sistema de gestión de continuidad

Camino a la Implementación de un sistema de Gestión de Continuidad de Negocio

La contingencia sanitaria que se vive desde hace poco más de un año, ha puesto en aprietos a muchas organizaciones, algunas de ellas se han visto afectadas tanto en su operación como en la  productividad. En el contexto mundial las empresas que conocen la importancia de la resiliencia (capacidad de adaptarse a situaciones adversas), desarrollan departamentos de gestión de riesgos dedicados únicamente a identificar posibles amenazas. Esto con la finalidad de crear planes de contingencia y construir empresas flexibles con una sólida cultura organizacional que le permita adaptarse a momentos disruptivos.

Ante una interrupción o falla lo primordial es reanudar las operaciones productivas lo más rápido posible ¿no es cierto? Para ello está el Sistema de Gestión de la Continuidad del Negocio. Certificado bajo la norma ISO 22301 le permite reaccionar rápida y correctamente con planes de emergencia prácticos, conceptos de emergencia de TI y planes de recuperación, agrupa métodos, procedimientos y reglas interrelacionados para salvaguardar la continuación de los procesos críticos.

El SGCN se ha convertido en una exigencia para las organizaciones que compiten el día de hoy en los mercados globalizado pues no sólo compitan entre sí: la competencia es entre cadenas de suministros. Una cadena de suministros, para mantenerse operando, no puede tener ningún eslabón débil; ninguno de sus componentes puede dejar de operar ya que si un elemento dejara de funcionar se paraliza toda la serie, generando el caos.

El modo más efectivo de abordar las repercusiones inmediatas de un acontecimiento es a través de un BCM (Business Continuity Management) ya que incluye elementos de planificación, valoración de riesgo, gestión de crisis y recuperación del negocio.

El Business Continuity Institute la define del modo siguiente: “BCM consiste en la actuación que permite anticipar incidentes que pueden afectar a las funciones y procesos claves para la organización y que asegura una respuesta a dichos incidentes de forma planeada y ensayada.

Para conseguir implementar un BCM deben seguirse los siguientes pasos.

Control y Evaluación del Riesgo.

  • Estudiar el flujo de producción e identificar los puntos críticos para la consecución de objetivos.
  • Examinar los controles actuales para minimizar dichos puntos críticos.

Análisis del Impacto en el Negocio

  • Identificar las amenazas al negocio.
  • Establecer escenarios de siniestros y evaluar su impacto en la organización.

Desarrollo de estrategias de continuidad

  • Estudiar el modo de reestablecer las operaciones dentro del margen de tiempo requerido.
  • Identificar los recursos, materiales e información necesarios para lograr el objetivo anterior.

Plan de Respuesta Inmediata

  • Define las medidas a adoptar en el minuto 1 de la emergencia (llamar a los servicios de emergencia, efectuar la recuperación y salvamento de bienes, etc.)

Plan de Gestión de Crisis

  • Llamadas en cascada a miembros estratégicos de la organización, comunicación eficaz con los medios de comunicación, aviso a clientes y proveedores.

Plan de Recuperación de Negocio

  • Se ocupa de todos los asuntos técnicos, materiales y humanos para asegurar que el negocio vuelve a la actividad normal lo antes posible.

Se recomienda hacer un chequeo regular de los planes, es decir mantenerlos actualizados, de esta forma se asegura la validez del documento.

La prevención es parte fundamental de una buena gestión de emergencias, se debe demostrar que se dispone de la capacidad necesaria para dar una respuesta eficaz ante un incidente perturbador que comprometa la continuidad de los servicios básicos.

Los elementos del gerenciamiento de emergencias son:

  1. Mitigación: Son las actividades que buscan reducir las pérdidas humanas, materiales, de desastres naturales o creados por el hombre, evitando o reduciendo su impacto, al crear comunidades más seguras. Buscan cortar el círculo vicioso de daño-reconstrucción y similar daño.
  2. Preparación: Son las acciones anteriores al evento para planificar, organizar, equipar y entrenar para las emergencias que no pudieran evitarse.
  3. Respuesta: Son las actividades inmediatas al evento, realizadas para salvar vidas humanas, atender sus necesidades básicas y sus propiedades. Es, asimismo implementar los Planes de Emergencia o “EOP” (Emergency Operations Plans), las investigaciones para determinar la causa y consecuencias del incidente.
  4. Recuperación: Son las acciones a corto y largo plazo, para llevar a la organización al nivel de operaciones anterior al incidente o a uno nuevo. Puede incluir Planes de Continuidad de Operaciones o del negocio, tareas de restauración, reconstrucción o recolocación a otras instalaciones.

Las decisiones que en las situaciones de crisis o emergencia, no se basen en una buena planificación previa, pueden afectar seriamente la continuidad empresarial, por esta razón  la planificación de emergencias marca la diferencia entre una empresa que puede recuperarse y la que lamentablemente no.

Entre los beneficios del plan de emergencia está establecer un equipo interno con tareas especiales, utilizando estrategias clave para funcionar antes, durante y después de la emergencia; establecer un método para gestionar los recursos disponibles y obtener otros adicionales.

No importa el tamaño de la empresa, todas están expuestas a sufrir incidentes de cualquier índole sin embargo los incidentes de seguridad informática son sucesos que ponen en riesgo los datos y la continuidad de negocio empresarial. Por eso, es necesario contar con un plan de recuperación ante desastres.

Este plan estratégico consiste en el proceso detallado de las acciones necesarias para recuperar datos, hardware y software crítico de una empresa. Debe responder a tres tipos de incidentes que vulneran las operaciones de una empresa: ciberataques, errores humanos o desastres naturales.

Si una organización sufre un incidente informático y se vulnera su acceso a los datos, esto puede provocar un impacto a nivel comercial. El tiempo de inactividad y la pérdida de datos impactan no solo en los ingresos, sino también en la reputación de la marca. Tanto clientes como empleados esperan que una empresa, pequeña o grande, cuente con medidas de ciberseguridad adecuadas.

Contar con una apropiada estrategia de recuperación ante desastres debe ser vista como una inversión. Los datos y la infraestructura IT son activos muy importantes para cualquier organización, por ello se debe tener un protocolo que les permita estar bien preparadas para afrontar y dar una solución rápida a cualquier tipo de interrupción.

Las ventajas de contar con un plan de recuperación son:

-Mantener la continuidad de los servicios relacionados con la TIC del negocio.

-Proteger al negocio de fallas generales en los servicios informáticos

-Minimizar los riesgos generados por la falta de servicios.

-Garantizar el acceso de la información empresarial, mantener la disponibilidad de los recursos informáticos.

-Minimizar la toma de decisiones erróneas al presentarse algún desastre.

Dejar un comentario

Tu dirección de correo electrónico no será publicada.