Fases de un Plan de Continuidad de Negocio

Fecha de publicación
26/09/2019
Autor
INCIBE (INCIBE)
Fases de un Plan de Continuidad de Negocio

Es fácil relacionar el término continuidad de negocio con el ámbito tecnológico o con las grandes corporaciones. Pero, por una parte la continuidad de negocio no es exclusiva de las TIC, aunque sí sean una parte de la misma. Por otra parte, los desastres afectan igualmente a las pymes y a los autónomos. Todas las empresas deben tener en cuenta cuáles podrían ser las consecuencias de una parada en la producción o en la actividad diaria. 

Cada organización tendrá que analizar distintos aspectos relacionados con su funcionamiento, incluidos los vinculados a las TIC, priorizar y determinar los límites de funcionamiento aceptable y establecer las medidas necesarias que garanticen la continuidad de la actividad en caso de incidente o desastre, minimizando las consecuencias del mismo. 

Por este motivo os proponemos diseñar un Plan de Continuidad de Negocio que comprenda planes de actuación, planes de emergencia, planes financieros, planes de comunicación y planes de contingencias destinados a mitigar el impacto provocado por la concreción de determinados riesgos sobre la información y los procesos de negocio de una compañía. El proceso y puesta en marcha se debe realizar atendiendo a las siguientes fases.

Fase 0. Determinación del alcance

Se trata de la fase con menor duración y presenta una necesidad de recursos baja. No obstante, su ejecución es imprescindible ya que aquí se determinarán qué activos, sistemas o procesos son críticos, es decir, aquellos cuya indisponibilidad impactaría directamente sobre nuestra organización, causando un cese imprevisto de la actividad. 

Fase 1. Análisis de la organización

Esta fase basa su actividad en obtener, elaborar o comprender las circunstancias que rodean a nuestra organización, analizando tanto procesos, como tecnologías o recursos. Para conseguir esta panorámica, deberemos llevar a cabo un conjunto de tareas.

Mantener reuniones

En primer lugar, será necesario reunirse con los usuarios finales de los procesos seleccionados como críticos o que entran dentro de nuestro alcance, recopilando toda la información sobre el funcionamiento de dichos proceso. Por ejemplo, conocer si se realizan copias de seguridad, tanto de datos como de aplicaciones, cada cuánto tiempo, tiempos de respuesta en caso de tener subcontratado este servicio, etc.

Análisis de impacto sobre el Negocio.

A partir de la información recopilada, realizaremos un Análisis de Impacto sobre el Negocio, también conocido como BIA, por sus siglas en inglés, Business Impact Analysis. Este documento contendrá los requerimientos, tanto temporales como de recursos, de los procesos que se encuentren dentro del alcance del proyecto: 

  • Tiempo de recuperación, RTO (Recovery Time Objective), o tiempo que un proceso permanece detenido hasta ser restaurado.
  • Recursos humanos y tecnologías empleadas, para que un proceso funcione en una situación de contingencia.
  • Tiempo máximo tolerable de caída del servicio o MTD (Maximun Tolerable Downtime). Es decir, el tiempo que un proceso puede permanecer caído antes de que se produzcan consecuencias desastrosas para la organización. 
  • Niveles mínimos de recuperación del servicio o ROL (Revised Operating Level). Este sería el nivel mínimo de recuperación que debe tener una actividad para que se considere recuperada. 
  • Dependencias con otros procesos, ya sean internos o con proveedores externos. Se trata de saber si una situación de contingencia en otros procesos o en un proveedor externo se trasladaría a nuestra empresa. 
  • Grado de dependencia de la actualidad de los datos o RPO (Recovery Point Objetive). Se  determina el impacto que tendría sobre nuestra actividad la pérdida de datos.

Con esta información, podremos determinar qué procesos y aplicaciones son prioritarios a la hora de ser recuperados, así como la necesidad de contar, por ejemplo, con copias de seguridad

Análisis de riesgos.

Consiste en estudiar y determinar las posibles amenazas a las que está expuesta la organización, así como las posibilidades de materializarse en cada caso, y el impacto que causarían si llegaran a producirse. 

Una vez extraídas las conclusiones, se realizará un plan de tratamiento de riesgos en el que se describan medidas, riesgo que mitiga, responsables de implantación, recursos necesarios, etc. 

Fase 2. Determinación de la Estrategia de Continuidad

Esta fase se basa en determinar qué estrategias de recuperación se deberán implementar para cada uno de los elementos identificados como críticos o que pudieran verse afectados en una contingencia. Es decir, cómo recuperar un sistema o un proceso para evitar que la contingencia lo degrade de manera irreversible para la organización. Hay que tener en cuenta que algunos procesos podrán requerir varias estrategias de recuperación.

Fase 3. Repuesta a la contingencia

En esta fase se comienza con la implantación de las iniciativas que se han puesto de manifiesto en la fase anterior. Además, se deberá abordar toda la documentación relacionada con la respuesta a la contingencia, a través de los siguientes documentos:

  • Plan de crisis cuyo objetivo es evitar una toma de decisiones improvisada que pueda empeorar la situación o bien que simplemente no se tomen decisiones. 
  • Planes operativos de recuperación de entornos, que deberán especificar sobre qué entorno se aplican. Hay que tener en cuenta que estos documentos podrán abarcar uno o varios entornos, y contendrán información específica de cada uno de ellos. Por ejemplo, un entorno puede ser un ERP, otro el correo electrónico, etc. 
  • Procedimientos técnicos de trabajo, donde se describen las acciones que se han de llevar a la práctica para la gestión y recuperación de un sistema, infraestructura o entorno. 

Fase 4. Prueba, mantenimiento y revisión

Para que un Plan de Continuidad sea eficaz, deberemos comprobar que realmente funciona y mantenerlo actualizado. Para ello, habrá que ejecutar una serie de pruebas sobre los entornos identificados, tras las cuales elaboraremos unos informes que recojan los resultados obtenidos. Además, deberán quedar reflejados todas las incidencias surgidas en este proceso, algo indispensable para poder establecer medidas correctoras. 

Fase 5. Concienciación

Que la concienciación forme parte de la última fase no implica que sea menos importante que las predecesoras. En esta fase se pondrán en marcha todo tipo de medidas que fomenten la concienciación del personal en materia de continuidad y el conocimiento de los planes elaborados. El público objetivo será tanto personal técnico como de negocios, si tienen algún tipo de relación con el alcance. 

Con independencia del sector o del tamaño, cualquier organización debe estar preparada para afrontar con garantías un incidente de seguridad que pueda afectar al desarrollo de sus actividades. Establecer una serie de medidas dirigidas a minimizar el impacto que pueda tener cualquier tipo de contingencia sobre el negocio proporcionará mayor seguridad y capacidad de respuesta ante cualquier eventualidad. Si necesitas conocer más a fondo todas estas fases relacionadas con el desarrollo e implantación de un Plan de Contingencia y Continuidad de Negocio, te recomendamos que revises el contenido de este dosier.

Ir arriba