Gestión de la continuidad

La gestión de la continuidad del negocio es la actividad que se lleva a cabo en una organización para asegurar que todos los procesos de negocio críticos estarán disponibles para los clientes, proveedores, y otras entidades que deben acceder a ellos.^[1] Estas actividades incluyen un gran número de tareas diarias como gestión de proyectos, copias de seguridad de los sistemas, control de cambios y helpdesk. La gestión de la continuidad no se implanta cuando ocurre un desastre, sino que hace referencia a todas aquellas actividades que se llevan a cabo diariamente para mantener el servicio y facilitar la recuperación.^[2]

La base de la gestión de la continuidad son las políticas, guías, estándar y procedimientos implementados por una organización. Todo el diseño, implementación, soporte y mantenimiento de los sistemas debe estar fundamentado en la obtención de un buen plan de continuidad del negocio, recuperación de desastres y en algunos casos, soporte al sistema. En ocasiones el plan de la continuidad o plan de contingencias se confunde con la gestión de la recuperación tras un desastre, pero son conceptos diferentes. La recuperación de desastres es una pequeña parte de la gestión de la continuidad.^[3]

El término continuidad del negocio describe una filosofía o metodología de desarrollar la actividad del negocio, mientras que la planificación de la continuidad de negocio es la actividad que determina cual debe ser esta metodología. El plan de continuidad del negocio puede ser visto como la metodología utilizada por los usuarios de la organización diariamente para asegurar el desarrollo normal del negocio. Los componentes necesarios en el plan de continuidad necesarios para disponer de un plan documentado incluye:

Políticas[editar]

Las políticas son una serie de normas impuestas por las esferas directivas de la organización que soportan todos los procesos de negocio y que se desarrollan siguiendo un plan determinado.

Guías[editar]

Las guías son una serie de conceptos de los que se recomienda su seguimiento según el plan designado. De todas formas, dependiendo de las necesidades y requisitos de negocio, estas guías pueden ser ignoradas o alteradas durante la implementación.

Estándares[editar]

Los estándares consisten en las especificaciones técnicas realizadas para la implementación de todos los procesos de negocio. Son un derivado de las políticas y las guías. En 2007 BSI, British Standards Institution, publicó la norma BS 25999 partes 1 y 2 para establecer la gestión de la continuidad de negocio en las organizaciones. En ella ya se introdujo el término resiliencia traducido del término inglés "resilience" y que la RAE define como la capacidad humana de asumir con flexibilidad situaciones límite y sobreponerse a ellas.

En 2012 se publicó la ISO 22301, norma internacional para la gestión de la continuidad de negocio basada en la anterior BS 25999 y teniendo ya aplicación y reconocimiento mundial.

Otramente, creadas y mantenidas por el Instituto de Recuperación Ante Desastres Internacional (Disaster Recovery Institute International), Las Prácticas Profesionales para la Gestión de Continuidad de Negocios se trata de un cuerpo de conocimiento diseñado para ayudar en el desarrollo, implementación y mantenimiento de programas de Continuidad de Negocio. También está designado a servir como una herramienta para realizar evaluaciones a programas BCM ya existentes.^[3]

Procedimientos[editar]

El estándar británico 25999-1 ofrece especificaciones para la implementación de un sistema de gestión de la continuidad en una organización. Esta tarea puede resultar compleja en grandes organizaciones, que contratan expertos y consultores que ofrecen soporte y formación al respecto.

Para implantar un sistema ISO 22301

Fase inicial:

Identificación de requerimientos
Objetivos y alcance de la continuidad del Negocio
Plan de tratamiento de riesgos

Implementando el sistema:

Análisis de Impacto de riesgos en el negocio
Estrategia de continuidad del Negocio
Implementando el plan de continuidad del Negocio
Sensibilización y formación
Documentando el plan de continuidad

Revisión y Mantenimiento:

Ejercitando el plan de continuidad
Análisis de resultados
Planes de comunicación
Acciones correctivas
Revisión y mantenimiento

Planificación y despliegue de recursos[editar]

El concepto de gestión de la continuidad implica que los recursos subyacentes se encuentran implementados y desplegados de un modo determinado, que permite ser reestructurado fácilmente dependiendo de las necesidades de la organización. Este nivel de flexibilidad requiere que todas las funciones de negocio sean planeadas e implementadas, desde el principio, con la mentalidad de disponer de un plan de continuidad del negocio.

Estructura organizativa[editar]

Parte del trabajo de la gestión de la continuidad es asegurar que todo el personal de la organización comprende qué procesos del negocio son los más importantes para la organización.

Este entendimiento debe quedar de manifiesto en la formación del personal, de forma que los empleados puedan asegurar la continuidad del negocio incluso cuando hay una entrada y salida de personal constante. Es importante también contar con diferentes individuos con el mismo conocimiento, sobre todo en momentos críticos cuando la persona con el conocimiento experto no se encuentra disponible.

Análisis del impacto en el negocio[editar]

El concepto completo de gestión de la continuidad está basado en los procesos de negocio de una organización, y la asignación de un nivel de importancia a cada proceso. Un análisis de impacto en el negocio es la herramienta principal que permite recopilar esta información para así asignar una criticidad, objetivos de recuperación y tiempo de recuperación a cada uno de ellos.

Puede ser utilizado para identificar la importancia del impacto en los diferentes niveles de una organización. Por ejemplo, se puede examinar el efecto de una interrupción en las actividades operacionales, funcionales o estratégicas de una organización. No solo en las actividades actuales, el efecto de interrupciones por la introducción de grandes cambios, como la creación de un nuevo producto o servicio, también puede ser calculado por el análisis de impacto de negocio.

Las mejores prácticas indican que un análisis de impacto de negocio debe ser revisado como mínimo anualmente, pero esta revisión puede ser más frecuente en el caso de:

Un gran cambio en el ritmo de negocio
Cambios significativos en los procesos internos de negocio, localización o tecnología
Cambios significativos en el entorno externo de negocio, como los mercados o cambios en la regulación legal.

Gestión de la seguridad[editar]

En el entorno empresarial, la seguridad debe ser la prioridad principal en la gestión de las tecnologías de la información. Para la mayoría de organizaciones la seguridad está regida por la legislación y el cumplimiento de estas normas está controlado por auditorías.

El no cumplimiento de estas normas tiene un impacto económico y organizativo en la entidad.

Gestión documental[editar]

En el entorno de tecnologías de la información la rotación de personal es inevitable y forma parte de la gestión de la continuidad. La solución a los problemas relacionados con la rotación de personal es la creación de documentación completa y actualizada. Esto asegura que el personal entrante dispone de la información necesaria sobre sus funciones y tareas.

Esto implica que los procesos relacionados con la documentación es generada (no escrita) desde los sistemas existentes y gestionada de forma automática.

Gestión del cambio[editar]

Las regulaciones determinan que los cambios relacionados con los procesos de negocio deben ser documentados y clasificados para futuras auditorías, esto se denomina “control de cambios”. Un nuevo nivel de estabilidad entra en la organización ya que requiere que el personal de soporte documente y coordine todos los cambios en los sistemas. A medida que este proceso se automatiza, el énfasis pasará del control de personal al cumplimiento de la normativa.

Gestión de auditorías[editar]

Uno de los aspectos que requieren más tiempo y recursos en la gestión de tecnologías de la información son las auditorías. Uno de los objetivos de la gestión de la continuidad es la automatización del data center, que incluye la gestión de las auditorías. Todos los procesos de negocio modernos deberían ser diseñados de forma que generen automáticamente la información y documentación necesaria para las auditorías como parte del día a día de la organización. Esto reduce drásticamente el tiempo y coste asociado con la producción manual de este tipo de información.

Acuerdos de nivel de servicio[editar]

El punto de encuentro entre la gestión y las tecnologías de la información son los Acuerdos de Nivel de Servicio. Dichos acuerdos proporcionan un contrato escrito donde se estipula el alcance de la gestión con respecto a la disponibilidad de un determinado proceso de negocio y los recursos que las tecnologías de la información ofrecen como soporte a ese proceso.

Planificación[editar]

La planificación, prevención y preparación corresponden al punto clave de cualquier sistema de gestión de la continuidad. Esto empieza con la identificación de los riesgos potenciales y amenazas al negocio, tanto interna como externa.

Herramientas[editar]

PILAR: Herramienta que permite realizar el análisis de riesgos. https://www.ccn-cert.cni.es/herramientas-de-ciberseguridad/ear-pilar.html Archivado el 12 de julio de 2017 en Wayback Machine.
Las Prácticas Profesionales para la Gestión de Continuidad de Negocios, DRI International, 2017. https://drii.org/resources/professionalpractices/spanish
Glosario Internacional para Resiliencia, DRI International 2013. https://drii.org/resources/glossary?lang=SP
SECITOR: Herramienta de Análisis y Gestión de Riesgos de alto nivel que permite la gestión integral de la Seguridad de la Información siendo un sistema multimarco (ISO 22301, ENS, Protección de datos, ISO 27001, ISO 19001, etc), además de una monitorización en tiempo real de la seguridad de la organización, siendo integrable con Nagios, OCS inventory, Splunk, SIEM, directorio activo, pilar, etc. http://www.secitor.com/ Archivado el 20 de abril de 2017 en Wayback Machine.

Véase también[editar]

Referencias[editar]

↑ «Glossary | DRI». drii.org. Consultado el 20 de marzo de 2018.
↑ «Plan de Continuidad de Operaciones – Protección Civil – Planes de Emergencias». proteccioncivil.info (en inglés estadounidense). Consultado el 20 de marzo de 2018.
↑ ^a ^b «Professional Practices | DRI». drii.org. Consultado el 20 de marzo de 2018.

Enlaces externos[editar]

Datos: Q384047
Multimedia: Business continuity / Q384047

[1] «Glossary | DRI». drii.org. Consultado el 20 de marzo de 2018.

[2] «Plan de Continuidad de Operaciones – Protección Civil – Planes de Emergencias». proteccioncivil.info (en inglés estadounidense). Consultado el 20 de marzo de 2018.

[Sin_nombre-p6co-1-3] «Professional Practices | DRI». drii.org. Consultado el 20 de marzo de 2018.

[1]

[2]

[3]