Seguridad en América | Post

¿QUÉ ES EL BCM? 

Como sus siglas en inglés lo indican, BCM (Business Continuity Management) hace referencia al Sistema de Gestión de Continuidad del Negocio, el cual se encarga de los temas relacionados a la continuidad operativa de una organización, es decir que los procesos del negocio que puedan ser afectados, interrumpidos o degradados por alguna amenaza tengan la capacidad de volver a la normalidad con base en lo determinado en el BIA (Business Impact Analysis).

¿QUÉ ES EL BIA?

Como sus siglas en inglés lo indican, BIA hace referencia al Análisis de Impacto al Negocio, este debe ser realizado como parte del BCM, es de medular impacto ya que dentro de este análisis se plantean dos puntos principales RTO (Recovery Time Objective) y RPO (Recovery Point Objective), el RTO ayudará a determinar el tiempo máximo que una organización puede prescindir de un proceso y el costo que esto le conlleve.

Por otro lado, el RPO hace referencia al punto en el tiempo que una organización puede restablecer la operación de un proceso, en ambos casos se deben analizar las pérdidas tangibles e intangibles, pongámoslo en palabras simples, por ejemplo una organización tiene un proceso de banca en línea, al realizar el análisis de impacto (BIA), la organización determina que con base en los SLA’s (Service Level Agreement) Acuerdos de Servicio, dicha aplicación no puede permanecer más de cinco minutos fuera de operación y que en caso de contingencia, no están dispuestos a perder ninguna transacción, es decir, esto se traduce en un RTO igual o menor a cinco minutos y un RPO de la última transacción procesada.

Este tipo de análisis es vital para poder determinar el uso de un sitio alterno de operaciones y un DRP (Disaster Recovery Plan) Plan de Recuperación de Desastres para mitigar el impacto del riesgo. La norma internacional que certifica este Sistema de Gestión es la ISO/ IEC 22301 (International Organization for Standardization / International Electrotechnical Commission).

¿POR QUÉ SE RELACIONA CON CIBERSEGURIDAD?

Las organizaciones se preocupan por contar con tecnología en Alta Disponibilidad, Sitios Alternos de Operación y descuidar puntos medulares como la ciberseguridad, es decir se consideran RTO’s y RPO’s, pero la mayoría de las veces, los procesos relativos a ciberseguridad no son incluidos en el DRP (Disaster Recovery Plan), la operación de la organización se normaliza, pero sin contar con dichos procesos, lo cual hace que la organización sea vulnerable a diversos ataques y que en un escenario normal no pasarían.

Pero la pregunta es ¿por qué? Se omiten estos procesos, por desconocimiento, por mala planeación, por falta de apego a estándares y procesos, la respuesta podría ser incluso todas las anteriores y otras más. La complejidad en todos los casos dependerá de un correcto análisis de riesgos y planes de mitigación, así como la aplicación de controles y métricas para determinar el correcto funcionamiento de los planes de recuperación y no dejar sin mantenimiento dichos sistemas, dado que lo que no es mantenido, tiende a ser depreciado.

¿CÓMO PODEMOS EVITARLO?

La mejor manera de reaccionar ante situaciones adversas, es la planeación, ya que los riesgos generan un efecto de incertidumbre en la consecución de los objetivos de una organización y deben ser analizados e identificados para poder darles respuesta y tratamiento de manera correcta. Las organizaciones deben generar planes y una cultura con pensamiento basado en el riesgo, de otra manera estarán condenadas a repetir sus fallas una y otra vez.

TOP 10 DE RECOMENDACIONES:

1. Involucrar a la Alta Dirección y determinar dueños y responsables de los procesos.

2. Generar planes de acuerdo a la medida de las necesidades de la organización.

3. Realizar pruebas de los planes de desastre al menos dos veces por año.

4. Generar diversos escenarios de posibles fallas, incluyendo la ciberseguridad.

5. Contar con una correcta gestión y documentación de incidentes que pueden presentarse en las pruebas o escenarios de contingencia operativa.

6. Revisar periódicamente los planes y determinar acciones correctivas.

7. Incluir en su equipo a un responsable del sistema de gestión.

8. Crear planes de concientización para su equipo de forma anual.

9. Validar los contratos con proveedores para revisar temas de continuidad del negocio relacionados a la ciberseguridad.

10. Mantener un sistema de gestión documental para evitar que los planes se degraden y queden desactualizados o fuera de operación.