Guía paso a paso + una plantilla para ahorrar tiempo
10 minutos de lectura
Índice
Desde aquí te dejamos el índice para que veas en qué artículo estás y cuáles son los siguientes de la saga ISO 27001.
1. Mantén la calma: Esto es la ISO 27001
2. ¿Mi startup debería cumplir con ISO 27001?
3. Cómo prepararte para la auditoría de certificación en ISO 27001
4. 7 beneficios de invertir en ISO 27001
5. Guía para implementar la ISO 27001
6. Creando un inventario en 4 sencillos pasos
7. Matriz de control de accesos: Qué es y cómo hacerla paso a paso
8. Plan de continuidad del negocio (BCP): Qué es y en qué consiste
9. 6 pasos para armar un plan de continuidad del negocio (BCP)
10. Plan de recuperación ante desastres (DRP): Qué es y cómo hacerlo [+Plantilla gratis]
11. Cómo hacer un descriptivo de roles y responsabilidades
12. Cómo hacer tu política de seguridad de la información
Si llegaste hasta aquí buscando cómo armar tu plan de continuidad del negocio, probablemente ya sabes que es un documento obligatorio para cumplir con ISO 27001 y otras normativas de seguridad.
Y si has buscado en Internet, seguro has encontrado 20 maneras distintas de crear un BCP. Así es, estás en la temida experiencia de armar otro documento desconocido para tu startup.
Pero tranquilo, crear un plan de continuidad del negocio es en realidad más sencillo de lo que imaginas. En este artículo te guiaremos paso a paso y con ejemplos para que puedas crear tu BCP sin contratiempos.
Puedes descargar tu propia copia de plantilla y volver aquí para completarla a la par.
1. Definir el objetivo y el alcance del plan de continuidad del negocio
En general, tanto el objetivo como el alcance ya están definidos en tu política de continuidad del negocio, por lo tanto, solo debes trasladarlos al plan de continuidad.
Si no sabes qué es una política de continuidad del negocio o todavía no has hecho la tuya, es importante que puedas crearla antes de seguir estos pasos. De todas formas, repasemos qué se define en el objetivo y en el alcance.
En el objetivo debes indicar lo que tu empresa quiere lograr con la gestión de la continuidad y cómo la va a controlar en el tiempo. Por ejemplo: Implementar procesos, procedimientos basados en personas y cultura organizacional que aseguren la normal operación del negocio en situaciones extremas.
En el alcance, por otro lado, debes definir las áreas que estarán involucradas en el plan, es decir todas aquellas que sean críticas para tu negocio. En el caso de que excluyas algún área, debes explicar los motivos que correspondan.
2. Definir los participantes del plan
Los principales participantes del plan de continuidad son el Comité de Crisis y el Equipo de Continuidad. Por lo general, ya se los menciona en la política, sin embargo es aquí donde se designan formalmente a las personas que integrarán cada grupo.
El Comité de Crisis es el grupo de personas responsable de activar o no activar el plan en caso de una interrupción o desastre. Suele estar conformado por una o dos personas de la alta dirección, dos del área de tecnología, una de recursos humanos y quizás alguien del área financiera. Como lo notarás, suelen ser miembros de la primera o segunda línea de mando.
El Equipo de Continuidad es el responsable operacional, es decir, el encargado de ejecutar los procedimientos descritos en el plan. Este equipo es designado por el Comité de Crisis y generalmente lo conforman líderes técnicos y/o analistas senior.
Una vez que definas quienes serán los miembros de cada grupo es fundamental que describas los datos de contacto de cada uno, ya que el BCP es el único plan que contiene nombres, apellidos, e-mail y números de teléfono. Así te aseguras de que cualquier colaborador pueda contactarlos fácilmente ante cualquier incidencia.
3. Crear las estrategias de recuperación
Una estrategia de recuperación es una alternativa o plan B para asegurar la disponibilidad de un recurso crítico ante cualquier incidente. Por ejemplo, si queremos asegurar la disponibilidad de los archivos en la nube, la estrategia será realizar copias de seguridad cada 24 hs.
Lo recomendable es elaborar varias estrategias para distintos escenarios de incidentes. Así podrás asegurarte de recuperar los recursos de tu negocio en cualquier situación.
Los escenarios de incidencias más comunes son:
- Ante la indisponibilidad del sistema operativo.
- Ante la indisponibilidad de base de datos.
- Indisponibilidad o falla del suministro eléctrico.
- Indisponibilidad o falla en conexiones de internet por región.
- Indisponibilidad de personal crítico.
- Indisponibilidad de dotación crítico/no crítico.
- Escenario de siniestros y/o desastre natural.
- Ante la caída de proveedores críticos.
Hackmetrix Insight
Las estrategias deben estar pensadas para cumplir con las métricas RPO (Recovery Point Objetive) y RTO (Recovery Time Objective) definidas en la política de continuidad.
Por ejemplo, si se definió que la métrica RPO es de 6 horas, entonces no puedes establecer backups cada 24 hs.
4. Elaborar los procedimientos para las estrategias
Ya tienes las estrategias. Ahora es momento de describir paso a paso cómo se actuará en cada escenario para recuperar tus recursos críticos.
Veamos un ejemplo con el recurso Personal con responsabilidades en actividades críticas:
Estrategia de recuperación ante indisponibilidad total del personal 1. Formación por medio de webinars internos con aspectos técnicos, abiertos a toda el área de Tecnología. 2. Rotación constante de encargados de dar soporte a clientes ante incidencias. 3. Posibilidad de hacer coberturas de indisponibilidad internas. Un rol funcional o más podrían asumir diversas tareas de las que no tiene disponibilidad de personal. 4. Contrataciones extraordinarias. Procedimiento de recuperación ante la indisponibilidad total del personal 1. Levantar requerimientos de personal según área y enviarlos al área de RR.HH. 2. Publicar ofertas de empleo en [canales definidos] para reclutar nuevos candidatos o bien buscar un reemplazo interino. 3. Realizar una contratación extraordinaria que facilite la velocidad de aprobación o rechazo del candidato por parte de la alta gerencia. |
El Comité debe elegir las estrategias y procedimientos que se pondrán en marcha en caso de presentarse un desastre.
5. Pruebas, revisión y mantenimiento
El plan de continuidad debe actualizarse anualmente o cuando ocurran cambios significativos en los recursos críticos (como cambio de proveedor, en la infraestructura, etc.)
Por otro lado, debes planificar pruebas anuales para comprobar la eficacia y eficiencia del BCP. Los resultados deben documentarse en un informe (llamado el Informe de Resultados de las Pruebas de Continuidad) el cual el Comité y la alta dirección deben revisar y aprobar.
Ten en cuenta que el Informe es completamente confidencial. Por lo tanto, cuando un auditor de seguridad de la información te lo solicite debes presentar únicamente: la fecha de la prueba, participantes, metodología, resultado final y aprobación (del Comité y de la alta dirección).
Hackmetrix Insight: las pruebas anuales son obligatorias porque son evidencia del mantenimiento y mejora continua del plan.
6. Concientización
Es recomendable crear una cultura de concientización para que todos los empleados conozcan los pasos a seguir, se apropien de la situación y entiendan cuál será su rol dentro del plan.
De esta forma, si el incidente llega a un junior o a una persona que no tiene conocimiento del plan, puede informar la situación a un líder o miembro del Comité.
Para generar concientización, recomendamos realizar pequeñas capacitaciones o enviar comunicados mediante e-mail con indicaciones de cómo actuar frente a un incidente. También, se puede armar un pequeño documento con secciones del BCP que indiquen estos pasos.
Cómo el plan de continuidad del negocio (BCP) ayuda a cumplir múltiples normativas
El plan de continuidad del negocio te ayuda a cumplir con distintos puntos de otras normativas como PCI DSS, ISO 27001, SOC 2, HIPAA o incluso la regulación chilena de la RAN 20-10.
Sobre el Análisis de Impacto del Negocio (BIA)
Por último, debes saber que algunas empresas realizan un Análisis de Impacto del Negocio (BIA o Business Impact Analysis) de forma previa al BCP.
El Análisis BIA (Business Impact Analysis) es utilizado para estimar la afectación que puede padecer una empresa como resultado de un incidente o desastre.
Permite a las empresas realizar una estimación de la magnitud del impacto operacional y financiero asociado a la interrupción, sin embargo si tu objetivo es cumplir con ISO 27001, no es necesario elaborarlo. Si, por el contrario, tu objetivo es demostrar tu seguridad a un cliente corporativo, sí te recomendamos tenerlo ya que te puede ser solicitado en sus cuestionarios de ciberseguridad.
Es obligatorio si deseas cumplir, por ejemplo, con la RAN 20-9 de la CMF Chile o la CNBV (Anexo 2) de México.
Conclusión
El BCP es un documento clave que te solicitarán tanto clientes como reguladores para verificar cómo gestionas la continuidad de tu negocio.
En este plan se define cómo actuará tu empresa para recuperarse y continuar con las actividades críticas en caso de una interrupción. Actúa como un seguro para las startups y las medianas empresas, porque previene y minimiza las pérdidas en caso de interrupción.
En definitiva es una herramienta en la que debes elaborar estrategias que te permitan recuperar los recursos críticos de posibles escenarios de incidencias.
Si estás implementando ISO 27001, esta guía y la plantilla descargable te ahorrarán el tiempo y esfuerzo en crear tu BCP desde cero.
Si tienes dudas con este documento o quieres conocer más sobre el cómo podemos ayudarte, contáctanos para que podamos guiarte.