Plan de Contingencia y Continuidad de Negocio PDF
Document Details
Uploaded by FeasibleHydrangea
UPC
Tags
Summary
This document outlines a plan for business contingency and continuity. It details the phases, analysis of risks, and strategies for recovery in the event of business disruptions. The plan is aimed at professional organizations.
Full Transcript
PLAN DE CONTINGENCIA Y CONTINUIDAD DE NEGOCIO Colección PROTEGE TU EMPRESA ÍNDICE ÍNDICE 1- INTRODUCCIÓN...................................................................
PLAN DE CONTINGENCIA Y CONTINUIDAD DE NEGOCIO Colección PROTEGE TU EMPRESA ÍNDICE ÍNDICE 1- INTRODUCCIÓN.....................................................................................03 2- TIPOS DE PROYECTOS DE CONTINUIDAD............................................05 3- FASES DE UN PLAN DE CONTINUIDAD DE NEGOCIO..........................07 3.1. FASE 0: DETERMINACIÓN DEL ALCANCE................................................................09 3.2. FASE 1: ANÁLISIS DE LA ORGANIZACIÓN...............................................................11 3.2.1. Mantener reuniones............................................................................................. 12 3.2.2. Análisis de Impacto sobre el Negocio................................................................. 13 3.2.3. Análisis de Riesgos................................................................................................ 17 3.3. FASE 2: DETERMINACIÓN DE LA ESTRATEGIA DE CONTINUIDAD........................19 3.4. FASE 3: RESPUESTA A LA CONTINGENCIA..............................................................21 3.4.1. Plan de Crisis (o de Incidentes)............................................................................ 22 3.4.2. Planes Operativos de Recuperación de Entornos............................................. 23 3.4.3. Procedimientos técnicos de trabajo (o de Incidentes)..................................... 24 3.5. FASE 4: PRUEBA, MANTENIMIENTO Y REVISIÓN...................................................25 3.5.1. Plan de mantenimiento........................................................................................ 27 3.5.2. Planes de pruebas................................................................................................. 28 3.6. FASE 5: CONCIENCIACIÓN.......................................................................................29 4- RESUMEN...............................................................................................30 5- REFERENCIAS.........................................................................................31 1 Plan de Contingencia y Continuidad de Negocio ÍNDICE ÍNDICE DE FIGURAS Ilustración 1: Prioridades del Plan de Continuación de Negocio....................................... 03 Ilustración 2: Objetivos del Plan de Continuación de Negocio.......................................... 07 Ilustración 3: Análisis de impacto sobre el negocio.......................................................... 13 Ilustración 4: Estrategias para el tratamiento de los riesgos.......................................... 18 Ilustración 5: Información necesaria para establecer la Estrategia de Continuidad.... 19 Ilustración 6: Elementos para la gestión inicial de una crisis.......................................... 22 2 Plan de Contingencia y Continuidad de Negocio 1. INTRODUCCIÓN Las empresas deben estar preparadas para prevenir, protegerse, y reaccionar ante inciden- tes de seguridad que puedan afectarles y que podrían impactar en sus negocios. Por este mo- tivo es necesario proteger los principales procesos de negocio a través de un conjunto de tareas que permitan a la organización recuperarse tras un incidente grave en un plazo de tiempo que no comprometa su continuidad. De esta forma se garantiza poder dar una respuesta planifica- da ante cualquier fallo de seguridad. Esto repercutirá positivamente en el cuidado de nuestra imagen y reputación como empresa, además de mitigar el impacto financiero y de pérdida de información crítica ante estos incidentes. Evitar pérdidas de vidas Mantener la confianza Prioridades Plan de en la empresa Continuidad de Negocio Reanudar las operaciones lo Lograr las conexiones con antes posible los principales clientes y proovedores Proteger el medioambiente Ilustración 1 Prioridades del Plan de Continuación de Negocio 3 Plan de Contingencia y Continuidad de Negocio Debemos tener en cuenta que el término to de comunicaciones, sistemas como ser- continuidad del negocio no hace referen- vidores en una ubicación remota, en otros cia exclusivamente a aspectos relacionados casos podría ser más óptimo realizar copias con las tecnologías de la información. de seguridad en la nube, primando el rendi- miento frente al coste. Por ejemplo, en una empresa de mensajería se deben tener en cuen- ta las consecuencias de una inun- dación en el almacén, en una pana- dería se debe considerar el fallo de sus hornos, o en una empresa de atención telefónica el mal funciona- miento de la centralita. ¿Qué ocurre si hay un fallo en el sis- tema eléctrico?, ¿y si nuestra web no está disponible? ¿Qué ocurriría en tu empresa si hubiera una pan- demia de gripe u otro virus? ¿Has considerado medidas de bajo coste como el teletrabajo en esta situa- ción de contingencia? Aunque podría pensarse que la continuidad del negocio es un ámbito exclusivo de las grandes organizaciones, esto no es cierto. Si bien existe una diferencia significativa, cada organización establece las medidas necesarias y proporcionales a sus necesida- des para garantizar su continuidad en caso de desastre. Si hablamos del ámbito tecno- lógico, por ejemplo, mientras que una gran organización puede requerir el despliegue de un centro de respaldo alternativo, tan- 4 Plan de Contingencia y Continuidad de Negocio 2. TIPOS DE PROYECTOS DE CONTINUIDAD Aunque, en términos generales, se suelen sido afectados. En este caso, nos cen- enmarcar dentro del concepto de Plan de traremos en la parte tecnológica. Continuidad de Negocio , sí que tene- Aunque el alcance de un PCN es por lo mos que distinguir tres tipos según el al- general superior al de un PCTIC, ya que cance o ámbito que tengan. hay otros procesos y activos no tecno- ►► Plan de Continuidad de Negocio lógicos implicados, las fases de su ela- (PCN) establece la continuidad de una boración son básicamente las mismas. organización desde múltiples pers- ►► Plan de Recuperación ante Desas- pectivas: infraestructura TIC, recur- tres (PRD). En este caso, su fase de sos humanos, mobiliario, sistemas de análisis es menos profunda y se enfoca comunicación, logística, sistemas in- al ámbito más técnico, de modo que dustriales, infraestructuras físicas, etc. es un plan reactivo ante una posible Cada uno de estos ámbitos tendrá a su catástrofe. Por ejemplo, si tenemos un vez un plan de continuidad más espe- plan de desastres para nuestra página cífico, ya que no es lo mismo la inun- web de comercio electrónico, el PRD dación de un almacén de logística que contendrá todos los pasos para la re- el corte del suministro eléctrico en una cuperación de la aplicación. sala de servidores. ►► Plan de Continuidad TIC (o Plan de Contingencia TIC, PCTIC), es uno de los planes que forman el plan de con- tinuidad de negocio de nuestra organi- zación, pero restringido al ámbito TIC. Mientras que un PCN sirve de dispara- dor para los diferentes planes de con- tingencia, un PCTIC se limita al ámbito tecnológico. Por ejemplo, si se produce un incendio en uno de nuestros almacenes, será ne- cesario poner en marcha todos aque- llos planes de continuidad de negocio relacionados con los procesos que han 5 Plan de Contingencia y Continuidad de Negocio Cabe destacar dos aspectos: 1. Estos tres planes o ámbitos son inclusivos: »» Plan de recuperación ante desastres. »» Plan de contiuidad TIC. Plan de »» Plan de continuidad de negocio. recuperación ante desastres 2. Dado que nuestra organización puede tener distintos servicios con distintas nece- Plan de continuidad sidades, lo dicho no implica que debamos TIC abordar un proyecto que abarque todos los departamentos o servicios de la orga- nización. Es decir, podemos desarrollar un Plan de continuidad de negocio PCTIC en un departamento o servicio de la organización que se amplíe a determi- nados servicios, que aunque no sean tec- nológicos sí estén relacionados, o que nos interese abordarlo en este proyecto. 6 Plan de Contingencia y Continuidad de Negocio 3. FASES DE UN PLAN DE CONTINUIDAD DE NEGOCIO Los planes de continuidad de negocio pue- so de mejora de la continuidad puede den ayudarnos a: suponer emplear un número de recur- sos y un tiempo excesivo. Por tanto, es recomendable comenzar por aquellos Mantener el nivel de servicio en los departamentos o áreas con mayor im- límites definidos portancia y progresivamente ir amplian- do la continuidad a toda la organización. Establecer un período de recupera- Para ello siempre con el compromiso e ción mínimo implicación de la dirección. ►► Fase 1. Análisis de la organización. Recuperar la situación inicial antes de Durante esta fase recopilamos toda la cualquier incidente de seguridad información necesaria para establecer los procesos de negocio críticos, los Analizar los resultados y los motivos activos que les dan soporte y cuáles de los incidentes son las necesidades temporales y de recursos. Evitar que las actividades de la em- ►► Fase 2. Determinación de la estra- presa se interrumpan tegia de continuidad. Conocidos los activos que soportan los procesos crí- ticos, debemos determinar si en caso Ilustración 2 de desastre, seremos capaces de recu- Objetivos del Plan de Continuación de Negocio perar dichos activos en el tiempo nece- sario. En aquellos casos en los que no Por todo ello, debemos considerar, desde sea así, debemos establecer las diver- un punto de vista formal, aquellos factores sas estrategias de recuperación. que pueden garantizar la continuidad de ►► Fase 3. Respuesta a la contingencia. una empresa en circunstancias adversas. A partir de las estrategias de recupera- Este proceso implica las siguientes fases: ción escogidas, se realiza la selección e ►► Fase 0. Determinación del alcance. Si implantación de las iniciativas necesa- nuestra empresa presenta cierta com- rias, y se documenta el Plan de Crisis plejidad organizativa, abordar un proce- y los respectivos documentos para la recuperación de los entornos. 7 Plan de Contingencia y Continuidad de Negocio ►► Fase 4. Prueba, mantenimiento y revisión. A partir de la infraestructura tecnológica de nuestra empresa, desarrollaremos los planes de prueba y mantenimiento. ►► Fase 5. Concienciación. Además del análisis y la implantación, es necesario que tanto el personal técnico como los responsables de nuestra empresa conozcan qué es y qué supone el Plan de Continuidad de Negocio así como qué se espera de ellos. 8 Plan de Contingencia y Continuidad de Negocio 3.1. FASE 0: DETERMINACIÓN DEL ALCANCE Esta fase es la de menor duración y con- tecnológicos (servidores, dispositivos de sume un menor número de recursos. Pero red, equipos personales, bases de datos, su ejecución es imprescindible para poder aplicaciones, etc.), y personal de informáti- determinar la magnitud y coste del proyec- ca sino que también requerirá la colabora- to que vamos a abordar, además de su via- ción de otros departamentos. bilidad futura. En esta fase determinaremos qué elemen- tos de nuestra empresa van a ser el foco de la mejora de su continuidad. Por tanto estará implicado el personal, los activos de información, los sistemas informáticos, y otros servicios y procesos de la organiza- ción. Según los tipos de proyecto que he- mos visto, lo habitual es que un PRD esté enfocado a los activos, mientras que el PC- TIC tenga un enfoque mayor en los proce- sos de la empresa. El alcance habitual son aquellos sistemas o procesos de mayor criticidad y por tan- to, los que en caso de pérdida impactarían más sobre nuestra organización. Aunque nos centramos en el ámbito de la tecno- logía, esto es exactamente igual para cual- quier empresa: si para una panadería su elemento más crítico es el horno, ese debe ser el alcance. No tendría sentido en ese caso que el proyecto se centrase en ele- mentos que son accesorios o cuyo impac- to sobre el negocio es menor. Otro elemento a tener en cuenta en el al- cance es que durante el desarrollo del pro- yecto no sólo se implicarán a los activos 9 Plan de Contingencia y Continuidad de Negocio Según esto, podemos plantear el enfoque Según un enfoque por proce- desde el punto de vista del activo, o del so, el alcance sería el proceso proceso: de contabilidad, y en ese caso el objetivo del proyecto sería ►► El enfoque por activo asume la me- la mejora de la continuidad del jora de la continuidad de un conjunto proceso, que puede implicar de activos, y a partir de estos obtiene además de la mejora de la apli- la información de los procesos que los cación, la implantación de medi- utilizan. Este enfoque es más propio de das adicionales. un PRD o cuando nuestro proyecto lo va a abordar el departamento técnico. El alcance que escojamos determinará el ►► El enfoque por proceso pretende me- volumen de trabajo del proyecto. En una jorar la continuidad de un determinado empresa pequeña puede ser interesante proceso, con independencia de los acti- abordar todo los aspectos TIC, mientras vos de informática que le den soporte. que en una empresa de tamaño medio, Este enfoque es más propio del negocio. una opción puede ser comenzar con un proceso o activo crítico y a partir de ahí ir Un ejemplo de alcance podría ser ampliando poco a poco el alcance a otras la aplicación de contabilidad que áreas y activos. es crítica para la organización por Dado que nuestra idea es hacer un Plan razones de carácter fiscal. de Continuidad de Negocio TIC , vamos Esto implicará que en el proyecto in- a centrar nuestro proyecto en un enfo- tervendrá todo el personal técnico que por proceso. Es decir, vamos a coger relacionado con la aplicación, y todo nuestro proceso más crítico y vamos a me- el personal de los departamentos jorar su continuidad. que trabajen con dicha aplicación. Cabe destacar que aunque el enfoque a Según un enfoque por activo adoptar está centrado en un planteamien- cualquier análisis se centrará en to TIC, éste puede aplicarse sin demasiadas el activo, la aplicación de conta- modificaciones a los planes de continuidad bilidad, y a partir de ahí estable- de otros entornos: logística, producción, ceremos las dependencias que etc., siempre teniendo en cuenta las parti- nuestra organización tiene de cularidades de cada caso. dicho elemento. 10 Plan de Contingencia y Continuidad de Negocio 3.2. FASE 1: ANÁLISIS DE LA ORGANIZACIÓN Esta fase conlleva la obtención, elaboración y comprensión de las circunstancias, tecnologías, procesos y recursos de nuestra organización. Esto nos permitirá abordar las fases posteriores con garantías y sobre una base sólida. Es importante que involucremos a múltiples actores para que el resultado sea lo más cercano posible a la realidad. 11 Plan de Contingencia y Continuidad de Negocio 3.2.1. MANTENER REUNIONES La primera tarea a realizar es reunirnos ción de contabilidad, cada cuánto tiempo, con los usuarios finales del proceso que si la aplicación está en periodo de soporte hemos seleccionado como nuestro alcan- y cuál es el tiempo de respuesta del pro- ce. De estas reuniones debemos obte- veedor, etc. ner las dependencias de proveedores, el Tras estos dos pasos, tendremos una vi- personal implicado, las aplicaciones que sión general de los procesos de los que se utilicen, y datos sobre las necesidades queremos mejorar la continuidad. temporales de cada aplicación. Por ejemplo, si nuestro proceso más crítico es la contabilidad, deberemos reunirnos con todo el personal im- plicado en ese proceso, conocer las aplicaciones que utilizan, los equipos informáticos, qué proveedores utili- zan, si dependen de otros departa- mentos, cuánto tiempo puede estar el proceso sin disponer de una de- terminada aplicación, a qué horas se utiliza o cuántos días de información podría ser asumible perder, en caso de un incidente grave. El siguiente paso es recopilar toda la in- formación sobre las aplicaciones que hemos obtenido en el paso anterior, para obtener los detalles de su funcionamiento, instalación, proveedor, etc. Esto podemos hacerlo con entrevistas al personal de in- formática o simplemente revisando toda la información de la que dispongamos. Si- guiendo el ejemplo, así conoceremos si se realizan copias de seguridad de la aplica- 12 Plan de Contingencia y Continuidad de Negocio 3.2.2. ANÁLISIS DE IMPACTO SOBRE EL NEGOCIO El siguiente paso es elaborar el Análisis de Impacto sobre el Negocio o BIA (Business Impact Analysis), a partir de la información que hemos recogido. Este documento se debe de realizar siempre desde el punto de vista de negocio. Es uno de los ejes principales del PCTIC, al contener las necesidades de los procesos que he- mos definido como alcance. Así podremos clasificarlos según su criticidad y su dependencia de los activos tecnológicos. Este documento contiene los requisitos temporales y de recursos de los procesos dentro del alcance y, junto con el Análisis de Riegos define las iniciativas a implantar para recuperar los procesos en situación de contingencia. RTO Tiempo de recuperación Recursos humanos y tecnologicos MTD Tiempo máximo tolerable de caida ROL Niveles mínimos de recuperación de servicio Dependencias de otros procesos o proveedores RPO Grado de dependencia de la actuali- dad de los datos Ilustración 3 Análisis de impacto sobre el negocio 13 Plan de Contingencia y Continuidad de Negocio Para cada proceso que hayamos analiza- produzcan consecuencias desastro- do, debemos haber obtenido los siguien- sas para nuestra empresa. Debemos tes datos: tener en cuenta que esta valoración será en la mayoría de los casos subje- ►► Tiempo de recuperación o RTO (Re- tiva, ya que incluso si podemos medir covery Time Objective). Este es el tiempo cuantitativamente el impacto de una que un proceso permanecerá detenido contingencia (en clientes no atendidos, antes de que su funcionamiento sea ventas de la página web no realizadas, restaurado. Este valor tiene un gran etc.), determinar en qué momento di- componente de subjetividad. cho impacto pone en riesgo la continui- ►► Recursos humanos y tecnológicos dad de nuestra empresa es una tarea empleados en el proceso. En este muy compleja. punto debemos determinar las aplica- El MTD está relacionado con el negocio, ciones, sistemas, equipamiento y ele- mientras que el RTO será determinado, mentos auxiliares (impresora, fax, etc.) por lo general, por personal técnico. En que cada proceso necesita para su fun- todos los casos, el RTO debe ser infe- cionamiento en una situación de con- rior al MTD. tingencia, así como los tiempos de recu- peración que cada una de ellas tenga. Por ejemplo, si el MTD de nuestro »» En el caso de los recursos tecnoló- proceso de contabilidad son 72 ho- gicos, debemos de considerar las de- ras y su RTO 24 horas, entonces: pendencias con otra infraestructura * Tardaremos 24 horas, con los re- tecnológica. cursos actuales, en poner en marcha »» En el caso de los recursos humanos, de nuevo el proceso. debemos identificar personal crítico sin * Si no recuperamos el proceso en 72 reemplazo, ya sea por limitaciones de horas, el proceso puede dañar de ma- personal o por poseer know-how muy nera irreversible a nuestra empresa. específico. ►► Tiempo máximo tolerable de caída ►► Niveles mínimos de recuperación o MTD (Maximum Tolerable Downtime). de servicio o ROL (Revised Operating Este es el tiempo que un proceso pue- Level). Éste es el nivel mínimo de recu- de permanecer caído antes de que se peración que debe tener una actividad 14 Plan de Contingencia y Continuidad de Negocio para que la consideremos como recupe- ►► Grado de dependencia de la actua- rada, aunque el nivel de servicio no sea lidad de los datos o RPO (Recovery el óptimo. Point Objective). Este valor determina el impacto que tiene sobre la actividad la Esta variable puede ser establecida tan- pérdida de datos. Este valor es crítico to en valores absolutos como porcen- a la hora de determinar las políticas de tuales, y debe tener en cuenta el público copias de la organización, y no guarda objetivo o destinatario de la actividad del relación con el RTO visto anteriormente. servicio, cumplimiento de compromisos satisfechos con terceras partes, porcen- Por ejemplo, nuestro proceso de taje de la actividad habitual que es posi- contabilidad puede ser muy crítico, ble llevar a cabo, etc. pero puede utilizar datos históricos Aunque no siempre será posible de- del mes pasado, por lo que aunque terminar este valor, si nuestro proce- su RTO sea muy alto, su RPO puede so se basa por ejemplo en la atención ser muy bajo. de llamadas de clientes, podemos establecer un ROL en el 70%, tras lo Con la información obtenida, identificare- cual consideraremos que el proceso mos principalmente los siguientes datos: está recuperado (lo que no implica ►► Qué procesos debemos recuperar an- que dejemos de aplicar las medidas tes (de entre aquellos que componen de recuperación hasta el 100%). el alcance), en función de su MTD. Las ordenaremos por MTD de más críticas ►► Dependencias de otros procesos in- a menos críticas. Es habitual establecer ternos o proveedores externos. En una escala dividida en tres rangos de va- función de la criticidad de las actividades lores; por ejemplo un MTD inferior a 24 en las que el proveedor esté implicado, horas, otro entre 24 y 72 horas, y uno podemos solicitar a éste que indique superior a 72 horas. si dispone de un Plan de Recuperación ante Desastres y qué intervalos tempo- ►► Qué aplicaciones debemos recuperar rales maneja. El propósito es verificar antes, en función de los procesos en los que una situación de desastre en un que intervengan. proveedor crítico no traslada dicha con- ►► Las necesidades de copias de seguridad tingencia a nuestra empresa. de cada proceso. 15 Plan de Contingencia y Continuidad de Negocio Debemos tener en cuenta que cuanto ma- yor sean las exigencias temporales y de garantía de conservación de los datos, los recursos que tendremos que invertir serán mayores. Dado que esta información nos la proporcionará cada departamento que esté implicado en el alcance, es recomen- dable realizar un ejercicio de evaluación adicional para detectar exigencias dema- siado elevadas y no aceptar los requisitos sin una valoración previa. Por ejemplo, aunque el responsable de contabilidad determine que su equipo no puede estar más de 2 ho- ras sin acceso al correo electrónico, es posible que en el pasado dicha interrupción se haya producido sin consecuencias relevantes. No obstante, es probable que los re- cursos para que dicho acceso no se interrumpa sean elevados. Por tanto, debemos trasladar a los usua- rios las implicaciones de los requerimien- tos que nos indican e instarles a conside- rar incidencias en el pasado, ausencias por enfermedad, etc. 16 Plan de Contingencia y Continuidad de Negocio 3.2.3. ANÁLISIS DE RIESGO A partir de la información obtenida en las tro propósito será identificar aquellos reuniones iniciales, abordaremos la reali- riesgos que pueden poner en peligro zación de un análisis de riesgos. Estudiare- la continuidad o la información de los mos qué amenazas pueden materializarse procesos críticos de la organización. afectando a los procesos del alcance, con 3. Por último, realizaremos el producto qué probabilidad, qué impacto tendrían en de la probabilidad por el impacto de éstos y qué activos de aquellos que inter- cada amenaza, que nos servirá para vienen en los procesos de negocio críticos identificar aquellos riesgos que debe- (por ejemplo, aquellos con un MTD inferior mos tratar con mayor prioridad. De a 24 horas) se verían afectados. esta manera obtenemos un listado de Para ello, realizaremos los siguientes pasos: los riesgos de la organización, donde cada registro será una amenaza, un va- 1. Determinar las amenazas a las que lor de impacto y uno de probabilidad. está expuesta la organización: robo de información sensible, inundación, pér- Aunque estos tres pasos nos proporcio- dida de suministro eléctrico, caída del narán el conjunto de amenazas a las que servidor de correo, etc. A diferencia de estamos más expuestos, existen metodo- otros casos, en este tipo de proyectos logías que permiten obtener resultados nos centraremos en aquellas amena- menos subjetivos y más fiables, pues tie- zas que implican una indisponibili- nen en cuenta variables como el valor de dad de los procesos del alcance. los activos, sus vulnerabilidades, etc. 2. Una vez tenemos el listado de las ame- Aunque lo mejor es poder establecer rangos nazas, determinaremos la probabili- de impacto asociados a valores temporales, dad y el impacto de cada una de esas de manera que nos sea posible relacionar amenazas. Esto puede hacerse utili- el MTD/RTO con los tiempos de impacto de zando una escala variable cualitativa, una amenaza, este aspecto es complejo de por ejemplo, de uno a cinco: de “Muy evaluar y determinar por la incertidumbre baja” a “Muy alta”. En este caso, nos in- de la valoración de las amenazas. teresan especialmente aquellos riesgos que impliquen un mayor impacto (y una probabilidad no despreciable), ya que son los que pueden poner en riesgo la continuidad de la organización. Nues- 17 Plan de Contingencia y Continuidad de Negocio Una vez establecidos los principales riesgos, es decir aquellos con mayor impacto, debemos tratarlos de manera adecuada mediante una de las siguientes estrategias: 01 TRANSFERIR el riesgo a un tercero ELIMINAR 04 IMPLANTAR el riesgo 02 medidas para mitigarlo ASUMIR el riesgo 03 Ilustración 4 Estrategias para el tratamiento de los riesgos Como respuesta a los riesgos, generare- Para cada medida, determinaremos: mos un plan de tratamiento de riesgos ►► descripción de la medida o iniciativa, para cada uno de aquellos que superen el entendida ésta como un conjunto de umbral determinado. En algunas ocasiones controles de la misma naturaleza; parte de estas medidas podrán ser consi- deradas posteriormente para la mejora de ►► riesgo o riesgos que mitiga; la continuidad. ►► fecha de la implantación límite; ►► responsable de la implantación; ►► recursos necesarios para su implantación. 18 Plan de Contingencia y Continuidad de Negocio 3.3. FASE 2: DETERMINACIÓN DE LA ESTRATEGIA DE CONTINUIDAD Tras los pasos anteriores, deberemos disponer de la siguiente información: Los procesos críticos del negocio, sus tiempos necesarios de recuperación y sus requisitos de pérdida de datos Los recursos implicados en cada uno de los procesos: aplicaciones, etc... Los tiempos de recuperación de cada uno de los recursos que puede garantizar nuestro personal técnico Los riesgos a los que se encuentra some- tida la infraestructura TI Ilustración 5 Información necesaria para establecer la Estrategia de Continuidad A partir de esta información, podremos determinar cuál es la diferencia entre las necesidades de los procesos de negocio incluidos en el alcance, y las capacidades de los recursos que utilizan. De este modo, identificaremos si los recursos actuales y sus estrategias de recuperación permi- tirían cubrir el MTD establecido para cada proceso. Por ejemplo, nuestro proceso de contratación tiene un MTD de 24 horas. Éste utiliza: el correo electrónico, la aplicación específica de contabilidad y el acceso a un directorio departamental. El email y el directorio departamental tienen un RTO de 8 horas, pero la aplicación específica de contabilidad tiene un RTO de 48 horas. Esto significa que si cae dicha aplicación, el proceso se interrumpirá durante un tiempo de 48 horas, implicando un deterioro grave de la actividad de nuestra empresa. Por tanto, nuestro propósito debe ser implantar medidas que reduzcan este tiempo de re- cuperación por debajo del MTD de 24 horas. Como indicábamos antes, si ese MTD es de 8 horas, las medidas a implantar serán más costosas que en el caso de que sea de 48 horas. 19 Plan de Contingencia y Continuidad de Negocio Extendiendo este ejercicio a todos los pro- unos tiempos de respuesta acordes a cesos dentro del alcance y los diferentes las necesidades de nuestra empresa, y ámbitos, debemos determinar qué estrate- que no estamos expuestos a que nos gias seguir para cada uno de los diferentes trasladen sus posibles contingencias. elementos potencialmente afectados por Como resultado de dicho proceso deter- una contingencia. Es decir, cómo recupe- minaremos las estrategias de recuperación rar un sistema para evitar que una contin- más adecuadas a cada caso, teniendo en gencia lo degrade de manera irreversible cuenta que algunos procesos pueden re- para nuestra empresa. querir varias estrategias de recuperación en Algunos elementos potencialmente afecta- función de su naturaleza y características. bles por una contingencia son los siguientes: Estas estrategias debemos implementarlas ►► Personal. Según el personal crítico en una fase posterior, y para cada una de identificado en el BIA, debemos evaluar ellas debemos valorar el coste y viabilidad las diferentes opciones para mitigar su de su implantación, mantenimiento, recur- ausencia. sos necesarios, etc., de manera que obten- gamos un conjunto de iniciativas a implan- ►► Locales. Deben evaluarse situaciones tar para mejorar la continuidad del proceso. en las que no se disponga de ubicación para trabajar. ►► Tecnología. Para las diferentes tec- nologías implicadas en los activos que dan soporte al proceso se deben valo- rar posibles alternativas de funciona- miento o medidas complementarias. ►► Información. Debemos considerar todos aquellos aspectos relacionados con la disponibilidad y salvaguarda de la información relacionada con los pro- cesos críticos. ►► Proveedores. Debemos garantizar que los proveedores críticos tienen 20 Plan de Contingencia y Continuidad de Negocio 3.4. FASE 3: RESPUESTA A LA CONTINGENCIA Una vez hemos definido, en el punto ante- rior, las estrategias de recuperación para cada uno de los elementos implicados en los procesos críticos afectados por una contingencia, esta fase es la encargada de implementar dicha estrategia. Este proceso comienza con la implanta- ción de las iniciativas identificadas en la anterior fase, y seguirá una fase de clasifi- cación y priorización de medidas, en fun- ción del proceso afectado por su implanta- ción y la criticidad de éste. Durante la implantación, podemos abor- dar la fase de documentación de respues- ta a la contingencia, y a partir de este pun- to nos centraremos en los elementos más relacionados con la tecnología, aunque son también aplicables a elementos que no sean tecnológicos. Esta documentación se ejecuta en forma de árbol jerárquico, donde el elemento su- perior gestiona el momento crítico inmedia- tamente posterior a la crisis, los elementos intermedios ponen las bases para la recupe- ración de la infraestructura, y los nodos infe- riores establecen los procedimientos técni- cos detallados para dicha recuperación. Este proceso lo organizamos en torno a los siguientes elementos que se detallan a continuación. 21 Plan de Contingencia y Continuidad de Negocio 3.4.1 3.4.1. PLAN DE CRISIS (O DE INCIDENTES) Este documento es el elemento central en la gestión de la situación de crisis, cuyo objetivo es evitar que tomemos decisiones improvisadas que puedan empeorar la crisis o que, simplemente, no se tomen. Este plan contiene todos los elementos necesarios para la gestión de los momentos iniciales de una crisis: Condiciones de disparo. Es decir, qué situación límite debe darse para que declaremos una situación de crisis. En este caso tendremos en cuenta especialmente los MTDs de los procesos críticos. Flujos de toma de decisiones. Medios para la declaración de la situación de crisis. Personal responsable de activar el Plan de Crisis y gestionarlo. Teléfonos y datos de contacto del personal implicado en la gestión de la crisis. Niveles de priorización en la recuperación de la infraestructura de la organización. Requisitos temporales de puesta en marcha. Planes Operativos existentes y personal responsable de su activación. Ilustración 6 Elementos para la gestión inicial de una crisis Tras la ejecución del Plan de Crisis, ya habremos gestionado el momento crítico de la crisis y puesto en marcha todos los procesos necesarios para la recuperación de la infraestructura afectada través de los Planes Operativos de Recuperación de Entornos. 22 Plan de Contingencia y Continuidad de Negocio 3.4.2. PLANES OPERATIVOS DE RECUPERACIÓN DE ENTORNOS Una vez contenido el momento inicial de la crisis, debemos realizar una evaluación del alcance de la crisis y determinar qué Planes Operativos de Recuperación se activan. Estos documentos pueden abarcar uno o más entornos independientes y contienen información específica sobre el entorno al cual aplican. Por ejemplo, un entorno pue- de ser un ERP, el correo electrónico. Tras el disparo de los diferentes Planes Operativos, cada una de las infraestruc- turas afectadas comenzará su proceso de recuperación, tomando como base para ello el elemento último de la ejecución de la estrategia de continuidad: los procedi- mientos técnicos de trabajo. 23 Plan de Contingencia y Continuidad de Negocio 3.4.3. PROCEDIMIENTOS TÉCNICOS DE TRABAJO (O DE INCIDENTES) Esta es toda documentación que describe cómo hemos de llevar las tareas necesarias para la gestión y recuperación de una aplicación, sistema, infraestructura o entorno. Aunque intrín- secamente no son parte de la continuidad del negocio sino de la operación diaria, es en una situación de crisis cuando se vuelven más importantes. Por tanto, estos documentos contienen gran cantidad de información específica a cada uno de los entornos: direcciones IP, versionado de programas, listado detallado de comandos, tablas de enrutamiento, recuperación de copias de base de datos, puesta en marcha de aplicaciones, etc. 24 Plan de Contingencia y Continuidad de Negocio 3.5. FASE 4: PRUEBA, MANTENIMIENTO Y REVISIÓN Un Plan de Continuidad TIC tiene como ►► personal técnico implicado en la prueba; objeto gestionar de la manera óptima en ►► usuario del aplicativo implicado en la tiempo y forma una situación de crisis no prueba; prevista, reduciendo así los tiempos de re- cuperación y vuelta a la normalidad. Por ►► personal externo implicado en la prue- tanto, es imperativo que lo mantengamos ba: clientes, proveedores, etc; actualizado en todo momento y que su vi- ►► descripción de la prueba a realizar; gencia sea comprobada regularmente. ►► descripción del resultado esperado tras Por ejemplo, un plan de continui- la ejecución de la prueba; dad TIC no actualizado puede im- plicar que el personal reflejado en ►► hora y fecha de realización; debemos la documentación ya no trabaje en tener en cuenta que siempre que la nuestra empresa, que las versiones prueba pueda implicar una pérdida de de las aplicaciones sean diferentes servicio, ya sea ejecutada con éxito o no, a las documentadas, que los telé- debe planificarse ésta en un horario de fonos de contacto sean erróneos, mínimo impacto. etc. Esto puede ser muy grave en Tras la prueba, deberá elaborarse un infor- una situación de contingencia. me que recoja los resultados y describa las posibles incidencias surgidas durante ésta: Para ello, es necesario llevar a cabo diferen- resultados no esperados, tiempos estimados tes pruebas sobre los entornos que haya- superados, mala comunicación con el perso- mos definido en el alcance, con diferentes nal, indisponibilidad de proveedores, etc. grados de complejidad y elaboración. Entre todas las pruebas, debemos realizar prue- Cualquier incidencia que se haya produci- bas de todos los entornos al menos una vez do debe analizarse para la aplicación de las al año para cubrir el conjunto de amenazas medidas correctoras que sean necesarias. que hemos definido como potencialmente Algunas posibles pruebas que pueden rea- catastróficas. lizarse, siempre teniendo en cuenta que En la ejecución de las pruebas, es necesario éstas dependen de la idiosincrasia de cada llevar a cabo una planificación previa que organización y que deben analizarse y plani- tenga en cuenta los siguientes aspectos: ficarse cuidadosamente, son las siguientes: 25 Plan de Contingencia y Continuidad de Negocio ►► Realizar la comprobación de que ante una caída del suministro eléctrico, el sistema de alimenta- ción ininterrumpida y el grupo electrógeno entra en funcionamiento. ►► Verificar los tiempos de recuperación de los posibles repositorios documentales de la or- ganización en una máquina de pruebas. Los permisos de los ficheros deben ser los que cada fichero tenía antes de la recuperación. ►► Recuperación de las aplicaciones críticas del negocio (y los datos asociados) en máquinas ins- taladas durante la prueba. ►► Acceso remoto a la infraestructura desde una ubicación remota. ►► Si disponemos de entornos replicados o en configuración de clúster, debemos garantizar que ambos elementos pueden funcionar de manera independiente, y que ante la caída de uno de ellos, el otro dispositivo funciona correctamente. 26 Plan de Contingencia y Continuidad de Negocio 3.5.1. PLAN DE MANTENIMIENTO El propósito es mantener actualizada toda la documentación cada vez que se pro- duzca un cambio significativo en la organi- zación, a nivel de infraestructuras TIC, de personal, o de cualquier otro aspecto im- plicado en los procesos críticos. Esto permitirá que la documentación que tengamos que utilizar en una situación de crisis refleje fielmente la información de los distintos actores involucrados en los procesos: infraestructura técnica, perso- nal, proveedores externos y terceras par- tes que deben tenerse en cuenta en una situación de contingencia. 27 Plan de Contingencia y Continuidad de Negocio 3.5.2. PLAN DE PRUEBAS El objetivo es mostrar los distintos tipos de pruebas de contingencia que debemos llevar a cabo. A pesar de que el plan de mantenimiento contiene aquellos even- tos que deben disparar una revisión o mo- dificación del sistema (por ejemplo, el cam- bio de un proveedor, atravesar con éxito una fase de crisis), en la ejecución de los planes de prueba es vital para garantizar la salud del PCTIC. Esto permite: ►► garantizar que la información del plan se mantiene actualizada; ►► garantizar que en situación de con- tingencia, la organización podrá recu- perarse en los tiempos establecidos, aspecto que puede determinar la con- tinuidad de la organización; ►► incrementar la cohesión del personal implicado en una potencial contingencia; ►► mejorar el conocimiento de los usua- rios en relación con las pruebas de continuidad; ►► incrementar la confianza de los usua- rios en la organización. 28 Plan de Contingencia y Continuidad de Negocio 3.6. FASE 5: CONCIENCIACIÓN Como última fase de la implantación de nuestro Plan de Continuidad de Negocio TIC, pero no por ello menos importante, debemos llevar a cabo aquellas tareas que incrementen la concienciación del personal en relación con la continuidad. Debe realizarse tanto del personal implicado en los procesos de negocio, como del personal de TI. En concreto, debemos plantear un proceso de concienciación que contemple la des- cripción de los elementos que utilizamos en la continuidad (análisis de impacto sobre el negocio, plan de crisis, estrategias de recu- peración, etc.). Además deben de conside- rarse aspectos como las responsabilidades, pruebas que debemos realizar, etc. El público objetivo en este caso deberá ser tanto el personal técnico como el personal de negocio que tenga algún tipo de relación con los procesos críticos dentro del alcance. 29 Plan de Contingencia y Continuidad de Negocio 4. RESUMEN Tal y como hemos visto, podemos resumir las tareas para realizar un Plan de Continuidad TIC en los siguientes pasos: ►► Determinar el alcance de los servicios ►► Elaborar el plan de crisis para iden- y procesos objeto de la mejora de su tificar las primeras acciones a realizar continuidad. cuando ocurre un accidente. ►► Realizar reuniones con los departa- ►► Elaborar los planes de recuperación para mentos implicados y determinar sus cada entorno implicado en el alcance. necesidades y requerimientos. ►► Elaborar las instrucciones técnicas de ►► Realizar reuniones con personal técni- trabajo para poder llevar a cabo el plan co y determinar con qué capacidades y de recuperación. recursos cuentan. ►► Elaborar el plan de mantenimiento e ►► Identificar los servicios y procesos crí- implantarlo. ticos junto con los activos tecnológicos ►► Elaborar el plan de pruebas e implan- que los sustentan y sus dependencias. tarlo, realizando comprobaciones perió- ►► Obtener los riesgos a los que están ex- dicas para verificar que son correctas. puestos los servicios y procesos. ►► Realizar la formación al personal im- ►► Identificar qué medidas o iniciativas plicado en el Plan de Continuidad de llevar a cabo para que las capacidades Negocio. tecnológicas sean superiores a las de- mandas de negocio. 30 Plan de Contingencia y Continuidad de Negocio 5. REFERENCIAS [Ref - 1]. Banco de España «Recomendaciones relativas a la continuidad de negocio» - https://www.bde.es/f/webbde/COM/Supervision/politica/ficheros/es/Recomendaciones_relati- vas_a_la_continuidad_del_negocio.pdf [Ref - 2]. INCIBE, Políticas de seguridad para la pyme «Continuidad de negocio» - ht- tps://www.incibe.es/sites/default/files/contenidos/politicas/documentos/continuidad-negocio. pdf [Ref - 3]. INCIBE, Plantilla ejemplo para el inventario básico de activos para BIA - ht- tps://www.incibe.es/sites/default/files/contenidos/dosieres/plan-contingencia-continuidad-ne- gocio/plantilla-ejemplo-bia.xls [Ref - 4]. INCIBE, Gestión de riesgos. Una guía de aproximación para el empresario - https://www.incibe.es/protege-tu-empresa/guias/gestion-riesgos-guia-empresario [Ref - 5]. INCIBE, Plantilla ejemplo para un plan de recuperación de entornos - https:// www.incibe.es/sites/default/files/contenidos/dosieres/plan-contingencia-continuidad-nego- cio/contingencia-y-continuidad-de-negocio-plan-de-recuperacion.pdf [Ref - 6]. INCIBE, KIT de concienciación para empresas - https://www.incibe.es/prote- ge-tu-empresa/kit-concienciacion 31 Plan de Contingencia y Continuidad de Negocio
