Planes de contingencia, una estrategia para asegurar la disponibilidad

Han pasado 8 meses desde que la pandemia del COVID-19 afectó a nuestro país y el mundo, un acontecimiento que sin duda quedará marcado en la historia de la humanidad. A muchas personas nos tomó por sorpresa, nunca imaginamos que la emergencia sanitaria duraría tanto tiempo, tiempo que para muchas organizaciones se reduce en pérdidas económicas; sin embargo, de ahí la importancia de contar con un plan de contingencia.

El PC se refiere a los procedimientos alternativos de una empresa, su objetivo es permitir el normal funcionamiento de esta aun cuando alguna de sus funciones se vea afectada por un accidente ya sea interno o externo; y ya que hasta el momento no podemos avisarle a nuestro yo del futuro sobre el peligro que está ocurriendo, es mejor prevenir que lamentar ¿no es cierto?

Para su elaboración se recomiendan cuatro etapas:

  1. Evaluación.
  2. Planificación.
  3. Pruebas de viabilidad.
  4. Ejecución.

Las tres primeras hacen referencia al componente preventivo y la última a la ejecución del plan una vez ocurrido el siniestro.

La planificación aumenta la capacidad de organización en caso de siniestro sirviendo como punto de partida para las respuestas en caso de emergencia. Los responsables de realizar esta tarea deben evaluar constantemente los planes creados, del mismo modo deberán pensar en otras situaciones que se pudieran producir.

También se deberán valorar los diferentes escenarios, esta actividad es la más intuitiva y sin embargo una de las más importantes ya que sienta las bases de toda la planificación posterior. Para establecer escenarios es necesario formular distintas hipótesis, aunque estas se basen en todos los conocimientos disponibles, nunca se debe eliminar el elemento de

imprevisibilidad.

Este documento debe estar en constante cambio, es decir actualizándose, corrigiéndose y mejorándose pues si se queda estático rápidamente se vuelve obsoleto y alimenta una falsa sensación de seguridad.

Los riesgos son inevitables, pero siempre es importante estar preparado, ante cualquier peligro y con el fin de mitigarlo a tiempo y evitar que se produzcan alarmantes pérdidas las empresas tienen por obligación reaccionar de manera inmediata y efectiva, para esto se diseña un plan de continuidad de negocio, con el objetivo de regular las estrategias que se van a llevar a cabo en caso de que se desarrolle un incidente.

Mucha gente piensa que un plan de recuperación de desastres (DRP) es lo mismo que un (BCP) pero un DRP se centra en restaurar una infraestructura y operaciones de TI después de una crisis, mientras que el BCP analiza la continuidad de toda la organización.

Para poder desarrollar un plan en seis pasos generales es importante evaluar los procesos comerciales, determinar qué áreas son vulnerables y las pérdidas potenciales si esos procesos fallan por un día, o incluso semanas. Esos pasos son:

1.- Identificar el alcance del plan.

2.- Identificar áreas comerciales clave.

3.- Identificar funciones críticas.

4.- Identificar dependencias entre diversas áreas y funciones comerciales.

5.- Determinar el tiempo de inactividad aceptable para cada función crítica.

6.- Crear un plan para mantener las operaciones.

Una herramienta común de un BCP es una lista de verificación que incluye suministros y equipos, la ubicación de las copias de seguridad de datos y los sitios de copia de seguridad donde está disponible el plan y quién debería tenerlo, información de contacto para los servicios de emergencia, etc.

LA IMPORTANCIA DE PROBAR SU BCP

Probar un plan es la única forma de saber si realmente funcionará dice O’Donnell en el artículo “How to create an effective business continuity plan.” Obviamente, un incidente real es una prueba real y la mejor manera de entender si algo funciona. Sin embargo, una estrategia de prueba controlada es mucho más cómoda y brinda la oportunidad de identificar brechas y mejorar”.

Se debe probar rigurosamente para saber si está completo y cumplirá con el propósito previsto, O’Donnell sugiere que intente romperlo. “No opte por un escenario fácil; hágalo siempre creíble pero desafiante”.

Muchas organizaciones prueban su plan de dos a cuatro veces al año. El cronograma depende de su tipo de organización, los cambios de TI que se han producido desde la última ronda de pruebas, entre otros.

Las pruebas comunes incluyen: ejercicios de mesa, generalmente ocurre en una sala de conferencias con el equipo estudiando detenidamente el plan; recorridos estructurados en donde cada miembro del equipo recorre en detalle los componentes del plan para identificar las debilidades (se pueden hacer juegos de roles sobre desastres) y las simulaciones, se plantea el simulacro de evacuación de emergencia completo, es decir en donde se incluya todo el equipo, suministros y personal (también socios comerciales y proveedores que se necesitarían).

Durante cada fase de prueba se recomienda incluir algunos empleados nuevos en el equipo, los “ojos frescos” pueden detectar lagunas o lapsos de información que los miembros experimentados podrían pasar por alto.

La tecnología evoluciona constantemente por lo tanto el plan debe actualizarse, si ha tenido la desgracia de enfrentar un desastre y tuvo que poner en acción el plan, es conveniente incorporar las lecciones aprendidas. La gestión también es la clave para promover la conciencia de los usuarios, si los empleados no conocen el plan, ¿Cómo podrán reaccionar adecuadamente cuando cada minuto cuenta? por ello es importante la distribución del plan y la capacitación.

Consiguiendo reducir los impactos ante una interrupción inesperada que afecte a la organización y ayudando a detectar las posibles contingencias que puedan parar la actividad de la empresa. “La gestión de la continuidad de negocio busca sostener en niveles previamente definidos y aceptados, los productos y servicios críticos del negocio a través de la estructuración de procedimientos, tecnología e información, los cuales son desarrollados, compilados y mantenidos en preparación para su uso durante y después de una interrupción o desastre, con el fin de proteger los intereses, la reputación, las finanzas, los activos críticos y otros aspectos generadores de valor”. Así lo da a entender Rodrigo Ferrer, en su documento “Metodología para la Gestión de la Continuidad del Negocio”, publicado en 2015.

Otro elemento utilizado para estimar la afectación que podría padecer una organización como resultado de la ocurrencia de algún desastre o incidente es el BIA (Business Impact Analysis).

A diferencia de una evaluación de riesgos, el BIA es un proceso más especializado en la identificación de los tipos de impacto, orientado en conocer qué podría verse afectado y las consecuencias sobre los procesos de negocio. Puede ser considerado como una fase a ejecutar durante el desarrollo de un Plan de Recuperación ante Desastres (DRP), y por lo tanto de un Plan de Continuidad del Negocio (BCP), debido a que permite a las organizaciones estimar la magnitud del impacto operacional y financiero asociado a una interrupción.

Una vez identificadas las amenazas, lo más importante del análisis de riesgos es la identificación de controles ya sea para mitigar la posibilidad de ocurrencia de la amenaza o para mitigar su impacto. Las medidas de control que puede asumir una empresa van a estar relacionadas con el tipo de amenaza y el nivel de exposición que represente para la información corporativa.

Una empresa puede afrontar un riesgo de cuatro formas diferentes: aceptarlo, transferirlo, mitigarlo o evitarlo. Si un riesgo no es lo suficientemente crítico para la empresa la medida de control puede ser Aceptarlo, es decir, ser consciente de que el riesgo existe y hacer un monitoreo sobre el. Si el riesgo representa una amenaza importante para la seguridad de la información se puede tomar la decisión de Transferir o Mitigar el riesgo.

La primera opción está relacionada con tomar algún tipo de seguro que reduzca el monto de una eventual pérdida, y la segunda tiene que ver con la implementación de medidas preventivas o correctivas para reducir la posibilidad de ocurrencia o el impacto del riesgo. Finalmente, si el nivel de riesgo es demasiado alto para que la empresa lo asuma, puede optar por Evitar el riesgo, eliminando los activos de información o la actividad asociada.

La gestión de riesgos debe garantizarle a la empresa la tranquilidad de tener identificados sus riesgos y los controles que le van a permitir actuar ante una eventual materialización o simplemente evitar que se presenten. Esta gestión debe mantener el equilibrio entre el costo que tiene una actividad de control, la importancia del activo de información para los procesos de la empresa y el nivel de criticidad del riesgo.

Un factor clave y fundamental para una empresa es el plan de comunicación de crisis es decir la acción que se debe tomar en cuanto a cómo se van a comunicar entre sí en caso de que ocurra una emergencia, este debe situarse casi al mismo nivel que el plan de recuperación de desastres ya que las consecuencias en el tiempo de una crisis pueden ser mucho más difíciles de recuperar.

Algunos puntos esenciales en la comunicación de una crisis son:

  • Reacción temprana: las reacciones tardías y a destiempo en la comunicación de crisis revelan falta de control, así como inseguridad, tanto interna como externa.
  • Liderazgo y responsabilidad: un problema grave que afecta a los clientes o empleados no puede ser anunciado de forma impersonal o en un comunicado, sino que debe ser el máximo responsable de la empresa o el CEO, quién asuma responsabilidad y el liderazgo en la solución de la crisis de forma que se transmita desde el primer momento el compromiso de toda la empresa y desde el más alto nivel en la solución de la crisis.

Anticiparnos al problema es tomar ventaja, de esta manera se pueden optimizar las acciones ante la crisis y ganar un tiempo extra, con una prevención se pueden plantear los posibles escenarios y en función de ellos planificar un circuito de acciones. Esto permitirá ayudar a imaginar alternativas frente a futuras contingencias, resulta mucho más eficaz y económico invertir durante la etapa de prevención que hacerlo cuando ya no queda otra salida.

Una buena manera de recuperar un sistema en caso de interrupción es contar con una estrategia de recuperación, esta provee orientación basada en qué procedimientos se pueden desarrollar. Una estrategia apropiada es la que tiene un costo para un tiempo aceptable de recuperación que también es razonable con el impacto y la probabilidad de ocurrencia.

Una selección de una estrategia depende de la criticidad del proceso del negocio y las aplicaciones que soporta, el costo, tiempo requerido para recuperarse y la seguridad. Eliminar la amenaza completamente, minimizar la probabilidad y el efecto de la ocurrencia son algunas de las acciones más efectivas que se pueden obtener.

En general, cada plataforma TI que cuente con una aplicación que soporte una función crítica del negocio necesitará una estrategia de recuperación, no podemos arriesgarnos a perder una parte fundamental de la empresa en un momento tan importante, al contrario, prepararnos y anticiparnos es decisivo para enfrentar cualquier tipo de desastre.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *