Plan de Continuidad de Negocio: Estrategias y Herramientas INCIBE para la Resiliencia Empresarial

by on

En el panorama empresarial actual, la información se ha convertido en uno de los activos principales de cualquier organización. Los sistemas de información, apoyados en tecnologías que están continuamente expuestas a amenazas de seguridad, requieren una protección robusta y una capacidad de respuesta rápida y eficaz ante cualquier incidente.

Diariamente, una empresa puede verse afectada por multitud de escenarios que pongan en peligro la continuidad del negocio: incendios, cortes en el suministro eléctrico, actos vandálicos, ataques informáticos o fugas de información. La falta de un plan no solo significa que tu organización tardará más de lo necesario en recuperarse de un evento o incidente, sino que también puede acarrear pérdidas económicas y dañar gravemente la reputación de la empresa.

Es por ello que todas las organizaciones, independientemente de su sector o tamaño, deben protegerse y estar preparadas para reaccionar ante posibles incidentes de seguridad que puedan afectar su capacidad operativa, hacer peligrar la continuidad del negocio y dañar su imagen. Para mitigar los efectos negativos de estos incidentes, es fundamental diseñar un Plan de Contingencia y Continuidad de Negocio (PCCN).

¿Qué es un Plan de Continuidad de Negocio (PCN)?

Un Plan de Continuidad de Negocio es un plan de prevención, emergencia y recuperación, cuya finalidad es mantener la funcionalidad de una empresa u organización a un nivel mínimo aceptable durante una contingencia o evento disruptivo. Por tanto, los planes de continuidad de negocio deben contemplar todas las medidas preventivas y de recuperación necesarias que deben ser aplicadas cuando se produzca una contingencia que afecte al negocio u organización.

Este documento describe cómo una empresa continuará operando durante una interrupción no planificada en el servicio. Los planes generalmente contienen una lista de verificación que incluye suministros y equipos, copias de seguridad de datos y ubicaciones de sitios de copias de seguridad. La planificación de la continuidad del negocio surgió de la planificación de recuperación ante desastres a principios de la década de 1970, y hoy en día va más allá, abordando la resiliencia cibernética para ayudar a la empresa a soportar incidentes cibernéticos disruptivos.

Fases para la Elaboración e Implantación de un Plan de Continuidad de Negocio

El proceso de diseño y puesta en marcha de un Plan de Continuidad de Negocio se debe realizar atendiendo a las siguientes fases:

Fase 0. Determinación del Alcance y los Objetivos del Plan

Esta es la fase de menor duración y presenta una necesidad de recursos baja, pero su ejecución es imprescindible. En ella se determinará qué activos, sistemas o procesos son críticos, es decir, aquellos cuya indisponibilidad impactaría directamente sobre nuestra organización, causando un cese imprevisto de la actividad. Si la empresa u organización presenta cierta complejidad organizativa, es recomendable comenzar por aquellos departamentos o áreas con mayor importancia e ir ampliando progresivamente el plan de continuidad de negocio a toda la entidad.

Fase 1. Análisis de la Organización

Durante esta fase se debe recopilar toda la información necesaria para establecer los procesos de negocio críticos, los activos que les dan soporte y cuáles son las necesidades temporales y de recursos. Además, se debe crear un equipo que inicie y supervise el plan de continuidad de negocio. Este equipo será el encargado de definir todas las partes del plan y establecer estrategias, roles y responsabilidades.

Para conseguir esta panorámica, deberemos llevar a cabo un conjunto de tareas:

  • Mantener reuniones: Reunirse con los usuarios finales de los procesos seleccionados como críticos, recopilando toda la información sobre su funcionamiento (ej., frecuencia de copias de seguridad, tiempos de respuesta).
  • Análisis de Impacto sobre el Negocio (BIA): Este documento contendrá los requerimientos, tanto temporales como de recursos, de los procesos dentro del alcance del proyecto, incluyendo:
    • Tiempo de recuperación, RTO (Recovery Time Objective).
    • Recursos humanos y tecnologías empleadas.
    • Tiempo máximo tolerable de caída del servicio o MTD (Maximun Tolerable Downtime).
    • Niveles mínimos de recuperación del servicio o ROL (Revised Operating Level).
    • Dependencias con otros procesos.
    • Grado de dependencia de la actualidad de los datos o RPO (Recovery Point Objetive).
    Con esta información, podremos determinar qué procesos y aplicaciones son prioritarios a la hora de ser recuperados, así como la necesidad de contar, por ejemplo, con copias de seguridad.
  • Análisis de Riesgos: Consiste en estudiar y determinar las posibles amenazas a las que está expuesta la organización, las posibilidades de materializarse y el impacto que causarían. Luego, se elaborará un plan de tratamiento de riesgos.

Fase 2. Determinación de la Estrategia de Continuidad

En esta fase se basa en determinar qué estrategias de recuperación se deberán implementar para cada uno de los elementos identificados como críticos o que pudieran verse afectados en una contingencia. Es decir, cómo recuperar un sistema o un proceso para evitar que la contingencia lo degrade de manera irreversible para la organización. Hay que tener en cuenta que algunos procesos podrán requerir varias estrategias de recuperación.

Se deben considerar los riesgos y beneficios de cada opción posible para el plan, teniendo en cuenta el coste, la flexibilidad y los posibles escenarios de interrupción. Los planes para la continuidad de servicios y productos se basan en los resultados del análisis de impacto. Un ejemplo sería una empresa dependiente de las telecomunicaciones internas y externas para desarrollar sus funciones adecuadamente. Otro ejemplo podría ser el uso de formularios en papel para realizar un seguimiento del inventario hasta que se reparen los ordenadores o los servidores, o se restablezca el servicio eléctrico.

Es importante contar con un plan de continuidad del negocio para identificar y abordar la sincronización de resiliencia entre los procesos del negocio, las aplicaciones y la infraestructura de TI. Cuando un eslabón de la cadena se rompe o es atacado, el impacto puede afectar a toda la empresa.

Fase 3. Respuesta a la Contingencia

En esta fase se comienza con la implantación de las iniciativas que se han puesto de manifiesto en la fase anterior. Además, se deberá abordar toda la documentación relacionada con la respuesta a la contingencia, a través de los siguientes documentos:

  • Plan de crisis: Cuyo objetivo es evitar una toma de decisiones improvisada que pueda empeorar la situación o bien que simplemente no se tomen decisiones.
  • Planes operativos de recuperación de entornos: Deberán especificar sobre qué entorno se aplican y contendrán información específica de cada uno de ellos (ej., un ERP, correo electrónico).
  • Procedimientos técnicos de trabajo: Donde se describen las acciones que se han de llevar a la práctica para la gestión y recuperación de un sistema, infraestructura o entorno.

Se deben catalogar los datos clave sobre los bienes involucrados en la realización de las funciones críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Conviene determinar “a quién llamar” en cada categoría de incidente y crear un árbol de números telefónicos para que se hagan las llamadas correctas en el orden correcto. Además, es muy importante documentar con precisión el orden secuencial que se establece para el proceso de respuesta y recuperación.

Fase 4. Prueba, Mantenimiento y Revisión

Para que un Plan de Continuidad sea eficaz, deberemos comprobar que realmente funciona y mantenerlo actualizado. Para ello, habrá que ejecutar una serie de pruebas sobre los entornos identificados, tras las cuales elaboraremos unos informes que recojan los resultados obtenidos. Además, deberán quedar reflejados todas las incidencias surgidas en este proceso, algo indispensable para poder establecer medidas correctoras. Se debe poner a prueba el plan de continuidad de negocio, al menos, una vez al año, realizando simulacros para visualizar errores y mejorar el plan. La evaluación continua del plan es esencial para mantener su efectividad.

Fase 5. Concienciación

Que la concienciación forme parte de la última fase no implica que sea menos importante que las predecesoras. En esta fase se pondrán en marcha todo tipo de medidas que fomenten la concienciación del personal en materia de continuidad y el conocimiento de los planes elaborados. El público objetivo será tanto personal técnico como de negocios, si tienen algún tipo de relación con el alcance. La principal forma de evitar un incidente de seguridad es dar formación a los miembros de la organización, ya que serán ellos quienes traten la información y las herramientas que la gestionan.

Herramientas de Contingencia y Continuidad

Las herramientas de contingencia y continuidad son aquellas cuyo objetivo es diseñar planes de actuación y contingencia destinados a mitigar el impacto provocado por cualquier incidente de seguridad y en especial los incidentes graves o desastres. Estos planes están constituidos por un conjunto de recursos de respaldo y procedimientos de actuación, encaminados a conseguir una restauración ordenada y progresiva de los sistemas y los procesos de negocio considerados críticos en cualquier organización.

La contratación externa se ha convertido en una práctica común para las empresas a la hora de utilizar de este tipo de herramientas como las soluciones de copia de seguridad remota, virtualización o almacenamiento en la nube. Estas herramientas externas, en sus diferentes modalidades, aportan una reducción considerable de tiempo de despliegue y puesta en marcha de infraestructuras de respaldo.

Tipos de Herramientas de Contingencia y Continuidad

Dentro de los productos de contingencia y continuidad podemos encontrar las siguientes subcategorías según su funcionalidad:

  1. Herramientas de gestión de planes de contingencia y continuidad: Tienen como objetivo gestionar de manera óptima en tiempo y forma una situación de crisis no prevista, en base a análisis de impacto, reduciendo así los tiempos de recuperación y vuelta a la normalidad.
  2. Herramientas de recuperación de sistemas: Facilitan la rápida recuperación de los sistemas y las aplicaciones ante un incidente de seguridad automatizando los distintos pasos a realizar.
  3. Copias de seguridad: Proporcionan el almacenamiento de datos o información en medios externos para poder recuperarlos en caso de pérdida accidental o intencionada.
  4. Infraestructura de respaldo: Engloba las técnicas y herramientas destinadas a proporcionar un rápido despliegue de la infraestructura empresarial, ya que se encuentra respaldada en un sitio externo (frío, templado o caliente) en caso de pérdida con el objetivo de reducir al mínimo los tiempos de interrupción de la actividad.
    • Sitio frío: Es una instalación alternativa que no está amueblada y equipada para funcionar. Se deben instalar equipos y muebles adecuados antes de que puedan comenzar las operaciones, y se requiere un tiempo y esfuerzo considerables para hacer que un sitio frío sea completamente operativo.
    • Sitio cálido: Es una instalación alternativa que se prepara electrónicamente y está casi completamente equipada y equipada para funcionar. Puede estar operativo totalmente en varias horas.
    • Sitio caliente: Está totalmente equipado, amueblado y, a menudo, incluso con personal completo. Los sitios activos se pueden activar en minutos o segundos. Por razones de seguridad, algunas organizaciones emplean sitios alternativos reforzados.
  5. Herramientas de borrado seguro: Que permiten la destrucción de la información que ya no es necesaria para la organización de manera segura.
  6. Herramientas de virtualización: Con mecanismos y tecnologías que aportan seguridad a las aplicaciones, servidores, sistemas de almacenamiento y redes que estén virtualizados.
  7. Servicios en la nube: Son las plataformas tecnológicas que permiten configurar y utilizar recursos software y de comunicaciones en un tiempo mínimo para la recuperación en caso de incidente de seguridad. Su principal ventaja es el acceso remoto desde cualquier lugar y dispositivo.
  8. Herramientas de monitorización: Que permiten un seguimiento en tiempo real del estado de los servicios desplegados para detectar posibles anomalías debidas a cualquier tipo de incidente.
  9. Herramientas de gestión y control del tráfico: Permiten controlar en tiempo real el tráfico entrante y saliente de la red para detectar cualquier actividad anormal en el tráfico de red.

Continuidad de negocio en circunstancias adversas: buenas prácticas

Recomendaciones para Abordar la Contingencia y Continuidad

Las herramientas de contingencia y continuidad deben ir acompañadas de procesos que aseguren el buen funcionamiento del Plan. Entre estos procedimientos podemos destacar los siguientes:

  • Realizar copias periódicas de seguridad, contando con procedimientos para la realización y restauración de las copias y realizando comprobaciones periódicas para corroborar que las copias se restauran de manera correcta.
  • Identificar los servicios y procesos críticos junto con los activos tecnológicos que los sustentan y sus dependencias.
  • Elaborar el plan de crisis para identificar las primeras acciones a realizar cuando ocurre un incidente.
  • Revisar los contratos de servicios TIC, para obtener garantías de que les trasladamos nuestros requisitos de seguridad.
  • Concienciar y formar a nuestros empleados para que hagan un correcto uso de los sistemas corporativos comunicándoles las políticas de seguridad de necesario cumplimiento.

Desarrollar una cultura en seguridad es fundamental. La formación siempre se hace más amena cuando se imparte jugando. Por esa razón, desde INCIBE se ponen a disposición de los usuarios herramientas como el Serious Game Hackend con el que se formarán en ciberseguridad mientras se divierten.

Tipos de Planes de Respuesta

Existen varios tipos de planes de respuesta que las organizaciones pueden desarrollar para responder a diversos tipos de incidentes. A continuación, se listan algunos ejemplos de tipos comunes de planes de respuesta:

  • Plan de Recuperación de Desastres (PRD): Documento formal creado por una organización que contiene instrucciones detalladas sobre cómo responder a incidentes no planificados como, por ejemplo, desastres naturales, interrupciones de suministro eléctrico, ciberataques y cualquier otro suceso disruptivo. El plan contiene estrategias sobre cómo minimizar los efectos de un desastre, para que una organización siga en funcionamiento o pueda reanudar rápidamente sus principales operaciones.
  • Plan de Continuidad de Negocio (PCN): Describe los pasos que debe dar una organización para garantizar la continuidad de sus operaciones en caso de que exista cualquier tipo de incidente. Incluye procedimientos para restaurar los sistemas y datos críticos, y para mantener las funciones esenciales de la empresa.
  • Plan de Respuesta a Incidentes (IRP): Detalla los procedimientos que deben seguirse al responder a un tipo específico de incidente, como un ciberataque o una catástrofe natural. El plan suele incluir procedimientos para identificar y contener el incidente, así como para llevar a cabo investigaciones forenses y restablecer la normalidad de las operaciones.
  • Plan de Respuesta a Incidentes Cibernéticos (CIRP): Es un documento que describe los procedimientos que deben seguirse al responder a un tipo de incidente específico, en el caso de los CIRP, son de carácter cibernético.

Puntos de Recuperación

Una vez establecidos estos puntos y analizada la criticidad de esos sistemas, debe estudiarse el lugar donde guardar la información con la cual restaurar los propios sistemas, analizando cuál es más beneficioso y óptimo para la infraestructura definida. Entre los diferentes tipos encontramos los siguientes:

  • Nube: Todos los activos informáticos de la empresa se almacenan en la nube, como copias de seguridad. Puede hacerse de manera interna o contratar un servicio externo de BaaS (Backup As A Service).
  • Virtualizado: Este tipo de plan de recuperación de desastres se basa en la puesta en marcha de un entorno virtualizado (como el que ofrece el DRaaS), de manera que máquinas, SO, software y bases de datos se replican de manera virtual y entran en funcionamiento cuando se activa el plan, lo que permite continuar con la actividad de la empresa en un corto período de tiempo.
  • Red: Es un plan de recuperación de desastres centrado en rescatar el funcionamiento de la red interna de la empresa, en caso de que esta se haya visto afectada e impida el normal funcionamiento de la empresa.
  • Centro de datos: Este plan de recuperación de desastres se centra en las instalaciones y la infraestructura del centro de datos, es decir, en la parte física, como son: el edificio, las medidas de seguridad físicas, el suministro de energía, etc. De igual forma evalúa las consecuencias que tendría un desastre sobre ello, además de las acciones, medidas y recursos necesarios para minimizar el impacto y regresar lo antes posible a la normalidad.

Métricas y Normativas de Ciberseguridad para Planes de Respuesta

En la actualidad, existen diferentes normativas que incluyen pautas para mejorar la resiliencia de una organización, que pueden servir para la creación de planes de actuación ante incidentes de ciberseguridad. Estas normativas están recogidas dentro de la ‘Agencia Europea de Seguridad de las Redes y de la Información’ (ENISA).

  • Una norma ampliamente reconocida es el ‘Marco de Ciberseguridad del Instituto Nacional de Normas y Tecnología’ (NIST). El marco proporciona un conjunto de directrices para gestionar los riesgos de ciberseguridad e incluye una sección sobre respuesta a incidentes que las organizaciones pueden utilizar como base para crear un plan de respuesta propio.
  • Otra norma y protocolo para la respuesta a incidentes referente es la norma ISO/IEC 27035 para la gestión de incidentes de seguridad de la información. Esta norma proporciona un marco que incluye directrices para la preparación, detección y análisis de incidentes, contención, erradicación, recuperación y lecciones aprendidas.
  • Dentro del marco europeo encontramos también la actual directiva NIS, que fue actualizada a su segunda versión NIS2. Esta última, presenta nuevos requerimientos aplicables a las empresas de menor tamaño, y actualiza puntos dentro de la gestión de incidentes y la continuidad de negocio.
  • En cuanto a leyes y regulaciones españolas, existe la ley PIC (Protección de Infraestructuras Críticas), la cual recoge varias normativas específicas dentro del entorno de los sistemas críticos. Un punto a tener en cuenta de esta ley es su enfoque a la protección y restauración de las infraestructuras críticas ante posibles ataques, priorizando un mayor nivel de resiliencia.
Comparativa de Tipos de Sitios de Respaldo
Tipo de Sitio Equipamiento Tiempo de Operatividad Costo
Sitio Frío Sin amueblar ni equipar Requiere tiempo y esfuerzo considerables Bajo
Sitio Cálido Preparado electrónicamente, casi equipado Varias horas Medio
Sitio Caliente Totalmente equipado, amueblado y con personal Minutos o segundos Alto

En cualquier organización es necesario proteger los principales procesos de negocio a través de un conjunto de tareas que nos permita recuperarnos tras un incidente grave en un plazo de tiempo que no comprometa nuestra continuidad. De esta forma, se garantiza que se puede dar una respuesta planificada ante cualquier fallo de seguridad. Esto repercutirá positivamente en el cuidado de nuestra imagen y reputación como empresa, además de mitigar el impacto ocasionado por la pérdida de información crítica ante estos incidentes.

tags: #plan #de #continuidad #de #negocio #incibe

Publicaciones populares: