Ir al contenido principal

FAQs - 34. Plan de Continuidad

👉¿Qué documentos se requieren tener para poder hacer un adecuado Plan de Recuperación ante Desastres y un Plan de Continuidad?

R: Para poder crear correctamente estos planes, recomendamos ya tener terminadas las siguientes actividades de nuestro plan de acción:

  • Metodología de Gestión de Riesgos

  • Inventario de Activos

  • Matriz de Riesgos

  • Declaración de Aplicabilidad

  • Análisis del Impacto del Negocio (BIA)

Además, también aporta muchísimo valor el ya tener documentados los procedimientos operativos más importantes como la gestión de backups, gestión de accesos, gestión de logs, gestión de incidentes de seguridad, etcétera.

Esto porque, al tener claridad de toda esta información, de la forma de operar de tu empresa y de los procesos más críticos que necesitan estar funcionando en todo momento, es mucho más sencillo generar las estrategia de recuperación apropiadas que garanticen la continuidad de tu negocio y sus operaciones.

👉¿Qué es un BIA y por qué debo hacerlo para esta actividad?

R: Un Análisis de Impacto del Negocio o BIA (Business Impact Analysis por sus siglas en inglés) es una estrategia que permite identificar con claridad los procesos más importantes de la organización y analizar con base en sus características, el nivel y tipo de impacto que tienen sobre las operaciones y la gestión del negocio.

Debe realizarse para esta actividad porque la normativa lo solicita. Y para fines de cumplimiento, el objetivo de este análisis es sustentar la definición de los planes de recuperación ante desastres y de continuidad, porque permite ampliar el entendimiento no solo a los procesos alcanzados o relacionados al programa de seguridad, sino a todos los que se llevan a cabo en la empresa y que quizá necesitan también estrategias de recuperación para afrontar cualquier escenario de crisis que pueda afectarlos.

👉¿Puedo dividir la métrica de RTO (Recovery Time Objective) en 2, es decir definir 2 periodos?

R: Antes que nada, es importante recordar que el RTO es una métrica que define el período de tiempo aceptable que puede transcurrir y que tu empresa puede tolerar, para recuperar las operaciones y servicios después de una interrupción.

Generalmente, las normativas y estándares de seguridad no especifican un enfoque único o un periodo particular para definir el RTO, sino que debe ser establecido en función de las necesidades y el contexto de tu organización.

Por lo tanto, si la operación de tu compañía requiere que el RTO se divida en dos segmentos distintos (es decir, dos periodos diferentes) para reflejar con precisión los procesos de recuperación y las prioridades de tu negocio, esto podría ser una práctica válida. Sin embargo, es crucial que esta división del RTO esté bien justificada, documentada y que los procedimientos de recuperación estén diseñados para cumplir con estos tiempos segmentados.

Además, deberás asegurarte de que todos los involucrados en el proceso de recuperación comprendan cómo se aplica esta división del RTO y cuáles son sus responsabilidades dentro de esta práctica.

Artículos relacionados
34. Plan de Continuidad
46. Prueba de Continuidad
FAQs - 33. Plan de Recuperación ante Desastres
Plan de Continuidad
Análisis de Impacto en el Negocio (BIA)
¿Ha quedado contestada tu pregunta?