Ha pasado un aรฑo desde que la pandemia del COVID-19 afectรณ a nuestro paรญs y el mundo, un acontecimiento que sin duda quedarรก marcado en la historia de la humanidad. A muchas personas nos tomรณ por sorpresa, nunca imaginamos que la emergencia sanitaria durarรญa tanto tiempo, tiempo que para muchas organizaciones se reduce en pรฉrdidas econรณmicas; sin embargo, de ahรญ la importancia de contar con un plan de contingencia.
El PC se refiere a los procedimientos alternativos de una empresa, su objetivo es permitir el normal funcionamiento de esta aun cuando alguna de sus funciones se vea afectada por un accidente ya sea interno o externo; y ya que hasta el momento no podemos avisarle a nuestro yo del futuro sobre el peligro que estรก ocurriendo, es mejor prevenir que lamentar ยฟno es cierto?
Para su elaboraciรณn se recomiendan cuatro etapas:
- Evaluaciรณn.
- Planificaciรณn.
- Pruebas de viabilidad.
- Ejecuciรณn.
Las tres primeras hacen referencia al componente preventivo y la รบltima a la ejecuciรณn del plan una vez ocurrido el siniestro.
La planificaciรณn aumenta la capacidad de organizaciรณn en caso de siniestro sirviendo como punto de partida para las respuestas en caso de emergencia. Los responsables de realizar esta tarea deben evaluar constantemente los planes creados, del mismo modo deberรกn pensar en otras situaciones que se pudieran producir.
Tambiรฉn se deberรกn valorar los diferentes escenarios, esta actividad es la mรกs intuitiva y sin embargo una de las mรกs importantes ya que sienta las bases de toda la planificaciรณn posterior. Para establecer escenarios es necesario formular distintas hipรณtesis, aunque estas se basen en todos los conocimientos disponibles, nunca se debe eliminar el elemento de
imprevisibilidad.
Este documento debe estar en constante cambio, es decir actualizรกndose, corrigiรฉndose y mejorรกndose pues si se queda estรกtico rรกpidamente se vuelve obsoleto y alimenta una falsa sensaciรณn de seguridad.
Los riesgos son inevitables, pero siempre es importante estar preparado, ante cualquier peligro y con el fin de mitigarlo a tiempo y evitar que se produzcan alarmantes pรฉrdidas las empresas tienen por obligaciรณn reaccionar de manera inmediata y efectiva, para esto se diseรฑa un plan de continuidad de negocio, con el objetivo de regular las estrategias que se van a llevar a cabo en caso de que se desarrolle un incidente.
Mucha gente piensa que un plan de recuperaciรณn de desastres (DRP) es lo mismo que un (BCP) pero un DRP se centra en restaurar una infraestructura y operaciones de TI despuรฉs de una crisis, mientras que el BCP analiza la continuidad de toda la organizaciรณn.
Para poder desarrollar un plan en seis pasos generales es importante evaluar los procesos comerciales, determinar quรฉ รกreas son vulnerables y las pรฉrdidas potenciales si esos procesos fallan por un dรญa, o incluso semanas. Esos pasos son:
1.- Identificar el alcance del plan.
2.- Identificar รกreas comerciales clave.
3.- Identificar funciones crรญticas.
4.- Identificar dependencias entre diversas รกreas y funciones comerciales.
5.- Determinar el tiempo de inactividad aceptable para cada funciรณn crรญtica.
6.- Crear un plan para mantener las operaciones.
Una herramienta comรบn de un BCP es una lista de verificaciรณn que incluye suministros y equipos, la ubicaciรณn de las copias de seguridad de datos y los sitios de copia de seguridad donde estรก disponible el plan y quiรฉn deberรญa tenerlo, informaciรณn de contacto para los servicios de emergencia, etc.
LA IMPORTANCIA DE PROBAR SU BCP
Probar un plan es la รบnica forma de saber si realmente funcionarรก dice O’Donnell en el artรญculo “How to create an effective business continuity plan.” Obviamente, un incidente real es una prueba real y la mejor manera de entender si algo funciona. Sin embargo, una estrategia de prueba controlada es mucho mรกs cรณmoda y brinda la oportunidad de identificar brechas y mejorar”.
Se debe probar rigurosamente para saber si estรก completo y cumplirรก con el propรณsito previsto, O’Donnell sugiere que intente romperlo. “No opte por un escenario fรกcil; hรกgalo siempre creรญble pero desafiante”.
Muchas organizaciones prueban su plan de dos a cuatro veces al aรฑo. El cronograma depende de su tipo de organizaciรณn, los cambios de TI que se han producido desde la รบltima ronda de pruebas, entre otros.
Las pruebas comunes incluyen: ejercicios de mesa, generalmente ocurre en una sala de conferencias con el equipo estudiando detenidamente el plan; recorridos estructurados en donde cada miembro del equipo recorre en detalle los componentes del plan para identificar las debilidades (se pueden hacer juegos de roles sobre desastres) y las simulaciones, se plantea el simulacro de evacuaciรณn de emergencia completo, es decir en donde se incluya todo el equipo, suministros y personal (tambiรฉn socios comerciales y proveedores que se necesitarรญan).
Durante cada fase de prueba se recomienda incluir algunos empleados nuevos en el equipo, los “ojos frescos” pueden detectar lagunas o lapsos de informaciรณn que los miembros experimentados podrรญan pasar por alto.
La tecnologรญa evoluciona constantemente por lo tanto el plan debe actualizarse, si ha tenido la desgracia de enfrentar un desastre y tuvo que poner en acciรณn el plan, es conveniente incorporar las lecciones aprendidas. La gestiรณn tambiรฉn es la clave para promover la conciencia de los usuarios, si los empleados no conocen el plan, ยฟCรณmo podrรกn reaccionar adecuadamente cuando cada minuto cuenta? por ello es importante la distribuciรณn del plan y la capacitaciรณn.
Consiguiendo reducir los impactos ante una interrupciรณn inesperada que afecte a la organizaciรณn y ayudando a detectar las posibles contingencias que puedan parar la actividad de la empresa. “La gestiรณn de la continuidad de negocio busca sostener en niveles previamente definidos y aceptados, los productos y servicios crรญticos del negocio a travรฉs de la estructuraciรณn de procedimientos, tecnologรญa e informaciรณn, los cuales son desarrollados, compilados y mantenidos en preparaciรณn para su uso durante y despuรฉs de una interrupciรณn o desastre, con el fin de proteger los intereses, la reputaciรณn, las finanzas, los activos crรญticos y otros aspectos generadores de valor”. Asรญ lo da a entender Rodrigo Ferrer, en su documento “Metodologรญa para la Gestiรณn de la Continuidad del Negocio”, publicado en 2015.
Otro elemento utilizado para estimar la afectaciรณn que podrรญa padecer una organizaciรณn como resultado de la ocurrencia de algรบn desastre o incidente es el BIA (Business Impact Analysis).
A diferencia de una evaluaciรณn de riesgos, el BIA es un proceso mรกs especializado en la identificaciรณn de los tipos de impacto, orientado en conocer quรฉ podrรญa verse afectado y las consecuencias sobre los procesos de negocio. Puede ser considerado como una fase a ejecutar durante el desarrollo de un Plan de Recuperaciรณn ante Desastres (DRP), y por lo tanto de un Plan de Continuidad del Negocio (BCP), debido a que permite a las organizaciones estimar la magnitud del impacto operacional y financiero asociado a una interrupciรณn.
Una vez identificadas las amenazas, lo mรกs importante del anรกlisis de riesgos es la identificaciรณn de controles ya sea para mitigar la posibilidad de ocurrencia de la amenaza o para mitigar su impacto. Las medidas de control que puede asumir una empresa van a estar relacionadas con el tipo de amenaza y el nivel de exposiciรณn que represente para la informaciรณn corporativa.
Una empresa puede afrontar un riesgo de cuatro formas diferentes: aceptarlo, transferirlo, mitigarlo o evitarlo. Si un riesgo no es lo suficientemente crรญtico para la empresa la medida de control puede ser Aceptarlo, es decir, ser consciente de que el riesgo existe y hacer un monitoreo sobre el. Si el riesgo representa una amenaza importante para la seguridad de la informaciรณn se puede tomar la decisiรณn de Transferir o Mitigar el riesgo.
La primera opciรณn estรก relacionada con tomar algรบn tipo de seguro que reduzca el monto de una eventual pรฉrdida, y la segunda tiene que ver con la implementaciรณn de medidas preventivas o correctivas para reducir la posibilidad de ocurrencia o el impacto del riesgo. Finalmente, si el nivel de riesgo es demasiado alto para que la empresa lo asuma, puede optar por Evitar el riesgo, eliminando los activos de informaciรณn o la actividad asociada.
La gestiรณn de riesgos debe garantizarle a la empresa la tranquilidad de tener identificados sus riesgos y los controles que le van a permitir actuar ante una eventual materializaciรณn o simplemente evitar que se presenten. Esta gestiรณn debe mantener el equilibrio entre el costo que tiene una actividad de control, la importancia del activo de informaciรณn para los procesos de la empresa y el nivel de criticidad del riesgo.
Un factor clave y fundamental para una empresa es el plan de comunicaciรณn de crisis es decir la acciรณn que se debe tomar en cuanto a cรณmo se van a comunicar entre sรญ en caso de que ocurra una emergencia, este debe situarse casi al mismo nivel que el plan de recuperaciรณn de desastres ya que las consecuencias en el tiempo de una crisis pueden ser mucho mรกs difรญciles de recuperar.
Algunos puntos esenciales en la comunicaciรณn de una crisis son:
- Reacciรณn temprana: las reacciones tardรญas y a destiempo en la comunicaciรณn de crisis revelan falta de control, asรญ como inseguridad, tanto interna como externa.
- Liderazgo y responsabilidad: un problema grave que afecta a los clientes o empleados no puede ser anunciado de forma impersonal o en un comunicado, sino que debe ser el mรกximo responsable de la empresa o el CEO, quiรฉn asuma responsabilidad y el liderazgo en la soluciรณn de la crisis de forma que se transmita desde el primer momento el compromiso de toda la empresa y desde el mรกs alto nivel en la soluciรณn de la crisis.
Anticiparnos al problema es tomar ventaja, de esta manera se pueden optimizar las acciones ante la crisis y ganar un tiempo extra, con una prevenciรณn se pueden plantear los posibles escenarios y en funciรณn de ellos planificar un circuito de acciones. Esto permitirรก ayudar a imaginar alternativas frente a futuras contingencias, resulta mucho mรกs eficaz y econรณmico invertir durante la etapa de prevenciรณn que hacerlo cuando ya no queda otra salida.
Una buena manera de recuperar un sistema en caso de interrupciรณn es contar con una estrategia de recuperaciรณn, esta provee orientaciรณn basada en quรฉ procedimientos se pueden desarrollar. Una estrategia apropiada es la que tiene un costo para un tiempo aceptable de recuperaciรณn que tambiรฉn es razonable con el impacto y la probabilidad de ocurrencia.
Una selecciรณn de una estrategia depende de la criticidad del proceso del negocio y las aplicaciones que soporta, el costo, tiempo requerido para recuperarse y la seguridad. Eliminar la amenaza completamente, minimizar la probabilidad y el efecto de la ocurrencia son algunas de las acciones mรกs efectivas que se pueden obtener.
En general, cada plataforma TI que cuente con una aplicaciรณn que soporte una funciรณn crรญtica del negocio necesitarรก una estrategia de recuperaciรณn, no podemos arriesgarnos a perder una parte fundamental de la empresa en un momento tan importante, al contrario, prepararnos y anticiparnos es decisivo para enfrentar cualquier tipo de desastre.
