Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Que un desastre no te detenga, elabora un plan de continuidad de negocio

Fecha de publicación 18/12/2018
Autor
INCIBE (INCIBE)
Imagen de acompañamiento

Incendios, cortes en el suministro eléctrico, actos vandálicos, ataques informáticos o fugas de información. Diariamente una empresa puede verse afectada por multitud de escenarios que hagan peligrar la continuidad del negocio. Para evitar que uno de los sucesos anteriores, u otro cualquiera, reduzca la actividad empresarial o incluso llegue a detenerla, será de suma importancia elaborar un plan de continuidad de negocio.

¿Puntos clave para elaborar un plan de continuidad?

Existen varios aspectos a tener en cuenta a la hora de elaborar un plan de continuidad de negocio. A continuación exponemos los principales puntos clave a tener en cuenta:

  • Determinar su alcance. Para ello, habrá que realizar una revisión de los activos de la organización e identificar aquellos que sean imprescindibles o que se consideren críticos y que van a variar en base a la actividad de la organización. Por ejemplo, para una pyme con un comercio online, un activo crítico será su página web; mientras que para otra empresa que realice venta tradicional, no lo será tanto. Para determinar los activos que conforman una organización, desde INCIBE hemos creado una herramienta que sirve de plantilla.
  • Definir responsables. Haciendo un símil marítimo, un plan de continuidad sin responsable será como un barco sin capitán: muchas órdenes e ideas pero nadie que ponga orden en el caos. Por lo tanto, habrá que determinar quién debe hacerse cargo de la situación. Este aspecto será esencial para organizar el equipo y las medidas a llevar a cabo de cara a mitigar un incidente.
  • Realizar un análisis de impacto en el negocio. También conocido como BIA por sus siglas en inglés «Business Impact Analysis». Tendrá como objetivo identificar las necesidades del negocio en términos de recuperación, sobre todo en aquellos activos considerados críticos. Para llevar a cabo un BIA hay que recabar toda la información posible mediante reuniones con los distintos departamentos y definir tanto los tiempos de recuperación, como su criticidad.
  • Política de comunicación y aviso a entidades externas. En algunas situaciones será necesario tender un hilo de contacto con entidades externas, como autoridades o medios de comunicación. En este caso, habrá que determinar los responsables de esta comunicación y cómo han de hacerlo.
  • Definir la estrategia de continuidad. En este punto se determinará cuál es la estrategia más adecuada para garantizar la continuidad de la organización. Esta tarea deberá ser acorde con los resultados arrojados por el BIA. La estrategia que se siga deberá estar adaptada a cada empresa en concreto, pero existen unos puntos básicos y comunes que se deberán tener en cuenta:
    • Desarrollar una cultura en seguridad. La principal forma de evitar un incidente de seguridad es dar formación a los miembros de la organización, ya que serán ellos quienes traten la información y las herramientas que la gestionan. La formación siempre se hace más amena cuando se imparte jugando. Por esa razón, desde INCIBE ponemos a disposición de los usuarios el Serious Game Hackend con el que os formaréis en ciberseguridad mientras os divertís. Otro método con el que desarrollar cultura en ciberseguridad es implantar el Kit de concienciación, herramienta que incorpora múltiples recursos con el que formar a los miembros de la organización en ciberseguridad.
    • Protección de la información. Si has realizado un BIA, seguramente comprobarás que la información es uno de los activos más críticos que manejas. Es importante establecer medidas de seguridad preventivas y reactivas y de esta forma, garantizar los tres pilares de seguridad de la información: confidencialidad, disponibilidad e integridad.
    • Protección del puesto de trabajo. La información, además de ser tratada por los miembros de la organización, es gestionada por las herramientas que la utilizan en su día a día. Para mitigar los riesgos asociados a este tratamiento, se deberán establecer una serie de medidas de seguridad, ya sean de carácter organizativo o técnico.
    • Cumplimiento legal. Este aspecto aplica a todos por igual y deben estar acordes con las leyes que lo regulan como RGPD, la LSSI o la LPI.
  • Desarrollar actividades de entrenamiento y verificación. Una de las mejores formas para saber cómo tratar cualquier situación lo marca la experiencia. Para poder estar preparados ante ciertas eventualidades, desde INCIBE hemos creado 5 juegos de rol con los que entrenar y poner a prueba el plan de contingencia y continuidad de tu organización.
  • Establecer la caducidad del plan. Este tipo de planes deberán actualizarse periódicamente para garantizar un nivel óptimo de seguridad. El plan también debe actualizarse siempre que se acometan cambios importantes en los sistemas de la organización.

Elaborar un plan de continuidad es una forma de garantizar la supervivencia de la organización en caso de desastre. Una empresa que esté preparada ante cualquier incidente o eventualidad, podrá tomar las medidas oportunas para mitigar el problema y recuperar su actividad. Pero una que no lo esté, contará con más dificultados para recuperarse y en caso de hacerlo, seguramente sea con pérdidas económicas y de reputación. No lo dejes para mañana, empieza con tu plan de continuidad y larga vida a tu empresa.