Política de continuidad del negocio y recuperación ante desastres

La Política de continuidad del negocio y recuperación ante desastres establece los controles, procesos y responsabilidades obligatorios para sostener o recuperar las operaciones críticas del negocio y los servicios de TIC de la organización durante y después de incidentes disruptivos. Proporciona un marco estructurado para proteger la vida, garantizar la estabilidad operativa, mantener los compromisos legales y con clientes, y salvaguardar la reputación de la organización mediante la incorporación de resiliencia a través de planificación proactiva y capacidades de recuperación validadas. Esta política se aplica a todas las unidades organizativas, sistemas de información, procesos empresariales, personal y servicios de terceros considerados críticos o esenciales en función de los resultados de un análisis de impacto en el negocio (BIA). El alcance es integral y cubre interrupciones naturales y provocadas por el ser humano, como ciberataques, fallos de infraestructura, caídas de centros de datos, pandemias e interrupciones de servicios de proveedores. Establece las expectativas fundamentales para la planificación, las pruebas continuas y la mejora continua de los planes de continuidad del negocio (BCP) y los planes de recuperación ante desastres (DRP), garantizando que se cumplan las obligaciones hacia normas reglamentarias, contractuales y del sector. Los objetivos clave de la política incluyen garantizar la continuidad de la operación del negocio mediante procedimientos predefinidos y probados, minimizar los posibles impactos operativos, reputacionales y legales, y asegurar una recuperación oportuna dentro de los objetivos definidos de tiempo y punto de recuperación (RTO y RPO). Asigna una rendición de cuentas clara en toda la empresa: la alta dirección, los responsables de continuidad del negocio y de recuperación ante desastres de TI, los responsables de departamento, los responsables de seguridad de la información y el equipo de respuesta a crisis tienen roles definidos para estrategia, planificación, ejecución y comunicación. La política exige el establecimiento de un sistema de gestión de la continuidad del negocio (BCMS) unificado en línea con los requisitos de ISO 22301 e ISO/IEC 27001. Exige un BIA anual para todas las unidades críticas, el desarrollo y la aprobación de BCP/DRP, y el mantenimiento de documentación precisa, flujos de escalado y listas de contacto. Los planes deben incluir controles compensatorios manuales, activación de sitios alternativos, comunicación de crisis y estrategias de contingencia de la cadena de suministro. Las pruebas periódicas, incluidas evaluaciones anuales de resiliencia, ejercicios de mesa y conmutaciones por error simuladas, son obligatorias para revisar la eficacia, las dependencias y el perfil de preparación. La política también aborda la integración de la planificación de continuidad con la seguridad y la respuesta a incidentes, garantizando que no se comprometan los controles de seguridad de la información durante la recuperación. Se definen la gestión de excepciones, la evaluación de riesgos y los protocolos de escalado, mientras que la monitorización del cumplimiento y las medidas disciplinarias por incumplimiento garantizan la aplicación de la política. Esta política está estrictamente alineada con las principales normas globales y marcos regulatorios, respaldando la diligencia debida en resiliencia operativa y la auditabilidad para obligaciones legales o contractuales.