Cómo gestionar y madurar un plan de continuidad del negocio

Cómo gestionar y madurar un Plan de Continuidad de Negocios

Autor: Sven De Preter, CDPSE, CISSP, CompTIA Cloud+, CompTIA Net+, CompTIA Sec+
Fecha de publicación: 30 de abril de 2021
Descargar PDF

La continuidad del negocio se define como tener las herramientas adecuadas para garantizar que una organización pueda continuar funcionando durante una interrupción de una o más de sus funciones de misión crítica.

 La organización puede necesitar determinar las personas necesarias, las habilidades requeridas necesarias, qué procesos están implementados y cómo funcionan, qué datos se necesitan, si los datos se pueden restaurar, cuánto espacio de rack y energía son necesarios, y en qué orden se deben restaurar los sistemas.

La organización también debe considerar qué proveedores usar y si necesitan ubicaciones de trabajo alternativas.

Es importante tener en cuenta estos detalles cuando se trata de la continuidad del negocio y la recuperación ante desastres.

Es decir, la organización debe contar con los procedimientos, procesos, actividades, activos y tomadores de decisiones necesarios para volver proactiva y reactivamente al negocio como de costumbre es clave para el éxito.

Es esencial que las organizaciones trabajen hacia un plan o programa de continuidad comercial maduro y decentemente administrado para mantener en funcionamiento las funciones comerciales de misión crítica. Después de todo, esas funciones críticas son las que generan ingresos.

Si una organización utiliza un enfoque estructurado, planificado, administrado y bien documentado, las cosas serán más fáciles y eficientes. Se pueden crear diferentes visualizaciones del modelo utilizando un marco.

Un marco puede ayudar a una organización a construir un plan exitoso de continuidad del negocio y recuperación ante desastres basado en los requisitos de la organización al proporcionar una metodología, orientación y herramientas.

Uno de los conceptos más importantes con respecto a la continuidad del negocio es el Ciclo Planificar-Hacer-Verificar-Actuar (PDCA) también conocido como el Ciclo Deming. Una de las principales razones por las que este ciclo es tan importante es porque cubre todos los aspectos de un plan, programa, procedimiento o proyecto, incluida la planificación y la definición de un alcance, la implementación de medidas, la verificación para ver si estas medidas logran los objetivos definidos durante la planificación. fase, y actuar en consecuencia. 

Jerarquía Corporativa

Antes de crear un plan de continuidad del negocio, es importante comprender que existen diferentes niveles jerárquicos dentro de la estructura de una organización. Las personas en cada nivel están tratando de lograr los mismos objetivos corporativos, pero cada nivel tiene una especialidad diferente.

La capa estratégica incluye a las personas con un conocimiento profundo real de todos los aspectos del funcionamiento y mantenimiento de una empresa

La capa técnica incluye a las personas que tienen las habilidades técnicas para implementar las cosas. 

La capa operativa actúa como puente entre las capas estratégica y técnica.

Es importante entender qué hacen los que están en cada capa y de qué son responsables.

Capa estratégica
El objetivo principal de la capa estratégica, compuesta por la junta directiva (BoD) y el director ejecutivo (CEO), es proporcionar la dirección de la organización. Piensan en cómo llevar a la organización al siguiente nivel mientras mantienen el riesgo y los presupuestos dentro de niveles aceptables. Brindan orientación y establecen requisitos para las capas operativas y técnicas.

Es necesario evaluar las funciones comerciales críticas de una organización en términos de riesgo y decidir cómo evitar, prevenir y mitigar mejor el riesgo. Se deben definir prioridades o se deben adquirir recursos adicionales.

Capa operativa

Generalmente son expertos en sus campos y pueden proporcionar información valiosa sobre la detección, mitigación y prevención de riesgos y cómo responder cuando un riesgo realmente se materializa. Transforman los objetivos de la capa estratégica en algo más tangible o real.

Capa técnica
Una vez diseñado el plan, las actividades son realizadas por el personal de la capa técnica. En base al hardware, software y aplicaciones utilizadas se implementan los controles definidos en el plan. No se puede construir un plan de continuidad comercial exitoso sin comprender la jerarquía organizacional y las funciones y responsabilidades del personal.

De la política a la implementación

Una vez que se establece la jerarquía organizacional, se deben analizar los objetivos y las restricciones para crear una política general, seguida de un plan para implementar esa política.

Es importante tener en cuenta los diferentes componentes del plan en la capa de gestión/operacional. Para ello, la organización debe identificar lo que tiene para posteriormente detectar cambios/problemas/eventos/incidentes no deseados y responder adecuadamente. 

La organización podrá definir las diferentes funciones y actividades que tendrá el programa dentro los siguientes rubros: identificar, proteger, detectar, responder y recuperar. Debe tener claro que la protección/prevención trata de evitar que el riesgo se manifieste. Detectar, responder y recuperar frente a los problemas que surgen cuando se materializa el riesgo.

Para cada función, NIST CSF proporciona documentación sobre cómo estas funciones se asignan a otras publicaciones especiales de NIST.

El CSF también enumera referencias informativas, que son secciones específicas de estándares, pautas y prácticas comunes entre los sectores de infraestructura crítica que ilustran un método para lograr los resultados asociados con cada subcategoría. 

Revisar y comprender las referencias informativas enumeradas puede proporcionar una visión más profunda de lo que se espera y cómo se pueden cumplir estos objetivos. Los objetivos de control son metas que deben alcanzarse. 

Continuidad del negocio y recuperación ante desastres

La continuidad del negocio va mucho más allá de la infraestructura, ya que también incorpora formas alternativas de trabajar, administrar la sucesión y manejar la protección de las personas. La recuperación ante desastres es una parte de la continuidad del negocio que se centra principalmente en la tecnología y el hardware. El objetivo principal de la recuperación ante desastres es reconstruir/recuperar el sitio, la infraestructura y los datos de una organización cuando sucede algo malo. Cuando ocurre un desastre, que resulta en la destrucción de infraestructura o datos de misión crítica, hay dos métricas que son importantes:

...