Fastly, un servicio de red de distribución de contenidos muy utilizado por los editores web, sufrió una interrupción el 8 de junio de 2021 que tuvo consecuencias a nivel mundial, ya que afectó a los principales sitios web de noticias, a Amazon e incluso a los sitios web del Gobierno del Reino Unido. Aunque no está relacionada con la ciberseguridad, esta interrupción sigue siendo un ejemplo de por qué las organizaciones que dependen de terceros para prestar servicios críticos deben evaluar continuamente las prácticas de resiliencia empresarial de esos proveedores.
Elementos críticos de un plan de resiliencia empresarial de terceros
Como mínimo, un cuestionario de resiliencia empresarial de terceros debe evaluar:
- Continuidad de las operaciones: garantizar que las funciones críticas de una organización puedan seguir desempeñándose durante una amplia gama de emergencias.
- Comunicaciones en situaciones de crisis: sensibilización sobre un tipo específico de amenaza, su magnitud, posibles consecuencias y comportamientos específicos para reducir la amenaza.
- Protección de infraestructuras críticas: protección de los servicios críticos para el funcionamiento de la empresa.
- Contingencias del sistema de información: planificación para la restauración de los servicios tras una interrupción.
- Respuesta y gestión de incidentes: identificación, eliminación y recuperación ante amenazas de ciberseguridad.
- Recuperación ante desastres: recuperación y protección de la infraestructura informática de una empresa.
10 preguntas sobre resiliencia empresarial que deben plantearse a todos los proveedores de servicios críticos
Para determinar una base de referencia de las prácticas de resiliencia empresarial, Prevalent recomienda que las organizaciones exijan a todos sus proveedores críticos que respondan a las siguientes 10 preguntas. Estas preguntas pretenden ser un punto de partida; las respuestas deben dictar los siguientes pasos y las partes vulnerables del plan de resiliencia empresarial del proveedor deben abordarse de inmediato.
| Preguntas | Respuestas posibles |
|---|---|
| 1) ¿Cuenta su organización con un plan de resiliencia empresarial? ¿Cuál de las siguientes opciones se aplica?
Seleccione todas las opciones que correspondan. |
a) Contamos con un plan de resiliencia empresarial documentado o similar. b) El plan se revisa al menos una vez al año o tras cualquier cambio significativo. c) El plan tiene un responsable formal. d) El plan se comunica y está a disposición de todos los representantes necesarios. |
| 2) ¿Cuáles de los siguientes aspectos se incluyen en el Plan de Resiliencia Empresarial?
Seleccione todas las opciones que correspondan. |
a) Criterios de activación b) Funciones y responsabilidades c) Impacto en los servicios prestados d) Pruebas periódicas de las medidas de resiliencia e) Personal f) Sistemas y activos g) Instalaciones h) Procesos de comunicación i) Cadena de suministro y logística j) Controles de seguridad |
| 3) ¿Ha identificado la organización los árboles de llamadas tanto para las partes internas como externas?
Seleccione todas las opciones que correspondan. |
a) Nuestro Plan de Resiliencia Empresarial incluye árboles de llamadas de comunicación. b) Nuestros árboles de llamadas identifican a quién contactar y la hora y frecuencia de comunicación para las partes externas. c) Hemos identificado las funciones responsables de comunicarse con nuestro personal interno en caso de que la organización se vea afectada por una interrupción del servicio. d) Hemos identificado las funciones responsables de comunicarse con nuestros clientes en caso de que la organización se vea afectada por una interrupción del servicio. e) Hemos identificado las funciones responsables de comunicarse con nuestros terceros en caso de que la organización se vea afectada por una interrupción del servicio. |
| 4) ¿Cuáles de las siguientes opciones son aplicables al describir el enfoque de su organización para realizar evaluaciones del impacto en el negocio?
Seleccione todas las opciones que correspondan. |
a) Se han realizado evaluaciones de impacto en todos los sistemas, activos y funciones. b) Se han determinado las calificaciones de impacto tras la conclusión del proceso de evaluación de impacto. c) Se han definido los objetivos de tiempo de recuperación (RTO) cuando procede. d) Se han definido los objetivos de punto de recuperación (RPO) cuando procede. e) Se realizan pruebas periódicas de los RTO y los RPO. |
| 5) ¿Cuenta su organización con un plan específico para casos de interrupción del servicio del sistema? Si no es así, ¿está su organización elaborando uno?
Seleccione una sola respuesta. |
a) Sí, hemos desarrollado un plan de interrupción del servicio, como parte de nuestra planificación más amplia de resiliencia empresarial. b) No, no hemos desarrollado un plan de interrupción del servicio, pero estamos en proceso de crear uno. c) No, no hemos desarrollado un plan de interrupción del servicio y no estamos en proceso de crear uno. |
| 6) ¿El Plan de Gestión de Incidentes de su organización tiene en cuenta la respuesta ante posibles interrupciones no cibernéticas?
Seleccione todas las opciones que correspondan. |
a) Contamos con un Plan de Gestión de Incidentes formalmente documentado. b) Nuestro Plan de Gestión de Incidentes incluye la identificación, respuesta, escalamiento y recuperación de servicios tras un incidente. c) Nuestro Plan de Gestión de Incidentes incluye métodos para abordar posibles eventos no cibernéticos. d) Nuestro Plan de Gestión de Incidentes proporciona orientación al personal sobre cómo identificar y notificar posibles interrupciones del servicio. |
| 7) ¿En qué nivel de su organización se toman las decisiones relativas a la planificación de la continuidad y las interrupciones del servicio?
Seleccione todas las opciones que correspondan. |
a) Las decisiones relativas a la planificación de la continuidad se gestionan a nivel directivo. b) Las decisiones relativas a la planificación de la continuidad son gestionadas por una persona responsable de la continuidad del negocio. c) Las decisiones se toman únicamente a nivel local (por ejemplo, específico de cada centro). d) Las decisiones son tomadas por funciones individuales. e) La responsabilidad de las decisiones relativas a la planificación de la continuidad no ha sido asignada dentro de la organización. |
| 8) En caso de interrupción del servicio, ¿se ajustarán los acuerdos de nivel de servicio (SLA) con los clientes en función del impacto de la interrupción?
Seleccione todas las opciones que correspondan. |
a) Ajustaremos nuestros SLA para todos los servicios críticos y no críticos que se hayan visto afectados, basándonos en nuestro análisis del impacto en el negocio. b) Ajustaremos nuestros SLA solo para los servicios críticos que se hayan visto afectados, basándonos en nuestro análisis del impacto en el negocio. c) Ajustaremos nuestros SLA para cualquier servicio crítico o no crítico que se haya visto afectado, basándonos en nuestro análisis del impacto en el negocio. d) Hemos revisado los SLA con los clientes y no habrá ninguna degradación del servicio según nuestro análisis del impacto en el negocio. |
| 9) ¿Cuál es el plazo de su organización para proporcionar información precisa y actualizada a los clientes si los servicios se ven afectados?
Seleccione todas las opciones que correspondan. |
a) Proporcionamos una comunicación inicial a nuestros clientes tras la activación de nuestro plan de interrupción del servicio. b) Proporcionamos comunicaciones periódicas mientras los servicios sigan viéndose afectados. c) Proporcionamos comunicaciones continuas a nuestros clientes cuando los cambios afectan a nuestra capacidad para proporcionar productos y servicios. |
| 10) ¿Cuál de los siguientes procesos tiene implementado su organización para las comunicaciones públicas?
Seleccione todas las opciones que correspondan. |
a) Se publica una declaración pública. b) Se proporcionan actualizaciones periódicas a los clientes y posibles clientes. c) Se determinan los requisitos de comunicación pública y se llevan a cabo de acuerdo con un proceso de clasificación formal. d) Supervisamos las comunicaciones públicas de terceros y de la cadena de suministro. |
Próximos pasos
Una interrupción en el servicio de un proveedor crítico o deuna cuarta parte puede tener un efecto dominó en la capacidad de su propia organización para entregar productos y servicios, poniendo en riesgo los ingresos, la satisfacción del cliente y mucho más. Comience a evaluar los procesos de sus terceros críticos para responder a las crisis con nuestros recursos gratuitos de resiliencia empresarial o póngase en contacto con nosotros para una sesión estratégica.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
