Plan de Continuidad de Negocio.

Dentro del departamento de sistemas en una compañía es importante contar con un plan alternativo que asegure la continuidad de la actividad del Negocio en caso de que ocurran incidentes graves.

Tradicionalmente, los Planes de Continuidad, denominados Planes de Contingencia en sus orígenes, están asociados a grandes compañías que necesitan reaccionar de forma inmediata ante cualquier evento que interrumpa sus servicios. La realidad es que cualquier compañía puede sufrir un incidente que afecte a su continuidad y, dependiendo de la forma en que se gestione dicho incidente, las consecuencias pueden ser más o menos graves.

Cabe destacar que el Plan de Continuidad de Negocio que se pretende llevar a cabo para estas compañía como en una Pyme, aunque consecuentemente el tiempo, el esfuerzo y el presupuesto a emplear variarán sensiblemente.

ANTECEDENTES

A la velocidad con la que operan los negocios actuales un incidente de unas pocas horas de duración puede tener un impacto catastrófico en los resultados y en la imagen de la organización que lo sufra.

La íntima dependencia que existe entre el negocio y los sistemas de información exige que éstos estén preparados para afrontar las múltiples amenazas que ponen en riesgo su operatividad y, en consecuencia, la continuidad del negocio. Sin embargo, en no pocas ocasiones no es necesario un desastre de dimensiones parecidas a las de los mencionados anteriormente para poner en peligro no sólo la buena marcha del negocio sino su misma supervivencia; eventos como la irrupción de un virus o la instalación de un parche de seguridad pueden conducir a la inoperabilidad temporal de los sistemas, la pérdida de información crítica o, en última instancia, la inutilización de las infraestructuras.

Tipos de incidentes

No sólo las catástrofes ambientales, tales como incendios o inundaciones, pueden causar daños adversos a una organización. Otros tipos de incidentes, como los que se detallan a continuación, pueden tener impactos adversos para una compañía:

• Incidentes serios de seguridad en los sistemas, como delitos cibernéticos, pérdida de información, robo de información sensible o su distribución accidental, fallos en los sistemas IT, errores de operación en los sistemas, etc.

• Daños en las infraestructuras o en los servicios, fallos en el suministro eléctrico, fallos en el suministro de agua, fallos en las comunicaciones, huelgas en los servicios de limpieza.

• Fallos en los equipos o en los sistemas, incluyendo fallos en las fuentes de alimentación, en los equipos de refrigeración.

• Daños deliberados como actos de terrorismo o de sabotaje, guerras, robos, huelgas, etc.

Los accidentes afectan de forma diferente a cada organización, dependiendo de su tamaño y de su área de actividad, no siendo el tamaño una característicafundamental; las pequeñas y medianas organizaciones también pueden verse seriamente afectadas.

Las consecuencias de estos accidentes sobre las organizaciones que no tienen un plan de continuidad de negocio pueden llegar a ocasionar incluso el cierre de las mismas.

A pesar de que los efectos inmediatos de un desastre aparentemente son la pérdida de beneficios por la parada de actividad puntual y la incapacidad para proveer servicios críticos, no son éstos los efectos más perniciosos que un incidente de este tipo provoca.

Otros efectos derivados que pueden causar un gran impacto en la compañía son la pérdida de reputación de cara a los clientes, o la pérdida de ventaja competitiva con otras compañías.

El Plan de Continuidad de Negocio se compone de varias fases que comienzan con un análisis de los procesos que compone la organización. En este análisis priorizará qué los procesos son críticos para el negocio y establecerá una política de recuperación ante un desastre. Por cada proceso se identificaran los impactos potenciales que amenazan la organización, estableciendo un plan que permita continuar con la actividad empresarial en caso de una interrupción.

El Plan de Continuidad de Negocio, está orientado al mantenimiento del negocio de la organización, con lo que priorizará las operaciones de negocio críticas necesarias para continuar en funcionamiento después de un incidente no planificado.

En el desarrollo de un Plan de Continuidad de Negocio existen dos preguntas clave:

• ¿Cuáles son los recursos de información relacionados con los procesos críticos del negocio de la compañía?

• ¿Cuál es el período de tiempo de recuperación crítico para los recursos de información en el cual se debe establecer el procesamiento del negocio antes de que se experimenten pérdidas significativas o aceptables?

Un Plan de Continuidad reducirá el número y la magnitud de las decisiones que se toman durante un período en que los errores pueden resultar mayores. Dentro del Plan establecerá, organizará y documentará los riesgos, responsabilidades, políticas y procedimientos, acuerdos con entidades internas y externas.

La activación de un Plan de Continuidad debería producirse solamente en situaciones de emergencia y cuando las medidas de seguridad hayan fallado.

BENEFICIOS

• Identifica los diversos eventos que podrían impactar sobre la continuidad de las operaciones y su impacto financiero, humano y de reputación sobre la organización.

• Obliga a conocer los tiempos críticos de recuperación para volver a la situación anterior al desastre sin comprometer al negocio.

• Previene o minimiza las pérdidas para el negocio en caso de desastre.

• Clasifica los activos para priorizar su protección en caso de desastre.

• Aporta una ventaja competitiva frente a la competencia.

• Fomenta e implica a los recursos humanos de la compañía en las actividades de continuidad.

El propósito general de un Plan de recuperación de la empresa es mantener el servicio de T.I. al 100% dentro de sus instalaciones por tal motivo el plan se divide en cuatro fases que a continuación se mencionan

Dentro de la compañía se desarrollará el Plan, con el objetivo de asegurar la continuidad de la actividad en caso de contingencia.

Se comenzara con el Análisis del Negocio y sus riesgos:

Actividades más importantes de la empresa de sistemas

Una de las actividades más importantes del departamento de sistemas es dar atención a sus clientes por medio de servicio. Este es el caso de un Departamento de Sistemas, que al igual que el de mantenimiento, compras y muchos otros, brindan servicios y soluciones a las demás áreas de la empresa, que requieren de ellos para su buen funcionamiento.

El Departamento de Sistemas porque es precisamente a través de Sistemas de Información, que se ofrecen la mayoría de las soluciones, sin embargo es llamado también Departamento de Informática por ser precisamente el proveedor de información. El conocimiento de sistemas de información abarca tanto perspectivas técnicas como conductuales, destacando la conciencia de las dimensiones de administración, organización y tecnológicas de los mismos. Los sistemas de información definen cinco retos claves para los administradores de hoy día: el reto del negocio estratégico; el reto de la globalización, el reto de la arquitectura de la información; el reto de la inversión en sistemas de información y el reto de la responsabilidad y control.

En efecto, las principales áreas en que habitualmente ha incursionado la seguridad en los centros de cómputos han sido:

· Seguridad física.

· Control de accesos.

· Protección de los datos.

· Seguridad en las redes.

PERIODO MÁXIMO DE INTERRUPCIÓN

Se debe establecer los tiempos de recuperación. Teniendo en cuenta que el objetivo del Plan es dar continuidad al negocio tras un incidente o contingencia grave con las menores pérdidas económicas posibles para la compañía, deben estimarse para cada uno de los procesos que se han considerado críticos, el tiempo a partir del cual las pérdidas económicas afectarían de forma grave a la compañía (Tiempo máximo de interrupción). Esta estimación es importante de cara a seleccionar la estrategia de respaldo adecuada a las necesidades de recuperación.

ESQUEMA DEL ANÁLISIS DE RIESGOS

IDENTIFICAR ACTIVOS

Para cada procesos críticos de sistemas necesario realizar un inventario de los activos involucrados en el proceso. Los activos se definen como los recursos de una compañía que son necesarios para la consecución de sus objetivos de negocio. Ejemplos de activos de una compañía pueden ser:

• Información

• Equipamiento

• Conocimiento

• Sistemas

Componentes de análisis de riesgo y su correlacion.

IDENTIFICAR AMENAZAS

Una amenaza se define como un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus servicios.

Se analizarán los riesgos que hay que evaluar en las distintas amenazas que pueden provenir de las más diversas fuentes. Entre éstas se incluyen los agresores malintencionados, las amenazas no intencionadas y los desastres naturales.

La siguiente ilustración clasifica las distintas amenazas a los sistemas.

EVALUAR VULNERABILIDADES

Son debilidades que pueden ser explotadas para convertir una amenaza en un riesgo real que puede causar daños graves en una compañía. Las vulnerabilidades en sí mismas no causan daño alguno, sino que es una condición o un conjunto de condiciones que pueden permitir a una amenaza afectar a un activo.

EVALUACIÓN DEL RIESGO

El riesgo suele expresarse en términos cualitativos (Alto, Medio, Bajo). A continuación se muestra un ejemplo de una matriz de probabilidad/impacto:

DESARROLLO DEL PLAN DE CONTINUIDAD

En esta fase ya se estará desarrollando lo que es el plan de continuidad ya que se conoce a fondo la organización comenzaremos a definir la organización de los equipos:

Comité de Crisis: Encargado de dirigir las acciones durante la contingencia y recuperación.

• Equipo de Recuperación: Su función es restablecer todos los sistemas necesarios (voz, datos, comunicaciones, etc.).

• Equipo Logístico: Responsable de toda la logística necesaria en el esfuerzo de recuperación.

• Equipo de las Unidades de Negocio: Encargados de la realización de pruebas que verifiquen la recuperación de los sistemas críticos.

• Equipo de Relaciones Públicas: Encargado de las comunicaciones a los medios de comunicación y clientes.

DESARROLLO DE PROCEDIMIENTOS

Una vez que hemos definido los equipos y se han establecido las funciones que debe desempeñar cada equipo, tenemos que desarrollar los procedimientos que van a seguir, y su actuación en cada una de las fases de activación del Plan de Continuidad.

- FASE DE ALERTA

• Procedimiento de notificación del desastre.

• Procedimiento de lanzamiento del Plan

• Procedimiento de notificación de la puesta en marcha del Plan a los equipos implicados.

- FASE DE TRANSICIÓN

• Procedimiento de concentración de equipos.

• Procedimiento de traslado y puesta en marcha de la recuperación.

- FASE DE RECUPERACIÓN

• Procedimientos de restauración.

• Procedimientos de soporte y gestión.

- FASE DE VUELTA A LA NORMALIDAD

• Análisis del impacto.

• Procedimientos de vuelta a la normalidad.

En el siguiente esquema podemos ver las fases que componen el Plan de Continuidad de Negocio: