Plan de contingencia y continuidad del negocio en Protección de Datos

Teseo Consultores

Plan de contingencia y continuidad del negocio en Protección de Datos

La empresa debe prevenir, protegerse y reaccionar a las incidencias de seguridad que puede afectarles y por ende podría afectar negativamente al negocio. Por tanto la empresa debe proteger los principales activos ante un incidente grave asegurar su continuidad, de esta forma de debe tener una respuesta ante cualquier fallo se seguridad, no solo por la empresa sino por su imagen y reputación de la misma y el posible impacto financiero de la pérdida de información crítica.

Estas situaciones críticas, pueden ser por ejemplo:

  • Evitar pérdidas de vida.
  • Mantener la confianza de la empresa.
  • Reanudar la continuidad de las operaciones del negocio lo antes posible.
  • Contactar con los posibles clientes y proveedores.
  • Proteger en medio ambiente.

El ejemplo más evidente es el caso de la pandemia de Covid 19 y como la empresa deben reaccionar a esa contingencia. En el ámbito tecnológico deben tener la empresa un sistema adecuado y seguro de copias de seguridad de los datos, y diversas brechas en la seguridad de los datos por una contingencia jamás imaginada. Ante grandes desafíos, grandes riesgos y la empresa tiene que afrontar grandes soluciones.

Continuidad del negocio.

Tenemos tres escenarios:

  • Continuidad de negocio por fallos físicos: actividades físicas que impiden la continuidad del negocio: COVID 19, incendios, robos, fallo en el suministro eléctrico y las comunicaciones. ….
  • Continuidad del negocio por fallos de TIC: fallos en los procesos tecnológicos, fallos en los servidores, malware, virus, troyanos, fallo de las copias de seguridad, pérdida de datos…
  • Plan de recuperación de los desastres. Esta es la fase final de la contingencia cuando se haya producido el desastre. La empresa debe tener un plan que enfoque ¿Qué pasa si…? Muchas veces las crisis son imprevisibles, pero aun así la empresa debe estar preparada una contingencia similar. La empresa contendrá una serie de pasos para recuperación del negocio.

En resumen en el diagrama siguiente se puede ver más plásticamente:

Fases de un plan de continuidad de negocio.

En todas las fases de la continuidad del negocio es imprescindible que la alta dirección es informada y colabore.

Las fases se pueden dividir en las siguientes:

  • Fase 1: Determinar los alcances de la contingencia de desastre ocasionado. Debemos observar la complejidad de la circunstancia producida o de la estructura de la empresa dañada y observar el número de recursos empleados y el tiempo empleado para solucionarlo. Se debe priorizar, fijándose en los departamentos de mayor transcendencia.
  • Fase 2: Análisis de la situación. En esta fase se analiza la situación ocurrida para establecer las partes del negocio más afectado y los recursos disponibles para afrontar las consecuencias y las necesidades temporales.
  • Fase 3: Plantear la estrategia. Una vez sabidos los hechos acaecidos y los recursos necesarios y el tiempo estimado en su resolución, para establecer los diversas estrategia de la recuperación.
  • Fase 4: Respuesta ante al desastre. Después se seleccionar la estrategia más adecuada se debe implantar las acciones necesarias y queda expresada en el Plan de Crisis y los documentos que sirven para la recuperación de los entornos afectados.
  • Fase 5: Prueba y mantenimiento. A partir de las acciones planteadas para acotar la crisis pondremos en marcha unos plantes de diseño y planteamiento.
  • Fase 6: Concienciación. Las personas responsables y la gerencia deben de conocer el plan de continuidad de negocio y a su vez lo que se espera de ellos.

Fase 1: Determinar los alcances de la contingencia de desastre ocasionado.

Se debe determinar los sistemas de más criticidad y tienen más impacto en nuestro negocio en caso que fallen; por tanto tienen que estar presente en la evaluación de riesgos de la empresa, y en este caso la evaluación de riesgos de la seguridad de la información. Siempre debemos tener en cuenta que las herramientas tecnológicas adquieren gran importancia en nuestro día a día y por tanto son las que más se deben preservar y en algunas ocasiones están un poco olvidadas.

La empresa debe conocer sus debilidades y subsanarlas o minimizar sus consecuencias. Partiendo de esta premisa se desarrollará los enfoques de dos puntos de vista:

  • Enfoque proactivo: o enfoque preventivo, para de un análisis de la empresa.
  • Enfoque de continuidad: o un enfoque de mejora, es decir no es qué este mal su estructura de riesgos sino que requiere un mantenimiento y una mejora continua en el tiempo

Si nos enfocamos a la seguridad de la información, tenemos que escoger la situación más crítica de la empresa o potencialmente más crítica y la vamos a mejorar.

Fase 2: Análisis de la situación.

En esta fase se debe involucrar la mayor cantidad de personas que tengan relación en la continuidad del negocio, para que entre todas las personas de la empresa que tengan algo que decir, se examinen las circunstancias más vulnerables y de los recursos que se disponen.

Vamos a desgranar a continuación las tareas que se pueden llevar a cabo en esta fase:

  • Reuniones: Una vez decido que personas van integrar el comité, cada una de ellas va a desgranar, a su juicio, que riesgos tiene su departamento. Se expresaran los riesgos más importantes de su departamento correspondiente y cuánto tiempo se demora en, supuestamente, en solucionar el problema.
  • Análisis del impacto sobre el negocio: Se debe realizar un análisis del impacto de negocio, de la información obtenida del anterior paso. Debemos clasificar su criticidad en relación de sus activos tecnológicos. Se establece los requisitos temporales en cuanto a sus procesos de contingencia. Se establece una serie de tiempos que pueden ser expresados como sigue:
    • Tiempo de recuperación. Tiempo en el que no se tendrá disponible en servicio.
    • Recursos humanos, tecnológicos y económicos. Debemos saber que sistemas, personas y dinero disponible para hacer frente a la brecha del sistema:
      • Infraestructura tecnológica.
      • Personal disponible de difícil reemplazo en esa situación.
      • Dotación económica disponible el caso del fallo del sistema.
    • Tiempo máximo de la caída de la falta de servicio. Es el tiempo máximo para que la compañía puede estar sin servicio y que entrañe un desastre irreversible. Punto límite de la caída del negocio mientras dura la crisis.
    • Tiempo mínimo de recuperación del servicio. Nivel no perfecto pero usable de la actividad de caída del sistema o del negocio. Debemos considerar el público objetivo del paro de esa actividad, se debe expresan cuantitativamente de forma razonada.
    • Grado de dependencia de los proveedores para restablecer el servicio. Debemos asegurarnos si tiene un Plan de Recuperación o Intervención ante situaciones desfavorables incluyendo los tiempos de recuperación previstos.
    • Grado de dependencia de la actualización de los datos. Este indicador determina en grado de dependencia de la pérdida de los datos y la restauración de las copias de respaldo que disponga la empresa y cuando tiempo tardará en restablecer el servicio y este servicio es completo.

Con toda la información obtenida debemos centrarnos al menos en los siguientes puntos:

  • Que servicios o procesos debemos recuperar antes en función de la criticidad de las acciones, debemos escalarlas de más críticas a menos críticas. Una forma de escalarla puede ser el tiempo en horas, más de 72 horas, más de 48 y menos de 72, de 24 a 48 horas o menos de 24 horas.
    • Cuáles son los servicios para la empresa más fundamentales.
    • La necesidad de copias de respaldo en cada proceso de la empresa.
  • Análisis de riesgo: sobre la información obtenida se puede plantear un análisis de riesgos de la empresa, amenazas, que probabilidad que se materialicen, como afectará a los procesos clave de la empresa, qué impacto tendrá sobre ellos. Como pasos a seguir podrían ser estos:
    • Determinar la amenazas a la está expuesta la organización, teniendo en cuenta la no disponibilidad de los procesos del alcance de la empresa.

Nivel de impacto de los riesgos: Alto, medio y bajo.

  • Después de desgranar las amenazas determinaremos la probabilidad de la ocurrencia de estas amenazas.

Probabilidad que se materialice: de 1 a 10.

  • La probabilidad del impacto de la amenaza nos avisa de los riesgos que debemos trata con más celeridad.

Consecuencia que se materialice: de 1 a 10.

  • Límite de acción, por encima de cual debemos actuar. Este límite es donde la empresa debe actuar. Este es un numérico a partir del cual se establecen medidas.

A partir de análisis debemos establecer:

  • Medidas propuestas para eliminar el riesgo o todo caso reducirlo.
    • Impacto tras implantación de medidas propuestas.
    • Resultado tras las medidas propuestas. Si después de este dato no nos sale desfavorable las medidas no son las más óptimas.

Fase 3: Plantear la estrategia.

En esta fase del proyecto vamos a  contralar la contingencia para que degrade de forma irreversible la situación de nuestra empresa. Por ende se tiene que revisar los partes de la organización afectados por la contingencia:

  • Personal y puestos de trabajo asociados a los puestos críticos y como mitigar su ausencia.
  • Locales. Se debe prever, en caso de desastre, las zonas habilitadas para continuar el negocio.
  • Tecnología. Se deben valorar las diversas tecnologías que dan soporte a nuestro negocio y valorar diversas alternativas de funcionamiento o medidas complementarias o sustituibles.
  • Información. Mecanismos de salvaguarda de la información sobre todo la relacionada con los procesos más críticos.
  • Proveedores. Los proveedores estratégicos para la continuidad del negocio, deben garantizar los tiempos de respuesta para que estemos expuestos a contingencias peores si no se reestablece el servicio.

Fase 4: Respuesta ante al desastre.

A partir del punto anterior se establecen los mecanismos de recuperación de los elementos afectados. En esta fase se trata de implementar todas las acciones identificadas o previstas en la fase 3. Se priorizará las medidas ante la respuesta de la contingencia sobrevenida empezando por el proceso de más criticidad ante la situación desarrollada.

Se puede estructurar de la siguiente forma:

  • Plan de incidentes. Este punto es muy importante en el desarrollo de la situación de crisis para que las decisiones no sean improvisadas y causen más daño que el hecho producto del incidente. Los elementos fundamentales a seguir son:
    • Qué situación debe darse para que declaremos la situación de crisis, se tendrán en espacial consideración los procesos críticos determinados por la empresa.
    • Toma de decisiones. Se puede hacer a partir de un flujograma.
    • Como se comunica la situación de crisis, que medios dispone la empresa para comunicar la situación.
    • Qué personal, previamente asignado, para activar la situación de crisis y su posterior gestión.
    • Medios de contacto  para avisar al personal interviniente en la situación de crisis.
    • Cuáles son los niveles de priorización en la recuperación de la infraestructura de la organización.
    • Tiempo aproximado de puesta en marcha.
    • Planes operativos que dispone la empresa y el personal responsable a su activación.

Llegados a este punto y ejecutado el Plan de incidentes ya habremos gestionado el momento más crítico de la crisis y puestos lo mecanismos necesarios para la recuperación de la infraestructura afectada.

  • Planes de recuperación de entornos: En este punto se deben abarcar los documentos que contienen información de cómo se debe aplicar a los entornos afectados y debe saber los procedimientos de técnicos de trabajo para concluir con la recuperación de los entornos.
  • Procedimientos Técnicos de Trabajo: Aquí se definirán todas las tareas o actividades necesarias para la gestión y la recuperación de la brecha suscitada. Estos documentos deben ser como un mapa que nos de toda la información para reconstruir el fallo detectado. Estos documentos son de vital importancia porque a partir de ellos se puede seguir el hilo de la estructura aplicada, desde la recuperación de una contraseña o la reconstrucción de un servidor.

Fase 5: Prueba y mantenimiento.

El Plan de Contingencia y de Continuidad del negocio tiene por misión la gestión adecuada  de la crisis y gestionar cuanto antes la vuelta a la normalidad.

El entrenamiento es vital debemos definir qué posibles crisis puedan surgir en la empresa (las diseñadas en el documento de Evaluación de Riesgos) y prevenir las que no salgan más significativas. Este entrenamiento consistirá en simular las contingencias menos deseables y que se responde a ellas, estas situaciones se deberán repetir como mínimo una vez al año y sacar conclusiones de mejora del simulacro realizado.

Este simulacro deberá consistir en planificar y poner a prueba los siguientes aspectos:

  • Personal que va intervenir en el simulacro.
  • Personal externo (proveedores) implicado.
  • Motivo de la prueba a realizar y descripción de la misma.
  • Día y hora de realización de la prueba.
  • Áreas afectadas que es posible que momentáneamente se queden sin servicio.
  • Resultados tras la prueba y no conformidades existentes tras la prueba.
  • Elaborar un informe de los resultados obtenidos en él se reflejarán las áreas de mejora y en definitiva como ha salido el simulacro que deberá ser entregado a las partes interesadas de la organización. Las incidencias o no conformidades deben ser analizadas y desarrollar medidas correctoras

Sin ser excluyentes las acciones que puede hacerse de inspección, prueba y mantenimiento pueden ser:

  • La caída del suministro eléctrico.
  • Tiempo estimado de recuperación de los posibles datos afectados.
  • Recuperaciones de aplicaciones críticas para el negocio y los datos almacenados a partir de ellas
  • Acceso a la infraestructura desde una ubicación remota, como en el caso de confinamiento por coronavirus.
  • Uso de sistemas en la nube.
  • Uso de las aplicaciones por parte del personal de poder trabajar en remoto y así permitir la continuidad del negocio.
  • Estado de las copias de seguridad y recuperación de la mismas.
  • Sustracción de los equipos informáticos y continuidad de negocio.
  • Actualización del antivirus ante posibles intrusiones.

Mantenimiento.

El mantenimiento supone tener actualizadas todas las infraestructuras de la empresa ante un posible cambio. La empresa en un órgano vivo y su mantenimiento requiere un constante esfuerzo de actualización.

Se debe tener actualizada la documentación para ese cambio previsible o no, simplemente para hacer frente a otra contingencia como por ejemplo:

  • Inspecciones de trabajo (prevención de riesgos laborales, Plan de Igualdad,…)
  • Demandas de la Agencia de Protección de Datos (o denuncias)
  • Los documentos preceptivos de Seguridad Social.
  • Otros muchos que puedan afectar a la empresa.

Esto permitirá que la documentación que debamos usar en situaciones de crisis estará plenamente actualizada y refleje la realidad de la empresa y que todos los actores estén preparados y plenamente involucrados: proveedores de la continuidad del negocio, personal empleado, personal estratégico o con mando, personal técnico, gerencia,… 

Plan de pruebas.

Esto permite:

  • Que la información está completamente actualizada.
  • Garantizar que la empresa podrá recuperarse ante una contingencia.
  • Que la empresa se recupere con la mayor celeridad.
  • Evitar pérdida de información y datos.
  • Evitar multas y denunciarías.
  • Poder afrontar con cierta solvencia la crisis.
  • Comprobar la cohesión del personal y el nivel de implicación en el Plan de Contingencia.
  • Comprobar que todo el personal encargado de una sección critica se ocupa de ello día a día.
  • Detectar fallos en el sistema.

Fase 6: Concienciación.

Para que no fracase el Plan de Contingencia, la empresa debe realizar una labor de concienciación y de formación sobre todos en las personas de cierta influencia en los procesos de la empresa y sobre todo el personal de las TIC y de Protección de Datos.

Para ello desarrollaremos campañas de formación y concienciación a los diversos estamentos de la empresa; entre los temas que se van a tratar pueden ser los siguientes:

  • Análisis del impacto sobre el negocio.
  • Responsabilidad de los diversos departamentos ante la crisis.
  • Estrategias de recuperación, aquí se puede contar con los proveedores.
  • Como canalizar la comunicación sobre las partes interesadas (personal de la empresa, clientes, proveedores, sociedad,…).
  • Formación sobre las áreas deficitarias ante una crisis.
  • Reciclaje constante de la formación en los diversos departamentos.
  • Formación como encarar la crisis.

A modo de conclusión:

Podemos resumir todo lo dicho en los siguientes puntos:

  • Determinar los procesos objeto de mejora.
  • Realizar reuniones con diversos departamentos y coordinarse medidas conjuntas.
  • Tener reuniones con el personal Técnico para saber sus necesidades para continuar el negocio.
  • Identificar los puntos críticos y habilitar soluciones.
  • Observar las medidas técnicas necesarias para hacer frente una crisis y la continuidad del negocio.
  • Elaborar un Plan de Crisis y de Comunicación en Períodos de Crisis.
  • Identificar las acciones para hacer frente a determinados accidentes.
  • Elaborar planes de recuperación de la actividad.
  • Elaborar Instrucciones Técnicas de trabajo para llevar a cabo el plan de recuperación.
  • Cronología para la implantación del Plan y un calendario de pruebas periódicas de examen del plan.
  • Realizar formación para toda la empresa, según las demandas de la crisis y departamento.
  • Hacer formación en continuidad del negocio a las personas impicadas.

Este texto esta inspirado por los documentos del INCIBE

Deja una respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.