Planes adicionales al BCP DRP

  • Plan de comunicación de crisis: este documento debe describir los procedimientos y comunicados de prensa que las organizaciones deben preparar para responder ante un incidente de manera correcta. Este plan debe estar coordinado con los otros planes de la organización para asegurar que sólo comunicados revisados y aprobados sean divulgados y que solamente el personal autorizado, previamente designado, sea el responsable de responder las diferentes inquietudes y de diseminar los reportes de estado a los empleados y al público en general.

 

  • Planes de evacuación por edificio: estos planes, contienen los procedimientos que deben seguir los ocupantes de una instalación o facilidad en el evento en que una situación se convierta en una amenaza potencial a la salud y a la seguridad del personal, al ambiente o la propiedad. Tales eventos podrían incluir fuego, terremoto, huracán, ataque criminal o una emergencia médica. Estos planes son normalmente desarrollados a nivel de instalación, específicos a la localización geográfica y al diseño estructural de la construcción.

 

  • Plan de respuesta a ciberincidentes: este plan establece los procedimientos para responder a los ataques en el ciberespacio contra los sistemas de información de una organización. Estos planes son diseñados para permitirle al personal de seguridad identificar, mitigar y recuperarse de incidentes de cómputo maliciosos tales como: acceso no autorizado a un sistema o información, negación del servicio, cambios no autorizados a hardware, software, entre otros. Ejemplos de elementos que pueden generar incidentes de seguridad se tienen: la lógica maliciosa, los virus, los gusanos, los Troyanos. Estos planes normalmente pueden pertenecer o estar integrados al Sistema de Gestión de la Seguridad de la Información (SGSI).

 

  • Plan de recuperación de desastres (PRD): este plan es conocido como DRP (Disaster Recovery Plan), por sus siglas en inglés, está orientado a responder a eventos importantes, usualmente catastróficos, que puedan afectar la prestación de los servicios de información. Frecuentemente, el DRP se refiere a un plan enfocado en TI, diseñado para restaurar la operatividad de los sistemas, aplicaciones y bases de datos, además, se cuenta generalmente con un sitio alterno en donde se realizarían las operaciones que fueron interrumpidas por el incidente en el sitio principal. El alcance de un DRP puede confundirse con el de un Plan de Contingencia de TI; sin embargo, el DRP es menos amplio en alcance y no cubre interrupciones menores que no requieren reubicación. Este es el plan que es objeto de esta propuesta.

 

  • Planes de contingencia: Según el NIST, los planes de contingencia representan un amplio espectro de actividades enfocadas a sostener y a recuperar los servicios críticos de TI después de una emergencia en un tiempo mínimo. Es posible en algunos casos contar con múltiples planes de contingencia, uno por cada componente, sistema o servicio crítico. Los planes de contigencia son de rápida activación y se puede asumir un RTO (Recovery Time Objective: Tiempo Objetivo de Recuperación), muy cercano a cero. Los planes de contigencia son típicos en los canales de comunicaciones, de tal manera que ante la falla de uno de estos canales, otro, entrará en operación muy rápidamente y en muchos casosde manera automatizada.

2        DEFINICIONES DE LA GCN

 

SANS[7]: La continuidad del negocio se refiere a las actividades requeridas para mantener su organización operando durante un periodo de desplazamiento o interrupción de la operación normal.[8]

 

BCI[9]: La continuidad del negocio es una colección de procedimientos e información que es desarrollada, compilada y mantenida en preparación para el uso en el evento de una emergencia o desastre.

 

DRI international[10]: La planeación de la continuidad del negocio es el proceso de desarrollar arreglos previos y procedimientos que capaciten a la organización para responder a un evento de tal manera que las funciones críticas del negocio continúen con los niveles planeados de interrupción o cambios esenciales.

 

NIST[11]: El BCM se enfoca en sostener las funciones de negocio de una organización, durante y después de una interrupción mientras se recupera paralelamente. El BCM se orienta hacia los productos y servicios críticos. Por su parte, el DRP provee procedimientos detallados para facilitar la recuperación de las capacidades en sitio alterno. Normalmente está enfocado en Tecnologías de la Información (en adelante TI) y limitado a interrupciones mayores con efectos a largo plazo. Los planes de contingencia representan un amplio espectro de actividades enfocadas a sostener y recuperar servicios críticos de TI después de una emergencia. Debido a que los planes de contingencia deben ser desarrollados para cada aplicación importante o sistema de soporte, se pueden contar con múltiples planes de contingencia dentro de un BCP.

 

BRITISH STANDARS (BSI) & BS 25999: La Gestión de la Continuidad del Negocio (BCM) es un proceso de gestión que identifica amenazas potenciales a la organización y provee una estructura para construir confiabilidad y  capacidades para una efectiva respuesta que proteja los intereses de los accionistas, la reputación, la marca y las actividades de creación de valor, también involucra la gestión de la recuperación y continuidad después de un incidente y la gestión de todo el programa por medio de entrenamientos, pruebas, y revisiones para mantener el BCM al día.

 

 

 

 

 

 

 

3        BIBLIOGRAFÍA

 

Business Continuity Institute (2013) Good Practice Guidelines: A guide to global good practice in business continuity, Business Continuity Institute, Caversham.

 

Disaster Recovery Institute International (DRII) (2012) Professional Practices for Business Continuity Practitioners, DRII, New York.

 

ISO 22301 (2012) – Societal security – Business continuity management systems – Requirements

 

ISO 22301 (2012) – Societal security – Business continuity management systems – Guidance

 

ISO 22301 (2012) – Societal security – Terminology

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ANEXO: Control de Cambios

 

A continuación el formato que se diligencia como parte del proceso de control de cambios y que documenta estas situaciones.

 

       FORMATO DE CONTROL DE CAMBIO Contrato N.°:

Cambio N.°:

CLIENTE:
PROYECTO:
                                                                    INFORMACIÓN
Solicitado por: Fecha:
Descripción del cambio:

 

 

                                               APROBACIÓN PARA EL ANÁLISIS
Por xxx: Sí / No: Por (Cliente): Sí / No:
Nombre y cargo: Nombre y cargo:
Fecha: Fecha:
                                                                         ANÁLISIS
Impacto general del cambio:

 

 

Impacto en tiempo: +/- Impacto en RR. HH. +/-
Impacto en precio: +/- $ Con cargo a:
Comentarios:

 

Analizó en: Analizó en (Cliente):
Cargo: Cargo:
Fecha: Fecha:
                                                                      APROBACIÓN
Por xxx: Sí / No: Por (Cliente): Sí / No:
Nombre y cargo: Nombre y cargo:
Fecha: Fecha:
Observaciones:

[1] EL BCI Horizon Scan, evaluó 760 organizaciones a nivel mundial y comprobó que el (82%) de los líderes de continuidad temen por un ciberataque inminente. Estos ataques pueden generar unas pérdidas de alrededor de $7.6 millones de dólares por empresa y con un crecimiento anual de 10.4% en el número de estos ataques.

[2] Disaster Recovery Institute International

[3]RPO: punto en el tiempo a partir del cual los datos deben ser restaurados. Transacciones después de este tiempo deben ser capturadas a mano o a partir de los esquemas de contingencia. Esta es una definición general de lo que se denomina “pérdida aceptable” en una situación desastrosa.

[4] Tiempo máximo tolerable de disrupción.

[5] Se considerarán hasta 10 escenarios de riesgo considerando los propuestos por la organización y teniendo en cuenta las mejores prácticas internacionales como las de ISACA, el BCI y el DRII.

[6] Se consideran máximo 3 estrategias por escenario, esto con el fin de focalizar la atención de la organización en lo crítico e importante.

[7] SysAdmin, Audit, Network, Security, para mayor información consultar: http://www.sans.org

[8] Traducción del autor del documento.

[9] Business Continuity Institute, http://www.thebci.org/

[10] Disaster Recovery Institute Internacional: https://www.drii.org

[11] National Institute of Standards and Technology, Contingency Planning Guide for Information Technology Systems, NIST Special Publication 800-34.

Leave a comment