Seguritecnia 476

38 SEGURITECNIA Junio 2020 Seguridad Integral su eficacia a la hora de identificar la naturaleza y causa del incidente, me- dir si la gestión de la respuesta ha sido la adecuada y medir la efectivi- dad de la organización para cumplir con los objetivos de tiempo de recu- peración establecidos. La dirección ejecutiva de la em- presa debe revisar periódicamente (al menos cada dos años) los criterios de continuidad definidos para que se adecuen a los cambios regulato- rios, organizativos, o de negocio. Integración con otros planes de continuidad y especialmente con el Plan de Contingencia Informático. La suma de todos los PCN, junto con los planes de contingencia de recur- sos críticos son la mejor garantía de empresa resiliente. Proceso de aceptación del riesgo re- sidual. La aceptación del riesgo resi- dual es un proceso normal y lícito en la planificación de la continuidad. Siem- pre existirán “cisnes negros” imprevisi- bles, para los que no podremos estar preparados porque sencillamente su- pondrían un coste inasumible para la empresa. Sin embargo, debemos ser capaces de demostrar que hemos es- tablecido un sistema de gestión capaz de prever las contingencias más co- munes y minimizar su impacto, tanto en el negocio como en el entorno, así como para nuestros clientes. El coste de implantación de dichas opciones. Las partes interesadas (gobierno, in- versores, clientes, empleados) y el apoyo de los servicios de emergen- cias locales. Decidir sobre la alternativa más ren- table para el negocio. Elaborar los procedimientos, que serán: De gestión de la crisis. De recuperación de procesos crí- ticos. De vuelta a la normalidad. Monitorizaión y revisión: Definir el cuadro de indicadores del PCN de cara a supervisar la eficacia del mismo. Probar el PCN. Mediante las pruebas conseguiremos: Una medida de su viabilidad téc- nica y económica. Una medida de la eficacia de los procedimientos a llevar a cabo a lo largo de las etapas de gestión de crisis y recuperación. Formación al personal involucrado en la gestión de la crisis. Mantenimiento y mejora: Mantenimiento en el tiempo del PCN. En el caso de producirse un inci- dente que derive en la activación del PCN, posteriormente deberá revisarse El periodo máximo de tiempo an- tes que los niveles normales de operación tengan que haberse re- cuperado. Para negocios en los que se mane- jan productos peligrosos es muy con- veniente conocer en detalle tanto los posibles accidentes industriales y el al- cance de sus consecuencias, como el diseño y la configuración de sus proce- sos químicos para poder estimar el im- pacto para el negocio. Por último, se elaborará un listado de medidas de salvaguarda que reduz- can, mitiguen o transfieran los riesgos derivados de la materialización de las amenazas, con el fin de reducir la pro- babilidad o limitar el período de la in- terrupción. Establecer las prioridades, así como los requisitos y tiempos de recupera- ción de negocio. Diseñar las alternativas para la es- trategia de recuperación. Se plan- tearán las opciones de continuidad o alternativas de respaldo más adecua- das, teniendo en cuenta: El período de interrupción máximo tolerable de cada actividad crítica, que se definió en el BIA. Las pérdidas derivadas de la inte- rrupción que son cubiertas por las diferentes opciones o alternativas de respaldo, y el grado de cober- tura de cada una de ellas.