de la realidad

Suscríbase

¡No te pierdas nuestras futuras actualizaciones! ¡Suscríbase hoy!

©2024 DEFENSA DIGITAL.Todos los derechos reservados.