Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Planificación, Políticas y procedimientos

El objetivo de la planificación de la continuidad es mantener las operaciones de un negocio en caso de una situación de emergencia. El objetivo del equipo dedicado a planificar la continuidad de las operaciones es diseñar políticas, procesos, procedimientos y un plan de contingencia y recuperación para que cualquier evento potencialmente disruptivo tenga el menor impacto posible en el negocio. La meta de un plan de contingencia y recuperación es mantener operativos aquellos procesos de negocio críticos con infraestructura y/o capacidades reducidas, limitadas. La capacidad de continuidad de una organización permite mantener los procesos críticos funcionando y a la vez gestionar las actividades de restauración y recuperación usando el plan de recuperación ante desastres.

Dentro de la planificación de la continuidad operativa, se debe considerar la continuidad de la gestión de la seguridad de la información en situaciones de crisis o desastres. Esto implica que los planes deben incluir los requisitos de seguridad de la información. Estos requisitos pueden abordarse en el primer punto mencionado en la metodología (conocimiento de los procesos críticos del negocio y su impacto en el negocio) y deben explicitarse en los planes.

Metodología para la planificación de la continuidad operativa

Para cumplir con estas premisas, la organización debería contar con una metodología para la planificación de la continuidad operativa que incluya al menos:

Conocimiento de los procesos críticos y su impacto en el negocio (análisis BIA).

Análisis de riesgos que pueden afectar los procesos críticos.  
Análisis del negocio desde el punto de vista de una crisis o un evento disruptivo que afecte los procesos críticos.
Contar con un equipo para definir las políticas, planes, procesos y procedimientos de contingencia y recuperación.
La conformación del equipo encargado de definir el plan de contingencia y recuperación (con aprobación de la Dirección).
Conocimiento de los aspectos normativos que afectan a la organización.

Plan de contingencia y recuperación

Una vez analizados los aspectos anteriormente mencionados, la organización debería confeccionar formalmente un plan de contingencia y recuperación.

Pruebas al plan de contingencia y recuperación

Se debería establecer también un plan de pruebas al plan de contingencia y recuperación, con una frecuencia al menos anual. Se debe tener en cuenta la incorporación de los proveedores de servicios críticos para la realización del plan y pruebas de contingencia y recuperación.

Capacitación al personal

Se debería también planificar la capacitación del personal con relación a la continuidad operativa.

Comunicación

Se debería establecer una estrategia de comunicación a todo el personal interno y externo involucrado en caso de circunstancia que requiera la activación del plan de continuidad.

• Plan de contingencia y recuperación de las operaciones. 
• Plan de recuperación ante desastres. 
• Plan dezpruebas del plan de contingencia y recuperación. 
• Resultados de las pruebas realizadas al plan en el período auditado (resultados, aprobaciones requeridas, actividades correctivas y de mejora continua). 
• Sitio de contingencia y facilidades operativas de contingencia. 
• Evidencia de capacitaciones realizadas sobre continuidad operativa.