4 pasos para armar un Plan de Continuidad del Negocio

Cuando hablamos de continuidad del negocio nos referimos a la capacidad de sobrevivir a las “cosas malas” que pueden tener un impacto negativo en la empresa: desde un brote de virus informático hasta un brote de virus biológico, y todos los demás peligros entre ambos, como incendios, inundaciones, tornados, huracanes, terremotos y tsunamis. El estándar internacional para la continuidad del negocio, ISO 22301, la define como la “capacidad [de una organización] de continuar la prestación de productos o servicios en los niveles predefinidos aceptables tras incidentes de interrupción de la actividad”.

La Gestión de la Continuidad del Negocio (también llamada BCM, por sus siglas en inglés) es el proceso de lograr esta capacidad y mantenerla, y conforma una parte vital de la gestión de seguridad de sistemas de información, que ahora se conoce más comúnmente como seguridad cibernética.

Ahora bien, ¿cómo responder ante una contingencia? El presente artículo describe los puntos básicos de un BCM y suministra una lista de recursos que tú y tu organización pueden utilizar para mejorar la capacidad de sobrevivir a cualquier cambio imprevisible e indeseado.

La continuidad del negocio no es sólo para TI

La mayoría de las organizaciones de hoy son sumamente dependientes de la tecnología de la información (desde equipos portátiles hasta servidores, de escritorio hasta tabletas y smartphones), pero queda claro que esta tecnología puede verse afectada por una amplia gama de incidentes potencialmente desastrosos. Éstos van desde cortes en el suministro de energía provocados por tormentas hasta la pérdida de datos causada por equivocaciones de los empleados o por criminales informáticos.

Desde los albores de la TI, estaba claro que las organizaciones iban a necesitar estrategias para prepararse para dichos incidentes, responder a ellos y recuperarse de ellos. Por ese motivo, gran parte de los primeros trabajos sobre el manejo de incidentes de interrupción de la actividad provino de la comunidad de TI.

No obstante, con el paso del tiempo, la disciplina de “recuperación ante desastres” evolucionó a “un proceso de gestión holístico” que “identifica amenazas potenciales para la organización y el impacto que su materialización podría ocasionar en las operaciones corporativas, y que proporciona un marco para crear resistencia corporativa de modo que pueda dar una respuesta eficaz que proteja los intereses de sus grupos de interés, reputación, marcas y actividades de creación de valor fundamentales”.

Una vez más, terminología ISO 22301. Hay que tener en cuenta que, aunque tu empresa no necesita tener certificación ISO 22301 para sobrevivir a un desastre, algunas corporaciones desean conseguir esta certificación para mejorar su programa de BCM y a la vez para ganar más mercado. Por ejemplo, es evidente que ciertas empresas esenciales para la cadena de suministro de algunas industrias reciben más solicitudes por el seguro de continuidad del negocio en las negociaciones contractuales, y su adherencia a ISO 22301 ciertamente contribuye a esta cuestión.

Un programa básico de BCM en cuatro pasos

Desafortunadamente, algunas empresas deben cerrar cuando las alcanza un desastre para el cual no estaban preparadas adecuadamente. Es lamentable porque el camino para dicha preparación está bien documentado. Cualquier empresa de cualquier tamaño puede mejorar las posibilidades de superar un incidente de interrupción de la actividad y quedar en una pieza (con la marca intacta y sin merma en los ingresos) si sigue ciertas estrategias probadas y de confianza, más allá de que desee obtener la certificación ISO 22301 o no.

A continuación, un resumen de los cuatro pasos principales:

1. Identifica y ordena las amenazas

Crea una lista de los incidentes de interrupción de la actividad que constituyan las amenazas más probables para la empresa. No uses la lista de otro, porque las amenazas varían según la ubicación. Por ejemplo, aquí en San Diego, donde vivo, hay un grado relativamente alto de sensibilización con respecto a los terremotos y a los incendios forestales, por lo que muchas organizaciones llevaron a cabo un nivel básico de planificación para prepararse ante desastres teniendo esos eventos en cuenta.

¿Pero qué ocurre donde se encuentra tu empresa? ¿Y qué pasa con la fuga de datos o la interrupción de la infraestructura de TI, que pueden ocurrir en cualquier parte? ¿Qué pasa si un producto químico tóxico provoca que se cierren las instalaciones por varios días? ¿Estás ubicado cerca de una vía ferroviaria? ¿De una autopista importante? ¿Cuánto depende tu empresa de proveedores extranjeros?

En esta etapa, una buena técnica es reunir personas de todos los departamentos en una sesión de intercambio de ideas. El objetivo de la reunión es crear una lista de escenarios ordenados por probabilidad de ocurrencia y por potencial de causar un impacto negativo.

2. Realiza un análisis del impacto en la empresa

Necesitas determinar qué partes de tu empresa son las más críticas para que sobreviva. Una manera es comenzar detallando las funciones, los procesos, los empleados, los lugares y los sistemas que son críticos para el funcionamiento de la organización. De esto se puede ocupar el líder del proyecto de BCM; para ello, deberá entrevistar a los empleados de cada departamento y luego elaborar una tabla de resultados que liste las funciones y las personas principales y las secundarias.

A continuación determinarás la cantidad de “días de supervivencia” de la empresa para cada función. ¿Cuánto puede resistir la empresa sin que una función en particular provoque un impacto grave?

Luego, ordenarás el impacto de cada función en caso de que no esté disponible. Por ejemplo, Michael Miora, experto en recuperación ante desastres, sugiere utilizar una escala de 1 a 4, donde 1 = impacto crítico en las actividades operativas o pérdida fiscal, y 4 = sin impacto a corto plazo. Si luego se multiplica el Impacto por los “días de supervivencia”, se puede ver cuáles son las funciones más críticas. Al principio de la tabla quedarán las funciones con un impacto mayor y con sólo un día de supervivencia.

3. Crea un plan de respuesta y recuperación

En esta etapa deberás catalogar datos clave sobre los bienes involucrados en la realización de las funciones críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Deberás incluir números de serie de los equipos, acuerdos de licencia, alquileres, garantías, detalles de contactos, etc.

Necesitarás determinar “a quién llamar” en cada categoría de incidente y crear un árbol de números telefónicos para que se hagan las llamadas correctas en el orden correcto. También necesitas una lista de “quién puede decir qué cosa” para controlar la interacción con los medios durante un incidente (considera quedarte con una estrategia de “sólo el CEO” si se trata de un incidente delicado).

Deberán quedar documentados todos los acuerdos vigentes para mudar las operaciones a ubicaciones e instalaciones de TI temporales, de ser necesario. No te olvides de documentar el proceso de notificación para los miembros de la empresa en su totalidad y el procedimiento de asesoramiento para clientes.

Los pasos para recuperar las operaciones principales deberían ordenarse en una secuencia donde queden explícitas las interdependencias funcionales. Cuando el plan esté listo, asegúrate de capacitar a los gerentes sobre los detalles relevantes para cada departamento, así como la importancia del plan general para sobrevivir a un incidente.

4. Prueba el plan y refina el análisis

La mayoría de los expertos en BCM recomiendan probar el plan al menos una vez al año, con ejercicios, análisis paso a paso o simulaciones. La prueba te permite sacar el mayor provecho a lo que invertiste en la creación del plan, y no sólo te permite encontrar fallas y dar cuenta de los cambios corporativos con el transcurso del tiempo, sino que también causa una buena impresión en la gerencia.

No cabe duda de que estos cuatro pasos significan un enorme trabajo, pero es una tarea que las empresas ignoran bajo su propio riesgo. Si el proyecto parece demasiado desalentador para aplicar a la empresa completa, considera comenzar por unos pocos departamentos o una sola oficina, si hay varias. Todo lo que vayas aprendiendo en el proceso se podrá aplicar en mayor escala a medida que progreses. Evita a toda costa pensar que las cosas malas no suceden, porque sí lo hacen. Sólo tienes que estar preparado. Y no pretendas que cuando ocurra algo no será tan malo, porque podría serlo.

Traducción y adaptación del post de Stephen Cobb en We Live Security.

Créditos imagen: ©StockMonkeys.com/Flickr
 

Autor Stephen Cobb, ESET

Síguenos