Captulo 11 Gestin de la continuidad del negocio 11.

1 Aspectos de la gestin de la continuidad del negocio Objetivo: Contrarrestar las interrupciones de las actividades del negocio y proteger los procesos crticos del negocio de los efectos de fallas mayores o desastres. Se debera implementar un proceso de gestin de la continuidad del negocio para reducir las interrupciones que causan los desastres y fallas de seguridad (los que pueden ser resultado de, por ejemplo, desastres naturales, accidentes, fallas de equipos, y acciones deliberadas) a un nivel aceptable, como una combinacin de controles preventivos y recuperativos. Se deberan analizar las consecuencias de los desastres, fallas de seguridad y prdidas de servicio. Se deberan desarrollar e implementar planes de contingencia para asegurar que los procesos del negocio se puedan restablecer dentro de una escala de tiempo necesaria. Tales planes se deberan mantener y practicar para que lleguen a ser una parte integral de todos los otros procesos de gestin. La gestin de la continuidad del negocio debera incluir los controles para identificar y reducir los riesgos, limitar las consecuencias de daos de incidentes y asegurar a tiempo la reanudacin de las operaciones esenciales. 11.1.1 Proceso de gestin de la continuidad del negocio Debera existir un proceso de gestin para desarrollar y mantener la continuidad del negocio de toda la organizacin. Esto se debera tener junto a los elementos claves de gestin de la continuidad del negocio siguiente: a) entender que los riesgos de la organizacin se enfrentan en trminos de su probabilidad y su impacto, incluyendo una identificacin y priorizacin de los procesos crticos del negocio; b) entender el impacto que las interrupciones van a tener probablemente en los negocios (esto es importante para las soluciones que se encontrarn para manejar los incidentes menores, como tambin los incidentes serios que podran amenazar la viabilidad de la organizacin), y establecer los objetivos de las instalaciones de procesamiento de la informacin del negocio; c) considerar la contratacin de un seguro adecuado que puede formar parte del proceso de continuidad del negocio; d) formular y documentar la estrategia de continuidad del negocio, consistente con los objetivos y prioridades acordadas del negocio; e) formular y documentar los planes de continuidad del negocio en lnea con la estrategia acordada; f) probar y actualizar regularmente los planes y procesos ubicados en el sitio; g) asegurar que la gestin de continuidad del negocio se incorpora en los procesos y estructura de la organizacin. La responsabilidad de la coordinacin del proceso de gestin de la continuidad del negocio se debera asignar a un nivel apropiado dentro de la organizacin, por ejemplo, en el comit de seguridad de la informacin (ver 4.1.1).

11.1.2 Continuidad del negocio y anlisis del impacto La continuidad del negocio debera comenzar con la identificacin de los eventos que pueden causar interrupciones a los procesos del negocio, por ejemplo, falla de equipos, inundacin y fuego. Esto debera continuar con la evaluacin del riesgo para determinar el impacto de aquellas interrupciones (en trminos de una escala del dao y perodo de recuperacin). Estas actividades se deberan realizar con el total involucramiento de los dueos de los recursos y procesos del negocio. Esta evaluacin considera todos los procesos del negocio, y no est limitada a las instalaciones de procesamiento de informacin. Dependiendo de los resultados de la evaluacin del riesgo, se debera desarrollar un plan estratgico para determinar la forma de abordar la continuidad del negocio. Una vez que este plan se haya creado, se debera aprobar por la direccin. 11.1.3 Escritura e implementacin de los planes de continuidad Los planes se deberan desarrollar para mantener o restablecer las operaciones del negocio en el tiempo necesario siguiente a la interrupcin o falla de algn proceso crtico del negocio. La planificacin del proceso de continuidad del negocio debera considerar: a) la identificacin y acuerdo de todos los procedimientos de emergencia y responsabilidades; b) la implementacin de los procedimientos de emergencia para permitir la recuperacin y restablecimiento en el tiempo requerido. Es necesario dar particular atencin a la evaluacin de las dependencias externas del negocio y a los contratos existentes; c) la documentacin de los procesos y procedimientos acordados; d) la educacin apropiada del personal en los procedimientos y procesos de emergencia acordados, incluyendo una crisis de direccin; e) la prueba y actualizacin de los planes. El proceso de planificacin se debera enfocar en los objetivos requeridos del negocio, por ejemplo, restablecimiento de los servicios especficos de los clientes en un perodo de tiempo aceptable. Se deberan considerar los servicios y recursos que permitirn esto, incluyendo al personal, recursos de procesamiento de no informacin, as como configuraciones de recuperacin para las instalaciones de procesamiento de informacin. 11.1.4 Marco de planificacin de la continuidad del negocio Se debera mantener un marco nico de los planes de la continuidad del negocio para asegurar que todos los planes sean consistentes y para identificar las prioridades de mantenimiento y pruebas. Cada plan de continuidad del negocio debera especificar claramente las condiciones para su activacin, as como las responsabilidades del negocio para ejecutar cada componente del plan. Cuando se identifican nuevos requisitos, por ejemplo, planes de evacuacin o cualquier configuracin de recuperacin existente se deberan corregir, cuando sea apropiado, los procedimientos de emergencia establecidos.

Un marco de planificacin de continuidad del negocio, debera considerar lo siguiente: a) las condiciones para activar los planes que describen el proceso a seguir (cmo evaluar la situacin, quin est involucrado, etc.) antes que cada plan se active; b) los procedimientos de emergencia que describen las acciones a ser tomadas despus de un incidente que arriesgue las operaciones del negocio y/o la vida humana. Esto debera incluir las disposiciones para la gestin de las relaciones pblicas y para la efectiva unin con las autoridades pblicas apropiadas, por ejemplo, polica, bomberos y gobierno local; c) los procedimientos de recuperacin que describan las acciones que se deben tomar para mover las actividades esenciales del negocio o servicios de apoyo a ubicaciones alternativas temporales y colocar en operacin los procesos de respaldo del negocio en un tiempo adecuado; d) los procedimientos de reanudacin que describan las acciones que se deben tomar para volver a las operaciones normales del negocio; e) un programa de mantenimiento que especifique cmo y cundo el plan se probar y el proceso para mantener el plan; f) la sensibilizacin y la educacin en las actividades que se disean para crear un entendimiento de los procesos de continuidad del negocio y asegurar que los procesos continan siendo efectivos; g) las responsabilidades de los individuos, describiendo quin es el responsable para ejecutar qu componente del plan. Es necesario designar alternativas. Cada plan debera tener un dueo especfico. Los procedimientos de emergencia, el manual de los planes de recuperacin y los planes de reanudacin deberan estar dentro de la responsabilidad de los propietarios de los recursos y procesos involucrados. Las configuraciones de recuperacin de los servicios tcnicos alternativos, tales como procesamiento de la informacin e instalaciones de comunicaciones, generalmente deberan ser de responsabilidad de los proveedores de servicio. 11.1.5 Pruebas, mantenimiento y reevaluacin de los planes de continuidad del negocio 11.1.5.1 Pruebas de los planes Los planes de continuidad del negocio a menudo pueden fallar en las pruebas, debido a suposiciones incorrectas, omisiones o cambios en los equipos o personal. Por lo tanto, estos planes se deberan probar regularmente para asegurar que estn actualizados y son efectivos. Tales pruebas deberan asegurar tambin que todos los miembros del grupo de recuperacin y todo el personal pertinente estn conscientes de los planes. El programa de pruebas para el (los) plan(es) de continuidad del negocio debera indicar cmo y cundo cada elemento del plan se debera probar. Es recomendable probar frecuentemente los componentes individuales del (de los) plan(es). Se debera usar una variedad de tcnicas con el fin de proveer seguridad que el (los) plan(es) operar(n) en la vida real. Estas deberan incluir:

a) pruebas de varios escenarios, tratadas en reunin (discutidas en las configuraciones de recuperacin del negocio, usando interrupciones de ejemplo); b) simulaciones (particularmente para entrenamiento de las personas en sus roles de gestin post incidente y durante la crisis); c) pruebas de recuperacin tcnica (para asegurar que los sistemas de informacin efectivamente se puedan restablecer); d) pruebas de recuperacin en un sitio alternativo (ejecutando los procesos del negocio en paralelo con las operaciones de recuperacin desde el sitio principal); e) pruebas de las instalaciones y de los servicios del proveedor (para asegurar que los servicios y productos externamente suministrados van a cumplir con el compromiso contratado); f) ensayos completos (pruebas que la organizacin, personal, equipos, instalaciones y procesos puedan salir adelante con las interrupciones). Estas tcnicas las puede usar cualquier organizacin y deberan reflejar la naturaleza del plan de recuperacin especfico. 11.1.5.2 Planes de reevaluacin y mantenimiento Los planes de continuidad del negocio se deberan mantener con revisiones y actualizaciones regulares para asegurar su continua efectividad (ver 11.1.5.1 a 11.1.5.3). Los procedimientos deberan incluir el programa de gestin de cambios dentro de la organizacin para asegurar que las materias de continuidad del negocio sean consideradas apropiadamente. Se debera asignar la responsabilidad de las revisiones regulares de cada plan de continuidad del negocio; la identificacin de los cambios en las disposiciones del negocio que no se reflejan todava en los planes de continuidad del negocio, debera llevar a una actualizacin apropiada del plan. Este proceso formal de control de cambio debera asegurar que los planes actualizados se distribuyan y refuerzan debido a las revisiones regulares del plan total. Ejemplos de situaciones que pueden necesitar planes de actualizacin incluyendo la adquisicin de nuevos equipos, o actualizacin y cambios de sistemas operacionales: a) personal; b) direcciones o nmeros telefnicos; c) estrategia del negocio; d) ubicacin de las instalaciones y recursos; e) legislacin; f) personal externo, proveedores y clientes claves; g) procesos nuevos o eliminados; h) riesgo (operacional y financiero).