Este artículo ofrece una visión general de la Práctica Profesional 4 (PP4) – Diseño, que es la práctica profesional que «identifica y selecciona las estrategias y tácticas adecuadas para determinar cómo se logrará la continuidad y la recuperación tras una interrupción». Las actividades de diseño de estrategias son esenciales para traducir los resultados recopilados durante la fase de análisis en estrategias procesables que la organización pueda aplicar y perfeccionar con el tiempo para mejorar la capacidad de responder y recuperarse de una interrupción.

PP4 VISIÓN GENERAL

La PP4 esboza tres áreas principales que deben tenerse en cuenta en el proceso de diseño de la estrategia, incluido el diseño de estrategias y tácticas de continuidad y recuperación, medidas de mitigación de amenazas y una estructura de respuesta ante incidentes. Echemos un vistazo más de cerca a cada una de ellas.

  • Estrategias y Tácticas de Continuidad y Recuperación. Las actividades de diseño estratégico y táctico se realizan para abordar los riesgos relacionados con la continuidad identificados durante la fase de análisis para facilitar la recuperación de un producto, servicio, proceso, actividad o recurso. Las GPG recomiendan identificar estrategias a varios niveles dentro de una organización, de forma similar al enfoque recomendado para realizar análisis de impacto empresarial (BIA). La identificación de estrategias incluye la realización de desarrollos a nivel estratégico, táctico y operativo. Estas distinciones pueden ser algo artificiales y las GPG lo tienen en cuenta dividiendo los enfoques recomendados en estrategias de recuperación de alto nivel (diseñadas para continuar con la entrega de productos y servicios) y tácticas (diseñadas para recuperar los requisitos de recursos).
  • Medidas de mitigación de amenazas. Mientras que las estrategias de continuidad y recuperación se priorizan y diseñan en función del producto, servicio o proceso; la mitigación de amenazas (riesgos) se centra en amenazas o sucesos concretos. El objetivo de los esfuerzos de mitigación de amenazas es identificar controles para reducir la probabilidad o el impacto de una amenaza concreta. En algunos casos, los procesos de mitigación de amenazas pueden quedar fuera de la jurisdicción directa de la continuidad del negocio e incluir medidas de mitigación que requieran la participación de otros expertos en la materia.
  • Una estructura de respuesta a incidentes. Establecer una estructura de respuesta a incidentes implica constituir los equipos adecuados y crear marcos de respuesta para garantizar que una organización pueda responder a una interrupción y recuperarse de ella. La PP4 señala que el propósito de diseñar una estructura de respuesta a incidentes es «garantizar que existe un mecanismo documentado y plenamente comprendido para responder a un incidente que pueda causar una interrupción en la organización». Puede ser útil crear equipos de respuesta en cada uno de los niveles de una organización (estratégico, táctico y operativo), y la PP4 destaca que corresponderá a la organización diseñar la estructura y el marco que resulten más pertinentes.

Al abordar cada una de estas áreas, la PP4 supone que una organización dispondrá de procesos y estrategias suficientes para permitir la documentación del plan y actividades adicionales en la fase de implementación (PP5). La combinación de los resultados de PP4 y PP5 permitiría una respuesta y recuperación suficientes tras un incidente.

PP4 VALOR

El reto a la hora de diseñar cualquier estrategia de continuidad de negocio, mitigación de amenazas o estructura de respuesta es garantizar que se adapte a la organización. Las soluciones de «talla única» no existen. Debido a esta realidad, la norma ISO 22301 es intencionadamente vaga, al afirmar que las organizaciones deben determinar y seleccionar estrategias y establecer requisitos de recursos, sin proporcionar detalles sobre cómo pueden ser esas estrategias. La PP4 también reconoce esta realidad; sin embargo, documenta estrategias, tácticas y orientaciones de alto nivel que pueden aplicarse a organizaciones concretas. Exploremos algunas de las ventajas más significativas:

Identifica Enfoques Estratégicos y Tácticos para Reducir el Riesgo de Continu idad de Negocio
Dado que un plan de continuidad sólo es tan bueno como la estrategia que refleja, es esencial que las organizaciones se centren en las actividades de diseño de estrategias. El diseño de estrategias implica comprender los requisitos recogidos durante el BIA y la evaluación de riesgos y traducirlos eficazmente en estrategias procesables. Además, los profesionales deben considerar los costes/beneficios de cualquier estrategia propuesta. El PP4 añade valor a este proceso proporcionando a los profesionales un punto de partida para identificar estrategias de alto nivel, entre las que se incluyen:

Para complementar las estrategias de alto nivel, el PP4 esboza además las consideraciones tácticas que deben tenerse en cuenta para que una estrategia de alto nivel sea eficaz, entre ellas:

Para que sea lo más eficaz posible, los profesionales deben seleccionar una estrategia adecuada basada en los requisitos de recuperación y luego evaluarla en función de las consideraciones tácticas para asegurarse de que la estrategia será eficaz.

Identifica Controles para Minimizar el Riesgo Específico de una Amenaza
PP4 aporta valor al documentar el proceso que puede utilizarse para identificar controles específicos de amenazas y medidas proactivas para reducir la probabilidad o el impacto de un suceso concreto. Esta actividad complementa un análisis de amenazas (si se realiza) durante la fase de análisis. Una organización utilizaría el análisis para determinar las amenazas más relevantes y trabajaría con expertos en la materia para desarrollar controles adicionales. El proceso de identificación de controles probablemente requerirá un análisis de coste/beneficio para determinar si el coste de implantar un control está justificado por el nivel o riesgo que se remediaría y los costes potenciales para la organización si el riesgo se dejara sin mitigar. Algunos ejemplos de controles podrían ser mejoras en la seguridad de la información, sistemas de extinción de incendios, etc.

Facilita el Diseño de Estructuras de Respuesta a Incidentes Relevantes para la Organización
Para utilizar estrategias de continuidad de negocio y proporcionar mando y control tras una interrupción, las organizaciones necesitan establecer algún tipo de estructura de respuesta a incidentes. Tanto la ISO 22301 (sección 8.4.2) como la PP4 contienen orientaciones similares para establecer una estructura de respuesta a incidentes. Donde la PP4 añade valor adicional es al documentar las consideraciones que el profesional debe evaluar durante el proceso de diseño. Ninguna de las dos fuentes establece el aspecto que deben tener los equipos ni el tipo de personas que deben formar parte de ellos; sin embargo, la PP4 sí ofrece orientación sobre las funciones y responsabilidades de la estructura de respuesta en su conjunto. Esto significa que cualquier equipo creado como parte de este proceso debe ser capaz de

  • Moviliza a los equipos de [response and recovery]
  • Activar planes
  • Invocar recursos
  • Comunícalo a las partes interesadas
  • Comunicar a los medios de comunicación
  • Dar cuenta del bienestar del personal
  • Intensifica las actividades
  • Proporcionar mando y control
  • Establecer límites a los gastos y a la delegación
  • Tener en cuenta el cambio de prioridades en función de la situación

Al diseñar estrategias y tácticas de continuidad y recuperación, medidas de mitigación de amenazas y una estructura adecuada de respuesta a incidentes, una organización estará preparada para aplicar las soluciones documentadas en los planes de continuidad y recuperación de la empresa.

PP4 ESTUDIO DE CASO

La empresa X es una organización emergente del sector privado que presta servicios de vigilancia de la seguridad a propietarios de viviendas. Recientemente han establecido un programa de continuidad de negocio y recuperación ante desastres informáticos, y han completado la fase de análisis realizando un BIA y una evaluación de riesgos. A lo largo de este proceso, identificaron un puñado de servicios críticos a nivel estratégico, el más sensible al tiempo de los cuales es la capacidad de proporcionar vigilancia domiciliaria y notificar a las autoridades en caso de allanamiento en la ubicación de un cliente. A nivel táctico/operativo, la organización identificó entonces una serie de recursos necesarios para seguir prestando este servicio crítico, incluido un centro de llamadas (centro de supervisión de eventos), infraestructura informática (incluido un sistema telefónico), personal del centro de llamadas y una serie de sistemas necesarios para conectarse a las alarmas de los clientes y ponerse en contacto con las autoridades locales. La empresa X dispone de un Equipo de Gestión de Crisis (EGC), pero no tiene ningún otro equipo de respuesta formal.

Debido a acuerdos contractuales muy estrictos en los contratos de los clientes, a la posibilidad de responsabilidades legales y a posibles impactos en la seguridad de los clientes, al Servicio de Vigilancia Domiciliaria se le asigna un periodo máximo tolerable de interrupción de 30 minutos. El RTO asociado es de sólo 15 minutos, lo que dificulta mucho la respuesta y la recuperación. Además, durante un análisis de amenazas, observaron que los cortes de electricidad y telecomunicaciones representan el mayor nivel de riesgo. Utilizando la información de PP4 como punto de partida, la organización inicia el proceso de diseño de la estrategia:

Basándose en un análisis inicial de la estrategia, el profesional plantea a la dirección dos posibles soluciones: diversificar o recurrir a un proveedor contratado para que proporcione un centro de llamadas y capacidades de respuesta tras una interrupción. El profesional señala que la replicación puede ser una estrategia aceptable si la dirección está dispuesta a aceptar un riesgo adicional; sin embargo, la dirección indica que quedaría fuera de su tolerancia al riesgo. La dirección solicita que el profesional prosiga con la estrategia de diversificación e identifique una posible ubicación secundaria que proporcione redundancia y alta disponibilidad.

Utilizando los criterios tácticos del PP4 y la orientación de la dirección, el profesional evalúa las opciones disponibles:

La empresa X decide que debe rehacer su estructura de respuesta a incidentes para adaptarse a la nueva estrategia. La empresa X contaba anteriormente con un CMT, pero ahora decide que necesitará entidades de respuesta adicionales para gestionar el nuevo emplazamiento. La empresa X decide crear equipos de recuperación departamentales para supervisar las actividades de recuperación tácticas/operativas de los centros de control de incidentes, tanto en el emplazamiento primario como en el secundario, además de equipos para otros departamentos implicados en el proceso de respuesta y recuperación, como TI e instalaciones. Utilizando la PP4 como punto de partida, el profesional diseñó estrategias y una estructura de respuesta adecuadas a la organización.

REFLEXIONES FINALES

Documentar el proceso para traducir los requisitos de la fase de análisis en estrategias concretas es una actividad esencial para los profesionales de la continuidad del negocio. El PP4 proporciona ejemplos de estrategias y tácticas de alto nivel que pueden servir de punto de partida para los profesionales y servir de hoja de ruta para trabajar en el proceso.

Si quieres hablar de las GPG, de la adaptación a la ISO 22301 o de la obtención de la certificación, ponte en contacto con nosotros. Estaremos encantados de escucharte.