👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO 27001 en su versión 2013: A.17.1.1, A.17.1.2, A.17.1.3, A.17.2.1
ISO 27001 en su versión 2022: A.5.29, A.5.30, A.8.14
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para documentar cómo debes actuar ante la ocurrencia de situaciones de emergencia, crisis o potenciales amenazas que podrían interrumpir tus operaciones cotidianas de negocio y/o afectar la seguridad de tu personal.
💡 El Plan de Continuidad del Negocio también es conocido como BCP (Business Continuity Plan) por sus siglas en inglés.
¿Qué tengo que hacer? 🚀
Para hacer este documento te recomendamos involucrar a la alta dirección, tanto en su creación como en su aprobación, ya que considera actividades importantes que pueden darte la capacidad de resiliencia y adaptación adecuada para afrontar cualquier cambio o impacto externo que sea inesperado, por lo que debe ser de interés de toda la empresa.
Ahora bien, para documentar este plan te recomendamos aplicar los siguientes pasos:
Asignación de responsabilidades.
Definición de los procedimientos de recuperación.
Comunicación y capacitación.
Pruebas, revisión y mantenimiento.
Para implementar correctamente los procedimientos que se definan en este plan es muy importante asignar a los responsables más capacitados. Dentro de nuestro template te sugerimos crear un comité de crisis, definir un equipo de continuidad y establecer las responsabilidades que cada una de las personas involucradas deberá cumplir.
Posteriormente, debes crear los procedimientos y estrategias de recuperación que te permitan afrontar las posibles amenazas, situaciones o escenarios de riesgo a los que está expuesta tu organización. Así como también debes definir para cada procedimiento su RPO (Recovery Point Objective), el cual define el tiempo de pérdida de datos reales ante la ocurrencia de dichos escenarios, y el RTO (Recovery Time Objective), el cual define el periodo de tiempo para recuperar la operación o servicio interrumpido.
Aunque parezcan poco probables los escenarios descritos en tu plan, debes considerarlos y determinar cómo se debe actuar, incluyendo las responsabilidades no solo de tus colaboradores, sino también de tus proveedores. ¡Lo importante es saber qué hacer y estar preparados!
💡 El plan de continuidad busca proteger principalmente los recursos humanos y tecnológicos de la empresa, las áreas de trabajo y su seguridad. Dentro de nuestro template encontrarás los procedimientos de recuperación para los escenarios de riesgo más comunes, pero debes añadir todos los que consideres necesarios o ajustarlos al contexto de tu empresa.
Para definir y sustentar correctamente tus estrategias de recuperación debes realizar un Análisis de Impacto del Negocio, también conocido como BIA (Business Impact Analysis), por sus siglás en inglés.
En este análisis debes recabar toda la información sobre tus procesos, los responsables de llevarlos a cabo, los recursos utilizados, las interacciones con otros procesos, entre otras cosas. Luego, debes identificar los riesgos a los que están expuestos tus procesos y definir el tipo de impacto que puede tener en tus operaciones si son afectados.
Algunos ejemplos de impacto pueden ser los siguientes:
Impacto operacional, es decir que interrumpe tus operaciones, la entrega de tu producto o servicio.
Impacto económico, que puede darse por costos adicionales no previstos, pérdida de ingresos, penalizaciones, etcétera.
Impacto reputacional, por pérdida de la buena imagen de la marca que representa a la empresa.
💡 La información del BIA te ayudará a generar estrategias de recuperación más eficientes y alineadas a las necesidades y limitaciones de tu organización.
Una vez que tus procedimientos de recuperación ya se encuentren bien documentados, debes comunicar este plan a todos los responsables para capacitarlos correctamente, es decir que deben conocer y comprender cada paso de los procedimientos y lo que deben hacer si el escenario de riesgo ocurre.
Para mantener el cumplimiento normativo, tienes que revisar y probar periódicamente tus estrategias de recuperación para asegurarte que funcionan correctamente y que siguen alineadas a tus necesidades y tus recursos tecnológicos.
Los resultados de las pruebas que realices deben quedar documentados, así como toda la información relevante, como lo son los participantes de la prueba, los tiempos estimados y los tiempos reales obtenidos de recuperación, las acciones tomadas, etcétera.
💡 El ejecutar las estrategias de recuperación en entornos controlados te permite identificar oportunidades de mejora, y saber cómo puedes robustecer tus planes de continuidad. Dentro de nuestro plan de acción, estas pruebas se realizan en la actividad 46. Prueba de Continuidad, donde debes llevar a cabo simulaciones de los escenarios descritos en este plan de continuidad y en tu plan de recuperación ante desastres.
La relación entre estas actividades se puede plasmar de la siguiente manera:
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu plan fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Las pruebas de continuidad deben realizarse por lo menos una vez al año, y sobre todo cuando haya cambios significativos en los procesos críticos de la empresa y/o en sus recursos tecnológicos.
Analiza todos los escenarios de incidentes o desastres que puedan afectar a tu empresa, sin importar qué tan poco probables parezcan.
Asigna al personal más apropiado para llevar a cabo las estrategias de recuperación.
FAQs ❔
Consulta las preguntas frecuentes sobre esta actividad en el siguiente artículo.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.