Gestión de la Continuidad del Negocio

Cuando una organización implanta la norma UNE-ISO/IEC 27001 lo que quiere conseguir es reducir sus riesgos y evitar posibles incidentes de seguridad. Sin embargo, hay que tener presente que existen situaciones que son imposibles de evitar, ya que no es posible proteger al 100% los activos de información, por eso las empresas tienen que planificarse con el fin de evitar que las actividades de su entidad queden interrumpidas.

Estos son algunos de los ejemplos que hemos encontrado en la prensa sobre los riesgos en materia de seguridad de la información.

• Las fallas eléctricas causan el 90% de los incendios. Los problemas más comunes por los que se produce este tipo de siniestros son: la utilización de materiales no adecuados, un cálculo erróneo del sistema o contratar electricistas sin formación técnica.
• El 43% de las empresas estadounidenses que sufren un desastre, sin contar con un Plan de Continuidad del Negocio, no se recuperan. El 51% sobrevive pero tarda un promedio de dos años en reinsertarse en el mercado y solo el 6% mantiene su negocio a largo plazo.
• El 30% de las copias de seguridad y el 50% de las restauraciones fallan, según un informe de Enterprise Strategy Group. Durante este estudio muchos departamentos de Tecnología de la Información reconocían no estar seguros de ser capaces de recuperar los datos críticos del negocio y si podrían hacerlo en un tiempo razonable.

Para evitar estas y otras situaciones es necesario disponer de un Plan de Continuidad del Negocio. Este plan es la respuesta prevista por la empresa ante aquellas situaciones de riesgo que le pueden afectan de forma crítica.

No importa el tamaño de la empresa o el coste de las medidas de seguridad implantadas, toda organización necesita un Plan de Continuidad del Negocio, ya que tarde o temprano se encontrará con una incidencia de seguridad.

En líneas generales podemos decir, que estos planes tienen como objetivo impedir que la actividad de la empresa se interrumpa y, si no puede evitarse, que el tiempo de inactividad sea el mínimo posible.

Pero además, tienen que intentar lo siguiente:

• Mantener el nivel de servicio en los límites definidos por la compañía y que han sido asumidos por la misma.
• Establecer un periodo de recuperación mínimo para garantizar la continuidad del negocio.
• Algunas compañías pueden parar su actividad, debido a una incidencia, durante una semana pero otras no pueden superar unas horas.
• Recuperar la situación inicial de los servicios y procesos. La recuperación no tiene que ser inmediata y toda al mismo tiempo, ya que puede que existan procesos más críticos que necesiten recuperarse antes.
• Analizar el resultado de la aplicación del plan y los motivos del fallo para optimizar las acciones a futuro. Es decir, aprender de las incidencias para mejorar en la respuesta.

Cuando desarrollemos nuestro Plan de Continuidad del Negocio tenemos que tener en cuenta que debe contener los siguientes apartados:

• Establecimiento y definición de las situaciones críticas. Para ello se han de identificar, entre los riesgos analizados, aquellos que no podrán ser evitados a través de las diversas medidas implantadas.
• Establecimiento de un Comité de Emergencia que será el encargado de gestionar la situación de crisis ante una incidencia. Es el responsable de organizar al resto del personal y de que la empresa pueda recuperarse de un incidente.
• Definición de las diversas situaciones posibles, elaborando procedimientos para cada una de las incidencias que se podrían dar en una organización. Estos procedimientos recogerán:

o   En primer lugar, la situación que provocará una incidencia determinada. Al producirse esta situación se deben comenzar las acciones para evitar que el daño vaya a más y para comenzar la recuperación.

o   En segundo lugar, todas las acciones y las secuencias que deben llevarse a cabo ante un incidente de seguridad. Las prisas y las situaciones de estrés, provocadas por este tipo de incidencias, pueden hacer que no se lleven a cabo las acciones como se deberían. Por ello, es importante tener por escrito todo el procedimiento detallado y éste, debe ser conocido por las personas implicadas.

o   Y por último, contener los registros que es necesario recoger durante la incidencia para su  posterior análisis y realización de acciones de mejora.

El plan debe haber sido probado y mejorado antes de que haya que aplicarlo. De no ser así, puede ser que en el momento de producirse el incidente el plan falle y no nos sirva para salir de la situación sino que la empeore.

Así mismo, el plan debe ser conocido por todo el personal involucrado directa e indirectamente. El grado de conocimiento del plan por parte de los diferentes actores dependerá de su involucración dentro del mismo.

Para desarrollar un Plan de Continuidad del Negocio es necesario seguir cuidadosamente las siguientes fases:

• Primera fase. Definición del proyecto, donde es necesario establecer los objetivos, el alcance y el peor de los escenarios.
• Segunda fase. Análisis de impacto en el negocio, conocido por sus siglas en inglés BIA (Business Impact Analysis). Debemos realizar un análisis de riesgos, evaluar el impacto del incidente tanto económico como de cualquier otro tipo, identificar los procesos y activos críticos, asignar el tiempo objetivo de recuperación y evaluar las coberturas de los seguros y contratos.
• Tercera fase. Selección de estrategias. Aquí hay que identificar los recursos disponibles, evaluar las salvaguardas y estimar si conviene más aportar una solución a nivel interno o a nivel externo.
• Con toda la información hay que valorar las ventajas y desventajas de cada una de las estrategias posibles y escoger la más conveniente para la organización.
• Cuarta fase. Desarrollo de planes en los que tenemos que implementar diferentes procedimientos para afrontar las diversas incidencias.
• Quinta fase. Pruebas y mantenimiento del plan de continuidad.

Es imprescindible probar el plan para garantizar que cuando haya que usarlo todo funcione como está previsto.

El plan debe ser probado periódicamente para identificar y corregir posibles deficiencias e incluir actualizaciones del sistema. Estas pruebas deben incluir, al menos, la restauración de las copias de seguridad, la coordinación del personal y departamentos involucrados, la verificación de la conectividad de los datos y del rendimiento de los sistemas alternativos, y la verificación del procedimiento para la notificación de las incidencias y la vuelta a la situación inicial de normalidad.