BCP

Un pla de continuïtat del negoci (o les sigles en anglès BCP, per Business Continuity Plan) és un pla logístic per a la pràctica de com una organització ha de recuperar i restaurar les seves funcions crítiques parcialment o totalment interrompudes dins d'un temps predeterminat després d'una interrupció no desitjada o desastre. Als Estats Units, les entitats governamentals es refereixen al procés com a planificació de continuació d'operacions (en anglès Continuity Of Operations Planning, o les sigles COOP).

En llenguatge senzill, BCP és com una organització es prepara per a futurs incidents que puguin posar en perill aquesta ia la seva missió bàsica a llarg termini. Les situacions possibles inclouen des d'incidents locals (com incendis, terratrèmols, inundacions, tsunamis, etc.), incidents de caràcter regional, nacional o internacional fins a incidents com pandèmies, etc.

Inicialment les activitats de planificació i prevenció estaven dirigides cap a les operacions informàtiques, que en la majoria dels casos estaven centralitzades al Departament d'Informàtica i fins i tot en un lloc físic concret. No obstant això, amb el pas del temps i l'aparició de la informàtica distribuïda, suportada en mitjans informàtics i telemàtics estesos a totes les àrees de l'organització, aquesta activitat va variar el seu abast i es va anomenar Business Continuity Planning, el que podria traduir-se com a planificació de la continuïtat del negoci.

Introducció

La continuïtat del negoci és un concepte que pertany a una disciplina superior anomenada «Administració de continuïtat de negocis (BCM per les sigles en anglès) i que abasta tant el pla per a la recuperació de desastres (DRP), de naturalesa típicament tecnològica, com el pla per al restabliment del negoci, que normalment s'enfoca en els processos crítics del mateix. A més, els plans de Maneig de Crisi i d'administració d'incidents solen formar part de la disciplina completa de BCM. Recuperació de desastres és la capacitat per respondre a una interrupció dels serveis tecnològics mitjançant la implementació d‟un pla per restablir les funcions crítiques de l‟organització. Tots dos es diferencien de la planejació de prevenció de pèrdues, la qual implica la calendaritització d'activitats com a suport de sistemes, autenticació i autorització (seguretat), revisió de virus i monitoratge de la utilització de sistemes (principalment per a verificacions de capacitat). En aquesta ocasió parlarem de la importància de comptar amb la capacitat per restablir la infraestructura tecnològica de l'organització en cas d'una disrupció severa, és a dir, un pla de recuperació de desastres (DRP).

Aquest pla és la resposta prevista per l'empresa davant d'aquelles situacions de risc que poden afectar-lo de manera crítica, és a dir, impedint l'operació tecnològica que suporta els processos de negoci més importants. No importa la mida de l'empresa o el cost de les mesures de seguretat implantades, tota organització necessita un Pla de recuperació de desastres o un de continuïtat de negoci, ja que tard o d'hora es trobarà amb una incidència de seguretat o algun esdeveniment que aturi sobtadament loperació duna empresa.

El primer que cal fer és una anàlisi de l'impacte al negoci (BIA). Aquest és bàsicament un informe que mostra el cost ocasionat per la interrupció dels processos crítics de negoci.

Un cop obtingut aquest informe, la companyia té la capacitat de classificar els processos de negoci en funció de la seva criticitat i allò que és més important: establir la prioritat de recuperació (o el seu ordre seqüencial).

Al BIA s'identifiquen els components clau requerits per continuar amb les Operacions de Negoci després d'un incident, dins d'aquests components es troben:

  • Personal requerit
  • Àrees de treball
  • Registres vitals- Backups d'informació
  • Aplicatius crítics
  • Dependències d'altres àrees
  • Dependències de terceres parts
  • Criticitat dels recursos d'informació
  • Participació del personal de seguretat informàtica i els usuaris finals
  • Anàlisi de tots els tipus de recursos dinformació

Tres aspectes claus per a l'anàlisi:

  • Criticitat dels recursos d'informació relacionats amb els processos crítics del negoci
  • Període de recuperació crític abans d'incórrer en pèrdues significatives
  • Sistema de classificació de riscos

Una estratègia de Recuperació és una combinació de mesures preventives, detectives i correctives per a:

  • Eliminar la amenaça completament
  • Minimitzar la probabilitat que passi
  • Minimitzar l'efecte

Les interrupcions més prolongades i més costoses, en particular els desastres que afecten les instal·lacions, requereixen recuperació (offsite).

Aplicació

El pla de continuïtat de negoci abasta tots els sectors de negoci, donat amb més èmfasi en aquells on la disponibilitat de la informació és el seu actiu més gran. A partir de l'11 de setembre de 2001, els plans de continuïtat de negoci van cobrar importància abastant amb més cobertura companyies del sector financer i els seus associats, on avui dia té la seva aplicació més gran. No hi ha importància de la mida de lempresa o institució, un pla de continuïtat pot ser aplicat tant a empreses grans, mitjanes, petites i fins i tot microempreses. Com tot procés, l'aplicació d'un pla de continuïtat involucra determinats passos obligatoris per garantir-ne la funcionalitat, aquestes fases són:

  1. Fase danàlisi i avaluació de riscos
  2. Selecció d'estratègies
  3. Desenvolupament del pla
  4. Proves i manteniment del pla.

Manteniment

Aquest pla és la resposta prevista per l'empresa davant d'aquelles situacions de risc que el poden afectar de manera crítica. No importa la mida de l'empresa o el cost de les mesures de seguretat implantades, tota organització necessita un Pla de continuïtat de negoci ja que tard o d'hora trobareu una incidència de seguretat.

« Índex del glosari

Calendari ciberseguretat /24

LIVE WEBINAR | 1/2/2024

Com protegir el teu Active Directory d'atacs Ransomware amb Tenable

Alertes de seguretat

Estigues informat, rep-les al teu email
Consulta les últimes alertes