Desmenuzando la Circular Única
En la pasada entrega desmenuzamos los requerimientos de BIA y RA de la “Circular Única” en esta ocasión nos centraremos en la entrega de las estrategias de Continuidad.
ESTRATEGIAS DE PREVENCIÓN
Estas son todas las actividades que hacemos antes de que una contingencia se presente, y como las contingencias no llegan cuando lo esperamos, son las actividades en la categoría de (As Soon As Possible) ASAP.
“I. En el desarrollo del Plan de Continuidad de Negocio, las Instituciones deberán incorporar las siguientes estrategias:
- a) De prevención, que comprenderá al menos la determinación, con base en el Análisis de Impacto al Negocio, de las acciones y procedimientos relativas a:
- Reducir la vulnerabilidad de los procesos y servicios de la institución ante Contingencias Operativas“.
La reducción de vulnerabilidades empieza por la identificación tanto de vulnerabilidades y amenazas así como la forma en la que estás controlando y/o mitigando dichas vulnerabilidades desde la administración de incidentes y riesgos, esto no solo aplica para una plataforma de gestión de riesgo tecnológico, me refiero a un ITIL o un ISO 20 000 si no que también debes considerar para tu AR tanto manuales de operación de negocio y el Plan Interno de Protección Civil de la organización.
“II. La disposición de los recursos humanos, financieros, materiales, técnicos y de infraestructura tecnológica necesarios para actuar de manera oportuna ante una Contingencia Operativa.”
Por recursos humanos se refiere al personal mínimo necesario para cubrir en su totalidad la operación de los procesos de negocio críticos, así como los back ups de este personal.
En cuanto al recurso financiero se refiere a tener evidencia de asignación de una partida en presupuesto para temas de continuidad de negocio y/o hacer frente a los escenarios de contingencia que marca la CUB, como mínimo.
El recurso técnico y de infraestructura tecnológica no solo trata de la redundancia de enlaces de telecomunicaciones o el tener la información almacenada en un servidor secundario, esto más bien se refiere a tener la capacidad tecnológica de la disponibilidad de DRP en todas las capas de la infraestructura que garantice la reducción de la vulnerabilidad tecnológica de los procesos y servicios críticos por deficiencias de operatividad debido a interrupciones de cualquier tipo, esto implica buscar posiciones alternas de trabajo que cuenten con lo necesario para levantarse como organización en el RTO que se marcó en el BIA, también mantener plantas de suministro eléctrico que soporten más tiempo arriba que el MTPD (Maximum Tolerable Period of Disruption) que se declaró en el BIA y la disponibilidad y acceso a la información que reside en el Data Center secundario en caso de una contingencia.
“III. El establecimiento de un programa de pruebas al funcionamiento y suficiencia del Plan de Continuidad de Negocios que contemple la actualización al menos anual, o antes si ocurre un cambio significativo en la infraestructura tecnológica, procesos, productos y servicios, u organización interna de la institución, y que evalúen todas las etapas y componentes del Plan de Continuidad de Negocios.”
Cada punto es importante, pero este por mucho es el más relevante en cuanto a los resultados y evidencias que persigue un Auditor, pues es la evidencia pura de la gestión del programa de continuidad de negocios, pues demuestra la madurez y recursos reales que se tienen para recuperarse de un incidente.
Lo ideal es presentar un programa de pruebas anual que muestre la realización de al menos pruebas de escritorio en manejo de crisis, pruebas técnicas para el DRP que evidencien el levantamiento de los servicios bajo un escenario 3 “imposibilidad de acceso a las instalaciones principales e imposibilidad de uso de las TIC´s principales” y que el objetivo principal sea la recuperación tecnológica con un RTO de negocio más que sobrado, y una prueba de BCP o en este caso de Negocio en el que se muestre un ciclo completo de operación, esto es iniciar desde las instalaciones secundarias pasando por operación completa y regreso a casa, esta prueba será motivo de otra entrega pues la planeación tiene sus particularidades y consideraciones para cada empresa.
Al final del día el tipo de exigencia en pruebas que realiza una organización dice mucho sobre la comprensión de Continuidad de Negocio que se tiene y sobre la forma en la que maximiza los recursos con los que cuenta.
“IV. El programa de capacitación a que hace referencia la fracción I del Artículo 164 bis.”
La capacitación es algo que puede ser fácilmente evidenciable, mediante listas de asistencia, cuestionarios de suficiencia de conocimiento posteriores a la capacitación, o mediante diplomas o comprobantes de capacitación personalizados, cualquiera que sea la forma en la que decidas evidenciar es importante generar un programa de capacitación para los colaboradores de nuevo ingreso y para los colaboradores que participan en las actividades de recuperación, no está de más especificar que los temas deben ser sobre BIA, RA, Estrategias de Continuidad
“V. La política de comunicación a que hace referencia la fracción II del Artículo 164 bis y la cual deberá atender todos los momentos de las Contingencias Operativas, desde su ocurrencia y contención hasta su resolución y evaluación, lo anterior en atención a la naturaleza de la citada Contingencia y los diferentes destinatarios de sus comunicaciones.”
La comunicación en cuanto a esta política debe abarcar
- Comunicación interna – colaboradores y proveedores
- Comunicación externa – clientes, Partners de negocio, público en general
- Comunicación con los reguladores – Comisiones, Órganos de Control, Banxico, etc.
Y básicamente nos da los lineamientos de quien debe ser el comunicador y cuando debe comunicarse un mensaje y que tipo de mensaje emitir a cada audiencia.
“VI. Procedimientos de registro, atención, seguimiento y difusión al personal relevante de los hallazgos, incidencias u observaciones resultantes de las pruebas efectuadas al Plan de Continuidad de Negocios o bien, de la ejecución del propio Plan en caso de haberse presentado una Contingencia Operativa.”
Tal cual la generación de una bitácora y registros de la evolución de las contingencias y pruebas
ESTRATEGIAS DE CONTINGENCIA
Estas son actividades que se ejecutarán durante la contingencia por lo tanto deben ser lo más simplificadas y claras que se pueda, menos es más es el mantra al redactarlas.
- b) De contingencia, que comprenderá la definición de las acciones y procedimientos de respuesta autorizados para:
“I. Identificar oportunamente la naturaleza de las Contingencias Operativas que afecten los procesos críticos de la Institución.”
Se refiere a que se tengan mecanismos desde la Administración de incidentes que nos permitan hacer la detonación de una contingencia en el momento oportuno, estos mecanismos no es más que criterios de detonación de contingencia muy bien definidos.
“II. Contener los efectos de Contingencias Operativas sobre los procesos críticos y favorecer el restablecimiento de la operación a los niveles de funcionamiento requeridos con base en lo establecido en los incisos f) y g) de la fracción I anterior.”
Al final las estrategias también se conocen como mitigación de riesgos, que deben ejecutarse en lo que corre el RTO, no funcionan si se presentan impactos y un regulador notara esto como primer punto.
ESTRATEGIAS DE RESTAURACIÓN
“C) De restauración, que comprenderá la definición de las acciones y procedimientos para que los servicios y procesos de las Instituciones vuelvan a niveles mínimos de servicio y eventualmente a la normalidad, incluyendo mecanismos de actualización y conciliación de la información, observando al efecto, los estándares establecidos en los incisos f) y g) de la fracción I anterior.”
Son todas las actividades que llevan a cabo una vez que la contingencia se controló, abarca desde el momento en que la operación se estabilizó y comienza a evolucionar desde el MBCO (Minimum Business Continuity Objective) hasta la recuperación del 100% de la operación en contingencia y posterior regreso a casa.
Cuando se están ejecutando estas estrategias se sobreentiende que el DRP es totalmente funcional, y para el regreso a casa que la infraestructura principal se puede operar al 100% así como los mecanismos de traslado de información y datos operativos.
ESTRATEGIAS DE EVALUACIÓN
“D) De evaluación, que comprenderá lo relativo a la recopilación y análisis de la información relevante sobre el desarrollo de la Contingencia Operativa y de las acciones y procedimientos seguidos para su prevención, contención y restauración a fin de, en su caso, efectuar los ajustes necesarios al Plan de Continuidad de Negocio.”
Esta es la ultima parte y se refiere a los datos que se registraron en la bitácora y como vamos a hacer frente a todas las áreas de oportunidad y es cuando entra perfectamente la cláusula 10 de ISO 22301 Mejora Continua.
“Las instituciones, al definir las diferentes acciones y procedimientos a que hace referencia la presente fracción, deberán en todo momento determinar de manera clara el personal responsable, así como prever lo relativo a su suplencia o sustitución en caso de que los titulares se encuentren incapacitados para llevar a cabo lo que el Plan establezca.”
Lo último da garantía a que tanto titulares como suplentes identifiquen cada una de las estrategias presentadas en el plan y siempre garantizar que se tendrá suficiencia de personal, uno de los incumplimientos más comunes es este, debido muchas veces al desconocimiento de la circular o simplemente ante la imposibilidad de las organizaciones de mantener perfiles tan especializados en back up.
Espero que esta información basada en la normatividad y experiencias con clientes sea de utilidad para ti y te ayude un poco a caminar más rápido en este camino de resiliencia operativa.