Claves para conseguir una estrategia de continuidad de negocio a prueba de contingencias
- Actualidad
Todas las empresas depende de que sus sistemas tecnológicos estén operativos, pero son muchas las que no tienen una estrategia de continuidad óptima. itSMF España ha reunido las claves que se deben tener en cuenta para no tener que hacer frente a las consecuencias que puede tener un fallo de capacidad operativa, desde los análisis de riesgo e impacto a los planes que debe incluir.
Recomendados: La persistencia del ransomware Webinar Protección avanzada de datos y continuidad de negocio con Nutanix y Veeam Webinar La era de la experiencia de cliente sin contacto Leer |
La gestión de las estrategias de continuidad de negocio debe ser una prioridad en la agenda de los directores generales de las empresas, según recomienda itSMF España, que apunta, además al hecho de que dejar estas situaciones de riesgo en manos solamente del equipo de tecnología o de seguridad de la organización puede suponer un impacto demoledor en las cuentas de resultados.
Entre otros impactos que pueden afectar a la continuidad del negocio, itSMF España menciona la falta de capacidad operativa para desarrollar el negocio, pérdidas económicas, incumplimiento de los objetivos corporativos, de los marcos normativos o de los acuerdos de nivel de servicio, la pérdida de imagen o reputación, o las reclamaciones de los interlocutores sociales.
Precisamente debido al impacto sobre la organización, y especialmente sobre la cuenta de resultados y sobre la responsabilidad legal- que puede provocar un incidente, es necesario el compromiso de la alta dirección en el diseño, elaboración y puesta en práctica de los planes de continuidad de negocio y recuperación ante desastres. De hecho, según apunta Aquilino Pujol, actualmente, solo el 10% de las empresas dispone de estrategias de continuidad de negocio para sus sistemas de tecnología a pesar de que su negocio depende al 100% de ellos.
Elementos básicos en una estrategia de éxito
Las políticas de gestión de la continuidad del negocio deben basarse en un análisis de riesgos y de impacto en el negocio. En el análisis de riesgos, hay que tener en cuenta el nivel de activos que soportan el negocio así como sus dependencias, tanto de personal, como de infraestructuras tecnológicas, de comunicaciones, de servicios en la nube o de proveedores.
Por su parte, el análisis de impacto en el negocio debe incluir la determinación de los tipos de impacto, la identificación de las actividades que soportan el suministro de productos y servicios, la determinación de puntos únicos de error (SPOF), los plazos inaceptables (Período Tolerable Máximo de Disrupción, MTPD), los periodos máximos de pérdidas de datos (MDLP) y de tiempo máximo de recuperación (RPO) y los recursos necesarios para soportar las actividades prioritarias (Minimum Business Continuity Objective, MBCO).
Finalmente, la organización debe contar con cuatro aspectos básicos para poder llevar a cabo una estrategia adecuada de continuidad de negocio: plan de continuidad de negocio en el que se establezcan los procedimientos y responsabilidades generales y de gestión de la crisis; plan de respuesta a incidentes; plan de recuperación de desastres, especialmente para que la infraestructura tecnológica y de comunicaciones vuelva a ponerse en marcha; plan de recuperación de las actividades y plan de restauración para volver a los niveles habituales de servicio.
itSMF España recuerda que la continuidad del negocio se puede certificar mediante los estándares ISO/IEC 27002:2013, que establece los aspectos de la seguridad de la información en la gestión de la continuidad del negocio; ISO/IEC 20000, sobre continuidad de servicios; ISO/IEC 22301:2019, sobre los requerimientos para un sistema de gestión de la continuidad del negocio; o ITIL 4, sobre la disponibilidad y el rendimiento de los servicios en caso de desastre. Además, el Reglamento General de Protección de Datos de la Unión Europea de 2016 también prevé la necesidad de tomar medidas técnicas y organizativas para garantizar los niveles de seguridad ante riesgos para los derechos y libertades de las personas físicas.