Seguritecnia 476

SEGURITECNIA Junio 2020 43 Seguridad Integral puesta ante una interrupción o pertur- bación severa de uno o varios procesos de negocio. O que un equipo de res- puesta ante sucesos o situaciones que ponen en peligro de supervivencia a la empresa con motivo de una afectación crítica o catastrófica sobre activos tangi- bles o intangibles de la misma. Aunque no necesariamente dicha afectación tiene que venir derivada de una esca- lada del impacto o consecuencia de la continuidad de negocio (BCP, o Business Continuity Plan). Así pues, un error muy común en muchas organizaciones, puesto de ma- nifiesto ante la amplitud y magnitud del COVID-19, fue sin duda creer que la te- nencia de un plan de contingencia en tecnología de la información (PCTI) o un plan de continuidad tecnológica (PCT) es asimilable a la disponibilidad de un plan de continuidad de negocio. La continuidad de negocio va mucho más allá que la contingencia o continui- dad tecnológica en cuanto a objetivos, alcances y técnicas. Pero primero hay que comprender que el objetivo principal de la planifica- ción de la continuidad de los negocios en una organización, tras un evento que la interrumpe, es precisamente −y valga la redundancia− reanudar los ne- gocios. La finalidad de las acciones de continuidad no es la restauración de los procesos de TI; es volver a hacer nego- cios. Más aún, la continuidad de nego- cios asume que los procesos TI son re- cuperables. La restauración tecnológica es necesaria, aunque no suficiente para garantizar la continuidad. Asimismo, en el diseño de un plan de continuidad de negocio (PCN) , a dife- rencia de lo que sucede con el PCTI o PCT, intervienen activamente todos los órganos y funciones de una institución. Desde el gobierno corporativo hasta las áreas de seguridad y atención al pú- blico, pasando por las funciones de re- cursos humanos, legal, finanzas, comu- nicación, servicios generales, operacio- nes, etc. El diseño de un PCN es integral, so- lidario y realizado bajo una unidad de concepción y unidad de mando ante tos están compuestos de antemano por personas con autoridad suficiente para, en última instancia, tomar las decisio- nes pertinentes y desplegar los recursos necesarios (humanos, económicos, ma- teriales y tecnológicos) para gestionar una crisis. O, de otra manera, está com- puesto por un grupo de personas fun- cionalmente responsables de dirigir el desarrollo y la ejecución de la respuesta y los planes de continuidad del nego- cio (en este caso tendremos en cuenta especialmente los maximum tolerable downtime y recovery time objective de los procesos críticos), declarar una interrup- ción operativa o una situación de emer- gencia/crisis y proporcionar orientación durante el proceso de recuperación, tanto antes como después de un inci- dente disruptivo. Comunicación Una vez más, otra de las lecciones aprendidas durante el COVID-19 es que un plan de comunicación ante situa- ciones de crisis de cualquier entidad (pública o privada) no puede ser un ele- mento aislado y no interrelacionado con todos y cada uno de los planes de continuidad tecnológica, continuidad de negocio o gestión de crisis. Todos ellos deben compartir los mismos: Criterios de calificación y medios para la declaración de la situación de crisis. un evento interruptor. Es decir, esta- blece la continuidad de una organiza- ción desde múltiples perspectivas: in- fraestructura TIC, recursos humanos, in- muebles, sistemas de comunicación, logística, sistemas industriales, etc. Cada uno de estos ámbitos tendrá, a su vez, un plan de contingencia o respuesta más específica, ya que no es lo mismo la inundación de un almacén de logís- tica que el corte del suministro eléctrico en una sala de servidores. Otro error observado durante el COVID-19 en las organizaciones fue no tener un plan de gestión de cri- sis (PGC) con diseño propio y diferen- ciado del PCN y PCT. Su objetivo es evitar que tomemos decisiones impro- visadas que puedan empeorar la cri- sis, entendiendo esta como una situa- ción con un alto nivel de incertidum- bre que afecta las actividades básicas y/o la credibilidad de la organización y que requiere medidas urgentes. O en- tendida como condición inestable que implica un cambio abrupto o significa- tivo que impide la atención y la acción urgentes para proteger la vida, los bie- nes, la propiedad o el medio ambiente (ISO 22300). Quizá uno de los aspectos más distin- tivos de los PGC es la constitución, pre- paración y concienciación de los co- mités de gestión de crisis (CGC) . Es-