¿Qué es?
Es un documento en el que se recogen todas las medidas necesarias que debe contemplar una organización para mantener su actividad normal tras sufrir una interrupción no planificada en el servicio. Esta interrupción puede venir motivada por numerosas causas (desastres naturales, accidentes, fallos energéticos, fallos internos o ciberataques).
Este tipo de planes deben revisarse y probarse periódicamente y generalmente contienen la siguiente información:
- Los tipos de amenazas que pueden afectar al negocio.
- Los casos de uso que provocarían la activación del plan.
- Las piezas claves de la organización (infraestructura TIC, sistemas de comunicación, suministros y equipos, copias de seguridad de datos y sus ubicaciones e, incluso, infraestructuras físicas.
- La identificación de las personas clave en caso de necesitar gestionar una crisis y la asignación de roles y responsabilidades según corresponda, para que todo el mundo tenga claro qué debe hacer y qué se espera de su trabajo.
- Incluye la información de contacto tanto de las personas que ocupan roles esenciales, así como la de los proveedores estratégicos de la organización.
Beneficios de tenerlo
- Poder disponer de una estrategia a corto, medio y largo plazo que contribuya a la protección y continuidad del negocio.
- Conocer cuál es la información más importante para el negocio de la organización: diseños, planos, especificaciones técnicas, clientes, etc.
- Identificar cuáles son las amenazas que pueden tener un impacto significativo en nuestra actividad.
- Determinar los riesgos y poder realizar una gestión adecuada de los mismos.
- Definir planes y medidas de contingencia para limitar el impacto de nuestra organización a imprevistos como incidentes de ciberseguridad.
- Dar un mejor servicio a nuestros clientes al asegurar acuerdos de nivel de servicio y que ello supone una ventaja competitiva a la hora de contratar sus servicios.
Tipos de Plan de Continuidad
- Plan de Continuidad de Negocio (PCN) -> plan de continuidad desde múltiples perspectivas: infraestructura, TIC, RRHH, mobiliario, sistemas de comunicación, sistemas industriales, infraestructuras, …
- Plan de Continuidad TIC (PCTIC) -> plan de continuidad restringido al ámbito TIC o tecnológico.
- Plan de Recuperación ante Desastres (PRD) -> plan reactivo ante una catástrofe.
Etapas del Plan de Continuidad de Negocio
Fase 0. Determinar el alcance
Fase en la que se determinará qué elementos de la compañía son críticos y por tanto deben representar el foco de atención para garantizar su continuidad. El alcance más habitual se centra en los activos de información, los sistemas y comunicaciones más relevantes, así como los servicios y procesos que pueden provocar un mayor impacto en caso de corte de la actividad.
Fase 1. Impacto en la organización
En esta fase se realizarán un análisis del impacto sobre el negocio que sirva para identificar los aspectos más relevantes de una organización, así como priorizar los servicios y productos críticos.
Este estudio también implica un análisis de riesgos externo e interno que identifique aquellos que pueden provocar una interrupción de la actividad y el impacto que tendría en caso de producirse.
Fase 2. Estrategia de continuidad
En esta etapa se establecen los planes y actuaciones de respuesta y recuperación para asegurar la continuidad del negocio. Se tendrá en cuenta los procesos críticos de la organización, los recursos implicados, los tiempos de recuperación y los riesgos a los que se enfrenta.
Se definen los sistemas para garantizar que los productos y servicios críticos sean entregados con un nivel de servicio mínimo aceptable dentro de los plazos de inactividad establecidos. Deben existir planes de continuidad para cada servicio o producto crítico.
Fase 3. Respuesta a la contingencia
Este proceso implanta las iniciativas identificadas y realiza una clasificación y priorización de medidas, en función del proceso afectado y la criticidad de éste.
Se organiza en torno a los siguientes planes y elementos:
- Plan de crisis.
- Planes operativos de recuperación de entornos.
- Procedimientos técnicos de trabajo.
Fase4. Prueba, mantenimiento y revisión
El plan requiere que se mantenga actualizado y que se compruebe regularmente su vigencia o necesidades de renovación mediante la ejecución de pruebas y simulacros.
Fase 5. Concienciación
Consiste en llevar a cabo tareas que incrementen la concienciación de todo el personal de la organización.
¿Dónde recibir asesoramiento con relación a un Plan de Contingencia o Continuidad de Negocio?
Desde el BCSC, se pone a disposición de las empresas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.
El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.
