Observatorio de la seguridad de la información

Guía práctica para PYMES:cómo implantarun Plan de Continuidad de Negocio

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN

Edición: Octubre 2010El Instituto Nacional de Tecnologías de la Comunicación (INTECO), sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, es una plataforma para el desarrollo de la Sociedad del Conocimiento a través de proyectos del ámbito de la innovación y la tecnología.La misión de INTECO es aportar valor e innovación a los ciudadanos, a las pymes, a las Administraciones Públicas y al sector de las tecnologías de la información, a través del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Información en nuestro país, promoviendo además una línea de participación internacional. Para ello, INTECO desarrollará actuaciones, al menos, en líneas estratégicas de Seguridad Tecnológica, Accesibilidad, Calidad TIC y Formación.El Observatorio de la Seguridad de la Información (http://observatorio.inteco.es) se inserta dentro de la línea estratégica de actuación de INTECO en materia de Seguridad Tecnológica, siendo un referente nacional e internacional al servicio de los ciudadanos, empresas, y administraciones españolas para describir, analizar, asesorar y difundir la cultura de la seguridad y la confianza de la Sociedad de la Información.Datos de contacto:Instituto Nacional de Tecnologías de la Comunicación (INTECO)Observatorio de la Seguridad de la InformaciónAvda. José Aguado, 41. Edificio INTECO. 24005 LeónTeléfono: +(34) 987 877 189 / Email: observatorio@inteco.eswww.inteco.esDeloitte presta servicios de auditoría, asesoramiento fiscal y legal, consultoría y asesoramiento en transacciones corporativas a entidades que operan en un elevado número de sectores de actividad. La firma aporta su experiencia y alto nivel profesional ayudando a sus clientes a alcanzar sus objetivos empresariales en cualquier lugar del mundo. Para ello cuenta con el apoyo de una red global de firmas miembro presentes en más de 140 países y con más de 168.000 profesionales que han asumido el compromiso de ser modelo de excelencia.Deloitte cuenta con un grupo encargado de realizar servicios correspondientes a la gestión del riesgo informático que se denomina Enterprise Risk Services (ERS). Este grupo está formado por cerca de 200 profesionales, 7 socios en España y varios miles de especialistas a nivel mundial, dedicados exclusivamente a servicios de auditoría informática, seguridad informática, identificación y gestión de los riesgos de las operaciones asociados a los sistemas de información, así como a servicios enfocados a mantener el nivel de control interno requerido en la utilización de la tecnología. Como parte de la estrategia de diferenciación en los servicios prestados, debemos destacar la cualificación de su equipo de profesionales, quienes atesoran más de 300 certificaciones en materia de seguridad de la información, continuidad de las operaciones y auditoría informática.Datos de contacto:DeloittePlaza Pablo Ruíz Picasso, 1. Torre Picasso. 28020 MadridTeléfono: +(34) 915 14 50 00Fax: + (34) 915 14 51 80Si desea información adicional, por favor, visite www.deloitte.esDepósito Legal: LE-1496-2010Imprime: gráficas CELARAYN, s.a.

( 5

Índice

1. ¿A quién va dirigida? 7

2. ¿Por qué es importante la continuidad? 9

3. ¿Cuál es la utilidad de esta guía? 10

4. ¿Por qué es necesario adoptar un plan de Continuidad de Negocio? 12

5. ¿Por dónde empezar? 15

6. Estructura de la guía 19

7. Fase I: Diseño del plan y establecimiento de la política de

Continuidad de Negocio 21

8. Fase II: Conocimiento de los procesos de negocio de la

organización y análisis de riesgos 26

9. Fase III: Medidas preventivas 42

0. Fase IV: Estrategias de recuperación 46

11. Fase V: Desarrollo e implantación del plan 53

2. Fase VI: Mantenimiento del plan 62

3. ¿Qué debo recordar? 68

4. Más información 69

5. Anexo I: Glosario 72

1

1

1

1

1

1. ¿A quién va dirigida?

Los principios de esta guía, si bien están dirigidos especialmente a la peque-ña y mediana empresa española, así como a los profesionales autónomos, son aplicables a cualquier empresa española, sin importar el sector, la acti-vidad, la ubicación geográfica, la posible dispersión en múltiples sedes ni el tamaño de la entidad. Posteriormente el tiempo, el esfuerzo y el presupuesto son los parámetros que diferirán ampliamente en función del tamaño de la empresa.De forma más concreta, la intención de esta guía es que sea explotada por aquel al que le ha sido encomendada la responsabilidad de ejecutar las me-didas orientadas a garantizar la continuidad de sus actividades de negocio (ya sea el área de tecnología y sistemas, el área de auditoría o gestión de riesgos, o incluso personal al que se le encarga la gestión sin tener conoci-mientos previos).Las razones por las que esta guía va dirigida principalmente a la PYME es-pañola son varias:• Según el Directorio Central de Empresas (DIRCE) de 2009, más del 99% del tejido empresarial español está constituido por pequeñas empresas (las microempresas constituyen el 94,8% y las pequeñas el 4,4%), lo que constituye el motor principal de la economía y de la producción en Espa-ña.• El grado de implantación de planes de continuidad de negocio en las pequeñas y medianas empresas españolas es notablemente inferior si se compara con las grandes empresas. Todas las empresas españolas, independientemente de su sector de actividad, son conscientes de la im-portancia de aplicar este tipo de planes, pero principalmente las grandes disponen de recursos técnicos, económicos y humanos necesarios para convertir esta necesidad en una realidad tangible.

¿A quién va dirigida?

...