La familia de controles op.cont del ENS establece la obligación de disponer de un plan de continuidad del servicio que garantice que la organización puede seguir operando tras un incidente grave. No es un documento que se redacta y se archiva: es un plan vivo que debe probarse, actualizarse y ser conocido por todo el personal relevante. Los auditores ENS dedican especial atención a este control porque un plan de continuidad que solo existe sobre el papel no protege a nadie.
Para el contexto general del ENS, consulta mia guía definitiva del Esquema Nacional de Seguridad.
¿Cuáles son los requisitos de ENS en continuidad del servicio?
Los controles de continuidad del servicio del ENS (op.cont) incluyen cuatro subcontroles. El análisis de impacto (op.cont.1) exige identificar los servicios críticos y determinar los tiempos máximos de interrupción tolerables. El plan de continuidad (op.cont.2) requiere un plan documentado que establece las acciones a realizar ante un incidente que afecte a la continuidad. Las pruebas periódicas (op.cont.3) exigen verificar regularmente que el plan funciona. Y los medios alternativos (op.cont.4) requiere disponer de recursos alternativos para los elementos críticos.
La exigencia varía por categoría. En categoría BÁSICA, se requiere un análisis de impacto básico y un plan simplificado. En categoría MEDIA, el plan debe ser completo, documentado y probado al menos anualmente. En categoría ALTA, se exigen pruebas más frecuentes, medios alternativos operativos y tiempos de recuperación definidos y verificados.
El análisis de impacto en el negocio (BIA)
El BIA es el punto de partida de todo plan de continuidad. Su objetivo es determinar qué servicios son críticos para la organización, cuál es el tiempo máximo de interrupción tolerable para cada servicio (RTO, Recovery Time Objective), cuántos datos puede permitirse perder la organización (RPO, Recovery Point Objective), y cuáles son los recursos mínimos necesarios para mantener los servicios críticos en funcionamiento.
Para realizarlo, identifica todos los servicios que presta tu organización, valore el impacto de la interrupción de cada servicio a lo largo del tiempo (a las 4 horas, a las 24 horas, a las 48 horas, a la semana), determine el RTO y el RPO de cada servicio, e identifica las dependencias entre servicios, aplicaciones, infraestructura y personal.
Diseño del plan de continuidad
El plan de continuidad debe cubrir varios escenarios de interrupción. Los principales son la pérdida del centro de proceso de datos (incendio, inundación, fallo eléctrico prolongado), los ciberataques que inutilicen los sistemas (ransomware, DDoS), la pérdida de conectividad a internet o entre sedes, la indisponibilidad del personal clave (pandemia, huelga) y el fallo de un proveedor crítico.
Para cada escenario, el plan debe definir quién activa el plan y bajo qué criterios, qué acciones se ejecutan y en qué orden, quién es responsable de cada acción, qué recursos se necesitan (instalaciones alternativas, sistemas de backup, personal de guardia), cómo se comunica la situación interna y externamente, y cuáles son los criterios para considerar resuelta la crisis.
El plan de recuperación ante desastres tecnológicos (DRP)
El DRP es un componente específico del plan de continuidad centrado en la recuperación de los sistemas de información. Debe detallar los procedimientos de restauración de backups (verificando que los tiempos reales de restauración cumplen los RTO definidos), los procedimientos de activación de sistemas alternativos, la prioridad de recuperación de sistemas y servicios, los contactos de emergencia de proveedores tecnológicos, y los procedimientos de verificación post-recuperación.
Un error muy frecuente es tener un sistema de backup operativo pero no haber verificado nunca que la restauración funciona y que se completa dentro del RTO establecido. Los auditores ENS preguntan específicamente por los registros de pruebas de restauración.
Programa de pruebas y simulacros
El ENS exige pruebas periódicas del plan de continuidad. Las pruebas pueden ser de varios tipos y niveles de complejidad.
Las pruebas de revisión documental verifican que el plan está actualizado y es coherente. Las pruebas de simulación en mesa (tabletop exercises) reúnen a los responsables para recorrer un escenario hipotético y verificar que saben qué hacer. Las pruebas técnicas parciales verifican componentes específicos del plan (restauración de backup, activación de VPN alternativa). Y los simulacros completos son ejercicios a escala real que prueban el plan de extremo a extremo.
Como mínimo, la recomendación es realizar un tabletop exercise semestral y una prueba técnica de restauración anual. Para categoría ALTA, se recomienda además un simulacro completo anual.
Cada prueba debe documentarse con el escenario planteado, los participantes, las acciones ejecutadas, los resultados obtenidos, las desviaciones respecto al plan, y las acciones de mejora derivadas.
Gestión de la comunicación durante una crisis
Un aspecto frecuentemente olvidado es la comunicación durante la crisis. El plan debe incluir un protocolo de comunicación interna (cómo se informa al personal de la situación y las instrucciones a seguir), un protocolo de comunicación con los usuarios de los servicios afectados, un protocolo de notificación a las autoridades competentes (CCN-CERT para incidentes de ciberseguridad, AEPD si hay brechas de datos personales), y un protocolo de comunicación con proveedores implicados en la recuperación.
Integración con ISO 22301
Si tu organización necesita un marco más completo de continuidad de negocio, la norma ISO 22301 proporciona un sistema de gestión de continuidad de negocio (SGCN) certificable que se integra perfectamente con el ENS. La implantación conjunta de los controles op.cont del ENS con los requisitos de ISO 22301 proporciona una cobertura completa de la continuidad. Relacionado: Auditoría ENS: Preparación y Claves para Superarla.
Consulta mio artículo sobre gestión de riesgos con ISO 31000, que proporciona el marco para evaluar los riesgos de continuidad.
[[CTA-CONTACT]] ¿Necesita diseñar o revisar tu plan de continuidad para cumplir con el ENS? Hablamos. Te ayudo a crear un plan práctico, realista y que supere la auditoría.
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs. Relacionado: Análisis de Riesgos MAGERIT para ENS: Guía Práctica.
¿Necesitas ayuda con esto?
Trabaja conmigo en Adecuación al ENS
Consultoría a medida en adecuación al ENS. Primera sesión sin coste.
Agendar sesión →