Continuidad del negocio para empresas pequeas; es necesaria o no?

ByDejan Kosutic on April 04, 2011

in Share 0
Tiene sentido implementar la continuidad del negocio en empresas pequeas? Por qu podran
necesitar algo tan costoso como esto si el dueo del negocio tiene en su cabeza toda la
informacin que necesita?
Permtanme comenzar con una historia que escuch recientemente: una pequea empresa, que
vende diversos tipos de equipamiento a una gran base de clientes, sufri un robo. El ladrn
irrumpi en sus oficinas durante la noche y rob todos los ordenadores, adems de otros
elementos de valor. Si bien el propietario de esta empresa haba realizado una copia de
seguridad de los datos, el problema es que esa copia estaba resguardada en otro ordenador
dentro de la misma oficina. Muy poco tiempo despus, la compaa qued en bancarrota;
simplemente porque no pudo recuperar informacin esencial para su negocio.
Este es un ejemplo clsico del sndrome A m no me va a pasar que aqueja a la mayora de las
pequeas empresas.
Marco referencial para continuidad del negocio
Esto quiere decir que las compaas pequeas necesitan invertir en costosas ubicaciones de
recuperacin ante desastres con equipamiento que permita un alto nivel de disponibilidad? Por
supuesto que no.
En algunos casos, la continuidad del negocio realmente no es necesaria porque el dueo del
negocio s tiene toda la informacin en su cabeza, pero estos casos son muy excepcionales.
Cuntos de ellos no tienen un ordenador porttil con distintos tipos de informacin importante?
El slo pensar en cmo permitir la disponibilidad de esta informacin en el caso que se produzca
un desastre ya es parte de un esfuerzo de continuidad del negocio.
Los dueos de las pequeas empresas deben evaluar detenidamente qu informacin y dems
recursos son importantes para sus negocios, cmo garantizar que esa informacin y recursos
estn disponibles en caso que se produzca un desastre y qu pasos se deben seguir para
recuperar las actividades del negocio en esos casos extremos. Estos pasos no son ms que la
ejecucin del anlisis del impacto en el negocio, de la estrategia de continuidad del negocio, y
de los planes de continuidad del negocio; de la misma forma en que lo hara cualquier compaa
ms grande al implementar la continuidad del negocio. Todo esto se detalla en la principal norma
sobre este tema: BS 25999-2.
Cmo prepararse
Ahora bien, la diferencia entre empresas pequeas y grandes radica en la complejidad y en el
costo de los preparativos que las ms pequeas deben afrontar para la continuidad del negocio:
1

Copias de seguridad de datos electrnicos: las empresas pequeas pueden utilizar algunas
de las herramientas que realizan copias de seguridad de los datos de sus ordenadores en la nube
en forma casi instantnea. Por supuesto que se deben tomar los recaudos pertinentes para que
todos los datos necesarios sean incluidos.

Copias de seguridad de documentos en papel: ahora las empresas pequeas pueden

eliminar casi por completo de sus actividades diarias los documentos en papel y pueden
transferir todo a formato electrnico. En casos excepcionales en que deben existir documentos
en papel, estos pueden ser escaneados dentro del marco de la continuidad del negocio.

Ubicaciones alternativas para oficinas: en la mayora de los casos ser suficiente que los
empleados continen trabajando desde sus hogares; la condicin sera que tuvieran una
conexin a Internet, ordenadores porttiles o PC y claves. Si el trabajo desde el hogar no es lo
ms adecuado, siempre es posible alquilar una habitacin de hotel en menos de una hora.

Hardware: a menos que se utilice un tipo especial de ordenador para una actividad
comercial, es muy sencillo encontrar uno alternativo: en casa, generalmente, hay un ordenador
particular o se puede pedir prestado uno a algn pariente o se puede comprar uno en cualquier
negocio de computacin.

Personal: probablemente este sea el aspecto ms difcil. Supongamos que un empleado no

est disponible y que es el nico que conoce determinada informacin (por ejemplo, claves
administrativas, los pasos que hay que seguir para un proyecto importante, etc.); para esos
casos, los preparativos pasaran por documentar toda esta informacin para que pueda ser
utilizada sin necesidad de que el empleado est presente. Otro ejemplo sera si falta un
empleado y nadie ms tiene el tiempo ni los conocimientos para reemplazarlo; en este caso, la
preparacin pasara por identificar de antemano quin tendra disponibilidad para ser contratado
con poca anticipacin para realizar el trabajo del empleado que no est. Por supuesto que aqu la
clave es identificar a alguien que posea las habilidades o aptitudes adecuadas.
Como conclusin: no hay diferencia entre organizaciones grandes y pequeas en relacin al
marco de la continuidad del negocio; ambas deben pensar detenidamente qu preparativos
necesitan realizar para superar una situacin de desastre. La diferencia est en el nivel de los
preparativos, ya que las empresas ms pequeas pueden hacerlos con muy poca inversin.
Tambin puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 Parte 3:
Planificacin de la continuidad del negocio (es un curso de capacitacin disponible para la
venta).
2

Lista de apoyo para implementacin de la norma BS 25999-2

ByDejan Kosutic on November 16, 2010
in Share 0
Su gerencia le ha asignado la tarea de implementar la continuidad del negocio pero usted no
sabe muy bien cmo hacerlo? Aunque no se trata de una tarea sencilla, puede utilizar la
metodologa de la norma BS 25999-2 para facilitar las cosas. Los siguientes son los pasos
principales que necesita seguir para implementar esta norma:
1. Obtener el apoyo de la direccin
Si bien no es un paso obligatorio de la norma BS 25999-2, s se trata de un paso crucial al inicio:
si la direccin no comprende los beneficios de la continuidad del negocio y no se compromete
con el proyecto, lo ms probable es que su proyecto fracase.
2. Tomarlo como un proyecto
La creacin de su sistema de gestin de la continuidad del negocio (SGCN) le demandar
bastante tiempo y recursos ya que debe definir claramente qu se necesita hacer, dentro de qu
plazos y cules son las funciones en la implementacin del proyecto. En otras palabras, debe
aplicar mtodos de gestin de proyectos.
3. Definir objetivos y alcance; redactar una Poltica de GCN
Debe definir qu es lo que usted desea lograr con el SGCN; es decir, cumplir, disminuir el nivel
de riesgo, requisitos de sus clientes o socios, etc. Tambin debe definir qu incluir en su SGCN,
si a toda la organizacin o solamente a una parte. Por ejemplo, puede decidir que incluir slo el
centro de datos si usted suministra servicios de alojamiento a sus clientes. Todo esto tiene que
estar documentado en la Poltica de GCN.
4. Definir las funciones y las responsabilidades para el SGCN
Como el SGCN se convertir en una actividad permanente en su organizacin, es necesario
asignar responsabilidades precisas, especialmente para el promotor del SGCN (alguien que sea
responsable por el SGCN pero que no est involucrado en las actividades diarias del mismo) y
para el coordinador de GCN, gerente de GCN o similar (una o ms personas con tareas
activas relacionadas con el SGCN). Lo mejor es documentar estas funciones y responsabilidades
en su Poltica de GCN.
5. Implementar procedimientos obligatorios
La norma BS 25999-2 requiere que se implementen los siguientes cuatro procedimientos
obligatorios: control de documentos y registros, auditora interna, medidas preventivas y
correctivas. Estos procedimientos son, en realidad, la base de su sistema de gestin, igual que
con las normas ISO 27001 o ISO 9001.
3

6. Realizar un anlisis de impactos en el negocio y evaluacin de riesgos

Mediante el anlisis de impactos en el negocio usted debe identificar las actividades crticas, su
perodo mximo tolerable de interrupcin, sus dependencias (incluidas las dependencias con
proveedores y socios externos) y debe establecer objetivos de tiempo de recuperacin.
Al realizar la evaluacin de riesgos encontrar realmente cules pueden ser las causas de
interrupcin de sus actividades crticas; pueden ser naturales pero tambin puede tratarse de
actividades realizadas por personas (ya sea en forma maliciosa o accidental). Tambin tendr
que llevar a cabo el tratamiento de riesgos, que implica que debe decidir cmo disminuir la
posibilidad de que algo funcione mal. Desafortunadamente, la evaluacin y el tratamiento de
riesgos no estn muy bien definidos en esta norma; por lo tanto, podra consultar la norma ISO
27001, que los describe mucho ms detalladamente.
7. Determinar la estrategia de continuidad del negocio
Antes de continuar con la redaccin de planes de continuidad del negocio, en realidad debe
determinar qu recursos necesitar para retomar sus actividades crticas: qu empleados,
ubicaciones, datos, hardware, software, proveedores, socios externos, etc.
La estrategia de continuidad del negocio no slo debe determinar lo que usted necesita, sino
tambin cmo har para asegurar esos recursos.
8. Desarrollar planes de gestin de incidentes y planes de continuidad del negocio
El objetivo de los planes de gestin de incidentes es describir cmo se responder directamente
ante la ocurrencia de un incidente (por ej., incendio, terremoto, amenaza de bomba, corte de
electricidad, etc.) para evitar que se agrande y para intentar disminuir sus efectos directos.
Por otro lado, el objetivo de los planes de continuidad del negocio es describir cmo se
recuperarn las actividades crticas, cmo se harn funcionar conjuntamente todos los recursos
que se han preparado. Esto quiere decir que es necesario detallar quin har qu cosa, en qu
plazo, utilizando qu datos y tecnologa, para poner nuevamente a su organizacin en
funcionamiento.
Todos esto planes tienen ser redactados detalladamente porque deben ser ejecutados an en el
caso que los principales empleados no se encuentren disponibles; por lo tanto, es necesario
redactarlos de tal forma que otra persona pueda ejecutarlos.
9. Capacitacin y concienciacin
Necesita definir el nivel de competencias necesario para la ejecucin de los planes de
continuidad del negocio ante el caso de una interrupcin y, luego, debe capacitar a todo el
personal (tanto empleados como socios externos) para llegar a este nivel de competencias.
Sin embargo, esto no es suficiente. Tambin debe explicarle a su personal por qu es necesaria
la GCN. Aceptmoslo, sus planes de continuidad del negocio se utilizarn, con suerte, una nica
vez; por lo tanto, la mayora de las personas lo consideran una prdida de tiempo. Por eso, debe
4

explicarles por qu debe existir esta planificacin. (Consultar Cmo abordar a quienes no creen
en la GCN)
10. Ensayo de GCN
Si piensa que ha redactado los planes de manera perfecta, probablemente se equivoque. Es casi
imposible redactar un plan sin errores en el primer intento. Por eso resulta obligatorio ensayar
parte del SGCN; debe verificar sus planes en una situacin que, ms o menos, se asemeje a una
interrupcin real. Solamente all podr determinar qu planific correctamente y qu no.
11. Mantenimiento y revisin del SGCN
Otra forma de mantener actualizado su SGCN es definiendo intervalos en los que revisar sus
planes de continuidad del negocio, pero tambin otras cuestiones (por ej., contratos con
proveedores y socios externos, capacitacin y concienciacin, etc.). Existe toda clase de cambios
en el entorno que amenazan con hacer obsoleta su documentacin: es suficiente que un
empleado abandone la empresa para tener un nmero telefnico inservible en un plan si esa
persona cumpla una funcin en el SGCN.
S i se produjo un incidente real, tambin es obligatorio realizar revisiones despus de ocurrido el
mismo para ver cmo reaccion la organizacin, si sigui los planes o no.
12. Auditora interna
El objetivo de la auditora interna es averiguar si hay algo que se est haciendo mal, de manera
objetiva. El auditor debe ser una persona que pueda descubrir si algo se hace mal dentro de su
SGCN para poder corregirlo. Si se realiza correctamente, la auditora interna puede ser una de las
mejores formas para mejorar su SGCN. (Leer Dilemas con los auditores internos de las normas
ISO 27001 y BS 25999-2)
13. Revisin por parte de la direccin
Como se mencion anteriormente, es muy importante que la direccin se involucre en el
proyecto. La revisin por parte de la direccin est diseada justamente para eso. La norma
requiere que la direccin examine todos los hechos importantes sobre la GCN y que decida si ha
cumplido su objetivo. Una vez que est hecha, la direccin debe decidir qu mejoras se deben
implementar.
14. Medidas preventivas y correctivas
Lo mejor sera evitar que se produzcan errores (o, en trminos de BS 25999-2, las no
conformidades); para esto es que se utilizan las medidas preventivas, representan una forma
sistemtica de corregir las cosas antes de que generen problemas. Similares a las medidas
preventivas, tambin hay medidas correctivas que solucionan los problemas que ya se han
producido.
Ahora la pregunta es por qu usara usted la norma BS 25999-2? Aunque (todava) no es una
norma internacional, es la norma ms reconocida a nivel mundial para la continuidad del
5

negocio. Los pasos mencionados arriba estn diseados por los mejores especialistas en este
tema. Por eso, si desea implementar las prcticas ms aceptadas para continuidad del negocio,
no busque ms.
Aqu puede descargar el diagrama del proceso de implementacin de la norma BS 25999-2 que
muestra todos estos pasos junto con la documentacin requerida (requiere inscripcin).

Recuperacin ante desastres vs. Continuidad del negocio

ByDejan Kosutic on November 04, 2010
in Share 2
Alguna vez le ha sucedido que su gerente le asigne la responsabilidad de implementar la
continuidad del negocio simplemente porque usted es parte del departamento de TI? Por qu se
identifica continuidad del negocio con tecnologa de la informacin?
Probablemente porque la continuidad del negocio tiene sus orgenes en la recuperacin ante
desastres, y la recuperacin ante desastres bsicamente se trata de tecnologa de la
informacin. Veinte o treinta aos atrs, la continuidad del negocio no exista conceptualmente,
pero s la recuperacin ante desastres: la principal preocupacin era cmo salvar los datos si se
produca un desastre. En ese momento, era muy comn comprar equipos costosos y colocarlos
en una ubicacin remota para que todos los datos importantes de una organizacin estuvieran
resguardados si, por ejemplo, se produjera un terremoto. No slo resguardados sino tambin que
los datos se procesaran ms o menos con la misma capacidad que si estuvieran en la ubicacin
principal.
Pero despus de un tiempo se hizo evidente para qu serviran los datos si no existieran
operaciones comerciales en las cuales utilizarlos? As fue como surgi la idea de la continuidad
del negocio: su objetivo es permitir que el negocio siga funcionando, an en caso de una
interrupcin importante.
Definiciones
Veamos las definiciones: continuidad del negocio es la capacidad estratgica y tctica de la
organizacin para planificar y responder ante los incidentes e interrupciones del negocio con el
fin de permitir la continuidad de las actividades comerciales en un nivel aceptable previamente
definido (BS 25999-2:2007); mientras que recuperacin ante desastres se refiere al proceso,
polticas y procedimientos relacionados con preparar la recuperacin o continuacin de la
infraestructura tecnolgica crtica de una organizacin despus de un desastre natural o
producido por el hombre (Wikipedia.org).

Como puede ver en las definiciones, en la recuperacin ante desastres el nfasis se encuentra en
la tecnologa, mientras que para la continuidad del negocio son las actividades comerciales. Por
lo tanto, la primera es parte de la segunda; la puede considerar como uno de los principales
facilitadores de las actividades comerciales, o como la parte tecnolgica de la continuidad del
negocio.
Sin embargo, es posible que usted haya notado algo ms: la definicin de continuidad del
negocio est tomada de la norma BS 25999-2, la principal norma sobre gestin de continuidad
del negocio, mientras que la definicin de recuperacin ante desastres est extrada de
Wikipedia. En realidad, continuidad del negocio es un trmino oficial reconocido por las
normas, mientras recuperacin ante desastres no.
Importancia de la implementacin
Entonces, por qu no es una buena idea que un departamento de TI implemente la continuidad
del negocio para toda la organizacin? Porque la continuidad del negocio es principalmente un
asunto comercial, no un tema de TI. Si el departamento de TI implementara la continuidad del
negocio para toda la organizacin, no podra definir la criticidad de las actividades comerciales ni
de la informacin. Adems, es un interrogante ver si lograra el compromiso de las partes
comerciales de la organizacin.
La mejor forma de organizar la implementacin de la continuidad del negocio es que el sector
comercial lidere el proyecto; de esta forma lograra mayor concienciacin y aceptacin de todos
los sectores de la organizacin. El departamento de TI debe cumplir su funcin en ese proyecto,
una funcin clave, preparando los planes de recuperacin ante desastres.
Tambin puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 Parte 1: Anlisis
del impacto en el negocio (es un curso de capacitacin disponible para la venta).

Cmo abordar a quienes no creen en la GCN?

ByDejan Kosutic on October 05, 2010
in Share 0
Alguna vez ha escuchado algo como eso no se puede hacer, no tiene sentido o sera intil
si se produjera una catstrofe? Si ya ha implementado la gestin de la continuidad del negocio,
probablemente s. Obviamente, estas actitudes no aportan nada a su proyecto; por eso, aqu le
presentamos algunas sugerencias sobre cmo tratar con este tipo de personas.
Si se produjera una catstrofe, no podramos hacer nada

Probablemente, sta sea la ms habitual. Est bien, es posible que tengan razn; a menos que
usted haya preparado la estrategia de continuidad del negocio y los planes de continuidad del
negocio realmente tomando en cuenta todos los posibles escenarios. Si lo hizo de esta forma,
puede explicarles que ha preparado una ubicacin alternativa que se encuentra suficientemente
alejada para resistir cualquier tipo de desastre, que ha generado copias de seguridad de los
datos, que hay un reemplazo para cualquier empleado de la empresa, que ya cuenta con
proveedores alternativos para todos los servicios crticos, etc.
Si se desata una guerra nuclear, no servir de nada
Bueno, a menos que usted sea un proveedor militar, no tendra importancia, verdad?
Bsicamente, ante este tipo de escenarios catastrficos, probablemente su negocio ya no tendra
ningn sentido.
No tiene sentido
Sencillamente, rece para que nunca tenga que utilizar la continuidad del negocio. An sin
mencionar los ms que conocidos ejemplos como el 11/9 o el Huracn Katrina, basta preguntar
alguna vez ha sufrido un apagn elctrico? O se le rompi el servidor? O tal vez un ordenador
que contena datos importantes? Escuch alguna vez que un edificio se haya incendiado
ntegramente? Es suficiente leer los titulares de los peridicos para comprender que esas cosas
le suceden a cualquiera.
Lo haremos solamente para cumplir con el auditor
Prioridad incorrecta. Si lo hace correctamente, se proteger a usted mismo y, como
consecuencia, su auditor estar satisfecho.
No podemos prever todos los incidentes
Es verdad. Al menos al principio. Pero si realiza correctamente la evaluacin de riesgos, si
consulta diversas publicaciones y recursos y controla peridicamente la evaluacin, es posible
que, con el tiempo, pueda tomar en cuenta todos los riesgos posibles. Una vez que sepa cules
son, puede preparar la respuesta.
Ante un caso de emergencia, la gente pensar primero en cuidar a sus familias, no el negocio
Tambin es verdad. En el caso de un terremoto, quin no llamara primero a su familia para
verificar si se encuentra a salvo? Pero si planifica detenidamente quin se puede ir a su casa
despus de ocurrido un incidente y quin debe quedarse para resolver la situacin, y si se ocupa
de las familias de los empleados que se deben quedar (por ej., asignando esta tarea a otros
empleados), tal vez le pueda haber encontrado una solucin a este problema.
Las personas reaccionan irracionalmente en situaciones de crisis
Completamente cierto. Pero si capacita a sus empleados (y proveedores o socios)
peridicamente, y practica los planes de continuidad del negocio, se habituarn a situaciones

estresantes y, probablemente, respondern en la forma correcta si se produjera una situacin de

este tipo.
Si ya ha implementado proyectos similares, sabr que la concienciacin es importante. Si sus
compaeros de trabajo no son conscientes del objetivo de este tipo de proyectos, a usted le
resultar muy difcil llevar adelante la implementacin. Por no decir que podra fracasar el
proyecto entero. Es por ello que debe evaluar el hecho de generar conciencia con anticipacin.
Tambin puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 Parte 2:
Estrategia de continuidad del negocio (es un curso de capacitacin disponible para la venta).

Cmo redactar planes de continuidad del negocio?

ByDejan Kosutic on April 08, 2010
in Share 0
Si comenz a implementar la gestin de la continuidad del negocio, probablemente el mayor
desafo que est enfrentado sea la redaccin de los planes de continuidad del negocio.
Por qu es tan difcil? Bueno, tiene que pensar diversos escenarios en los cuales se podran
producir desastres (u otro tipo de interrupcin de las actividades comerciales) y tiene que idear
una forma para manejar este tipo de incidentes excepcionalmente raros pero potencialmente
catastrficos.
Entre los problemas que tiene la gente que redacta estos planes se incluye qu debe contener el
plan (cules son los elementos principales), qu tan largo (o detallado) debe ser, qu pasos debe
incluir, etc.
Una de las mejores soluciones para todos estos problemas radica en utilizar la norma BS 25999-2
que, junto con la BS 25999-1, define una estructura sobre cmo se deben redactar los planes.
Segn estas normas, los planes de continuidad del negocio deben consistir de (1) un plan de
respuesta a los incidentes y (2) planes de recuperacin. Un plan de respuesta a los incidentes
generalmente es un nico plan redactado para toda la organizacin y describe qu se debe
hacer inmediatamente despus de que se produce un desastre: disminuir los efectos del
incidente, comunicar a los servicios de emergencia, evacuacin del edificio, reunin en los
puntos de encuentro, organizacin del transporte a las ubicaciones alternativas, etc.
Los planes de recuperacin generalmente se redactan en forma separada para cada actividad
crtica y los pasos que se deben incluir normalmente son los siguientes: cundo y cmo realizar
la comunicacin con los diversos grupos de inters (empleados y sus familiares, accionistas,
clientes, socios, organismos oficiales, medios de comunicacin, etc.), cmo armar el equipo,
cmo recuperar la infraestructura, cmo controlar si las aplicaciones estn funcionando y si los
derechos de acceso son correctos, cmo verificar qu datos faltan o han sido alterados por el
9

desastre, cmo recuperar los datos y cmo decidir cundo la recuperacin ha terminado para
poder comenzar el funcionamiento normal.
Los planes de recuperacin de despus de desastres (los planes de recuperacin de la
infraestructura de ICT) son los que se deben redactar con mucho cuidado porque deben detallar
cmo configurar cada sistema que se ejecuta dentro del objetivo de tiempo de recuperacin de
una actividad crtica determinada. Generalmente, esto se hace redactando un detallado plan de
recuperacin para cada sistema que se debe recuperar.
Por regla general, estos planes deben tener un nivel de detalle que permita que otros empleados
(o personal externo) pueda ejecutarlo si la gente que trabaja con esa actividad crtica no est
disponible. Por lo tanto, hay que usar el sentido comn cuando se redactan los planes; deben ser
comprensibles para todo el mundo, no slo para usted.
Segn mi experiencia, el mayor desafo al redactar estos planes se encuentra en que los
empleados se tienen que enfrentar con algo completamente diferente, algo en lo que nunca han
tenido que pensar. Para superar este problema, es recomendable organizar un taller en el que,
con o sin un moderador, los empleados puedan compartir sus ideas sobre qu sucedera si,
cmo reaccionar cuando. etc.
La verdad es que, con el slo hecho de que sus empleados hayan comenzado a pensar en la
continuidad del negocio, ya tiene hecho el 50% del trabajo. Con esta forma de ver las cosas, los
resultados de la planificacin de la continuidad del negocio es mucho mejor.
Tambin puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 Parte 3:
Planificacin de la continuidad del negocio (es un curso de capacitacin disponible para la
venta).

10