14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

14.1 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE LA
CONTINUIDAD DEL NEGOCIO

Objetivo: contrarrestar las interrupciones en las actividades del negocio y proteger sus
procesos críticos contra los efectos de fallas importantes en los sistemas de información o
contra desastres, y asegurar su recuperación oportuna.
Se debería implementar un proceso de gestión de la continuidad del negocio para minimizar el impacto y la recuperación por la pérdida de activos de información en la organización (la cual puede ser el resultado de, por ejemplo, desastres naturales, accidentes, fallas del equipo y acciones deliberadas) hasta un nivel aceptable mediante la combinación de controles preventivos y de recuperación. En este proceso es conveniente identificar los procesos críticos para el negocio e integrar los requisitos de la gestión de la seguridad de la información de la continuidad del negocio con otros requisitos de continuidad relacionados con aspectos tales
como operaciones, personal, materiales, transporte e instalaciones.
Las consecuencias de desastres, fallas de seguridad, pérdida del servicio y disponibilidad del servicio se deberían someter a un análisis del impacto en el negocio. Se deberían desarrollar e implementar planes de continuidad del negocio para garantizar la restauración oportuna de las operaciones esenciales. La seguridad de la información debería ser una parte integral de todo el proceso de continuidad del negocio y de otros procesos de gestión en la organización.
La gestión de la continuidad del negocio debería incluir controles para identificar y reducir los riesgos, además del proceso general de evaluación de riesgos, limitar las consecuencias de los incidentes dañinos y garantizar la disponibilidad de la información requerida para los procesos del negocio.

14.1.1 Inclusión de la seguridad de la información en el proceso de gestión de la
continuidad del negocio

Control

Se debería desarrollar y mantener un proceso de gestión para la continuidad del negocio en
toda la organización el cual trate los requisitos de seguridad de la información necesarios para la continuidad del negocio de la organización.
Guía de implementación
El proceso debería reunir los siguientes elementos clave para la gestión de la continuidad del negocio:
a) comprensión de los riesgos que enfrenta la organización en términos de la probabilidad
y el impacto en el tiempo, incluyendo la identificación y la determinación de la prioridad
de los procesos críticos del negocio (véase el numeral 14.1.2);
b) identificación de todos los activos involucrados en los procesos críticos del negocio
(véase el numeral 7.1.1);
c) comprensión del impacto que puedan tener las interrupciones causadas por incidentes
de seguridad de la información (es importante encontrar soluciones para manejar los
incidentes que producen impactos menores, así como los incidentes graves que puedan
amenazar la viabilidad de la organización), y establecer los objetivos del negocio para
los servicios de procesamiento de información;
d) consideración de la adquisición de pólizas de seguros adecuadas que puedan formar
parte de todo el proceso de continuidad del negocio y de la gestión de riesgos
operativos;
e) identificación y consideración de la implementación de controles preventivos y
mitigantes adicionales;
f) identificación de recursos financieros, organizacionales, técnicos y ambientales
suficientes para tratar los requisitos identificados de la seguridad de la información;
g) garantizar la seguridad del personal y la protección de los servicios de procesamiento
de información y de la propiedad de la organización;
h) formulación y documentación de los planes de continuidad del negocio que abordan los
requisitos de seguridad de la información acorde con la estrategia acordada de
continuidad del negocio (véase el numeral 14.1.3);
i) prueba y actualización regular de los planes y procesos establecidos (véase el numeral
14.1.5);
j) garantizar que la gestión de la continuidad del negocio está incorporada en los procesos
y la estructura de la organización; la responsabilidad por el proceso de gestión de la
continuidad del negocio se debería asignar en un nivel apropiado en la organización
(véase el numeral 6.1.1).

14.1.2 Continuidad del negocio y evaluación de riesgos

Control

Se deberían identificar los eventos que pueden ocasionar interrupciones en los procesos del negocio junto con la probabilidad y el impacto de dichas interrupciones, así como sus
consecuencias para la seguridad de la información.
Guía de implementación
Los aspectos de seguridad de la información en la continuidad del negocio se deberían basar en la identificación de los eventos (o secuencia de eventos) que pueden causar interrupciones en los procesos del negocio de la organización, por ejemplo fallas de los equipos, errores humanos, robo, desastres naturales y actos terroristas. Se debería continuar con una evaluación de riesgos para determinar la probabilidad y el impacto de tales interrupciones, en términos de tiempo, escala de daño y periodo de recuperación.
participación de los dueños de los recursos y los procesos del negocio. Estas evaluaciones
deberían considerar todos los procesos del negocio sin limitarse a los servicios de
procesamiento de información, sino incluir los resultados específicos para la seguridad de la información. Es importante vincular en conjunto todos los aspectos del riesgo para obtener un panorama completo de los requisitos de continuidad del negocio de la organización. La evaluación debería identificar, cuantificar y priorizar los riesgos frente a los criterios y los objetivos pertinentes para la organización, incluyendo los recursos críticos, impactos de las interrupciones, duración permitida de corte y prioridades de recuperación.
Dependiendo de los resultados de la evaluación de riesgos, se debería desarrollar una
estrategia de continuidad del negocio para determinar el enfoque global para la continuidad del negocio. Una vez se ha creado esta estrategia, la dirección debería aprobarla y se debería crear y respaldar un plan para la implementación de esta estrategia.

14.1.3 Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información

Control

Se deberían desarrollar e implementar planes para mantener o recuperar las operaciones y
asegurar la disponibilidad de la información en el grado y la escala de tiempo requeridos,
después de la interrupción o la falla de los procesos críticos para el negocio.
Guía de implementación
En el proceso de planificación de la continuidad del negocio se deberían considerar los
siguientes aspectos:
a) identificar y acordar todas las responsabilidades y los procedimientos para la
continuidad del negocio;
b) identificar la pérdida aceptable de información y servicios;
c) implementar los procedimientos que permitan recuperar y restaurar las operaciones del
negocio y la disponibilidad de la información en las escalas de tiempo requeridas; es
necesario atender la evaluación de las dependencias internas y externas del negocio y
de los contratos establecidos;
d) procedimientos operativos que se han de seguir en espera de la terminación de la
recuperación y restauración;
e) documentación de procedimientos y procesos acordados;
f) formación apropiada del personal en los procedimientos y procesos acordados,
incluyendo el manejo de las crisis;
g) pruebas y actualización de los planes:
El proceso de planificación se debería centrar en los objetivos requeridos del negocio, por
ejemplo la restauración de servicios de comunicación específicos para los clientes en un lapso de tiempo aceptable. Los servicios y recursos que lo facilitan deberían identificarse, incluyendo el personal, los recursos no relacionados con el procesamiento de información, al igual que las disposiciones de respaldo para los servicios de procesamiento de información. Estas disposiciones de respaldo pueden incluir arreglos con terceras partes en forma de acuerdos recíprocos o servicios de suscripción comercial.
y, por lo tanto, pueden contener información sensible que es necesario proteger
adecuadamente. Las copias de los planes de la continuidad del negocio se deberían almacenar en un lugar lejano, a suficiente distancia para escapar a cualquier daño por algún desastre en la sede principal. La dirección debería garantizar que las copias de los planes de continuidad del negocio están actualizadas y protegidas con el mismo nivel de seguridad que se aplica en la sede principal. De igual modo, el otro material necesario para ejecutar los planes de continuidad se debería almacenar en un sitio lejano.
Si se utilizan lugares alternos temporales, el nivel de los controles de seguridad implementados en estos lugares debería ser equivalente al de la sede principal.
Información adicional
Es conveniente observar que los planes y las actividades de la gestión de crisis (véase el
numeral 14.1.3.f)) pueden ser diferentes de la gestión de la continuidad del negocio; es decir, se puede presentar una crisis que se pueda adaptar con procedimientos de gestión normales.

14.1.4 Estructura para la planificación de la continuidad del negocio

Control

Se debería mantener una sola estructura de los planes de continuidad del negocio, para
asegurar que todos los planes son consistentes, y considerar los requisitos de la seguridad de la información de forma consistente, así como identificar las prioridades para pruebas y
mantenimiento.
Guía de implementación
Cada plan de continuidad del negocio debería describir el enfoque para la continuidad, por
ejemplo el enfoque para garantizar la disponibilidad y seguridad de la información o del sistema de información. Igualmente, cada plan debería especificar el plan de escalada y las condiciones para su activación, así como las personas responsables de ejecutar cada componente del plan.
Cuando se identifican nuevos requisitos, todos los procedimientos de emergencia existentes, por ejemplo planes de evacuación o disposiciones de respaldo, se deberían modificar apropiadamente. Los procedimientos se deberían incluir en el programa de gestión de cambios de la organización para garantizar el tratamiento adecuado de los aspectos de la continuidad el negocio.
Cada plan debería tener un dueño específico. Los procedimientos de emergencia, los planes de recursos de emergencia manuales y de reanudación deberían ser responsabilidad de los dueños de los recursos o procesos apropiados del negocio involucrados. Las disposiciones de respaldo para los servicios técnicos alternos, como servicios de procesamiento de información y comunicaciones, usualmente deberían ser responsabilidad de los proveedores del servicio.
Una estructura para la planificación de la continuidad del negocio debería abordar los requisitos de seguridad de la información identificados y considera los siguientes aspectos:
a) las condiciones para la activación de los planes que describen el proceso a seguir (por
ejemplo, la forma de evaluar la situación y quién se va a involucrar) antes de activar
cada plan;
b) los procedimientos de emergencia que describen las acciones por realizar tras un
incidente que ponga en peligro las operaciones del negocio;
c) los procedimientos de respaldo que describen las acciones por realizar para desplazar
las actividades esenciales del negocio o los servicios de soporte a lugares temporales
alternos y para devolver la operatividad de los procesos del negocio en los plazos
requeridos;
d) los procedimientos operativos temporales por seguir mientras se terminan la
recuperación y la restauración;
e) los procedimientos de reanudación que describen las acciones por realizar para que las
operaciones del negocio vuelvan a la normalidad;
f) una programación de mantenimiento que especifique cómo y cuándo se realizarán
pruebas al plan y el proceso para el mantenimiento del plan;
g) actividades de concientización, educación y formación diseñadas para comprender los
procesos de continuidad del negocio y garantizar que los procesos siguen siendo
eficaces;
h) las responsabilidades de las personas, que describan quién es responsable de la
ejecución de cada componente del plan. Si se requiere, se deberían nombrar suplentes;
i) los activos y recursos críticos necesarios para ejecutar los procedimientos de
emergencia, respaldo y reanudación.

14.1.5 Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio

Control

Los planes de continuidad del negocio se deberían someter a pruebas y revisiones periódicas para asegurar su actualización y su eficacia.
Guía de implementación
Las pruebas del plan de continuidad del negocio deberían asegurar que todos los miembros del equipo de recuperación y otro personal pertinente son conscientes de los planes y sus
responsabilidades para la continuidad del negocio y la seguridad de la información, y conocen su función cuando se ejecuta un plan.
La programación de las pruebas para los planes de continuidad del negocio debería indicar
cómo y cuándo se va a probar cada elemento del plan. Cada uno de los elementos se debería probar con frecuencia.
Es conveniente utilizar una variedad de técnicas para garantizar que los planes funcionarán en condiciones reales. Éstas incluirían:
a) la prueba sobre papel de varios escenarios (analizando las disposiciones de
recuperación con ayuda de ejemplos de interrupciones);
b) las simulaciones (particularmente para la formación del personal en sus funciones de
gestión de crisis / post-incidentes);
c) las pruebas de recuperación técnica (garantizando que los sistemas de información se
pueden restaurar eficazmente);
d) Las pruebas de recuperación en un lugar alterno (ejecutando procesos del negocio en
paralelo con las operaciones de recuperación fuera de la sede principal);
e) las pruebas de los recursos y servicios del proveedor (asegurando que los servicios y
productos proporcionados externamente cumplirán el compromiso contraído);
f) los ensayos completos (probando que la organización, el personal, el equipo, las
instalaciones y los procesos pueden hacer frente a las interrupciones).
Cualquier organización puede utilizar estas técnicas. Éstas se deberían aplicar de forma
pertinente para el plan específico de recuperación. Se deberían registrar los resultados de las pruebas y, cuando sea necesario, tomar las acciones para mejorar los planes.
Se debería asignar responsabilidad para las revisiones regulares de cada plan de continuidad del negocio. La identificación de los cambios en las disposiciones del negocio que aún no se reflejan en los planes de continuidad del negocio debería ir seguida de una actualización
adecuada del plan. Este proceso formal de control de cambios debería garantizar la distribución y el refuerzo de los planes actualizados mediante revisiones regulares del plan completo.
Los ejemplos de los cambios en donde se debería considerar la actualización de los planes de continuidad el negocio incluyen la adquisición de equipos nuevos, la mejora de los sistemas y cambios en:
a) el personal;
b) las direcciones o los números telefónicos;
c) la estrategia del negocio;
d) los lugares, dispositivos y recursos;
e) la legislación;
f) los contratistas, proveedores y clientes principales;
g) los procesos existentes, nuevos o retirados;
h) los riesgos (operativos y financieros).