Procedimiento de respuesta a los incidentes

Se deben diseñar los procedimientos de comunicación, tanto interior, definiendo los procedimientos de escalado de decisiones a tomar en función del alcance y gravedad de la emergencia, como al exterior, cubriendo no solamente la información a clientes y proveedores sino también a los medios de comunicación. También se deberán diseñar los procedimientos de preparación ante posibles incidentes, según se trate de desastres naturales o de origen humano, fortuitas o errores.

En ellos se deberán definir las funciones del personal designado para acometer determinadas acciones y niveles de decisión y autoridad. Por otra parte, se deberán tener en cuenta los procedimientos editados por el departamento de seguridad, solicitando que se desarrollen nuevos procedimientos donde no existan.

Las actuaciones de respuesta ante la emergencia y posterior proceso de recuperación y vuelta a la normalidad se deberán dirigir y controlar, como hemos indicado, desde el centro de control o gestión de la crisis, por lo que tal centro debe estar, no solamente definido en cuanto a ubicación y recursos materiales y humanos con que debe contar, sino también dotado de procedimientos de actuación, definiendo las funciones de las personas que lo integran, sus niveles de responsabilidad y cadena de mando.

También habrá que diseñar procedimientos tendentes a mitigar el daño producido por el incidente y a estabilizar el funcionamiento de la organización, aunque sea en situación provisional y precaria.

Los procedimientos seguirán una secuencia cronológica ante un evento de interrupción y en cada una de las fases de activación del plan desempeñarán un papel:

1. Fase de alerta.
2. Fase de transición.
3. Fase de recuperación.

Fase de Alerta

Implica procedimientos de actuación en los primeros momentos de un suceso que puede suponer la pérdida parcial o total de uno o varios procesos o funcionalidades críticas.

Se puede dividir esta fase en las siguientes acciones:

1. Notificación: Se define quién y cómo debe ser informado en primera instancia de lo ocurrido. Evidentemente no se puede tener cubierta tal cantidad de casos, pero se establecerán unas pautas que permitirán concienciar al personal de cómo proceder en caso de contingencia. Situación de contingencia => Aviso inmediato al responsable de personal o de seguridad => Aviso a la persona responsable del comité de crisis y en su caso a los equipos de emergencia.
2. Evaluación: Análisis de la situación y valoración inicial de los daños. Una vez que un miembro del comité de crisis es contactado e informado del incidente, se procederá a la evaluación de la situación con la mayor recopilación de información posible. El comité informará de lo ocurrido a los equipos y de la situación en ese momento para que permanezcan en situación de espera, hasta que se tome la decisión de activar el plan de continuidad de negocio o iniciar otro tipo de estrategia. Conocimiento por parte de algún miembro del comité => Reunión en un lugar acordado previamente y evaluación de la situación => Se informará a los siguientes responsables: De Seguridad, Comité de dirección de la empresa, Relaciones públicas, Equipo de recuperación, Responsable de los procesos.
3. Gestión de incidentes: Bien en persona, bien a través de algún técnico del departamento, el Responsable de gestionar la incidencia deberá ponerse en contacto con el usuario que notificó la incidencia, realizar las averiguaciones pertinentes a fin de poder analizar la incidencia y determinar la mejor solución a la misma. Una vez resuelta la incidencia, el Responsable de gestionar la incidencia o el técnico en que hubiese delegado, debe informar convenientemente de las acciones tomadas para la resolución de la misma a la persona que detectó la incidencia, así como a aquellas personas que hayan estado involucradas. En caso de ser necesario, se harán recomendaciones al usuario o se le impartirá la formación necesaria para evitar que en un futuro vuelva a repetirse la misma incidencia. El Responsable de gestionar la incidencia podrá facilitar listados de las incidencias pendientes, así como cualquier otro informe o listado que puntualmente le sea solicitado y que pueda obtenerse a través de la información disponible. Concretamente, se elaborarán informes de seguimiento de las incidencias tomando como referencia las categorías existentes en el registro de incidencias. Dichos informes se analizarán conjuntamente con el Responsable de gestionar la incidencia examinando los motivos que ocasionaron las incidencias con el fin de adoptar las medidas preventivas para evitar que vuelvan a producirse (como por ejemplo la formación de usuarios y técnicos...etc.)
4. Ejecución: Una vez que el comité de crisis ha decidido poner en marcha el plan de recuperación, se comienza con el árbol de llamadas para comunicar a los responsables y componentes de cada equipo la situación de inicio de las actividades del plan para comenzar los procedimientos de actuación de cada uno de ellos. Deberá también informarse al comité de dirección. Consideración por parte del comité y ejecución en su caso del plan =>Iniciar árbol de llamadas e informar al comité de dirección => Paso a la fase de transición Este sería el procedimiento de notificación de la puesta en marcha del plan a los equipos implicados.

Fase de transición

Es la fase previa a la recuperación de los sistemas. Es importante que en esta fase exista una coordinación entre los diferentes equipos y el equipo de logística ya que se encargan de que todo esté disponible para comenzar la recuperación en el menor tiempo posible.

Se puede hablar de dos partes en esta fase:

1. Procedimientos de concentración y traslado de personas y equipo: La realización de estos procedimientos dependerá de la estrategia que se decida finalmente, pero de modo general seguiría de la siguiente manera: una vez puesto en marcha el plan y avisados los equipos, se acude al centro de reunión. Si el incidente ocurre fuera del horario de trabajo, el lugar de reunión será el designado como centro de respaldo, o cualquier otro designado por el comité de dirección de crisis. Además del traslado de personas al centro de recuperación (si es necesario), hay que realizar una importante labor de coordinación para el traslado de todo el material necesario para poner en marcha el centro de recuperación, (backups, material de oficina, documentación,)
2. Procedimientos de puesta en marcha del centro de recuperación: Una vez concentrados los distintos equipos que van a intervenir en la recuperación, y con todos los elementos necesarios disponibles para comenzar la recuperación, hay que poner en marcha este centro, estableciendo la infraestructura necesaria, tanto de software como de comunicaciones, etc.

Estos procedimientos son la base del proceso de recuperación de los sistemas, si falla, no será posible comenzar con la recuperación y el plan de continuidad habrá fracasado.

Fase de recuperación

En esta fase, una vez establecidas las bases para comenzar la recuperación, se procederá a la carga de datos y a la restauración de los servicios críticos. Este proceso y el anterior suelen precisar los mayores esfuerzos e intervenciones para cumplir con los plazos prefijados.

En esta fase se pueden distinguir dos elementos:

1. Procedimientos de restauración: Se refiere a los procedimientos de restauración de los sistemas críticos.
2. Procedimientos de soporte y gestión: Una vez restaurados los sistemas hay que comprobar su funcionamiento, realizar un mantenimiento sobre los mismos y protegerlos, de manera que se reanude el negocio con las máximas garantías de éxito. Los integrantes del equipo de unidades de negocio serán los encargados de comprobar y verificar el correcto funcionamiento de los procesos.