CREA TU PLAN DE CONTINGENCIA
Disponer de un plan que nos permita asegurar la continuidad de nuestro negocio ante contingencias inesperadas es clave para minimizar el impacto de estas sobre nuestra empresa.
Para ello es importante asegurar que el plan responde a al menos, tres preguntas clave:
1.
¿Qué sucesos pueden pasar que puedan impactar en la continuidad del negocio?
2.
¿Qué procedimientos se pueden llevar a cabo en el momento en el que sucedan para mitigar su impacto?
3.
¿Cómo podemos reducir al mínimo las posibilidades de que estos hechos sucedan?
Para responder estas preguntas, lo primero es necesario crear una matriz o tabla de riesgos (ver Tarjeta “Matriz de Riesgos”). En ella documentaremos los riesgos existentes, el impacto sobre nuestra compañía, y la probabilidad de que estos sucedan. A partir de esta matriz desarrollaremos todo el plan de continuidad de negocio de nuestra PYME siguiendo los siguientes pasos:
1. Priorización de riesgos
Difícilmente todos los activos de nuestra empresa tendrán el mismo valor para el negocio. Por ello es importante ordenar los eventos identificados en la matriz de riesgos en base a su criticidad, priorizando aquellas áreas esenciales para garantizar la continuidad del negocio de la empresa.
2. Definición de los riesgos
Es importante entender bien qué está sucediendo para valorar como actuar frente a ello. Por eso es muy importante que el plan de contingencia incluya descripciones detalladas del suceso, añadiendo incluso niveles de gravedad para un mismo riesgo. Por ejemplo: el robo de un ordenador puede ser grave, pero el robo de todos los ordenadores es crítico.
3. Descripción del procedimiento de actuación
Es necesario definir con exactitud el flujo de actuación y comunicación necesario para llevar a cabo el procedimiento de contingencia. Para ello se asignarán responsables para cada una de las acciones requeridas y se detallará un diagrama temporal en el que se muestre cómo y cuándo proceder ante cada posible escenario.
4. Prevención de riesgos
A pesar de disponer de un plan de contingencia que permita mitigar o minimizar el impacto de los riesgos cibernéticos. Es importante realizar un ejercicio de análisis que permita prevenir anticipadamente aquellos riesgos subsanables.
5. Formación
El plan de contingencia debe ser conocido por todos los trabajadores sobre los que recaiga alguna responsabilidad sobre el mismo. Durante esta formación será necesario definir los papeles y responsabilidades que tendrá cada persona en caso de una emergencia.
6. Simulación
Para garantizar que el plan es conocido y comprobar que se ejecuta según lo planificado, es recomendable realizar simulacros controlados en tiempo real.
7. Revisión
Por último, aunque no menos importante, las necesidades de la empresa varían. La infraestructura crítica, los riesgos, etc. también cambian. Por ello es recomendable revisar el plan de contingencia al menos una vez al año o antes de grandes cambios en la compañía