http://www.welivesecurity.

com/la-es/2012/07/18/continuidad-negocio-como-responderante-emergencia/
Continuidad del negocio: cmo responder ante una contingencia?
Cuando se habla de gestionar la seguridad de la informacin en la empresa, lo primero que se viene a la
mente son dispositivos para proteccin de la red de datos, sistemas contra cdigos maliciosos, contraseas
seguras, control de acceso, restriccin del uso de dispositivos removibles y otra cantidad de polticas,
procedimientos y tecnologas con el objetivo de garantizar que la informacin de la empresa estar a salvo
en condiciones normales de operacin. Pero, se encuentra preparada la empresa para afrontar una situacin
de contingencia garantizando condiciones aceptables de operacin y la seguridad de la informacin?
Un parte muy importante del Sistema de Gestin de Seguridad de la Informacin debe ser el Plan de
Continuidad del Negocio (BCP, Business Continuty Planning), el cual debe contemplar las acciones que una
empresa debe seguir para recuperar y restaurar las actividades crticas del negocio en un tiempo
prudencial y de manera progresiva regresar a la normalidad; garantizando en todo momento la integridad,
confidencialidad y disponibilidad de la informacin.
Ante una eventualidad que afecte el normal funcionamiento de las operaciones de una empresa, lo primero
que se quiere es restablecer todos los servicios con el objetivo que el cliente no se vea afectado. Pero en este
afn de restablecer rpidamente el orden, muchas veces se descuida la seguridad de la informacin, ya
que se llevan a cabo una serie de eventos que pueden hacer vulnerable la informacin de la empresa.
Algunos ejemplos de esto son cuando se restaura la informacin sin garantizar la integridad o las medidas de
contingencia no funcionan como era esperado. As como tambin, puede ocurrir que los enlaces de
comunicacin de respaldo funcionen con condiciones de cifrado y seguridad ms bajas para permitir todo el
trfico de datos que se genera. Todas estas medidas pueden afectar fuertemente a la organizacin.
Por eso, cuando hablamos de un BCP, debemos tomar en cuenta algunos aspectos en su implementacin.
En primera instancia un BCP debe contemplar la seguridad del recurso humano y que se encuentre en las
condiciones necesarias para cumplir con su tarea. Luego, a partir de un anlisis de impacto, donde se
evalan cuales son las actividades y recursos claves para garantizar las funciones ms crticas del
negocio; se planea el restablecimiento escalado de todas las actividades de la empresa. Este punto es muy
importante ya que para garantizar la seguridad de la informacin en este proceso es bueno tener claro el
trfico que se va a generar para garantizar canales de comunicacin con las medidas de seguridad
adecuadas que lo soporten, definir quienes son las personas que accedern a la informacin durante la
emergencia y cules son los mecanismos para restablecerla.
Asimismo, no se debe olvidar que quizs lo ms importante de un BCP es que sea probado. De nada sirve
tener los mejores servidores de respaldo si al momento de restablecer los servicios crticos, estos no
funcionan; o tener un canal de datos dedicado si no se lo puede restablecer a tiempo, o peor an, tener
funcionales los servicios del negocio dejando vulnerable la informacin de la empresa.
La implementacin de estos planes conlleva un trabajo dispendioso, y seguramente la primera vez que sea
realizado puede resultar costoso para una empresa. El pensamiento en estos casos no debe ser cuento se va
a gastar, sino cuanto podra dejar de perder la empresa en caso que se presente una contingencia que afecte
su normal funcionamiento: planear para lo peor, esperando siempre lo mejor.
H. Camilo Gutirrez Amaya
Especialista de Awareness & Research
Autor Camilo Gutirrez Amaya, ESET