Observatorio de la seguridad de la información

Guía práctica para PYMES:cómo implantarun Plan de Continuidad de Negocio

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN

Edición: Octubre 2010El Instituto Nacional de Tecnologías de la Comunicación (INTECO), sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, es una plataforma para el desarrollo de la Sociedad del Conocimiento a través de proyectos del ámbito de la innovación y la tecnología.La misión de INTECO es aportar valor e innovación a los ciudadanos, a las pymes, a las Administraciones Públicas y al sector de las tecnologías de la información, a través del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Información en nuestro país, promoviendo además una línea de participación internacional. Para ello, INTECO desarrollará actuaciones, al menos, en líneas estratégicas de Seguridad Tecnológica, Accesibilidad, Calidad TIC y Formación.El Observatorio de la Seguridad de la Información (http://observatorio.inteco.es) se inserta dentro de la línea estratégica de actuación de INTECO en materia de Seguridad Tecnológica, siendo un referente nacional e internacional al servicio de los ciudadanos, empresas, y administraciones españolas para describir, analizar, asesorar y difundir la cultura de la seguridad y la confianza de la Sociedad de la Información.Datos de contacto:Instituto Nacional de Tecnologías de la Comunicación (INTECO)Observatorio de la Seguridad de la InformaciónAvda. José Aguado, 41. Edificio INTECO. 24005 LeónTeléfono: +(34) 987 877 189 / Email: observatorio@inteco.eswww.inteco.esDeloitte presta servicios de auditoría, asesoramiento fiscal y legal, consultoría y asesoramiento en transacciones corporativas a entidades que operan en un elevado número de sectores de actividad. La firma aporta su experiencia y alto nivel profesional ayudando a sus clientes a alcanzar sus objetivos empresariales en cualquier lugar del mundo. Para ello cuenta con el apoyo de una red global de firmas miembro presentes en más de 140 países y con más de 168.000 profesionales que han asumido el compromiso de ser modelo de excelencia.Deloitte cuenta con un grupo encargado de realizar servicios correspondientes a la gestión del riesgo informático que se denomina Enterprise Risk Services (ERS). Este grupo está formado por cerca de 200 profesionales, 7 socios en España y varios miles de especialistas a nivel mundial, dedicados exclusivamente a servicios de auditoría informática, seguridad informática, identificación y gestión de los riesgos de las operaciones asociados a los sistemas de información, así como a servicios enfocados a mantener el nivel de control interno requerido en la utilización de la tecnología. Como parte de la estrategia de diferenciación en los servicios prestados, debemos destacar la cualificación de su equipo de profesionales, quienes atesoran más de 300 certificaciones en materia de seguridad de la información, continuidad de las operaciones y auditoría informática.Datos de contacto:DeloittePlaza Pablo Ruíz Picasso, 1. Torre Picasso. 28020 MadridTeléfono: +(34) 915 14 50 00Fax: + (34) 915 14 51 80Si desea información adicional, por favor, visite www.deloitte.esDepósito Legal: LE-1496-2010Imprime: gráficas CELARAYN, s.a.

( 5

Índice

1. ¿A quién va dirigida? 7

2. ¿Por qué es importante la continuidad? 9

3. ¿Cuál es la utilidad de esta guía? 10

4. ¿Por qué es necesario adoptar un plan de Continuidad de Negocio? 12

5. ¿Por dónde empezar? 15

6. Estructura de la guía 19

7. Fase I: Diseño del plan y establecimiento de la política de

Continuidad de Negocio 21

8. Fase II: Conocimiento de los procesos de negocio de la

organización y análisis de riesgos 26

9. Fase III: Medidas preventivas 42

0. Fase IV: Estrategias de recuperación 46

11. Fase V: Desarrollo e implantación del plan 53

2. Fase VI: Mantenimiento del plan 62

3. ¿Qué debo recordar? 68

4. Más información 69

5. Anexo I: Glosario 72

1

1

1

1

1

1. ¿A quién va dirigida?

Los principios de esta guía, si bien están dirigidos especialmente a la peque-ña y mediana empresa española, así como a los profesionales autónomos, son aplicables a cualquier empresa española, sin importar el sector, la acti-vidad, la ubicación geográfica, la posible dispersión en múltiples sedes ni el tamaño de la entidad. Posteriormente el tiempo, el esfuerzo y el presupuesto son los parámetros que diferirán ampliamente en función del tamaño de la empresa.De forma más concreta, la intención de esta guía es que sea explotada por aquel al que le ha sido encomendada la responsabilidad de ejecutar las me-didas orientadas a garantizar la continuidad de sus actividades de negocio (ya sea el área de tecnología y sistemas, el área de auditoría o gestión de riesgos, o incluso personal al que se le encarga la gestión sin tener conoci-mientos previos).Las razones por las que esta guía va dirigida principalmente a la PYME es-pañola son varias:• Según el Directorio Central de Empresas (DIRCE) de 2009, más del 99% del tejido empresarial español está constituido por pequeñas empresas (las microempresas constituyen el 94,8% y las pequeñas el 4,4%), lo que constituye el motor principal de la economía y de la producción en Espa-ña.• El grado de implantación de planes de continuidad de negocio en las pequeñas y medianas empresas españolas es notablemente inferior si se compara con las grandes empresas. Todas las empresas españolas, independientemente de su sector de actividad, son conscientes de la im-portancia de aplicar este tipo de planes, pero principalmente las grandes disponen de recursos técnicos, económicos y humanos necesarios para convertir esta necesidad en una realidad tangible.

¿A quién va dirigida? ( 7

Guía práctica para PYMES: cómo implantar un Plan de Continuidad de Negocio

8 )

• A partir de los estudios realizados por INTECO sobre seguridad de la

información en el ámbito de la empresa, se evidencian lagunas en el conocimiento

y una falta de recursos en la PYME española en materia de

continuidad de negocio.

¿A quién va dirigida?

2. ¿Por qué es importante la continuidad? ( 9

La competitividad creciente entre las organizaciones empresariales, las demandas

cada vez más exigentes de clientes y stakeholders, o los requerimientos

regulatorios cada vez más restrictivos, son factores que hoy en día

fuerzan a las empresas a demostrar la resistencia de las actividades de

negocio a permanecer activas ante cualquier contingencia grave.

Una caída de la luz, una inundación, un incendio o un robo han de considerarse

amenazas reales que deben ser tratadas de forma preventiva para evitar,

en caso de que éstas sucedan, que las pérdidas sean tan graves que afecten a

la viabilidad del negocio. Son múltiples las organizaciones que, independientemente

de su tamaño, fracasan o incluso desaparecen por la falta de procesos,

mecanismos y técnicas que mitiguen los riesgos a los que están expuestas y

garanticen una alta disponibilidad en las operaciones de su negocio.

De este modo, es necesario que las organizaciones establezcan una serie

de medidas técnicas, organizativas y procedimentales que garanticen la

continuidad de las actividades o procesos de negocio en caso de tener que

afrontar una contingencia grave.

Uno de los principales inconvenientes o barreras a las que se en-frenta una organización cuando decide abordar cualquier tipo de iniciativa relacionada con la continuidad de negocio es la falta de conocimiento y de instrucciones claras y concisas que detallen por dónde empezar y qué aspectos deben tenerse en cuenta para ga-rantizar el éxito.

Esta guía trata de salvar estos niveles de desorientación a través de un marco de actuación para aquellas organizaciones que deseen entender y abordar los principios y las prácticas de continuidad de negocio de una for-ma integral (desde el momento inicial en el que se reconoce la necesidad de desarrollar un programa o estrategia de continuidad, hasta su mantenimien-to y actualización constante).

¿Por qué es importante la continuidad?

3. ¿Cuál es la utilidad de esta guía?

10 )

Esta guía tiene el objetivo de identificar y explicar de forma desglosada las

actividades necesarias para diseñar, implantar y mantener un Plan de Continuidad

de Negocio, proporcionando, siempre que sea posible, gráficos,

ejemplos ajustados a las necesidades reales de la pequeña y mediana empresa

española y experiencias de casos de éxito con los que compararse.

Así, se pretende que la organización asimile y entienda cada una de las

fases y tareas que componen dicho Plan.

Si bien existen multitud de manuales, estándares y recomendaciones que

tratan de guiar a las organizaciones a adoptar estrategias de continuidad de

negocio, la mayoría de ellas son teóricas, expresadas con un lenguaje formal,

y no tienen en cuenta la situación, la problemática, las necesidades reales

o los niveles de conocimiento por parte de este tipo de organizaciones.

INTECO ha tratado de cubrir estas deficiencias a lo largo del diseño y elaboración

de esta guía, teniendo en cuenta la situación actual de la

...