domingo, 28 de mayo de 2017

Cuando todo falla, todavía tenemos el Plan de Continuidad de Negocio


Recientemente hemos sido testigos de como un malware del tipo ransomware, de andar por casa, pero efectivo y que se le conoce como WannaCry, se ha aprovechado de una vulnerabilidad conocida, para poner patas arriba a media internet, cifrando la información de equipos de grandes compañías.





Esta claro que las medidas de prevención son esenciales, pero un sistema de gestión de la seguridad completo debe tener en cuenta que hay que estar preparado ante situaciones imposibles de evitar, y es que la seguridad total no existe, por lo tanto debemos disponer de un plan de continuidad de negocio efectivo que al menos nos permita evitar que las actividades principales de nuestro negocio se vean afectadas.




Y esto es importante porque cada negocio tiene sus necesidades, sus actividades, y cada actividad concreta está expuesta a un riesgo, por lo tanto no habrá un plan de negocio que pueda replicarse a otra organización.

Teniendo esto en cuenta, un buen objetivo que podemos marcarnos con nuestro plan de continuidad de negocio será el de mantener la continuidad de los servicios necesarios con la misma calidad previa a un incidente.



Fases de los planes de continuidad de negocio



  • Debemos conocer nuestras actividades, identificar nuestros activos, y los riesgos a los que están espuestos:  Es decir, previamente a poder desarrollar un plan de continuidad de negocio necesitamos disponer de un análisis de riesgos.

  • Debemos analizar el impacto de negocio, es decir saber cuales son los procesos principales de nuestro negocio y lo que supondría para nuestra empresa (económicamente hablando) la interrupción de alguno de estos procesos

    • Plantilla ejemplo de INCIBE para realizar estas tareas.

  • Deberemos tener claro, cuanto tiempo máximo podrían llegar a estar parados estos servicios y los datos necesarios que deben estar disponibles para recuperar el servicio.


Por lo tanto la cuenta que debemos tener en mente es, con la menor inversión posible disponer de una estrategia para levantar nuestro proceso en el menor tiempo posible y con la información mínima necesaria.



  • Con la información anterior identificada, pasaremos a definir todas las tareas que deben ser ejecutadas para recuperar un servicio en plenas condiciones y por supuesto a las pruebas.


  • Y finalmente, como cualquier cosa, nuestro plan de continuidad de negocio es mejorable, por lo tanto debemos revisarlo con periodicidad y actualizarlo en función de los cambios en nuestros procesos, actividades, gestión de riesgos e impacto de negocio y volver a probarlo y mejorarlo.


Ejemplo de estructura de un documento de plan de continuidad negocio



Como hemos comentado cada compañía / empresa tiene sus necesidades por lo que el plan de continuidad de negocio será diferente para cada una.

A continuación vamos a poner un sencillo ejemplo, llevado al terreno familiar, de como podría ser nuestro plan de continuidad de negocio.

  • Plantilla de plan de continuidad de negocio de INCIBE.


Ojetivo


El presente plan de continuidad de negocio tiene como objetivo que el servicio Netflix que presto a mi familia no se vea ininterrumpido en ningún momento, ya que se considera fundamental que mi familia (hij@s) puedan tener acceso en cualquier momento a este servicio.



Alcance


El plan de continuidad de negocio cubrirá los siguientes elementos considerados activos críticos para el acceso al servicio Netflix:

  • Acceso a Internet.
  • Dispositivo Tablet.
  • Servicio Netflix.

Riesgos críticos asociados a estos activos:


  • Rotura/avería/virus de la tablet.
  • Caída del servicio Netflix.
  • Avería Router de acceso a Internet / Caída acceso a Internet.
  • Perdida de la corriente eléctrica de casa.


Procedimientos – Responsables


  • Procedimiento copias de backup películas-series netflix. →Responsable: Padre.
  • Procedimiento de reposición de tablet. → Responsable: Madre.
  • Procedimiento recuperación acceso a Internet. → Responsable: Padre.
  • Procedimiento recuperación corriente eléctrica. → Responsable: Madre..
  • Procedimiento conexión TV SmartTV → Responsable: Padre.


Inicio ejecución del plan de continuidad



La madre es la a responsable de activar el plan de contingencia.
El servicio Netflix no puede estar fuera de servicio más de una hora, el tiempo que cuesta desplegar el plan de continuidad es de 30 minutos por lo tanto, la madre iniciará el plan de continuidad tras 30 minutos de inactividad del servicio Netflix.


Plan de respuesta y responsables de ejecución


Definimos las siguientes acciones para minimizar el impacto producido por la perdida del servicio Netflix:
  • Notificación:
    • Aviso de perdida de acceso a Internet a ISP.
    • Puesta en conocimiento a los hijos.
    •  Responsable de ejecución: Padre.
  • Notificación: 
    • Aviso a Eléctricas de perdida de corriente eléctrica.
    • Puesta en conocimiento a los hijos.
    • Responsable de ejecución: Madre.
  • Notificación: 
    • Aviso del servicio de garantía de la tablet.
    • Puesta en conocimiento a los hijos.
    • Responsable de ejecución: Madre.
  • Notificación: 
    • Aviso al servicio soporte de Netflix de incidencia en su servicio.
    • Puesta en conocimiento a los hijos.
    • Responsable de ejecución: Padre.
  • Reducción de amenazas que han provocado la perdida de acceso a Internet.
    • Responsable de ejecución: Padre.
  • Reducción de amenazas que han provocado problemas en la tablet:
    • Responsable de ejecución: Madre.
  • Proteger la tablet en caso de no sufrir la amenaza:
    • Responsable de ejecución: Madre.
  • Proteger el acceso a Internet en caso de no sufrir la amenaza:
    • Responsable de ejecución: Padre.
  • Registro: registro de cada una de las acciones ejecutadas.
    • Responsable de ejecución: Padre.

 

Plan de Respaldo


Identificamos las acciones que vamos a ejecutar para volver a tener accesible el servicio afectado.

Recursos que necesitamos:
  • Televisor SmartTV.
  • Mini SAI para alimentación Televisor SmartTV.
  • Pincho USB de acceso a Internet de un operador diferente o acceso Wifi del vecino (previa negociación con el vecino, por supuesto).


Operación de mantenimiento de los recursos necesarios para levantar nuestro servicio Netflix afectado:


  • Televisor SmartTV conectado a SAI.
  • Televisor SmartTV preparado para acceder Wifi del vecino o con pincho USB de otro operador.
  • Televisor SmartTV con aplicación Netflix instalada y actualizada.
  • Copia backup de serie – películas de netflix.
Activación de las acciones a ejecutar e identificación de sus responsables:

Los responsables conocen a la perfección sus respectivos procedimientos:
  • Procedimiento para conectar al SmartTV al Wifi vecino o pincho USB.
    • Responsable: Padre.
  • Procedimiento para arrancar Netflix en SmartTV.
    • Responsable: Madre.
  • Procedimiento recuperar backup películas en caso de caída Internet o indisponibilidad de Netflix. 
    • Responsable: Padre.

Registro de las acciones realizadas:


Los responsables registrarán todas las acciones que han realizado para recuperar el servicio y posibles incidencias ocurridas durante las mismas.


Plan de recuperación


Vamos a definir que acciones tenemos que ejecutar para recuperar el servicio original al mismo estado en el que se encontraba antes del incidente.

  • Recuperación Router / Acceso a Internet.
  • Recuperación servicio eléctrico.
  • Recuperación tablet.
  • Recuperación servicio Netflix. 
  • Conexión tablet a Internet.
  • Inicio servicio Netflix.
  • Pruebas de continuidad del servicio
  • Puesta en marcha y recuperación definitiva del servicio Netflix.
  • Desactivación del plan de contingencia.
  • Registro de todas las acciones ejecutadas para su análisis.

Mejora continua



El padre y la madre analizaran el registro de acciones realizadas durante:

  • El plan de respuesta.
  • El plan de respaldo.
  • El plan de recuperación.

Se detectarán los problemas y las carencias que han ocurrido durante la ejecución de estas acciones, se elaborará un documento con toda esta información que será analizado por el comité experto (Padre y Madre) con el objetivo final de desarrollar procedimientos de mejoras del plan de continuidad de negocio.


Plan de pruebas

Se establece un plan de pruebas cíclico de cada una de las acciones a realizar en cada una de las fases del plan de continuidad de negocio, realizando un simulacro de contingencia del servicio Netflix lo más real posible.

Y finalmente, para terminar recalcar que toda empresa pequeña o grande requiere de un plan de contingencia con tiempos de activación bien definidos, con acciones procidimentadas correctamente, con responsables asignados a cada una de ellas, con un plan de mejora y de pruebas que debe tener continuidad en el tiempo.













Publicado por en
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)