RRHH
TECNOLOGÍA
¿Qué es la norma de continuidad de negocio?
La BS 25999/ ISO 22301 ofrecen prácticas y soluciones para la Gestión de la Continuidad de Negocio, consiguiendo reducir los impactos ante una interrupción inesperada que afecte a la organización y ayudando a detectar las posibles contingencias que puedan parar la actividad de la empresa.
Proporciona a las empresas un marco para el desarrollo e implementación de un Sistema de Gestión de Continuidad de Negocio (SGCN) en las organizaciones y que puede ser adaptado a las circunstancias particulares e independientemente del tamaño, el alcance o la complejidad de los productos o servicios que prestan.
Aquellas organizaciones que desean introducir un SGCN en su organización deben partir de elementos que, en mayor o menor medida, ya existen como por ejemplo planes de contingencia en departamentos TI, planes de recuperación de desastres, gestión de riesgos y/o planificación de la sustitución del personal.
La implantación de un SGCN permite reducir y eliminar errores ya conocidos entre los que se encuentran:
- Incongruencias entre los requisitos de negocio y los planes de recuperación.
- Necesidades insuficientes de espacios para usuarios.
- Prioridades inapropiadas y/o no definidas.
- “Olvido” de funciones de negocio fundamentales.
- Interdependencias confusas.
- Subestimar la importancia de herramientas (email, celulares, alojamientos web, etc.).
- Capacidad insuficiente de recuperación y/o recursos.
- Planes insuficientemente verificados o mantenidos.
- Falta de documentación.
- Falta de formación.
- Documentación obsoleta para gestión de sistemas/configuraciones/teléfonos de contacto/acciones de recuperación.
- Ignorar la posibilidad de emergencias regionales.
- Escenarios de pérdida total de la capacidad de las operaciones del negocio.
- Indisponibilidad de los espacios habituales/alternativos.
- Protección inadecuada de registros vitales.
- Alta dependencia del personal clave.
- Pérdida, desplazamiento, indisponibilidad.
- Dificultades de transporte que impidan la movilización del personal implicado en la recuperación.
- Bajo rendimiento del personal por la situación de estrés.
- Comunicación imprecisa de los procesos.
- Carencias de los planes de respuesta.
- Medios alternativos no conocidos/poco claros.
- Incidentes de coordinación entre partes críticas (empleados, vendedores, servicios, responsables de recursos de emergencia).
La Gestión de la Continuidad de Negocio es un proceso de colaboración en el que el personal involucrado es clave para garantizar la continuidad de las actividades en la gestión de organización no solo en el día a día sino también en las situaciones más adversas.
Una situación de crisis o desastre bien gestionada no solo permite superar situaciones adversas garantizando el menor de los impactos posibles, sino que puede mejorar la imagen de la organización e incluso abrir nuevas oportunidades de negocio.
¿Qué es un desastre?
La respuesta a esta pregunta parece obvia para cualquier persona que alguna vez haya leído noticias sobre incendios, tornados o inundaciones. Seguramente, al enfrentarse con hechos de este tipo uno puede fácilmente calificarlos como desastres.
los criterios que nos permiten definir una situación como desastre son:
- Una interrupción no planificada.
- Una interrupción prolongada.
- Una interrupción que no puede ser manejada o corregida a través de los procedimientos “normales” pensados por la administración para resolver problemas.
¿Qué hacer cuando ocurre un desastre?
Un desastre es un hecho fortuito, por lo tanto, tenemos que pensar que puede ocurrir, es más, debemos estimar seriamente que ocurrirá. Nuestra única tarea posible después del desastre es recuperarnos.
Para recuperarnos con éxito del evento debemos ejecutar los procedimientos y acciones planificadas y probadas frente a los problemas que se presentan derivados del desastre. De esta necesidad, nacen los SGCN.
Fundamento para el establecimiento de un SGCN
Tal vez se pueda pensar que el nombre de SGCN ante desastres es un término equivocado, debido a que una interrupción de la cual una organización pueda recuperarse a través de una estrategia planeada por medio de un SGCN, no se la puede clasificar de desastre. Esencialmente, un SGCN provee la capacidad a la organización de poder absorber el impacto producido por un incidente no esperado y prevenir la detención de las funciones críticas del negocio.
Este tipo de planificación provee una serie de procedimientos y estrategias de recuperación no solamente de recursos TI, sino de información ya sea digital o en papel, terceras partes, personal o instalaciones, que sería muy difícil de diseñar y desarrollar sobre la marcha cuando haya ocurrido un desastre.
Una efectiva planificación que incluya la identificación y la implementación de mecanismos que puedan llegar a evitar la ocurrencia de ciertos desastres, serán de gran ayuda para prevenir desastres evitables. Además, la efectividad de la planificación puede ser medida en términos de eventos potenciales de desastres que han sido minimizados o eliminados.
Existe una serie de beneficios adicionales que se obtienen con el desarrollo de un SGCN:
- Reducción de costes de seguros: una efectiva implementación de un SGCN puede reducir los costes derivados de contrataciones de seguros en dos formas:
- La primera reducción se puede apreciar a través del análisis de riesgos y análisis de impacto efectuados como parte del plan, con el cual se puede ajustar la cobertura de seguros actual. A menudo, en ausencia de estos análisis, la identificación de los riesgos que requieren la contratación de seguros se realiza informalmente, resultando en la adquisición de coberturas inapropiadas o que no se justifican en relación costo / beneficio.
- Otra forma en la que el plan puede ayudar a reducir costes es poniendo énfasis en la prevención. Por ejemplo, si se identifica la existencia de un riesgo de incendio en el centro de cómputos y se instalan sistemas de detección y supresión automática, se demuestra capacidad de prevención de males mayores, o de detección y corrección inmediatas, lo que puede ser usado para reducir los costes de un seguro contra incendio.
- Utilización del equipamiento de recuperación para el negocio: en algunos casos, el equipamiento e instalaciones adquiridos para en el SGCN, puede ser usado como equipo de desarrollo, como equipo de pruebas, incluso como equipos de producción. También ciertos sistemas como grupos electrógenos o UPS, proveen servicios que mejorarán la funcionalidad de los sistemas protegidos durante la actividad normal. 3
- Promoción de metas corporativas: una organización que emprende una planificación de continuidad de los servicios que presta puede extender el beneficio de contar con dicha planificación a distintas áreas de la misma. Por ejemplo, el área de Marketing puede hacer hincapié en la planificación de contingencia para demostrar el compromiso de la organización en procura de brindar un mejor servicio.
¿Qué tipo de organización requiere prioritariamente un SGCN?
La planificación de los sistemas de información varía de acuerdo a la organización. Como señalamos anteriormente, no todas las organizaciones requieren el mismo nivel de confianza de sus sistemas de información para la supervivencia de sus productos y servicios, aunque hoy en día son pocas las que puedan prescindir de sus sistemas de información y mantener su nivel de competitividad.
Un modelo que puede ser útil para visualizar estos conceptos es el modelo de conveniencia estratégica desarrollado por Macfarlán y otros autores.
Ellos se basan en dos importantes factores que miden:
- La importancia estratégica de los sistemas de información existentes en la organización.
- La importancia estratégica de los de sistemas planificados para su futura implantación y de acuerdo a los mismos, se determina la naturaleza y la cantidad de planificación requerida.
Ellos identifican cuatro tipos de organizaciones, cada una con diferentes necesidades en materia de planificación en sistemas de TI.
Ellas son las siguientes:
- Organizaciones de asesoramiento o consultoría. Ambos sistemas, tanto los existentes como los planificados tienen poco impacto estratégico sobre estas organizaciones. Es el caso de servicios profesionales, que podría seguir operando aún ante un desastre que interrumpa la operación de sus sistemas existentes.
- Organizaciones tipo Fábrica. Aunque los sistemas planificados para su implantación futura son poco importantes, los sistemas existentes y operando son críticos. Estas organizaciones requieren moderados esfuerzos de planificación, que deben concentrarse fundamentalmente en las necesidades de recursos de corto plazo.
- Organizaciones en reestructuración. Aunque los sistemas existentes son relativamente poco importantes, los sistemas planificados son críticos. Se requerirán esfuerzos de planificación cuya cuantía puede fluctuar entre moderada y grande y ellos deben concentrarse en las necesidades de las aplicaciones previstas a largo plazo. Podría ser el caso de una empresa manufacturación en rápido crecimiento, donde los nuevos sistemas previstos son absolutamente necesarios para permitir que la firma alcance sus objetivos estratégicos.
- Organizaciones estratégicas. En ellas son críticos tanto los sistemas existentes como los futuros. Deben emprender sustanciales esfuerzos de planificación concentrados en las necesidades de recursos y aplicaciones de corto y largo plazo. Es el caso de organizaciones tales como bancos, empresas aseguradoras y grandes empresas de comercio minorista. En estos casos la interacción orgánica entre la Gerencia de TI y la Gerencia General debe ser muy ágil, al punto que en algunas firmas internacionales la Gerencia de TI asciende jerárquicamente para transformarse en Dirección de TI, y su titular se integra al Consejo de Dirección de la organización.
De estos cuatro tipos de organizaciones, principalmente las organizaciones tipo fábrica o estratégicas son las que requieren este tipo de planificación debido a la dependencia hacia sus sistemas de información tanto actuales como futuros.
En las organizaciones de asesoramiento o en reorientación, la dependencia hacia sus sistemas de información no es tan marcada como en el caso de las anteriores, por lo que, si bien es aconsejable contar con una planificación de continuidad de negocios y servicios, no se hace tan imprescindible.
Comentarios