Como organización se debe analizar distintos aspectos que se relacionan con su funcionamiento, se deben priorizar y determinar los límites de funcionamiento y establecer las medidas necesarias que garanticen la continuidad de las actividades en caso de un incidente.
Debido a esta situación debemos diseñar Plan de Continuidad de Negocio que comprenda todo tipo de planes, para mitigar el impacto provocado en la información y los procesos de negocio de una compañía.
El proceso y la implementación se deben realizar teniendo en cuenta las siguientes fases:

1. Determinar el alcance
Aquí se determinarán qué activos, sistemas o procesos son críticos, es decir, aquellos cuya indisponibilidad impactaría directamente sobre nuestra organización.

2. Análisis de la organización
Esta fase basa su actividad en obtener, elaborar o comprender las circunstancias que rodean a nuestra organización, analizando tanto procesos, como tecnologías o recursos. Para conseguir esta etapa deberemos llevar a cabo un conjunto de tareas.

  • Realizar reuniones: Es necesario reunirse con los usuarios finales de los procesos seleccionados como críticos o que entran dentro de nuestro alcance, recopilando toda la información sobre el funcionamiento de nuestros procesos.
  • Análisis de impacto sobre el Negocio: A partir de la información recopilada, realizaremos un Análisis de Impacto sobre el Negocio. Este documento contendrá los requerimientos, tanto temporales como de recursos, de los procesos que se encuentren dentro del alcance del proyecto.
  • Tiempo de recuperación, o tiempo que un proceso permanece detenido hasta ser restaurado.
  • Recursos humanos y tecnologías empleadas, para que un proceso funcione en una situación de contingencia.
  • Tiempo máximo tolerable de caída del servicio. Es decir, el tiempo que un proceso puede permanecer caído antes de que se produzcan consecuencias desastrosas para la organización.
  • Niveles mínimos de recuperación del servicio. Este sería el nivel mínimo de recuperación que debe tener una actividad para que se considere recuperada.
  • Dependencias con otros procesos, ya sean internos o con proveedores externos. Se trata de saber si una situación de contingencia en otros procesos.
  • Grado de dependencia de la actualidad de los datos. Se determina el impacto que tendría sobre nuestra actividad la pérdida de datos.
  • Análisis de riesgos: Consiste en estudiar y determinar las posibles amenazas a las que está expuesta la organización, así como las posibilidades de materializarse en cada caso, y el impacto que causarían si llegaran a producirse. Posteriormente se realizará un plan de tratamiento de riesgos en el que se describan medidas, riesgo que mitiga, responsables de implantación, recursos necesarios, etc.

3. Determinación de la Estrategia de Continuidad
Se debe determinar qué estrategias de recuperación se deberán implementar para cada uno de los elementos identificados como críticos o que pudieran verse afectado en una contingencia. Es decir, cómo recuperar un sistema o un proceso para evitar que la contingencia lo degrade de manera irreversible para la organización. Hay que tener en cuenta que algunos procesos podrán requerir varias estrategias de recuperación.

4. Repuesta a la contingencia
Se comienza con la implantación de las iniciativas que se han puesto de manifiesto en la fase anterior. Además, se deberá abordar toda la documentación relacionada con la respuesta a la contingencia, a través de los siguientes documentos:

  • Plan de crisis cuyo objetivo es evitar una toma de decisiones improvisada que pueda empeorar la situación o bien que simplemente no se tomen decisiones.
  • Planes operativos de recuperación de entornos, que deberán especificar sobre qué entorno se aplican.
  • Procedimientos técnicos de trabajo, donde se describen las acciones que se han de llevar a la práctica para la gestión y recuperación de un sistema, infraestructura o entorno.

5. Prueba, mantenimiento y revisión
Para que un Plan de Continuidad sea eficaz, deberemos comprobar que realmente funciona y mantenerlo actualizado. Para ello, se deben realizar pruebas sobre los entornos identificados, tras las cuales elaboraremos unos informes que recojan los resultados obtenidos. Además, deberán quedar registradas todas las incidencias surgidas en este proceso, algo indispensable para poder establecer medidas correctoras.

6. Fase de Concienciación
En esta fase se pondrán en marcha todo tipo de medidas que fomenten la concienciación del personal en materia de continuidad y el conocimiento de los planes elaborados.

Fuente: https://www.incibe.es/protege-tu-empresa/blog/fases-plan-continuidad-negocio

En Itera podemos ayudarte.
Contacta con un especialista: seguridad@iteraprocess.com