Como probar y no morir en el intento

En 2009 buscar en la red algo sobre continuidad de negocio y como mantenerla te arrojaba resultados del tipo; elabora un plan de acuerdo al BS 25999 de BSI (British Standards) te pedían contar con certificaciones como BS 25999, garantizando que con esto tu empresa estaría en un correcto camino de la recuperación de operaciones y continuidad de negocio, no estaba mal seguir este camino.

Hoy 10 años después en pleno 2019, no se ha resuelto el problema únicamente al generar documentos como el BIA, BCP, DRP o estrategias plasmadas en formatos muy técnicos, las empresas siguen cerrando debido a no alcanzar los tiempos de Recuperación objetivo (RTO) y no tener claramente definidos los puntos de recuperación objetivo (RPO) y  si bien la continuidad de negocio se sigue basando en Normas y Mejores Prácticas (ISO 22301:2012), No hay nada que te garantice la recuperación como probar y probar y seguir probando

Una forma fácil de iniciar con las pruebas es elaborar un Calendario que contenga al menos una prueba integral de Resiliencia y las pruebas típicas que solicita (no explícitamente) Banco de México, más las pruebas que realizas sobre los aplicativos que el negocio actualiza, Si lo que quieres probar es un DRP asegúrate de validar todas las capas de la infraestructura que componen tus TI.

No tengas miedo a probar, una práctica sencilla es probar el simulacro en papel realizando una prueba de lectura del Plan y de las estrategias, esta práctica te ayudará a identificar deficiencias en el BIA y el AR, y dará evidencia de los skills con que cuenta tu equipo de colaboradores críticos para responder ante una contingencia.

Otra prueba es detonar la estructura de comunicación, ejercicio que te ayudara a entrenar a los usuarios sobre cómo atender un llamado de emergencia, puedes disponer de herramientas masivas o hacerlo de forma tradicional bajo un CALL TREE, de cualquier forma, asegúrate de tener más de una vía de envío y recepción de mensajes y que la comunicación sea bilateral, pues la comunicación unilateral es cosa del pasado aunado a que no sirve de mucho estar a ciegas sobre si el mensaje se recibió o fue claro.

Una prueba un poco más exigente ya que requiere cierta madurez por parte de la organización es una prueba de componente, entiéndase por componente cualquier sistema de tu infraestructura de TIC y/o personal de negocio que requiera probar procesos de Continuidad de Negocio, este tipo de pruebas garantizan de poco en poco que no pondrás en riesgo tu operación de negocio, debes proponer alcances cortos y realistas sobre lo que esperas obtener de cada sprint de pruebas, estas son las pruebas más recomendables para probar un DRP, pues permiten tener un ambiente controlado sin poner en riesgo tu operación de negocio, debido a que pueden ser pruebas realizadas en paralelo a la operación o pueden ser realizadas cuando la operación está en un volumen bajo, recomendablemente.

La prueba más exigente es la de resiliencia, se desarrolla típicamente bajo un escenario, (Anexo 67 CUB) o bajo un nivel de afectación que incluya más de un escenario, de cualquier forma, se debe ser muy claro al marcar la hipótesis ya que de esto dependerá la estrategia que se probara.

Para desarrollar esta prueba las organizaciones deben contar con:

  • Un sitio principal y alterno de trabajo, con características de riesgo que permitan continuar una operación adecuada, sea cual sea tu estrategia consulta la siguiente página http://www.atlasnacionalderiesgos.gob.mx/ , puedes tener cualquier tipo de posición alterna, la regla es, no están en la misma zona de riesgos que tus instalaciones principales, y que con los recursos que dispongas puedas alcanzar los RTO´s que marcan tus procesos críticos.

 

  • Un Data Center principal y alterno, la regla con el Data Center es que el sitio alterno cuente con las mismas capacidades de operación con las que cuentas en tu Data Center Principal, que te permita acceder a tu información en el momento en que dispongas, en una situación de crisis no tendrás la paciencia de esperar por un SLA de entrega elevado, requieres una conexión lo más inmediata posible, en función a los detalles técnicos, este data center al igual que tus posiciones también debe estar en un sitio donde no se replique la misma afectación que tendrías en las instalaciones principales.

Hay otros detalles al igual importantes como el resguardo de tu información ya sea en nube o físicamente, cualquiera que sea tu opción asegúrate de que sean nubes privadas y/o lugares certificados y dedicados al resguardo de información, esto te dará garantía de cumplimiento con tus reguladores o si tu operación tiene componentes en el extranjero, de no violar ningún tipo de norma de seguridad y/o resguardo y confidencialidad de datos.

Como última recomendación, no hagas nada que ponga en riesgo tu operación de negocio, esta es la principal primicia ante una prueba, y de poco a poco anímate a probar, no hay mejor garantía de la efectividad de un plan, siempre es mejor saber que puedo y que no puedo hacer que vivir engañado con que solo un documento bien redactado me recuperara en un momento de Contingencia.

1507total visits,8visits today

About the Author

Yuridia Medina Dávila

yuridia

Maestra en Ciencias PDS, egresada de Benemérita Universidad Autónoma de Puebla. Certificado como Líder Implementador ISO 22301, Certificado Gestión de Crisis con BS 11200:2014, Certificado ISO 31000 y su integración con otros estándares, CONOCIMIENTOS EN: • ISO 27031, • ISO 14000, • ISO 18000, • ISO 26000, • ISO 16949, • Guía para Implementar Buenas Practicas Globales en la Continuidad de Negocio, • Manejo de crisis (ICS).

Leave a Comment