Capítulo II: Fases para implantar un Plan de Contingencia en tu empresa

La ciberseguridad y su importancia creciente en las organizaciones

En el Capítulo I: ¿Qué es un Plan de Contingencia y Continuidad de Negocio?, expusimos qué es y cómo pueden ayudar estos planes a tu empresa para superar cualquier adversidad y poder continuar realizando tu actividad. También presentamos las diferentes fases que componen ambos planes y por qué están relacionados.

Que una empresa tenga desarrollado un Plan de Contingencia y Continuidad de Negocio es sinónimo de futuro y prosperidad. En el Plan de Contingencia de una empresa se tiene en cuenta aquellos factores que pueden paralizar la actividad de la organización, como son los ataques informáticos, las crisis económicas o un determinado accidente físico.

Recordemos que el Plan de Contingencia y Continuidad de Negocio sirve para prever los riesgos, minimizarlos y hacerlos frente para que su actividad se vea afectada lo menos posible.

Antes de comenzar a desarrollar un Plan de Contingencia y Continuidad de Negocio tenemos que:

1. Identificar las amenazas que tiene la empresa
2. Analizar el impacto que tendrían las amenazas sobre la actividad que realiza la entidad
3. Elaborar las medidas de seguridad adecuadas para minimizar el impacto de las amenazas en el caso de sufrirlas

¿Qué fases podemos encontrar en un Plan de Contingencia de una empresa y en un Plan de Continuidad de Negocio?

Aunque en el anterior Capítulo ya explicamos las fases que componen un Plan de Contingencia y Continuidad de Negocio, vamos a ampliar un poco más esta información.
En un Plan de Contingencia y Continuidad de Negocio encontramos cinco fases:

• Fase 0: Determinación del alcance. Esta fase es la de menor duración y en la que menos recursos tenemos que invertir, pero, es imprescindible a la hora de realizar el Plan de Contingencia de una empresa y Continuidad de Negocio debido a lo que esta fase determina.

Su objetivo es determinar el coste y la magnitud del desarrollo de un Plan de Contingencia y Continuidad de Negocio, así como su viabilidad futura.
En esta fase participarán el personal de la entidad, los activos de información que poseen, sus sistemas informáticos y qué procesos se siguen en la organización.

Los sistemas en los que nos centraremos serán aquellos que sean los más vulnerables y los procesos más complejos, por lo que el CTO y su departamento estará muy implicado en el desarrollo del Plan de Contingencia y Continuidad de Negocio de una entidad.

• Fase 1: Análisis de la organización. Esta fase se compone de la obtención, elaboración y comprensión de todo aquello relacionado con lo tecnológico: sistemas, procesos, etc.

Es decir, tenemos que comprender y analizar las circunstancias de la entidad. Cada empresa tiene unas circunstancias diferentes por lo que el Plan de Contingencia y de Continuidad de Negocio tiene que realizarse específicamente para cada empresa.

Para realizar esta fase es necesaria la ayuda del personal de la organización, por lo que, lo primero que hay que hacer es mantener reuniones con todos los implicados. La información que tenemos que obtener es aquella información sobre los proveedores y su manera de trabajar, qué personas están implicadas en cada proceso, las aplicaciones o sistemas que se utilizan para llevar a cabo las diferentes actividades. Por ejemplo, si consideramos como crítico el programa de contabilidad o de CRM debemos reunirnos con los departamentos correspondientes y conocer a detalle el funcionamiento, datos que se tratan, medidas de seguridad establecidas, etc.

En un Plan de Contingencia de una empresa necesitamos también un análisis de impacto sobre el negocio, o también conocido por las siglas en inglés BIA (Business Impact Analysis). Este se realizará con la información obtenida en las reuniones previas. Este documento contendrá información muy importante, junto con el Análisis de Riesgos definiremos las iniciativas que debemos implantar para recuperar los procesos anteriores a la situación de contingencia.

El BIA se compone de:

1. RTO (Recovery Time Objetive) o tiempo de recuperación
2. Recursos humanos y tecnológicos
3. MTD (Maximum Tolerable Downtime) o tiempo máximo tolerable de caída
4. ROL (Revised Operating Level) o niveles mínimos de recuperación de servicio
5. Dependencias de otros procesos o proveedores
6. RPO (Recovery Point Objective) o grado de dependencia de la actualidad de los datos

Por último, en esta fase del Plan de Contingencia y Continuidad de Negocio, como ya mencionamos anteriormente debemos realizar un Análisis de Riesgos. La realización de este análisis es fundamental para el desarrollo de un Plan de Contingencia de una empresa, ya que podremos conocer que amenazas pueden materializarse, el alcance que tendrán, es decir, a que procesos afectará, así como el impacto que tendrán sobre ellos y sobre los activos que se verán afectados. Para realizar un adecuado Análisis de Riesgos tendremos que:

1. Determinar las amenazas a las que está expuesta la entidad, desde el robo de información provocado por una brecha de seguridad, hasta una inundación provocada por una catástrofe natural.
2. Probabilidad con la que puede ocurrir cada una de las amenazas detectadas, y el posible impacto que tendría sobre los diferentes activos.
3. Realizar el producto de la probabilidad por el impacto de cada amenaza. Esta probabilidad nos proporcionará un listado de aquellos riesgos que debemos tratar con mayor prioridad.

• Fase 2: Determinación de la estrategia de continuidad. El objetivo de esta fase del Plan de Contingencia y Continuidad de Negocio es definir las estrategias de recuperación más adecuadas para la entidad. Para cada proceso afectado por una contingencia debemos determinar qué estrategia es la más adecuada para evitar que dicha contingencia afecte, de manera irreversible a la entidad.

Los elementos más afectados por una contingencia son:

1. Personal
2. Locales
3. Tecnología
4. Información
5. Proveedores

En esta fase del Plan de Contingencia y Continuidad de Negocio también determinaremos cuál es el coste y la viabilidad de la implantación y el mantenimiento, así como los recursos que necesita cada estrategia.

Contacta con nosotros para realizar la implantación de un SGSI basado en la ISO 27001. 

Disponemos de los mejores profesionales y herramientas para que la implantación sea todo un éxito y la certificación esté asegurada.

• Fase 3: Respuesta a la contingencia.

En el Plan de Contingencia de una empresa es obligatorio crear la documentación necesaria para dar respuesta a cada contingencia.

Documentación que podemos encontrar en esta fase:

1. Plan de Crisis o de Incidentes. Este documento es fundamental en cuanto a la gestión en una posible situación de crisis. Su objetivo es evitar que se tomen decisiones improvisadas que produzcan consecuencias desconocidas para la entidad.
2. Planes operativos de recuperación de entornos. Realizaremos una evaluación del alcance de la crisis y se determinará cuáles son los planes más óptimos para la recuperación.
3. Procedimientos técnicos de trabajo o de incidentes. Aquí encontraremos todos los documentos que componen un Plan de Contingencia de una empresa. Éstos contienen información específica sobre cada uno de los entornos de la entidad, incluyendo las tareas que hay que llevar a cabo para una adecuada gestión y recuperación de una aplicación, sistema, infraestructura o entorno.

• Fase 4: Prueba, mantenimiento y revisión. Es la última fase que tiene que contener un Plan de Contingencia y Continuidad de Negocio.

Su objetivo es gestionar de la manera más eficaz posible una situación de crisis, de manera en la que se reduzcan los tiempos de actuación y recuperación hasta alcanzar la “normalidad”. Por este motivo es fundamental que el Plan de Contingencia de una empresa esté actualizado y sea comprobado cada cierto tiempo. Es necesario la realización de diferentes pruebas para comprobar que está actualizado y que con las medidas creadas se obtiene los resultados esperados. Para realizar estas pruebas es necesario tener en cuenta:

1. Personal técnico implicado en la prueba
2. Usuarios involucrados
3. Personal externo: clientes, proveedores…
4. Descripción y datos relevantes de la prueba a realizar
5. Describir los resultados se esperan una vez ejecutada la prueba
6. Definir la hora y la fecha en la que la prueba se va a realizar, teniendo en cuenta que quizás sea necesaria la paralización de la actividad, por lo que hay que encontrar el día y la hora en la que menos impacto pueda tener

¿Qué medidas de seguridad tendrían que estar contempladas en el Plan de Contingencia de una empresa y de Continuidad de Negocio?

Encontramos tres tipos diferentes de medidas que la empresa tendría que aplicar:

1. Medidas de carácter preventivas.
2. Medidas para disminuir los efectos de las amenazas en el caso de que se produzcan.
3. Medidas para recuperar la situación anterior antes de que ocurriese el ataque.

¿Quién debe desarrollar un Plan de Contingencia de una empresa y de Continuidad de Negocio?

En el desarrollo de estos planes están implicadas diferentes partes. Antes de desarrollar un Plan de Contingencia y de Continuidad de Negocio se debe contar con la ayuda de profesionales especializados en materia.

Toda la entidad, teniendo en cuenta a los clientes y proveedores forman parte del Plan de Contingencia de una empresa, aunque algunos departamentos estarán más implicados que otros. Los más implicados en cuanto al desarrollo de un Plan de Contingencia y de Continuidad de Negocio son la empresa especializada en protección de datos y ciberseguridad contratada, así como el Departamento de TIC.

¿Qué conocimientos tendrían que tener estos profesionales?

En primer lugar, los profesionales encargados de desarrollar un Plan de Contingencia y de Continuidad de Negocio tienen que estar especializados en protección de datos y ciberseguridad, además de tener conocimientos sobre Sistemas de Gestión de la Seguridad de la Información (SGSI), Normas ISO, principalmente ISO 27001 y 27002, y Norma ISO 27007. También sería un valor añadido que tuvieran conocimientos sobre la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSICE) puesto que, actualmente, todas las empresas tienen presencia en Internet, y la mayor parte de ellas venden sus servicios y/o productos a través de su página web.

¿Por qué una empresa necesita desarrollar un Plan de Contingencia y Continuidad de Negocio?

Cualquier entidad que quiera asegurarse la continuidad de su negocio tras una acción ocurrida por un factor que no controla debe tener desarrollado su Plan de Contingencia y Continuidad de Negocio. El Plan de Contingencia de una empresa ayudará a su empresa a poder solventar cualquier situación de crisis, asegurándose en un 95% la continuidad de su actividad.

La actual situación pandémica nos ha demostrado que aquellas empresas que no tenían un Plan de Contingencia y Continuidad de Negocio, en su mayoría han desaparecido.

Si todavía no tienes desarrollado un Plan de Contingencia y Continuidad de Negocio y quieres más información puedes contactar aquí con uno de nuestros consultores.

¡Descarga la guía de Consejos de Ciberseguridad

y empieza a proteger la información de tu empresa!