Documentos de Académico
Documentos de Profesional
Documentos de Cultura
3
2
Los responsables de continuidad de la entidad han tenido que sentarse con los
responsables de cada uno de los procesos de negocio, e intentar intuir cuales
serían los impactos derivados por una indisponibilidad en su proceso, por
franjas temporales. Si el proceso no estuviera disponible durante dos horas, por
ejemplo ¿Qué tipo de impactos registrarías? reputaciones, financiero,
normativo, etc.
¿Cuánto tiempo
podríamos tolerar sin Responsable ¿En qué condiciones
el proceso operativo? proceso negocio podríamos recuperar
el proceso?
CIO
RRHH
Inmuebles
...
Un inmueble a X kilómetros.
Infraestructura
RRHH
Esquemas activo-pasivo. Portátiles para el personal crítico.
Política de back-ups. Móviles para el personal crítico.
Tecnología
3º copia en frío.
Líneas de comunicaciones Evidencias de que el proveedor puede
Proveedores
Surgirán, por tanto, las preguntas, ¿qué planes? ¿cuántos? Tienen que
plantearse tantos escenarios adversos como sean capaces de concebir: fallo
de tus proveedores de electricidad, una grúa rompe un nodo relevante de tu
proveedor de conexión, un ataque terrorista en tus servicios centrales, un
ransomware que encripta tus sistemas, etc. Cuantos más mejor, pero al menos
los relacionados con eventos naturales y ciberataques son básicos.
¿Hace falta un documento por cada uno de los escenarios? Pues muchas fases
de la respuesta y recuperación serán comunes, pero sí, tienes que saber como
actuar ante estas situaciones. Adicionalmente, y se pretende que todos los
implicados en la ejecución de los planes conozcan su rol, dichos documentos
deben contar con el respaldo de la alta dirección.
¿Qué deben reflejar los documentos? Tienen que ser capaces de reducir la
necesidad de pensar, de improvisar, a 0, o tendente a 0. Cuanto menos les
haga falta improvisar en una crisis, mejor. Y a partir de ese criterio, describir
de la forma más concreta el paso a paso de tu respuesta y recuperación.
Es cierto que hay eventos inesperados, pero que sean los menos posibles, y
que las entidades sean capaces de redirigir la situación a lo procedimentado, a
lo practicado, cuando antes mejor.
Los planes deben estar actualizados, al menos anualmente, y eso siempre que
no ocurra un cambio relevante en el negocio, en cuyo caso debería reflejarse
inmediatamente en los planes. No obstante, no podemos perder la perspectiva
de lo que cuesta hacer esto a las entidades…semanas de reuniones con los
responsables de los procesos de negocio, etc. por lo que tampoco se espera
que actualicen, de forma completa, con una frecuencia mucho mayor
(trimestralmente, por ejemplo).
Es clave que los planes estén a disposición de todo el personal pertinente, que
juegue algún papel, pero solo al personal pertinente, dado que incluye, como
hemos visto, información de carácter sensible y confidencial.
Los proveedores son parte integral de los planes. En una doble vertiente. Por
un lado, la entidad debe tener un plan para ellos, destinado a paliar cualquier
problema con el proveedor, problemas directos, como pueden ser la quiebra y
cese de actividad, o un ciberataque. Y por otro lado está el componente de sus
propios planes tecnológicos (de los proveedores), internos, con los puntos en
los que tu infraestructura depende de ellos para recuperarte.
GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 20
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Supervisión de las pruebas y mantenimiento
Así mismo ocurre con la periodicidad. Allí donde tienen vigencia las guías de la
EBA, las pruebas de continuidad deben tener al menos un carácter anual. En
cualquier caso, y teniendo en cuenta que deberían probar los planes siempre
que hay un cambio significativo en los procesos de negocio, no parece
razonable una periodicidad menos demandante que la anual.
Las pruebas más técnicas pueden intercalarse con otras de carácter teórico o
menos demandantes, para conformar un calendario de pruebas que cubra
todas las tipologías.
GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 22
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Supervisión de las pruebas y mantenimiento
Los procesos de pruebas deben ser ejercicios integrados con las revisiones
periódicas de los planes. Es necesario, por tanto, que las entidades integren
las lecciones aprendidas en las revisiones periódicas y pruebas, y no solo los
cambios en los procesos de negocio.