Skip to main content

Plan de continuidad o contigencia

REVISAR

REVISAR EL PLAN DE CONTINUIDAD ACORDE AL NUEVO ESQUEMA NACIONAL DE SEGURIDAD

El plan de contingencias define los pasos que deben ser llevados a cabo por la organización, para que, en caso de un incidente, los sistemas (información y servicios) entren en funcionamiento en un tiempo mínimo para que produzcan el menor daño posible.

Para desarrollar un plan de contingencias hay que basarse en los resultados del Análisis de riesgos, art 13 ENS, para ello, se propondrá los siguientes pasos:

  • Realizar el Análisis de Riesgos según la metodología Magerit v3 con la herramienta del CCN CERT Pilar, obteniendo los parámetros RPO, RTO y RLO.

  • Definir los objetivos y alcance del plan

  • Definir perfiles (CCN STIC 801 Funciones y Responsabilidades)

  • Formación del personal implicado en el plan

  • Establecer una continuidad en caso de Contingencia:

    Artículo 26. Continuidad de la actividad..

    Los sistemas dispondrán de copias de seguridad y se establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones en caso de pérdida de los medios habituales.

    Artículo 27. Mejora continua del proceso de seguridad.

    El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a la gestión de la seguridad de las tecnologías de la información.

  • Mantener el plan actualizado.

  • Siguiendo la ISO 27031 Plan de Continuidad de Negocio (Seguir el ciclo de Deming - PDCA, que es una estrategia de calidad para realizar una Mejora Continua según artículo 27 del ENS)

El ciclo PDCA o Ciclo de Deming es una metodología de gestión que tiene como objetivo la mejora constante de los procesos. Este ciclo consta de cuatro pasos: planificar (plan), hacer (do), verificar (check) y actuar (act).

NOTA

¿Cuáles son los pasos del ciclo PDCA?

Pero, ¿cómo hacer un PDCA paso a paso?

El ciclo PDCA incluye los siguientes pasos secuenciales, que deben realizarse sin saltarse ninguna fase:

P: plan (planificar)

El primer paso cuando se quiere optimizar un proceso o mejorar una entrega o un producto es planificar. Es necesario que los objetivos estratégicos de la empresa, así como las expectativas del cliente, estén alineados para cumplir los siguientes pasos: Inicialmente, es necesario hacer un diagnóstico para identificar los problemas existentes, definir las prioridades de lo que hay que mejorar o incluso detectar nuevas oportunidades.

Una vez estipulado el objetivo, hay que desglosarlo en metas posibles y tangibles. Aquí es importante reunir datos e información para determinar el alcance del trabajo.

Con el equipo reunido, es el momento de poner la planificación por escrito: crear un plan de acción con las actividades que hay que realizar para que se cumplan los objetivos, fijar plazos y un calendario de ejecución y designar a los responsables. También se deben definir indicadores clave de rendimiento (KPIs), que son las métricas que se analizarán en los siguientes pasos.

D: do (hacer)

Ahora es el momento de poner en práctica la planificación. Para que el equipo ejecute lo descrito en el plan, es necesario contar con una formación específica. Durante la ejecución, intenta también recoger datos para poder controlar el proceso y medir los resultados. Regístralos, independientemente de si son positivos o negativos.

C: check (verificar)

Ahora analiza los resultados. Aquí es importante contar con parámetros objetivos y cuantitativos para poder verificar realmente la mejora del proceso y el nivel de calidad y compararlos con los ciclos anteriores. Es en esta fase en la que podrás identificar problemas o fallas en el proceso, que podrán ajustarse posteriormente.

A: act (actuar)

La letra "A" del acrónimo PDCA también puede significar adjust ("ajustar") y consiste en las acciones que deben implementarse para corregir las fallas detectadas en el paso anterior. En este momento es posible apuntar soluciones a los problemas y luego rehacer la planificación teniendo en cuenta los nuevos resultados.

En esta fase se dan dos situaciones:

Si se consigue el resultado esperado, puede servir de referencia para otros procesos y sectores de la empresa u otras unidades, por ejemplo.

Si el resultado no está a la altura de las expectativas, hay que analizarlo para encontrar nuevas soluciones.

Es importante decir que el mercado es muy dinámico, se crean innovaciones tecnológicas todo el tiempo y es muy difícil que un patrón que funcionaba bien se consolide como definitivo. Aunque la estrategia haya funcionado bien, es probable que haya algo que mejorar, entrando de nuevo en el ciclo PDCA.

  • Se establecerá una política de backup siguiendo la guía CCN STIC 822 de Procedimientos de Seguridad , Anexo III: PROCEDIMIENTO DE GENERACIÓN DE COPIAS DE RESPALDO Y RECUPERACIÓN DE LA INFORMACIÓN, se establecerá una política de backup que permita recuperar los datos en el mínimo tiempo posible dentro del RPO.

  • Se tendrá un cpd de respaldo para que en caso de contingencias permita recuperar la actividad/continuidad del negocio en un tiempo menor al RTO.