El plan de continuidad de negocio (BCP)

24/07/2012 Publicado por Pilar Gonzlez Recuperado de http://www.seinhe.com/blog/84-el-plan-de-continuidad-de-negocio-bcp

El propsito de la continuidad de negocio es permitir que una empresa contine ofreciendo sus servicios crticos cuando ocurra un desastre que provoque una interrupcin de sus actividades. Cualquier empresa de cualquier tamao debera planificar la mitigacin del dao producido por un desastre disponiendo de un plan de continuidad del negocio. La responsabilidad del establecimiento de un plan de continuidad de negocio (BCP) es de la alta gerencia. El plan deber tratar todas las funciones y recursos humanos/materiales requeridos para que la organizacin sea viable despus de que ocurra una interrupcin, minimizando de esta forma sus consecuencias. El procesamiento de los sistemas de informacin suele ser un componente crtico porque muchos de los procesos clave de negocio dependen de la disponibilidad de los recursos y de los datos que manejan. El valor de cada componente del sistema es directamente proporcional al valor de las aplicaciones que lo utilizan y stas, a su vez, de los procesos de negocio que manejan. Por lo tanto, el BCP de los sistemas de informacin es un componente principal del BCP de la organizacin y debe estar alineado con ste. El primer paso en este proceso es realizar un anlisis de riesgos en el que se ilustren las dependencias entre los procesos crticos de negocio, las aplicaciones, los sistemas de informacin y los componentes de la infraestructura de TI. El resultado de este anlisis es la clasificacin de los componentes de TI segn su importancia, con sus amenazas y vulnerabilidades. A partir de este momento es conveniente implementar un plan de acciones correctivas para proteger los componentes. En este punto se puede llevar a cabo un anlisis de impacto del negocio (BIA) para investigar las prdidas que sufrira el negocio si se produjera una interrupcin. Este anlisis permite cuantificar las prdidas despus de una interrupcin con el objetivo de que la organizacin pueda tomar decisiones sobre la tecnologa para proteger sus activos clave en funcin del mximo tiempo posible de inactividad. Al analizar los costes que supondra una interrupcin del negocio frente a los costes que supondran el establecimineto de estrategias de recuperacin, la organizacin podra encontrar el punto en el que ambos costes se minimizan. La siguiente grfica muestra este punto de inflexin.

Los resultados del anlisis de riesgos y del BIA sirven de base para orientar la estrategia del BCP de los sistemas de informacin (SI). El objetivo del BCP es determinar las medidas que se tomarn en la organizacin y los procesos que se seguirn en caso de que ocurra un desastre, por ejemplo, cmo se apuntarn los pedidos mientras que se reestablece el sistema, dnde reportarn los empleados, etc. Otro proceso que podra ser parte del BCP es el plan de recuperacin de TI en caso de desastres (DRP) que detalla el proceso que se seguira para restablecer los SI (comunicaciones, aplicaciones y datos) que soportan procesos de negocio crticos para la organizacin (basados en los resultados del anlisis de riesgos y el BIA). Un factor clave en la toma de decisiones de la restauracin de SI es que los costes nunca deben sobrepasar los beneficios. Teniendo en cuenta todas las entradas anteriores se debera desarrollar el BCP. Los factores cuando se desarrolla el plan de continuidad son los siguientes: - Manejo de respuesta a incidentes: Capacidad de reaccin antes de que ocurran desastres. - Procedimiento para declarar un desastre. - Procedimiento de evacuacin de personal. - Declaracin clara de personas responsables en el plan y sus responsabilidades asociadas. - Proceso de recuperacin. - Identificacin de recursos que se requieren para la recuperacin y continuidad de la organizacin.

Una vez desarrollado en plan, habra que realizar una prueba del mismo para determinar su correcto funcionamiento y sus posibles mejoras. Pueden tratarse de pruebas parciales o totales. Estas pruebas deben incluir los componentes crticos y simular condiciones reales. Se debe poder medir el xito del plan y de la prueba frente a los objetivos establecidos. Los BCP deberan revisarse y actualizarse peridicamente o cuando se produzcan cambios significativos que afecten a los procesos de negocio crticos.

Si no se dispone de un BCP y ocurre un desastre (y en la vida de su organizacin, si dura lo suficiente, algn da ocurrir) tendr la tentacin de echar las culpas a cualquier, especialmente sus trabajadores o sus proveedores. Con un BCP usted podr dar servicio a sus clientes tan rpido como sea posible.

Los estndares para la continuidad del negocio

26/03/2013 Por: Sandra Patricia Camacho Bonilla Recuperado de

http://drimexico.org/los-estandares-para-la-continuidad-del-negocio/

Cul es el beneficio que los estndares pueden brindar a la disciplina de continuidad del negocio? Estn las organizaciones interesadas y preparadas para orientar esfuerzos al cumplimiento de este tipo de estndares? Los entes reguladores y las agencias calificadoras tienden a guiarse en ste tipo de normas para orientar sus calificaciones, sin embargo, no es solo en este sentido que se debe orientar el beneficio para las organizaciones, sino hacia un eficiente y eficaz desempeo y la credibilidad de la misma, en su preparacin para enfrentar una crisis o un desastre, en el momento de presentarse. El pasado 18 de mayo de 2012 fueron publicadas las normas internacionales ISO 22301 con los Requerimientos para un sistema de gestin de continuidad del negocio y en marzo de 2011 las normas ISO/IEC 27031 con las Guas para la preparacin de telecomunicaciones y tecnologas de la informacin (TIC) para la continuidad del negocio. Pero, cul es el beneficio que los estndares pueden brindar a la disciplina de continuidad del negocio? Estn las organizaciones interesadas y preparadas para orientar esfuerzos al cumplimiento de este tipo de estndares? Los entes reguladores y las agencias calificadoras tienden a guiarse en ste tipo de normas para orientar sus calificaciones, sin embargo, no es solo en este sentido que se debe orientar el beneficio para las organizaciones, sino hacia un eficiente y eficaz desempeo y la credibilidad de la misma, en su preparacin para enfrentar una crisis o un desastre, en el momento de presentarse. En este sentido, es importante conocer cules son las mejores prcticas y estndares que existen, as como la relacin entre ellos y como aplica en relacin al tamao de la organizacin, como a su cultura y entender el estado en el que la organizacin se encuentre y as, medir el esfuerzo y costo de su adopcin. Normas de la continuidad del negocio Las recientes normas ISO de continuidad del negocio brindan a las organizaciones estndares para que se maximice la continuidad de sus operaciones, a pesar de eventos catastrficos o incluso de menor dimensin que puedan presentarse, y de manera particular, ocasionados por la tecnologa, por lo que se cuenta con estndares particulares en este sentido. No es reciente la existencia de normativas al respecto, las normas ISO 22301 e ISO/IEC 27931 tienen su origen respectivamente en los estndares britnicos BS 25999 Gestin de la continuidad del negocio de noviembre del 2006 y BS 25777 Gestin de la continuidad de la tecnologa de informacin y telecomunicaciones de noviembre del 2008, y estos a su vez, de estndares internacionales fomentados por diversas organizaciones como el Disaster Recovery Institute International (DRI International), quienes desde 1998 han promovido a nivel internacional, las mejores prcticas respecto a la continuidad del negocio, as como el Business Continuity Institute (BCI), desde 1994, entre otros.

Los estndares BS 25777 y BS 25999 presentan a su vez dos Cdigos de prctica, el primero en cuanto a la gestin de continuidad de TIC y el segundo, en lo referente a la gestin de continuidad del negocio; introduciendo, desde cada perspectiva, el concepto de programa de continuidad presentado como un ciclo de vida compuesto por seis partes. Inicialmente y ubicado en el centro del ciclo, se presenta la Gestin del programa de continuidad, donde se define la gobernabilidad, la implementacin, la continuidad y la documentacin del programa, luego, representado como un ciclo de vida que va desde el Entendimiento de la organizacin, pasando por Determinacin de las estrategias y Desarrollo e implementacin de la respuesta y finalmente, Ejercicios, mantenimiento y revisin, a partir de donde se vuelve a iniciar el ciclo, el cual est inmerso en la Cultura organizacional, donde se incluyen los temas de concientizacin y entrenamiento. Luego, cada uno de ellos se concentra en su mbito de aplicacin, entrando a ser dos ciclos complementarios para lograr la gestin del programa de continuidad. Sintetizan el conocimiento BCI, a travs de su Cdigo de buenas prcticas para la gestin de continuidad del negocio, promueve el ciclo de vida presentado en el BS-25999 como el cuerpo de conocimiento para la disciplina, especificando adicionalmente, algunas herramientas en cada una de las fases del ciclo, es as como incluye el business impact analisys (BIA), continuity requirement analisys (CRA) y el risk assesment (RA), para la fase de Entendimiento de la organizacin, el establecimiento de parmetros como el recovery t ime objective (RTO), recovery point objective (RPO) as como el maximum tolerable period of disruption (MTPD) y el maximum tolerable data lost (MTDL) para la determinacin de las estrategias, incluyendo la seleccin e identificacin de respuestas tcticas y la consolidacin de niveles de recursos, asimismo, presenta una serie de pasos detallados para las dems fases del ciclo, presentado un enfoque estructurado y claro para el desarrollo de un programa de gestin de la continuidad del negocio. Es as como, las diez prcticas profesionales propuestas por DRI International, la cual sintetiza el conocimiento completo de la disciplina, se consolidan como una base de conocimiento fundamental que incluye tanto las fases del ciclo de vida presentado por el British Standard como por el BCI, as como los requisitos presentados en estndares ISO. Planear- Hacer-Verificar-Actuar (PHVA) En cuanto a la reciente normalizacin ISO, tanto en los aspectos de Continuidad del negocio como de la Preparacin TIC para la continuidad del negocio, sta recoge las mejores prcticas y las normaliza con una serie de requisitos, facilitando una mejor gestin en ambos frentes, ya que est inmersa en los conocidos ciclos de mejora continua con los que ya estamos familiarizados planear, hacer, verificar y actuar (vase figura 1, pgina TBD). En este sentido, las diez prcticas profesionales de la continuidad del negocio de DRI International, se reflejan en el marco de la Norma ISO 22301 Continuidad del Negocio (la cual forma parte de la familia de normas ISO relacionadas con Seguridad Social) de la manera PHVA: Planear: Establecer la poltica, metas, objetivos, controles, procesos y procedimientos de continuidad del negocio. Hacer: Implementar y operar las polticas, controles, procesos y procedimientos. Verificar: Implementar un monitoreo y revisar el desempeo con relacin a la poltica y los objetivos de continuidad del negocio, reportar resultados a la direccin y accin de mejoramiento.

Actuar: Mantener y mejorar el sistema de gestin de continuidad del negocio, tomando en cuenta las acciones correctivas, basadas en los resultados de las revisiones. Llevar a cabo la revalorizacin del objetivo del sistema y de la poltica y objetivos de continuidad.

Figura 1. Estndares para la continuidad del negocio: Mejores prcticas del DRI International, estndares y proceso PHVA.

Las mejores prcticas del DRI International Por otro lado, y de manera complementaria a la gua BS 25777 Gestin de la continuidad de la tecnologa de informacin y telecomunicaciones, la norma ISO/IEC 27031 con las Guas para la preparacin de TIC para la continuidad del negocio, se enmarca dentro del ciclo de mejora continua PHVA y a las mejores prcticas de continuidad del negocio del DRI International, con elementos similares a los descritos arriba pero aplicados a TIC, de tal manera que esta gua gira en torno a los siguientes principios: a) Prevencin de incidentes: Proteccin de los servicios de TIC de las amenazas, tanto ambientales como fallas de hardware, errores operativos, ataques maliciosos, y desastres naturales. Es crtico mantener los niveles deseables de disponiblidad de los sistemas para una organizacin; b) Deteccin de incidentes: Detectar los incidentes en el momento oportuno podr minimizaar el impacto a los servicios, reduciendo los esfuerzos necesarios de recuperacin, y preservando la calidad del servicio;

c) Respuesta: Responder a un incidente de la manera ms apropiada, dar lugar a una recuperacin ms eficiente y minimiza el tiempo de interrupcin. Una mala reaccin podra hacer que un incidente menor escale hacia una situacin ms seria; d) Recuperacin: La identificacin e implementacin de estrategias de respuesta apropiadas asegurarn la recuperacin oportuna de los servicios y mantener la integridad de los datos. El entendimiento de las priodirdades de recuperacin definir el que los servicios crticos sean recuperados primero. Los servicios de una naturaleza no crticos, sern reintegrados en un momento posterior; e) Mejoramiento: Lecciones aprendidas, desde pequeos hasta grandes incidentes, deben ser documentadas, analizadas y revisadas. El entendimiento de estas lecciones permitir a la organizacin estar mejor preparada, controlar y evitar incidentes e interrupciones. El ciclo PHVA Con un mayor detalle, la norma sigue el ciclo de mejoramiento de PHVA, de la siguiente manera: Planear: A partir del Anlisis de impacto al negocio de la organizacin, se definen los r equerimientos de continuidad, la poltica, el entendimiento de los servicios crticos de tecnologa y los requerimientos para la preparacin, identificando las brechas actuales de preparacin con que cuenta TIC. A partir de estas, se formulan las estrategias, definiendo las habilidades y conocimientos necesarios, los recursos, la tecnologa, los datos, los proveedores y los requerimientos de capacidad y desempeo resiliente requeridos. Hacer: Se considera como la recopilacin, mantenimiento e implementacin del plan de preparacin de TIC, dentro de lo cual se encuentran: los procesos, las estrategias, los planes de respuesta y recuperacin, los programas de concientizacin, competencia y entrenamiento as como el control de documentos relacionados. Verificar: Es el monitoreo y revisin continuos, para los cuales se consideran el anlisis de amenazas, la medicin del desempeo de preparacin de TIC, las revisiones anuales, tanto de pruebas y ejercicios como de las auditoras internas y externas. Actuar: Consiste en la revisin por la direccin y el mejora- miento del plan de preparacin de TIC. En conclusin, es importante contar con estndares y esquemas de medicin que nos permitan identificar la posicin en que se encuentra la organizacin, pero el gran riesgo es confiar en que solo la teora y la documentacin nos brinda proteccin y confiabilidad sin mantener el control en un evento de catstrofe, es en este sentido importante, resaltar que para contar con una exitosa preparacin ante desastres, las pruebas y ejercicios se convierten en un elemento fundamental de las estrategias y arquitecturas tanto de TIC como operativas; las cuales deben ser realizadas de manera programada y constante, ya que nos permiten desarrollar confianza en nuestras capacidades de reaccin, as como fortalecer las habilidades y experiencia de los equipos de encargados de la continuidad. Estas pruebas y ejercicios se deben hacer tanto de escritorio como simuladas, con escenarios de fallas totales o parciales de todos y cada uno de los recursos crticos para el negocio. Es importante superar el temor que nos representa simular una falla o crisis, mediante la preparacin de todas las reas, no solo de tecnologa, sino tambin de las reas operativas, ante la posibilidad de una falla severa a nivel de la provisin de recursos (personal clave, infraestructura, potencia, ambiente, tecnologa, etc.), todo esto orientado al final, a minimizar la incertidumbre y conocer las propias vulnerabilidades, trabajar en ellas y aumentar la capacidad de resiliencia para la organizaci n como un todo y as garantizar una real continuidad del negocio.

Sobre la autora
Sandra Patricia Camacho Bonilla tiene ms de quince aos de experiencia en las reas de continuidad del negocio, gestin de riesgos y manejo de estndares y polticas de tecnologa. Desde hace siete aos es la directora de la unidad de soporte y continuidad de tecnologa del Banco de la Repblica de Colombia (Banco Central de Colombia). Es especialista en business impact analysis y emergency management and safety solutions. Entre sus experiencias ha liderado acciones de planeacin, respuesta y recuperacin de operaciones en diversos escenarios de contingencia en el sector financiero, implementacin, control y seguimiento de centros de datos alternos remotos. Lder de los procesos de certificacin de calidad ISO 9001 y auditor ISO 27001 para el rea de tecnologa del Banco de la Repblica de Colombia. Es certificada en CBCP por el DRI International desde 2001 en Boston, MA, EEUU, ITIL versin 3, Auditor ISO 27001 e ISO 9001 y PMP por el PMI desde el 2005. Ingeniera y Maestra en Sistemas y Computacin de la Universidad de Los Andes. Ha sido docente acadmica de la Universidad de Los Andes, Universidad Javeriana y Universidad Piloto de Colombia as como conferencista en eventos de seguridad informtica y continuidad. Puede ser contactada en scamacbo@banrep.gov.co