Professional Documents
Culture Documents
Copias de seguridad de datos electrnicos: las empresas pequeas pueden utilizar algunas
de las herramientas que realizan copias de seguridad de los datos de sus ordenadores en la nube
en forma casi instantnea. Por supuesto que se deben tomar los recaudos pertinentes para que
todos los datos necesarios sean incluidos.
Ubicaciones alternativas para oficinas: en la mayora de los casos ser suficiente que los
empleados continen trabajando desde sus hogares; la condicin sera que tuvieran una
conexin a Internet, ordenadores porttiles o PC y claves. Si el trabajo desde el hogar no es lo
ms adecuado, siempre es posible alquilar una habitacin de hotel en menos de una hora.
Hardware: a menos que se utilice un tipo especial de ordenador para una actividad
comercial, es muy sencillo encontrar uno alternativo: en casa, generalmente, hay un ordenador
particular o se puede pedir prestado uno a algn pariente o se puede comprar uno en cualquier
negocio de computacin.
explicarles por qu debe existir esta planificacin. (Consultar Cmo abordar a quienes no creen
en la GCN)
10. Ensayo de GCN
Si piensa que ha redactado los planes de manera perfecta, probablemente se equivoque. Es casi
imposible redactar un plan sin errores en el primer intento. Por eso resulta obligatorio ensayar
parte del SGCN; debe verificar sus planes en una situacin que, ms o menos, se asemeje a una
interrupcin real. Solamente all podr determinar qu planific correctamente y qu no.
11. Mantenimiento y revisin del SGCN
Otra forma de mantener actualizado su SGCN es definiendo intervalos en los que revisar sus
planes de continuidad del negocio, pero tambin otras cuestiones (por ej., contratos con
proveedores y socios externos, capacitacin y concienciacin, etc.). Existe toda clase de cambios
en el entorno que amenazan con hacer obsoleta su documentacin: es suficiente que un
empleado abandone la empresa para tener un nmero telefnico inservible en un plan si esa
persona cumpla una funcin en el SGCN.
S i se produjo un incidente real, tambin es obligatorio realizar revisiones despus de ocurrido el
mismo para ver cmo reaccion la organizacin, si sigui los planes o no.
12. Auditora interna
El objetivo de la auditora interna es averiguar si hay algo que se est haciendo mal, de manera
objetiva. El auditor debe ser una persona que pueda descubrir si algo se hace mal dentro de su
SGCN para poder corregirlo. Si se realiza correctamente, la auditora interna puede ser una de las
mejores formas para mejorar su SGCN. (Leer Dilemas con los auditores internos de las normas
ISO 27001 y BS 25999-2)
13. Revisin por parte de la direccin
Como se mencion anteriormente, es muy importante que la direccin se involucre en el
proyecto. La revisin por parte de la direccin est diseada justamente para eso. La norma
requiere que la direccin examine todos los hechos importantes sobre la GCN y que decida si ha
cumplido su objetivo. Una vez que est hecha, la direccin debe decidir qu mejoras se deben
implementar.
14. Medidas preventivas y correctivas
Lo mejor sera evitar que se produzcan errores (o, en trminos de BS 25999-2, las no
conformidades); para esto es que se utilizan las medidas preventivas, representan una forma
sistemtica de corregir las cosas antes de que generen problemas. Similares a las medidas
preventivas, tambin hay medidas correctivas que solucionan los problemas que ya se han
producido.
Ahora la pregunta es por qu usara usted la norma BS 25999-2? Aunque (todava) no es una
norma internacional, es la norma ms reconocida a nivel mundial para la continuidad del
5
negocio. Los pasos mencionados arriba estn diseados por los mejores especialistas en este
tema. Por eso, si desea implementar las prcticas ms aceptadas para continuidad del negocio,
no busque ms.
Aqu puede descargar el diagrama del proceso de implementacin de la norma BS 25999-2 que
muestra todos estos pasos junto con la documentacin requerida (requiere inscripcin).
Como puede ver en las definiciones, en la recuperacin ante desastres el nfasis se encuentra en
la tecnologa, mientras que para la continuidad del negocio son las actividades comerciales. Por
lo tanto, la primera es parte de la segunda; la puede considerar como uno de los principales
facilitadores de las actividades comerciales, o como la parte tecnolgica de la continuidad del
negocio.
Sin embargo, es posible que usted haya notado algo ms: la definicin de continuidad del
negocio est tomada de la norma BS 25999-2, la principal norma sobre gestin de continuidad
del negocio, mientras que la definicin de recuperacin ante desastres est extrada de
Wikipedia. En realidad, continuidad del negocio es un trmino oficial reconocido por las
normas, mientras recuperacin ante desastres no.
Importancia de la implementacin
Entonces, por qu no es una buena idea que un departamento de TI implemente la continuidad
del negocio para toda la organizacin? Porque la continuidad del negocio es principalmente un
asunto comercial, no un tema de TI. Si el departamento de TI implementara la continuidad del
negocio para toda la organizacin, no podra definir la criticidad de las actividades comerciales ni
de la informacin. Adems, es un interrogante ver si lograra el compromiso de las partes
comerciales de la organizacin.
La mejor forma de organizar la implementacin de la continuidad del negocio es que el sector
comercial lidere el proyecto; de esta forma lograra mayor concienciacin y aceptacin de todos
los sectores de la organizacin. El departamento de TI debe cumplir su funcin en ese proyecto,
una funcin clave, preparando los planes de recuperacin ante desastres.
Tambin puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 Parte 1: Anlisis
del impacto en el negocio (es un curso de capacitacin disponible para la venta).
Probablemente, sta sea la ms habitual. Est bien, es posible que tengan razn; a menos que
usted haya preparado la estrategia de continuidad del negocio y los planes de continuidad del
negocio realmente tomando en cuenta todos los posibles escenarios. Si lo hizo de esta forma,
puede explicarles que ha preparado una ubicacin alternativa que se encuentra suficientemente
alejada para resistir cualquier tipo de desastre, que ha generado copias de seguridad de los
datos, que hay un reemplazo para cualquier empleado de la empresa, que ya cuenta con
proveedores alternativos para todos los servicios crticos, etc.
Si se desata una guerra nuclear, no servir de nada
Bueno, a menos que usted sea un proveedor militar, no tendra importancia, verdad?
Bsicamente, ante este tipo de escenarios catastrficos, probablemente su negocio ya no tendra
ningn sentido.
No tiene sentido
Sencillamente, rece para que nunca tenga que utilizar la continuidad del negocio. An sin
mencionar los ms que conocidos ejemplos como el 11/9 o el Huracn Katrina, basta preguntar
alguna vez ha sufrido un apagn elctrico? O se le rompi el servidor? O tal vez un ordenador
que contena datos importantes? Escuch alguna vez que un edificio se haya incendiado
ntegramente? Es suficiente leer los titulares de los peridicos para comprender que esas cosas
le suceden a cualquiera.
Lo haremos solamente para cumplir con el auditor
Prioridad incorrecta. Si lo hace correctamente, se proteger a usted mismo y, como
consecuencia, su auditor estar satisfecho.
No podemos prever todos los incidentes
Es verdad. Al menos al principio. Pero si realiza correctamente la evaluacin de riesgos, si
consulta diversas publicaciones y recursos y controla peridicamente la evaluacin, es posible
que, con el tiempo, pueda tomar en cuenta todos los riesgos posibles. Una vez que sepa cules
son, puede preparar la respuesta.
Ante un caso de emergencia, la gente pensar primero en cuidar a sus familias, no el negocio
Tambin es verdad. En el caso de un terremoto, quin no llamara primero a su familia para
verificar si se encuentra a salvo? Pero si planifica detenidamente quin se puede ir a su casa
despus de ocurrido un incidente y quin debe quedarse para resolver la situacin, y si se ocupa
de las familias de los empleados que se deben quedar (por ej., asignando esta tarea a otros
empleados), tal vez le pueda haber encontrado una solucin a este problema.
Las personas reaccionan irracionalmente en situaciones de crisis
Completamente cierto. Pero si capacita a sus empleados (y proveedores o socios)
peridicamente, y practica los planes de continuidad del negocio, se habituarn a situaciones
desastre, cmo recuperar los datos y cmo decidir cundo la recuperacin ha terminado para
poder comenzar el funcionamiento normal.
Los planes de recuperacin de despus de desastres (los planes de recuperacin de la
infraestructura de ICT) son los que se deben redactar con mucho cuidado porque deben detallar
cmo configurar cada sistema que se ejecuta dentro del objetivo de tiempo de recuperacin de
una actividad crtica determinada. Generalmente, esto se hace redactando un detallado plan de
recuperacin para cada sistema que se debe recuperar.
Por regla general, estos planes deben tener un nivel de detalle que permita que otros empleados
(o personal externo) pueda ejecutarlo si la gente que trabaja con esa actividad crtica no est
disponible. Por lo tanto, hay que usar el sentido comn cuando se redactan los planes; deben ser
comprensibles para todo el mundo, no slo para usted.
Segn mi experiencia, el mayor desafo al redactar estos planes se encuentra en que los
empleados se tienen que enfrentar con algo completamente diferente, algo en lo que nunca han
tenido que pensar. Para superar este problema, es recomendable organizar un taller en el que,
con o sin un moderador, los empleados puedan compartir sus ideas sobre qu sucedera si,
cmo reaccionar cuando. etc.
La verdad es que, con el slo hecho de que sus empleados hayan comenzado a pensar en la
continuidad del negocio, ya tiene hecho el 50% del trabajo. Con esta forma de ver las cosas, los
resultados de la planificacin de la continuidad del negocio es mucho mejor.
Tambin puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 Parte 3:
Planificacin de la continuidad del negocio (es un curso de capacitacin disponible para la
venta).
10