👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principio 10 y 14 del Marco COSO, y los criterios CC7.5 y CC9.1.
TSC: Disponibilidad: A1.2 y A1.3.
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para documentar cómo tu organización actuará ante situaciones de crisis que podrían interrumpir tus operaciones de negocio. El objetivo es asegurar la resiliencia de la empresa, permitiéndote mantener los procesos críticos funcionando y cumplir con tus compromisos de servicio, especialmente los relacionados con la Disponibilidad.
💡 El Plan de Continuidad del Negocio (BCP) es más amplio que el “Plan de Recuperación ante Desastres”. El DRP se enfoca en recuperar la tecnología; el BCP se enfoca en recuperar las operaciones del negocio, lo que incluye a las personas, los procesos y la tecnología recuperada por el DRP.
¿Qué tengo que hacer? 🚀
Para documentar este plan, es crucial involucrar a la alta dirección. Te recomendamos aplicar los siguientes pasos:
Asignación de responsabilidades
Define quiénes serán los encargados de gestionar una crisis. Nuestro template sugiere crear un comité de crisis y un equipo de continuidad para asegurar que las responsabilidades estén claras antes de que ocurra un evento.
Creación de los procedimientos de continuidad
Aquí es donde se definen las acciones a tomar. Para hacerlo correctamente, primero debes realizar un Análisis de Impacto del Negocio (BIA).
El BIA consiste en:
Recabar toda la información sobre tus procesos críticos: los responsables, los recursos que utilizan (sistemas, datos, personal), y sus interacciones.
Identificar los riesgos a los que están expuestos estos procesos.
Definir el tipo de impacto que tendría en tus operaciones si son afectados. Por ejemplo:
Impacto operacional: Interrupción en la entrega de tu producto o servicio.
Impacto económico: Pérdida de ingresos, costos no previstos, penalizaciones contractuales.
Impacto reputacional: Pérdida de la confianza de tus clientes.
Con la información del BIA, podrás definir estrategias de recuperación eficientes y priorizar qué procesos se deben restablecer primero. También podrás definir de manera realista tus métricas de RPO (pérdida máxima de datos tolerable) y RTO (tiempo máximo para recuperar la operación).
Comunicación y capacitación
Una vez que el plan esté documentado, debes comunicarlo a todos los responsables y capacitarlos para que sepan exactamente qué hacer en caso de una emergencia. Una comunicación clara es fundamental durante una crisis.
Pruebas, revisión y mantenimiento
Un plan que no se prueba, probablemente no funcionará. Debes revisar y probar periódicamente tus estrategias de recuperación a través de simulacros (esto se realiza en la actividad "Prueba de Continuidad").
Los resultados de estas pruebas deben quedar documentados.
La realización de estas pruebas es fundamental para cumplir con el criterio A1.3, que exige no solo desarrollar, sino también probar la capacidad de recuperación de la organización.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu plan fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Las pruebas de continuidad deben realizarse por lo menos una vez al año, y siempre que haya cambios significativos en tus procesos críticos.
Analiza todos los escenarios de desastre que puedan afectar a tu empresa, sin importar qué tan poco probables parezcan.
Asigna al personal más apropiado y con poder de decisión para llevar a cabo las estrategias de recuperación.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.