Plan de continuidad del negocio
Un plan de continuidad del negocio (o sus siglas en inglés BCP, por Business Continuity Plan) es un plan logístico para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no deseada o desastre. En los Estados Unidos, las entidades gubernamentales se refieren al proceso como planificación de continuación de operaciones (en inglés Continuity Of Operations Planning, o sus siglas COOP).[cita requerida]
En lenguaje sencillo, BCP es el cómo una organización se prepara para futuros incidentes que puedan poner en peligro a ésta y a su misión básica a largo plazo. Las situaciones posibles incluyen desde incidentes locales (como incendios, terremotos, inundaciones, tsunamis etc.), incidentes de carácter regional, nacional o internacional hasta incidentes como pandemias, etc.
Inicialmente las actividades de planificación y prevención estaban dirigidas hacia las operaciones informáticas, que en la mayoría de los casos estaban centralizadas en el Departamento de Informática e incluso en un lugar físico concreto. Sin embargo, con el paso del tiempo y la aparición de la informática distribuida, soportada en medios informáticos y telemáticos extendidos en todas las áreas de la organización, esa actividad varió su alcance y se llamó Business Continuity Planning, lo que podría traducirse como planificación de la continuidad del negocio.[1]
Dentro del marco del Plan de Continuidad de Negocio, el departamento de informática o tecnologías puede desarrollar su propio Plan de Contingencia específico para abordar los posibles escenarios de interrupción o desastres relacionados con la tecnología. Este Plan de Contingencia de TI se centra en las medidas y acciones específicas que deben tomarse para garantizar la continuidad de los sistemas y servicios de TI en situaciones de crisis.
Introducción
[editar]La continuidad del negocio es un concepto que pertenece a una disciplina superior denominada "Administración de continuidad de negocios (BCM por sus siglas en inglés) y que abarca tanto el plan para la recuperación de desastres (DRP), de naturaleza típicamente tecnológica, como el plan para el restablecimiento del negocio, que normalmente se enfoca en los procesos críticos del mismo. Además, los planes de "Manejo de Crisis" y de "administración de incidentes" suelen formar parte de la disciplina completa de BCM. Recuperación de desastres es la capacidad para responder a una interrupción de los servicios tecnológicos mediante la implementación de un plan para restablecer las funciones críticas de la organización. Ambos se diferencian de la planeación de prevención de pérdidas, la cual implica la calendarización de actividades como respaldo de sistemas, autenticación y autorización (seguridad), revisión de virus y monitoreo de la utilización de sistemas (principalmente para verificaciones de capacidad). En esta ocasión hablaremos sobre la importancia de contar con la capacidad para restablecer la infraestructura tecnológica de la organización en caso de una disrupción severa, es decir, un plan de recuperación de desastres (DRP).
Este plan es la respuesta prevista por la empresa ante aquellas situaciones de riesgo que le pueden afectar de forma crítica, es decir, impidiendo la operación tecnológica que soporta los procesos de negocio más importantes. No importa el tamaño de la empresa o el coste de las medidas de seguridad implantadas, toda organización necesita un Plan de recuperación de desastres o uno de continuidad de negocio, ya que tarde o temprano se encontrara con una incidencia de seguridad o algún evento que detenga súbitamente la operación de una empresa.
Lo primero que se debe realizar es un análisis del impacto al negocio (BIA). Éste es básicamente un informe que nos muestra el coste ocasionado por la interrupción de los procesos críticos de negocio.
Una vez obtenido este informe, la compañía tiene la capacidad de clasificar los procesos de negocio en función de su criticidad y lo que es más importante: establecer la prioridad de recuperación (o su orden secuencial).
En el BIA se identifican los componentes claves requeridos para continuar con las Operaciones de Negocio luego de un incidente, dentro de estos componentes se encuentran:
- Personal requerido
- Áreas de trabajo
- Registros vitales- Backups de información
- Aplicativos críticos
- Dependencias de otras áreas
- Dependencias de terceras partes
- Criticidad de los recursos de información
- Participación del personal de seguridad informática y los usuarios finales
- Análisis de todos los tipos de recursos de información
Tres aspectos claves para el análisis:
- Criticidad de los recursos de información relacionados con los procesos críticos del negocio
- Período de recuperación crítico antes de incurrir en pérdidas significativas
- Sistema de clasificación de riesgos
Una estrategia de Recuperación es una combinación de medidas preventivas, detectivas y correctivas para:
- Eliminar la amenaza completamente
- Minimizar la probabilidad de que ocurra
- Minimizar el efecto
Las interrupciones más prolongadas y más costosas, en particular los desastres que afectan a las instalaciones, requieren recuperación (offsite).
Aplicación
[editar]El plan de continuidad de negocio abarca todos los sectores de negocio, dado con más énfasis en aquellos donde la disponibilidad de la información es su mayor activo. A partir del 11 de septiembre de 2001, los planes de continuidad de negocio cobraron importancia abarcando con mayor cobertura a compañías del sector financiero y sus asociados, donde hoy en día tiene su mayor aplicación. No hay importancia del tamaño de la empresa o institución, un plan de continuidad puede ser aplicado tanto a empresas grandes, medianas, pequeñas e incluso micro empresas. Como todo proceso, la aplicación de un plan de continuidad involucra determinados pasos obligatorios para garantizar la funcionalidad del mismo, estas fases son:
- Fase de análisis y evaluación de riesgos
- Selección de estrategias
- Desarrollo del plan
- Pruebas y mantenimiento del plan.
Mantenimiento
[editar]Este plan es la respuesta prevista por la empresa ante aquellas situaciones de riesgo que le pueden afectar de forma crítica. No importa el tamaño de la empresa o el coste de las medidas de seguridad implantadas, toda organización necesita un Plan de continuidad de negocio ya que tarde o temprano se encontrará con una incidencia de seguridad.
Véase también
[editar]Referencias
[editar]- ↑ «Professional Practices | DRI». drii.org. Consultado el 20 de marzo de 2018.
Bibliografía adicional
[editar]- International Organization for Standardization
- ISO/IEC 27001:2005 (antes BS 7799-2:2002): Sistema de gestión de la seguridad de la información.
- ISO/IEC 27002:2005 (renumerado ISO17999:2005): Código de práctica. Gestión de seguridad de la información.
- ISO/IEC 27031:2011: Tecnología de información - Técnicas de seguridad - Guías para preparación de tecnologías de información y comunicaciones para continuidad de negocios.
- ISO/PAS 22399:2007: Guía para la preparación frente a incidentes y la gestión de continuidad operacional.
- ISO 22301:2012: Requerimientos para la implementación de sistemas de gestión de continuidad de negocio
- ISO/IEC 24762:2008: Directrices para los servicios de recuperación de desastres de las tecnologías de información y comunicaciones.
- IWA 5:2006: Preparación para emergencias.
- Martínez, Juan Gaspar. (2006). Plan de Continuidd de Negocio. Guía Práctica para su Elaboración. Madrid: Ediciones Días de Santos S. A.
- Las Prácticas Profesionales para la Gestión de Continuidad de Negocios. DRI International, 2017.[1]
Enlaces externos
[editar]- Organizaciones Internacionales de Continuidad del Negocio
- British Standards Institution - Continuidad de Negocio ISO 22301 (BSI)
- ISO 22301: Portal de la Norma (En Español).
- Disaster Recovery Institute International (DRII)
- Disaster Recovery Institute International (DRI MÉXICO)
- The Business Continuity Institute (BCI)
Novedad | Pertinencia | Atracción | Confiabilidad | Puntaje | Prioridad | |
---|---|---|---|---|---|---|
A | 4 | 5 | 5 | 5 | 19 | 1 |
B | 4 | 5 | 5 | 5 | 19 | 1 |
C | 4 | 5 | 5 | 5 | 19 | 1 |
D | 4 | 5 | 5 | 5 | 19 | 1 |
E | 4 | 5 | 5 | 5 | 19 | 1 |
F | 5 | 5 | 4 | 5 | 18 | 1 |
G | 4 | 5 | 4 | 5 | 18 | 1 |
H | 5 | 3 | 3 | 5 | 14 | 2 |
I | 4 | 5 | 2 | 5 | 16 | 3 |
J | 4 | 5 | 4 | 5 | 18 | 1 |
- Comunidades, foros y noticias BCM y relacionados
- Comunidad BCM (CBCM)
- [1] CONGRESO ERM Y BCM]
- ISO 22301 Concientización y presentación de capacitación de auditores
- ↑ Error en la cita: Etiqueta
<ref>
no válida; no se ha definido el contenido de las referencias llamadasSin-nombre-p4-a-1