Introducción al plan de continuidad de negocio (Plan de contingencia): Conceptos básicos Publicada por 4v4t4r en Conceptos / Definiciones, Planes de contingencia .
Tradicionalmente se venía considerando la seguridad informática como un área donde bastaba con dar una solución tecnológica a los problemas y necesidades que planteaba. Sin embargo, cada vez más somos todos conscientes de que cuando hablamos, no ya de seguridad informática sino de seguridad de la información, nos referimos a cuestiones relativas a organización y control interno. En definitiva, estamos hablando del buen gobierno de las empresas que permita la continuidad y la supervivencia del negocio. Elemento clave de esta concepción de la seguridad de la información es el plan de continuidad de negocio.
Según indica el Grupo Penteo, el 83% de las empresas españolas reconocen haber sufrido durante el año 2004 algún incidente de seguridad informática. Son múltiples los riesgos a los que están expuestas nuestras organizaciones, los cuales ponen en continuo peligro la continuidad de nuestro negocio. Algunos ejemplos son: hackers, virus, gusanos, troyanos, ataques híbridos, empleados descontentos o negligentes, ex-empleados, desastres naturales, incumplimiento de la legalidad, etc. Todos estos riesgos tienen consecuencias que dañan nuestro negocio: pérdida de información, caídas de sistemas, información alterada, tiempo excesivo de recuperación ante un incidente, sanciones (Agencia Estatal de Protección de Datos, BSA, etc.) y, en definitiva, pérdida de imagen y de clientes.
¿Qué es un plan de continuidad de negocio (PCN)?
Según el Business Continuity Institute podemos definir la gestión de la continuidad de negocio como: “La acción de prever aquellos incidentes que afectan a funciones o procesos críticos para la organización y que asegura que la respuesta a todos ellos se ejecuta de una manera organizada y consecuente.”
No estamos hablando de un plan de contingencia. No se trata sólo de los sistemas y comunicaciones, sino de la supervivencia del negocio en sí. Se establecen controles proporcionales a los riesgos detectados en el imprescindible análisis de riesgos realizado con anterioridad. Se pretende la salvaguarda de nuestros procesos críticos pensando siempre en el negocio.
Por lo tanto, se han de tener en cuenta los tres recursos clave de una empresa:
Recursos Humanos.
Recursos Físicos.
Recursos Tecnológicos.
¿Qué cubre un PCN?
Cubre el coste de parada de los procesos de negocio críticos, lo que lleva aparejado:
- Coste financiero.
- Multas.
- Penalizaciones por incumplimiento de SLAs.
- Pérdida de productividad.
- Impacto en la imagen corporativa.
Objetivos de un plan de continuidad de negocio.
Podemos resumir en cuatro los objetivos principales que ha de tener todo plan de continuidad de negocio:
Prevenir: Limitar al máximo la probabilidad de que tenga lugar cualquier interrupción.
Contener: Reducir el impacto de cualquier interrupción.
Recuperar: Asegurar una pronta recuperación.
Transferir el riesgo residual (Ej: Compañías de Seguros).
¿Cómo implantar un PCN?
Una vez que ya tenemos claro que es, no sólo es conveniente, sino imprescindible contar con un PCN. Éste debe ser impulsado desde la dirección dado que es algo que afecta a la esencia misma del negocio. Con ese impulso, la primera medida a adoptar es la realización de un análisis de riesgos así como un análisis del impacto sobre el negocio. Con los resultados de este análisis realizaremos un informe sobre la continuidad de las operaciones críticas del negocio así como el plan de recuperación de desastres.
¿Cómo debe ser un PCN?
Ante todo debe ser específico para cada empresa. Cada organización tiene sus propias peculiaridades. Lo que para una es crítico para otra no lo es. Por ello hay que hacer un estudio pormenorizado de lo que realmente es vital para cada empresa y con arreglo a ello se hará su PCN.
Además, debe ser sencillo, de fácil comprensión. No se trata de decir que tenemos un PCN sino de que éste sirva y sea realmente útil llegado el caso.
Precisamente por eso ha de ser flexible, un documento vivo que recoja de forma ágil y efectiva todos los cambios que los avances tecnológicos o la situación de la empresa requieran, permitiendo una fácil actualización.
Por último, debe ser publicado y divulgado entre los empleados a los que sea de aplicación cada proceso contemplado en el PCN para que sea realmente efectivo.
Beneficios de contar con un PCN
El primer y evidente beneficio de contar con un PCN es que ahorra dinero al que lo adopta y lo implementa correctamente. Se va a producir un aprovechamiento más efectivo de los recursos y una rápida capacidad de reacción ante cualquier contrariedad en el normal funcionamiento de una organización. Es, además, una garantía frente a terceros (clientes, proveedores, accionistas, etc.) a los que estamos transmitiendo un plus de confianza en nuestra empresa. Pero, sobre todo, lo que estamos haciendo es asegurar la “vida” de la organización.
En definitiva, con la implantación de un PCN conseguimos:
Mantener los servicios a los clientes.
Mantener la reputación o imagen.
Asegurar la supervivencia de la organización.
Abel González Lanzarote
Director de desarrollo de negocio
ESA Security
Publicado en la revista RedSeguridad
