La importancia del plan de continuidad de negocio ante eventos de origen desconocido
Continuidad de negocio
El plan de continuidad de negocio es un documento que se mantiene vivo, de forma regular se encuentra constituido, testeado y comprendido de manera transversal en cuanto a las necesidades de una organización. Se pueden establecer una serie de pasos clave para construir un plan de continuidad de negocio.
Definir los elementos que se deben proteger
Es lo primero que se deberá plantear a la hora de definir un plan de continuidad de negocio, de tal forma que se identifique lo que si nos falta la empresa no pueda funcionar.
Revisar los niveles de protección
Es necesario establecer a qué nivel de servicio mínimo es necesario llegar cuando un elemento protegido cae, con el fin de mantener la continuidad de negocio.
Si el elemento que se debe proteger queda inoperativo por un apagón como por ejemplo, el que se generó en Argentina y Uruguay hace unas semanas, sería necesario que se buscara un emplazamiento alternativo. Por lo que, en este caso, sería necesario definir un Punto de Recuperación Objetivo (RTO), es decir, qué cantidad de pérdida de datos durante un desastre la compañía considera tolerable, y el Tiempo de Recuperación Objetivo (RTO), siendo el máximo tiempo en el que se puede mantener el negocio inoperativo.
Identificar todos los requisitos de protección
Cuando se establece que es lo que debe ser protegido y con qué alcance, hay que definir de forma exacta qué es necesario para conseguir estos niveles de protección, y la implicación tienen en ello los trabajadores, sedes y sistemas relacionados.
Si seguimos con el ejemplo del apagón de hace unas semanas, puede que resulte necesario contar con una segunda oficina, en la que se debería tener en cuenta la distancia la que se encuentra, si se tendría que desplazar todo el equipo y quien será quien tenga acceso a ella.
Momento de fallo y acciones
Para poder establecer los requisitos de protección, es necesario que se defina lo que significa fallo en cada elemento protegido.
Cualquier fallo se debe contemplar en un escenario de fallo, en el que se encuentran asociadas una serie de acciones.
Roles y responsabilidades
A la hora de realizar la planificación de las acciones para cada escenario de fallo, es necesario que se especifiquen los pasos a seguir, los roles y las responsabilidades que tendrá cada persona dentro de la organización a la hora de llevar a cabo los pasos establecidos.
Por ejemplo, en el caso del apagón, los roles podrían ser los siguientes:
- Responsable de instalaciones, deberá informar al responsable de la segunda oficina de que se procede a activar el plan de continuidad de negocio.
- Equipo TI: deberá transportar y configurar los equipos y sistemas en la segunda ubicación para que el staff pueda trabajar.
- Recursos humanos: deberá coordinar las comunicaciones internas para asegurar que todos los empleados se han enterado de lo ocurrido y puedan regresar al trabajo lo más rápido posible.
Rollback
Una vez que se ha producido el fallo, los objetivos principales persiguen devolver al negocio a la normalidad. Sin embargo, la necesidad de volver tan rápido como sea posible a un nivel mínimo de operación es algo más crítico para las empresas.
Para llevarlo a cabo es necesario establecer un sistema de rollback que facilite el regreso a un punto funcional y recuperar desde ahí la operatividad mínima. Este planteamiento resulta más eficiente, en cuanto a costes, que mantener una réplica completa del modelo operativo principal preparado para ponerse en marcha en caso de fallo, aunque esta última es, evidentemente, la opción que más garantías presenta.
Testing
Es uno de los elementos más críticos de cualquier plan de continuidad de negocio. Es el momento en el que se debe demostrar que el plan se comprende fácilmente, es fiable y efectivo. Como algo normal, el plan de continuidad de negocio se prueba de forma bianual, aunque se recomienda llevar a cabo tests en cada elemento protegido como mínimo una vez al año.
El concepto de activo va un paso más allá en el plan de continuidad de negocio, se trata de utilizar de forma recurrente los requisitos de protección en paralelo a los elementos protegidos, cada parte a la mitad de capacidad. En el caso que estamos analizando del apagón en Argentina, Chile y Uruguay es muy necesario que se realicen pruebas sobre cómo puede actuar el sistema al producirse un apagón, además las personas deben saber cómo deben realizar ante una situación así.
Software para ISO 22301
La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento del SGCN según ISO 22301.
Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar), ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su actividad.
ISOTools garantiza la continuidad de negocio, ya que identifica y gestiona fácilmente los riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos, de este modo la organización está preparada para actuar en caso de que se sucedan.
Este software permite la integración del estándar ISO 22301 con otras normas, tales como ISO 9001, ISO 14001 y OHSAS 18001, de forma sencilla gracias a su estructura modular.