Claves para establecer un Plan de Continuidad del Negocio
De acuerdo al estudio de Cummings, Haag&McCubbrey 2005 más del 40% de las empresas que sufrieron pérdidas importantes de datos, ya sea por un desastre natural u otro tipo de evento que afectó el funcionamiento de su parque tecnológico, nunca pudieron reabrir, mientras que el 51% cerró sus puertas al cabo de dos años y solo un 6% pudo sobrevivir a largo plazo.
Por esta razón, la necesidad de contar con un Plan de Continuidad del Negocio (BCP, por sus siglas en inglés) se vuelve cada vez más indispensable. El BCP es un proceso de gestión ideado para asegurar la continuidad de los productos y/o servicios que brinda la organización. Lo que hace es determinar la criticidad e importancia de los procesos de negocio que dependen de la información que les proveen los servicios de TI. De esta manera, el BCP se enfoca principalmente en las prioridades de recuperación, los tiempos de recuperación y los Acuerdos de Nivel de Servicios (SLAs) sobre los Servicios de TI que dependen, a su vez, de diversos Sistemas e Infraestructuras tecnológicas de procesamiento, almacenamiento, comunicaciones y software.
Existen varios pasos y procesos necesarios para implementar un plan de continuidad del negocio. Las principales claves pueden resumirse en estos puntos:
Analizar e identificar las amenazas de seguridad en la organización
Para logarlo es necesario realizar un Análisis de Riesgo de TI. De esta forma, se identifica y tipifica los principales activos informáticos en un Inventario de Activos. A partir de ahí, se confecciona un árbol de jerarquías de activos, especificando las dependencias que existen entre los mismos. Luego, se especifica el valor estratégico de los procesos de negocio y la clasificación en Disponibilidad de los activos de información que se encuentran dentro del alcance del proyecto.
Una vez hecho esto, se entrevista a los Propietarios y Custodios de los activos, para determinar el grado de madurez de los controles, y así obtener las correspondientes salvaguardas y vulnerabilidades. Las amenazas se determinan en función de su relación con las vulnerabilidades, en la base de conocimiento.
Analizar e identificar los componentes clave de infraestructura y de comunicación
Se implementa un Análisis de Impacto al Negocio (BIA por el inglés, Business Impact Analysis) para identificar los componentes clave requeridos para continuar con las operaciones de negocio luego de un incidente. Esto incluye: personal requerido, áreas de trabajo, registros vitales, backups de información, aplicaciones y sistemas, dependencias de otras áreas, dependencias con terceras partes, criticidad de los recursos de información, participación del personal de seguridad informática y los usuarios finales, análisis de todos los tipos de recursos de información.
El BIA es esencial para conocer los elementos críticos y los puntos débiles de los sistemas, que servirán de guía en la confección de los correspondientes Planes de Contingencia y el Plan de Continuidad del Negocio.
Capacidad para controlar el daño ocasionado
El BCP abarca todos los sectores del negocio, con más foco en aquellas áreas en donde la disponibilidad de la información es el mayor activo. Para los eventos con mayor nivel de criticidad a resolverse durante una contingencia, se debe contemplar una recuperación casi inmediata de información que permita volver a las operaciones. Para esto es necesario contar con la capacidad necesaria.
Capacidad para recuperar los procesos y continuar operando
Es necesario definir la estrategia de recuperación del proceso de negocio afectado. Para ello se debe contar con la metodología y las herramientas necesarias para hacer frente a un incidente concretado.
Comprometer al personal de la organización a cumplir el rol asignado ante un incidente
En todo proceso de recuperación es importante que el personal comprometido en ejecutar las acciones estipuladas en el Plan esté capacitado y alineado a las operaciones de recuperación. Es importante establecer qué personas están implicadas en el cumplimiento del plan, cuáles son las responsabilidades concretas de esas personas y sus roles dentro del plan y qué protocolos de actuación deben seguir.
Actualización en el tiempo
El plan debe actualizarse periódicamente debido a que los componentes de la infraestructura que soportan a los procesos de negocios pueden cambiar, ya sea por la incorporación de nuevo hardware o por la eliminación de alguno de estos componentes. Es importante volver a realizar un análisis de riesgo y un BIA y acomodar el plan a su nueva dimensión.
Para logarlo es necesario realizar un Análisis de Riesgo de TI. De esta forma, se identifica y tipifica los principales activos informáticos en un Inventario de Activos. A partir de ahí, se confecciona un árbol de jerarquías de activos, especificando las dependencias que existen entre los mismos. Luego, se especifica el valor estratégico de los procesos de negocio y la clasificación en Disponibilidad de los activos de información que se encuentran dentro del alcance del proyecto.
Una vez hecho esto, se entrevista a los Propietarios y Custodios de los activos, para determinar el grado de madurez de los controles, y así obtener las correspondientes salvaguardas y vulnerabilidades. Las amenazas se determinan en función de su relación con las vulnerabilidades, en la base de conocimiento.
Analizar e identificar los componentes clave de infraestructura y de comunicación
Se implementa un Análisis de Impacto al Negocio (BIA por el inglés, Business Impact Analysis) para identificar los componentes clave requeridos para continuar con las operaciones de negocio luego de un incidente. Esto incluye: personal requerido, áreas de trabajo, registros vitales, backups de información, aplicaciones y sistemas, dependencias de otras áreas, dependencias con terceras partes, criticidad de los recursos de información, participación del personal de seguridad informática y los usuarios finales, análisis de todos los tipos de recursos de información.
El BIA es esencial para conocer los elementos críticos y los puntos débiles de los sistemas, que servirán de guía en la confección de los correspondientes Planes de Contingencia y el Plan de Continuidad del Negocio.
Capacidad para controlar el daño ocasionado
El BCP abarca todos los sectores del negocio, con más foco en aquellas áreas en donde la disponibilidad de la información es el mayor activo. Para los eventos con mayor nivel de criticidad a resolverse durante una contingencia, se debe contemplar una recuperación casi inmediata de información que permita volver a las operaciones. Para esto es necesario contar con la capacidad necesaria.
Capacidad para recuperar los procesos y continuar operando
Es necesario definir la estrategia de recuperación del proceso de negocio afectado. Para ello se debe contar con la metodología y las herramientas necesarias para hacer frente a un incidente concretado.
Comprometer al personal de la organización a cumplir el rol asignado ante un incidente
En todo proceso de recuperación es importante que el personal comprometido en ejecutar las acciones estipuladas en el Plan esté capacitado y alineado a las operaciones de recuperación. Es importante establecer qué personas están implicadas en el cumplimiento del plan, cuáles son las responsabilidades concretas de esas personas y sus roles dentro del plan y qué protocolos de actuación deben seguir.
Actualización en el tiempo
El plan debe actualizarse periódicamente debido a que los componentes de la infraestructura que soportan a los procesos de negocios pueden cambiar, ya sea por la incorporación de nuevo hardware o por la eliminación de alguno de estos componentes. Es importante volver a realizar un análisis de riesgo y un BIA y acomodar el plan a su nueva dimensión.
Por Alejandro Mitaritonna, Director de Khutech
Comentarios
Publicar un comentario