Capítulo I: ¿Qué es un Plan de Contingencia y Continuidad de Negocio?

El avance de las nuevas tecnologías y sus riesgos

Antes de entrar a definir qué es un Plan de Contingencia y Continuidad de Negocio, debemos ser conscientes de nuestro entorno empresarial. La forma de trabajar y crecer como empresa está cambiando con la misma rapidez que lo hacen los avances tecnológicos.

Nos encontramos ante nuevos retos que debemos afrontar con la mayor seguridad posible. El proceso de digitalización de las empresas supone un cambio en la forma de actuar y no todos los responsables de las empresas están preparados para afrontarlos.

Ante los nuevos cambios no solo es necesario formarse en los nuevos avances sino en prepararse para protegerse y reaccionar ante los incidentes de seguridad que suponen el uso de dispositivos digitales y entornos de red.

Cada vez son más numerosas las publicaciones que nos llegan sobre ataques de ciberdelincuentes que hacen peligrar la seguridad de la información de la empresa, independientemente de su tamaño y sector.

Lo que es más grave, es que esos ciberataques hacen peligrar la continuidad de negocio. La mejor opción para evitar graves pérdidas financieras ante posibles contingencias es anteponernos a los riesgos, adelantarnos a las adversidades y diseñar planes estratégicos que nos garanticen una continuidad de negocio.

Estos planes estratégicos que toda empresa debería de implementar son el Plan de Contingencia y Continuidad de Negocio.

El Plan de Contingencia y Continuidad de Negocio es aquel en el que afrontamos un plan estratégico que permite la continuidad de una organización desde todos sus ámbitos, es decir englobando todos los departamentos de la empresa desde la infraestructura TIC, recursos humanos, sistemas de comunicación, logística, sistemas industriales, infraestructuras físicas, etc.

Con este Plan de Contingencia y Continuidad de Negocio se pretenden establecer mecanismos que se pongan en marcha ante cualquier tipo de contingencia que pueda poner en peligro, por ejemplo, la información de la empresa.

Estos mecanismos que hemos diseñado e implementado en el Plan de Contingencia y Continuidad de Negocio deben servir para conseguir alcanzar el objetivo de que nuestro negocio no se paralice y reducir los tiempos de respuesta ante un incidente.

¿En qué consiste la cultura de ciberseguridad? Sus principales fases

Las empresas que tienen como objetivo seguir creciendo en este nuevo paradigma son conscientes de la necesidad de un proyecto que les permita ese crecimiento con seguridad. Aunque el 100% de seguridad es muy difícil de obtener, sí que es cierto que con un Plan de Contingencia y Continuidad de Negocio adaptado a nuestro entorno y sector profesional podríamos estar cerca de alcanzarlo.

Las preguntas clave que tenemos que tener en cuenta y que deben ser respondidas con la aplicación de ese Plan de Contingencia y Continuidad de Negocio son las siguientes; ¿Qué amenazas pueden ocurrir?, ¿Cuál es lo planificado para responder ante la amenaza? Y otra pregunta importante que nuestro Plan de Contingencia y Continuidad de Negocio ha de responder es ¿Cómo podemos adelantarnos al incidente y prepararnos antes de que llegue a ocurrir?

La respuesta ante la pregunta de qué es un Plan de Contingencia y Continuidad de Negocio es aquel Plan que permite a las empresas independientemente de su tamaño y sector la mejor protección, prevención y reacción ante las contingencias que afecten directamente a nuestro negocio.

Una vez que hemos definido lo que es un Plan de Contingencia y Continuidad de Negocio tenemos que buscar a los mejores profesionales y ponernos en sus manos para que desarrollen el mejor Plan de Contingencia y Continuidad de Negocio que se ajuste a nuestro entorno y sector profesional.
Las principales fases del Plan de Contingencia y Continuidad de Negocio son:

A) Determinación del alcance: Establecer qué elementos de la empresa van a ser el objeto de nuestro Plan de Contingencia y Continuidad de Negocio.

Esta fase es la menos costosa de realizar, en todos los sentidos, tanto en tiempo como en número de recursos. Por otro lado, es necesaria para poder conocer cuál será la magnitud y coste del Plan de Contingencia y Continuidad de Negocio.

El alcance a tener en cuenta será aquel que incluya los sistemas o procesos de mayor criticidad, es decir, aquellos que en caso de una contingencia grave causarían un gran impacto en nuestra organización. Así dependiendo del tipo de empresa y actividad que desarrollemos nuestros procesos más críticos serán diferentes.

En este Post estamos tratando de definir qué es un Plan de Contingencia y Continuidad de Negocio. En la primera fase, definiremos el alcance, así como el tipo de enfoque que tendrá nuestro Plan. Podemos hablar de dos tipos de enfoque, el enfoque por activo, permite mejorar la continuidad de un conjunto de activos. El enfoque por proceso lo que pretende es mejorar la continuidad de un determinado proceso, con independencia de los activos TIC, es un enfoque de negocio.

¡Descarga la guía de Consejos de Ciberseguridad

y empieza a proteger la información de tu empresa!

B) Análisis de la organización: Analizar y comprender las circunstancias propias de la empresa.
En esta fase elaboraremos un análisis de las circunstancias tecnológicas, procesos y recursos de la organización, que nos servirá de base para ir dando forma a nuestro Plan de Contingencia y Continuidad de Negocio.

Son muchas las tareas que tenemos que desarrollar para conseguir un buen análisis de nuestra organización, por lo que es recomendable acudir a los mejores profesionales que nos asesoren en este cometido y vayan dando respuesta a lo qué es un Plan de Contingencia y Continuidad de Negocio.

• Realización de reuniones: mantener reuniones con los usuarios del proceso que hayamos definido previamente en la fase de alcance del Plan de Contingencia y Continuidad de Negocio. El objetivo es conocer las dependencias de proveedores, personal implicado, aplicaciones y datos utilizados. En definitiva, cómo se está ejecutando ese proceso en la empresa.
  
  
• Análisis de impacto del Negocio: Es uno de los puntos principales que ha de resumir qué es un Plan de Contingencia y Continuidad de Negocio y porqué lo vamos a necesitar. En este documento definiremos los requisitos temporales y de recursos tanto humanos como tecnológicos de los procesos dentro del alcance.

• Tiempo de recuperación (RTO): es el tiempo que un proceso estará detenido antes de que su funcionamiento sea restaurado. Es un componente de carácter subjetivo.
• Tiempo máximo tolerable de caída (MTD): es el tiempo que un proceso puede permanecer caído antes de que suponga graves consecuencias para nuestro negocio. El tiempo de recuperación que hayamos determinado en el Plan de Contingencia y Continuidad de Negocio, ha de ser SIEMPRE inferior al tiempo máximo tolerable de caída.
• Niveles mínimos de recuperación de servicio (ROL): Es el nivel mínimo de recuperación que tendrá una actividad para que la podamos entender como recuperada, aunque este nivel no sea óptimo.
• Grado de dependencia de la actualidad de los datos (RPO): Es un valor especialmente crítico para establecer las políticas de copias de la organización de nuestra empresa.
  

En esta segunda fase de análisis de negocio obtenemos una información muy valiosa que nos permite identificar una serie de datos que resultan imprescindibles tenerles en cuenta en nuestro Plan de Contingencia y Continuidad de Negocio.

• Procesos que debemos recuperar antes según su tiempo máximo tolerable de caída, de más críticas a menos críticas.
• Que aplicaciones debemos recuperar antes, según los procesos en los que se utilizan.
• Determinar las necesidades de copias de seguridad de cada proceso.

Análisis de Riesgos: Se tienen que analizar y conocer cuáles son las amenazas que pueden materializarse y afectar los procesos del alcance. En el Plan de Contingencia y Continuidad de Negocio, debemos determinar la probabilidad y el impacto de cada una de las amenazas identificando los riesgos que pongan en peligro la continuidad e información del negocio. Una vez identificados trataremos los riegos de mayor impacto.

C) Determinación de la estrategia de continuidad. En esta fase del Plan de Contingencia y Continuidad y Negocio estableceremos las estrategias de recuperación más adecuadas.
El objetivo de esta fase es recuperar un sistema para evitar que una contingencia los degrade de manera irreversible para la empresa. Cada una de las estrategias definidas la implementaremos en una fase posterior. En el Plan de Contingencia y Continuidad de Negocio incluiremos también el coste y viabilidad de su implantación, mantenimiento y recursos necesarios que nos permitan la continuidad del negocio.

D) Respuesta a la contingencia. Supone la implementación de las estrategias de continuidad definidas anteriormente.
Este proceso requiere de una documentación adecuada en nuestro Plan de Contingencia y Continuidad de Negocio. Es importante documentar la respuesta a la contingencia y lo que debe realizar cada persona involucrada en el proceso afectado. Esta respuesta se organiza en torno a los siguientes elementos:
Plan de Crisis: debe contener los elementos necesarios para la gestión de los momentos iniciales de la crisis. Tras su ejecución habremos puesto en marcha los procesos necesarios para la recuperación de la infraestructura afectada.

Planes operativos de Recuperación: esta documentación que se encuentra dentro de del Plan de Contingencia y Continuidad de Negocio, nos permite realizar una evaluación del alcance de la crisis y determinar qué Planes Operativos de Recuperación activamos.

Procedimientos Técnicos de trabajo: Esta documentación resulta de especial relevancia en el Plan de Contingencia y Continuidad de Negocio, puesto que describe como llevaremos a cabo las tareas necesarias para la gestión y recuperación de una aplicación, sistema, infraestructura o entorno.

E) Prueba, mantenimiento y revisión. Esta es la última fase de nuestro Plan de Contingencia y Continuidad de Negocio y no por ello la menos importante.

Uno de los objetivos de lo qué es un Plan de Contingencia y Continuidad de Negocio es la gestión más óptima en tiempo y forma de una situación de crisis no prevista, reduciendo el tiempo de recuperación y vuelta a la normalidad. Resulta fundamental que este Plan lo tengamos actualizado y además ha de comprobarse que resulta efectivo.

Tendríamos que establecer en el Plan de Contingencia y Continuidad de Negocio un periodo de pruebas de todos los entornos al menos una vez al año y elaborar un informe que recoja los resultados. Las incidencias pueden ser varias, desde mala comunicación, resultados no esperados, tiempos estimados superados, etc.

Beneficios del Modelo Plan de Contingencia y Continuidad de Negocio- Norma UNE-EN ISO 22301

Para la puesta en marcha del Plan de Contingencia y Continuidad de Negocio es conveniente seguir el desarrollo de la Norma UNE-EN ISO 22301 denominada “Seguridad y resiliencia, Sistema de Gestión de la Continuidad del Negocio”. En ella, se especifican la estructura y los requisitos para implementar y mantener un sistema de gestión de la continuidad del negocio que permita desarrollar una continuidad de nuestra actividad después de haber sufrido una contingencia.
El modelo del Plan de Contingencia y Continuidad de Negocio aplica el ciclo PDCA que consiste en: Planificar, Hacer, Verificar y Actuar. Este modelo garantiza una implementación, mantenimiento y mejora de forma contina de nuestro Plan.

Ante la pregunta que nos venimos planteando en este post de qué es un Plan de Contingencia y Continuidad de Negocio, podríamos resumirlo en el conjunto de beneficios que podemos obtener si apostamos por la implementación de un Plan de Contingencia y Continuidad de Negocio. Estos beneficios vienen desarrollados en la Norma referida anteriormente y son desde varias perspectivas los siguientes:

Desde la perspectiva de nuestro negocio nos sirve para crear una ventaja competitiva, protegiendo y realzando la reputación y credibilidad, desde la perspectiva financiera, nuestro Plan de Contingencia y Continuidad de Negocio nos permite reducir la exposición legal y financiera y desde la perspectiva de las partes interesadas, proporciona confianza en la capacidad de organización para tener éxito.

Son muchos los beneficios que podemos obtener con la puesta en marcha de un Plan de Contingencia y Continuidad de Negocio. Desde Grupo CFI te ofrecemos la posibilidad de implantarlo contando para ello con los mejores profesionales que pueden ayudarte, asesorarte y guiarte. Elaboraremos para tu empresa un Plan de Contingencia y Continuidad de Negocio que mejor se adapte a tus necesidades y expectativas de negocio. Estas a tiempo de que tu empresa siga creciendo y haciendo frente a las contingencias de forma planificada y con éxito, no dudes en consultarnos y solicitarnos presupuesto sin compromiso, antes de que sea demasiado tarde.

Si necesitas un Plan de Contingencia,
contacta con uno de nuestros expertos