na gestión de la
na gestión de la continuidad del negocio co&erente se reali#a también con un enfoquecontinuidad del negocio co&erente se reali#a también con un enfoque basado en e
basado en el ciclo ,C4.l ciclo ,C4.
&lanificar"&lanificar" ,efinir la ,efinir la política y los política y los ob%etivos que se pretenden alcan#arob%etivos que se pretenden alcan#ar! así como! así como el alcance que se le va a dar los planes de continuidad del negocio. Ieali#ar el el alcance que se le va a dar los planes de continuidad del negocio. Ieali#ar el
nálisis de Impacto en el (egocio
nálisis de Impacto en el (egocio "conocido por sus siglas en inglés ?*4 "conocido por sus siglas en inglés ?*4
W?usiness *mpact 4nalysisX$. W?usiness *mpact 4nalysisX$.
?acer"?acer" ,esarrollar los planes y ,esarrollar los planes y procedimientos necesaprocedimientos necesarios para e%ecutar larios para e%ecutar la política y los ob%etiv
política y los ob%etivos.os.
Comprobar"Comprobar" Ievisar los Ievisar los resultados obtenidos y si se &an cumplido los resultados obtenidos y si se &an cumplido los ob%etivos.ob%etivos.
ctuar"ctuar" )omar las acciones necesarias para corregir las desviaciones detectadas )omar las acciones necesarias para corregir las desviaciones detectadas en la fase anterior.
en la fase anterior.
Ciclo de mantenimiento y de
Ciclo de mantenimiento y de me%ora continua. Ciclo ,C4 "Olan! ,o! C&ecN! 4ctO$me%ora continua. Ciclo ,C4 "Olan! ,o! C&ecN! 4ctO$ En un proyecto de implantación de un 232* seg+n la (orma (EJ*2/Q*EC 57@@<! &ay En un proyecto de implantación de un 232* seg+n la (orma (EJ*2/Q*EC 57@@<! &ay que valorar la aplicación o no de cada uno de los controles relacionados con la
que valorar la aplicación o no de cada uno de los controles relacionados con la continuidad del negocio! que conforman un grupo de cinco
continuidad del negocio! que conforman un grupo de cinco controles dentro de un +nicocontroles dentro de un +nico ob%etivo que se corresponde con los aspectos de seguridad de la
ob%etivo que se corresponde con los aspectos de seguridad de la información en lainformación en la gestión de la continuidad de negocio.
gestión de la continuidad de negocio.
4unque no es obligatorio aplicar los cinco es muy difícil no &acerlo! ya que están tan 4unque no es obligatorio aplicar los cinco es muy difícil no &acerlo! ya que están tan directamente relacionados que no son realmente independientes unos de otros. ara directamente relacionados que no son realmente independientes unos de otros. ara &acer un plan de continuidad es
"?*4$ y es
"?*4$ y es imprescindible probarlo! con lo cual ya imprescindible probarlo! con lo cual ya tendremos estructurado un procesotendremos estructurado un proceso de gestión de la
de gestión de la continuidad.continuidad.
Inclusión de la seguridad de la información en el proceso de gestión de la
Inclusión de la seguridad de la información en el proceso de gestión de la
continuidad del negocio
continuidad del negocio
En algunas organi#aciones se cuenta con planes
En algunas organi#aciones se cuenta con planes de continuidad parciales! como planesde continuidad parciales! como planes de contingencia para los sistemas de información o
de contingencia para los sistemas de información o los planes de emergencia requeridoslos planes de emergencia requeridos por la Ley
por la Ley. En este caso! . En este caso! se trata de que tose trata de que todos aquellos ados aquellos activos críticos identificactivos críticos identificados endos en el 232* queden protegidos ante desastres. Es decir! incluir en
el 232* queden protegidos ante desastres. Es decir! incluir en el 232* el el 232* el proceso por elproceso por el que se controla la
que se controla la continuidad del negocio en la organi#ación.continuidad del negocio en la organi#ación. 2i no e-iste todavía! y
2i no e-iste todavía! y se escoge este control! deberá crearse! normalmente definiendo else escoge este control! deberá crearse! normalmente definiendo el procedimiento que
procedimiento que se va a segse va a seguir.uir.
n proceso de continuidad tendrá en cuenta los
n proceso de continuidad tendrá en cuenta los riesgos a los que están e-puestos losriesgos a los que están e-puestos los procesos y ac
procesos y activos críticos de la otivos críticos de la organi#acrgani#ación! si los controles previón! si los controles preventivos sonentivos son suficientes o &ace falta aplicar más
suficientes o &ace falta aplicar más y contendrá los planes necesarios para afrontar casosy contendrá los planes necesarios para afrontar casos de desastre.
de desastre.
&ontinuidad del negocio y
&ontinuidad del negocio y e+e+aluación de aluación de riesgosriesgos
Este control es la
Este control es la identificación de los eventos que provocan interrupciones en losidentificación de los eventos que provocan interrupciones en los procesos de n
procesos de negocio! así coegocio! así como la probabilidad y lomo la probabilidad y los efectos de dics efectos de dic&as interrupcion&as interrupciones yes y sus consecuenc
sus consecuencias con respecto a ias con respecto a la seguridad de la información.la seguridad de la información. ara poder llevar a
ara poder llevar a cabo una evaluación apropiada de las necesidades en continuidad delcabo una evaluación apropiada de las necesidades en continuidad del negocio debe formarse un grupo de tr
negocio debe formarse un grupo de traba%o. Este grupo debe estar liderado por aba%o. Este grupo debe estar liderado por unun responsable del plan y formado por los líderes de las áreas que se desean cubrir con responsable del plan y formado por los líderes de las áreas que se desean cubrir con dic&o plan.
dic&o plan.
La elaboración del lan de Continuidad de
La elaboración del lan de Continuidad de (egocio "C($ &a de (egocio "C($ &a de desarrollarse con ladesarrollarse con la continua supervisión por parte de la
continua supervisión por parte de la dirección ya que durante la dirección ya que durante la elaboración yJoelaboración yJo e%ecución de éste! deberán comprometerse recursos y
e%ecución de éste! deberán comprometerse recursos y aprobarse procedimientosaprobarse procedimientos especiales que requieran un nivel
especiales que requieran un nivel de autori#ación superior.de autori#ación superior. Como primera tarea! el
Como primera tarea! el grupo de traba%o debe identificar grupo de traba%o debe identificar cuales son las funcionescuales son las funciones críticas de la organi#ación! aquellos elementos de la organi#ación o funciones que críticas de la organi#ación! aquellos elementos de la organi#ación o funciones que puedan ser c
puedan ser críticos ante cualquieríticos ante cualquier eventualidad o desr eventualidad o desastre! y %erarqui#astre! y %erarqui#arlos por orden dearlos por orden de importancia dentro de
importancia dentro de la organi#ación. 4unla organi#ación. 4unque sea e-presado crudamente! de lo que sea e-presado crudamente! de lo que seque se trata es de dilucidar
trata es de dilucidar de qué vive la de qué vive la organi#aorgani#ación! cual es su ción! cual es su fuente de ingresosfuente de ingresos determinando de esta manera los procesos críticos! que serán aquellos por
determinando de esta manera los procesos críticos! que serán aquellos por los que lalos que la organi#a
organi#ación puede recibir ción puede recibir estos ingresos.estos ingresos.
Iesulta evidente que la participación de varias o
Iesulta evidente que la participación de varias o todas las áreas de la todas las áreas de la organi#organi#ación es laación es la +nica manera de garanti#ar un nivel
+nica manera de garanti#ar un nivel ra#onable de ob%etividad! puesto que si lara#onable de ob%etividad! puesto que si la participación es m
participación es muy reducida es uy reducida es probable que los probable que los resultados sean resultados sean sesgados y sesgados y lala información obtenida tenga
)ras la concreción de cuales son los procesos y activos a
)ras la concreción de cuales son los procesos y activos a proteger y en qué proteger y en qué orden deorden de prioridad! se define
prioridad! se definen y documentan y documentan posibles escen posibles escenarios que podrían narios que podrían suceder para csuceder para cadaada elemento o función crítica. 1ay
elemento o función crítica. 1ay multitud de escenarios que pueden considerarse. uedenmultitud de escenarios que pueden considerarse. ueden ser de problemas con el
ser de problemas con el &ardKare "destrucción del C,$! problemas con el &ardKare "destrucción del C,$! problemas con el softKaresoftKare "infección generali#ada de virus$! de telecomunicaciones "fallos de la cone-ión a "infección generali#ada de virus$! de telecomunicaciones "fallos de la cone-ión a *nternet$! de personal
*nternet$! de personal "falta de "falta de personal debida a una personal debida a una epidemia$. )epidemia$. )ambién debenambién deben incluirse escenarios provocados por incendios! desastre
incluirse escenarios provocados por incendios! desastres naturales! y cualquier otro s naturales! y cualquier otro da0oda0o de origen físico que pudiera
de origen físico que pudiera provocar la pérdida masiva de información.provocar la pérdida masiva de información. La siguiente tareas es anali#ar! dentro de cada uno de
La siguiente tareas es anali#ar! dentro de cada uno de estos escenarios! el impacto delestos escenarios! el impacto del desastre en cada función crítica "?usiness *mpact 4nalisys! ?*4$. Este análisis es una desastre en cada función crítica "?usiness *mpact 4nalisys! ?*4$. Este análisis es una dede las principales fases del C(! ya
las principales fases del C(! ya que permite identificar los rque permite identificar los riesgos asociados a lasiesgos asociados a las funciones críticas de la organi#ación y el
funciones críticas de la organi#ación y el impacto en una escala de tiempos queimpacto en una escala de tiempos que producirían esos rie
producirían esos riesgos. Esta informsgos. Esta información permite estableación permite establecer prioridades a la cer prioridades a la &ora de&ora de plantear la estrateg
plantear la estrategia de recuperacia de recuperación.ión. 4 la &ora de reali#ar el
4 la &ora de reali#ar el ?*4! se establecen prioridades como por e%emplo:?*4! se establecen prioridades como por e%emplo:
7$itar pérdidas de $ida.7$itar pérdidas de $ida.
4eanudar las operaciones lo antes posile.4eanudar las operaciones lo antes posile.
Proteger el medio Proteger el medio amiente.amiente.
Lograr las cone+iones con los Lograr las cone+iones con los principales clientes y pro$eedores.principales clientes y pro$eedores.
=antener la con!anza en la =antener la con!anza en la empresa.empresa.
En resumen! se trata de
En resumen! se trata de un análisis de riesgos enfocado específicamente a valorar elun análisis de riesgos enfocado específicamente a valorar el impacto de incidentes que comprometen la continuidad del negocio teniendo en
impacto de incidentes que comprometen la continuidad del negocio teniendo en cuentacuenta que este impacto será mayor cuanto más
que este impacto será mayor cuanto más dure el incidente. Los pasos a dure el incidente. Los pasos a seguir paraseguir para reali#arlo son los &abituales de un
Se iden!can los procesos cr(cos de negocio.Se iden!can los procesos cr(cos de negocio.
Se iden!can los e$entos que pueden pro$ocar interrupciones en los Se iden!can los e$entos que pueden pro$ocar interrupciones en los procesos deprocesos de
negocio de la
negocio de la organización" p. e). fallos de los organización" p. e). fallos de los equipos" errores humanos" roos"equipos" errores humanos" roos" incendios" desastres naturales y
incendios" desastres naturales y actos terroristas.actos terroristas.
Se e$al3an los riesgos para Se e$al3an los riesgos para determinar la proailidad y los determinar la proailidad y los efectefectos de dichasos de dichas
interrupciones en cuanto a empo" escala de
interrupciones en cuanto a empo" escala de da&os y per(odo da&os y per(odo de recuperación. Porde recuperación. Por e)emplo" un corte de electricidad no ene la misma repercusión si dura cinco minutos" e)emplo" un corte de electricidad no ene la misma repercusión si dura cinco minutos" que ser(a una
que ser(a una incidencia menorincidencia menor" que si " que si dura cinco horas" que ya dura cinco horas" que ya puede ser un trastornopuede ser un trastorno o que si dura cinco d(as" que
o que si dura cinco d(as" que proalementproalemente sea un prolema muy serio.e sea un prolema muy serio. 7$ident
7$identemente las soluciones a emente las soluciones a tomar serán disntas en función del impacto en tomar serán disntas en función del impacto en elel empo que supondr(a.
empo que supondr(a.
Los resultados de este análisis proporcionan la información necesaria! perfilando cuales Los resultados de este análisis proporcionan la información necesaria! perfilando cuales son las necesidades de continuidad de la organi#ación que se deben cubrir. ,e esta son las necesidades de continuidad de la organi#ación que se deben cubrir. ,e esta manera se cuenta con información sólida en la
manera se cuenta con información sólida en la que basarse para decidir cuál tiene queque basarse para decidir cuál tiene que ser la estrategia de
ser la estrategia de continuidad de negocio! ya que quedarán en evidencia cuáles son loscontinuidad de negocio! ya que quedarán en evidencia cuáles son los procesos más
procesos más críticos y por qué! críticos y por qué! por lo que se puepor lo que se pueden definir accioden definir acciones apropiadas pnes apropiadas paraara recuperarlos al nivel que se considere aceptable.
recuperarlos al nivel que se considere aceptable. Es importante definir los
Es importante definir los mínimos niveles de servicio aceptables para cada problemamínimos niveles de servicio aceptables para cada problema que se pueda plantear! ya que la comple%idad de las
que se pueda plantear! ya que la comple%idad de las soluciones y el consiguiente coste!soluciones y el consiguiente coste! quedarán determinados por &asta qué punto se van a
quedarán determinados por &asta qué punto se van a restablecer las funciones yrestablecer las funciones y servicios. Es importante que dic&o nivel se
servicios. Es importante que dic&o nivel se consens+e con cada uno de los responsablesconsens+e con cada uno de los responsables de las áreas que puedan verse afectadas ya
de las áreas que puedan verse afectadas ya que son los que me%or que son los que me%or conocen los diferentesconocen los diferentes procesos.
procesos.
,e esta manera será más
,e esta manera será más fácil acotar las diferentes alternativas para fácil acotar las diferentes alternativas para solucionar cada unosolucionar cada uno de los problemas detectados y evaluarlas en función de
de los problemas detectados y evaluarlas en función de la capacidad de la organi#aciónla capacidad de la organi#ación de implantarlas y mantenerlas. Las posibles soluciones para recuperar las
de implantarlas y mantenerlas. Las posibles soluciones para recuperar las actividadesactividades pasan por:
pasan por:
La de!nición e implementación de procesos manuales" para suplir a los procesosLa de!nición e implementación de procesos manuales" para suplir a los procesos
automaz
automazados mientras dura la ados mientras dura la incidencia.incidencia.
La contratación de tareas cr(cas a terceros" de manera que sean La contratación de tareas cr(cas a terceros" de manera que sean ellos los queellos los que
garan
garancen el cen el suministrsuministro del o del ser$icio o producto.ser$icio o producto.
#iferir las tareas cr(cas por un #iferir las tareas cr(cas por un empo determinado.empo determinado. or e%emplo! si tenemos unas instalaciones situada
or e%emplo! si tenemos unas instalaciones situadas a la orilla s a la orilla de un río! para las que elde un río! para las que el análisis de impacto en el
análisis de impacto en el negocio &a arro%ado un valor de negocio &a arro%ado un valor de riesgo alto para inundaciones!riesgo alto para inundaciones! los problemas que una inundación presenta variarán en función de
los problemas que una inundación presenta variarán en función de la duración y lala duración y la severidad de la misma. En este sentido! por e%emplo! se &a determinado que si dura más severidad de la misma. En este sentido! por e%emplo! se &a determinado que si dura más de un día se mantendrá activo el proceso de comunicación con los clientes y el de correo de un día se mantendrá activo el proceso de comunicación con los clientes y el de correo electrónico interno al menos.
electrónico interno al menos. )
)eniendo en cuenta esta eniendo en cuenta esta información! se presentan varias información! se presentan varias opciones que se podránopciones que se podrán utili#ar dependiendo del caso: reali#ar obras para
utili#ar dependiendo del caso: reali#ar obras para contar con #onas protegidas y evitarcontar con #onas protegidas y evitar da0os en caso de inundaciones leves! transferir estos procesos críticos a
da0os en caso de inundaciones leves! transferir estos procesos críticos a otrasotras ubicaciones o subcontratarlos! buscar ubicaciones alternativas para traba%ar
ubicaciones o subcontratarlos! buscar ubicaciones alternativas para traba%ar en caso deen caso de inundaciones graves! contar con proveedores de
unos servicios mínimos en otra ubicación o
unos servicios mínimos en otra ubicación o incluso en los domicilios de incluso en los domicilios de los empleados!los empleados! etc.
etc.
El C( debe incluir
El C( debe incluir la composición del equipo de emergencias que será responsablela composición del equipo de emergencias que será responsable poner en marc&
poner en marc&a el C( cuando a el C( cuando proceda y de oproceda y de organi#ar al resrgani#ar al resto del personal seto del personal seg+n log+n lo definido para que la
definido para que la organi#organi#ación pueda recuperarse de un incidente.ación pueda recuperarse de un incidente.
%esarrol
%esarrollo e lo e implantación de planes de implantación de planes de continuidad/continuidad/