Pasos para desarrollar un plan eficaz de continuidad de la actividad
Page Article
MISCONCEPCIÓN: "Nuestra gente sabrá qué hacer en caso de emergencia".
LA REALIDAD: Ni siquiera se puede esperar que los mejores empleados sepan qué hacer cuando ocurre una catástrofe. Dejar que cada uno responda a su manera sólo aumenta la confusión de un evento. Contar con un plan de continuidad de la actividad bien documentado de antemano y formar a los empleados para que lo sigan pone a todos en la misma línea, lo que ayuda a garantizar una recuperación organizada, segura y oportuna.
ERROR: "Tenemos un seguro que cubre nuestras pérdidas".
REALITY: Insurance alone is NOT a business continuity strategy. Proper coverage is a significant and important part of the plan. But it may not fully cover some of the peripheral damages from an event, like loss of customers, loss of market share, or setbacks in the development or release of a new product. Consult with your insurance agent to understand what is and is not covered under your policy.
ERROR: "No tenemos tiempo para desarrollar un plan de continuidad de negocio".
REALIDAD: El tiempo dedicado a desarrollar y mantener un plan de continuidad del negocio es una inversión en su empresa. Sus costes fijos continuarán después de un evento, esté o no abierta su empresa. Cuanto más rápido pueda devolver sus operaciones a la normalidad, más probable será que se recupere del suceso con éxito. Con tanto en juego, su empresa no puede permitirse NO tener un plan.
ERROR: "La continuidad del negocio y la planificación de la recuperación de desastres son lo mismo".
REALITY: Business continuity is a proactive plan to avoid and mitigate risks associated with a disruption of operations. It details steps to be taken before, during, and after an event to maintain the financial viability of an organization. Disaster recovery is a reactive plan for responding after an event. It deals with the safety and restoration of critical personnel, locations, and operational procedures after a disaster, and is a part of business continuity planning.
Identificar las amenazas o los riesgos
- Understanding the risks that could leave employees, customers, vendors, property, and operations vulnerable is fundamental. Threats can include but are not limited to natural disasters, malicious attacks, power outages, and system failures.
- Identify the risks most likely to occur based on historical, geographical, organizational, and other factors. Then weigh the probability of each event against its potential impact on your business, as well as your readiness to respond.
- Realizar un análisis de impacto empresarial
- Identify the people, places, providers, processes, and programs critical to the survival of your business. What functions and resources, if interrupted or lost, could impact your ability to provide goods and services or meet regulatory requirements?
- Considere quién y qué es absolutamente necesario para restaurar las operaciones críticas. A continuación, priorice la necesidad de restaurar cada elemento tras el suceso. Planifique el uso de los recursos limitados con prudencia. Las funciones complementarias siempre pueden restaurarse más tarde.
- Adoptar controles de prevención y mitigación
- La planificación y las actividades de prevención y mitigación tienen como objetivo ayudar a prevenir un evento (como un incendio o una explosión por condiciones inseguras), así como reducir el impacto o la gravedad de un evento (como la reubicación de equipos críticos a una mayor elevación en zonas susceptibles de inundación).
- Sus planes de prevención y mitigación deben abordar, entre otras cosas, la respuesta a las emergencias, las relaciones públicas, la gestión de recursos y la comunicación con los empleados.
- Test, exercise, and improve your plan routinely
- A business continuity plan is an evolving strategy that should adapt to your company’s ever-changing needs. Test and update it regularly – yearly at a minimum – or at any time critical functions, facilities, suppliers, or personnel change. Train employees to understand their role in executing the plan, too. Exercises can include discussions or hypothetical walk-throughs of scenarios to live drills or simulations. The key is to ensure the plan works as intended.
Proceso de planificación en cuatro pasos para su plan de continuidad empresarial
Evaluación de la amenaza
Conduct a threat assessment. It can help identify the nature and likelihood of an event. According to Verizon’s annual Data Breach Investigations Report (DBIR), malware, phishing, and misuse of credentials are major vulnerabilities.¹ Other events may involve unintentional actions such as an employee emailing a wrong file, sending it to the wrong person, or misplacing a laptop or other electronic device that contains sensitive information.
Your plan should include ways to mitigate the impact of losses caused by these accidental or intentional acts or technological failures. It should also take into account weather-related or natural disasters, including tornados, hurricanes, or earthquakes. Power outages and power grid failures also should be considered.
Análisis del impacto crítico en el negocio
Realice un análisis de impacto empresarial. Le ayudará a identificar y priorizar las funciones empresariales más críticas para mantener sus operaciones en marcha. Este análisis puede ayudar a garantizar que su empresa pueda restablecerse rápidamente. He aquí algunas razones:
- Su proceso de inventario y clasificación de datos puede ayudar a identificar los datos críticos que deben mantenerse para continuar con niveles aceptables de funcionamiento.
- Having a network inventory can help identify the critical hardware, software, and firmware needed to continue to provide goods and/or services.
- Determining the maximum time frame before an interruption can cause a significant impact on your business can help you prioritize the areas that need to be addressed first.
Estrategias de prevención y mitigación
Include a comprehensive backup strategy for critical data, hardware, software, and firmware. Other non-critical functions can generally be restored and returned to normal operations over time without interrupting your business.
Asegúrese de especificar en su plan quién es el responsable de crear las copias de seguridad, dónde se almacenan y quién tiene acceso a ellas. Todas las copias de seguridad deben almacenarse en una ubicación remota que no pueda verse afectada por el mismo evento. El área debe ser segura y con acceso restringido. También puede utilizar a terceros para almacenar sus copias de seguridad. Cuando establezca un contrato con un tercero, especifique el nivel de seguridad requerido y el plazo que tienen para entregar sus copias de seguridad. Debes documentar completamente estos procedimientos y mantenerlos actualizados.
Las consideraciones clave de las copias de seguridad deben incluir:
- Las copias de seguridad de los datos electrónicos deben realizarse automáticamente al menos una vez a la semana. Considere la posibilidad de realizar copias de seguridad de los datos con mayor frecuencia en el caso de los sistemas que almacenan información crítica.
- Realice una copia de seguridad del software y las aplicaciones propias o internas fuera de las instalaciones para que puedan volver a cargarse fácilmente en los equipos de sustitución.
- Se debe mantener una copia autorizada y protegida del contenido web de su organización en un lugar seguro.
Testing, Practice, and Continuous Improvement
Routinely test your plan so you can evaluate its effectiveness. Key employees and third parties should be familiar with the backup and restoration processes. They should periodically conduct sample tests of the system backups to verify that the operating system, applications, and data from the backup can be restored.