4 pasos para armar un Plan de Continuidad del Negocio

Cuando hablamos de continuidad del negocio nos referimos a la

capacidad de sobrevivir a las cosas malas que pueden tener un
impacto negativo en la empresa: desde un brote de virus informtico
hasta un brote de virus biolgico, y todos los dems peligros entre
ambos, como incendios, inundaciones, tornados, huracanes, terremotos
y tsunamis. El estndar internacional para la continuidad del negocio,
ISO 22301, la define como la capacidad [de una organizacin] de
continuar la prestacin de productos o servicios en los niveles
predefinidos aceptables tras incidentes de interrupcin de la actividad.
La Gestin de la Continuidad del Negocio (tambin llamada BCM,
por sus siglas en ingls) es el proceso de lograr esta capacidad y
mantenerla, y conforma una parte vital de la gestin de seguridad de
sistemas de informacin, que ahora se conoce ms comnmente como
seguridad ciberntica.
Ahora bien, cmo responder ante una contingencia? El presente artculo
describe los puntos bsicos de un BCM y suministra una lista de recursos
que t y tu organizacin pueden utilizar para mejorar la capacidad
de sobrevivir a cualquier cambio imprevisible e indeseado.
La continuidad del negocio no es slo para TI
La mayora de las organizaciones de hoy son sumamente dependientes
de la tecnologa de la informacin (desde equipos porttiles hasta
servidores, de escritorio hasta tabletas y smartphones), pero queda claro
que esta tecnologa puede verse afectada por una amplia gama
de incidentes potencialmente desastrosos. stos van desde cortes
en el suministro de energa provocados por tormentas hasta la prdida
de datos causada por equivocaciones de los empleados o por criminales
informticos.
Desde los albores de la TI, estaba claro que las organizaciones iban a
necesitar estrategias para
prepararse
para
dichos
incidentes,
responder a ellos y recuperarse de ellos. Por ese motivo, gran parte de
los primeros trabajos sobre el manejo de incidentes de interrupcin de la
actividad provino de la comunidad de TI.
No obstante, con el paso del tiempo, la disciplina de recuperacin ante
desastres evolucion a un proceso de gestin holstico que identifica
amenazas potenciales para la organizacin y el impacto que su
materializacin podra ocasionar en las operaciones corporativas, y que
proporciona un marco para crear resistencia corporativa de modo que
pueda dar una respuesta eficaz que proteja los intereses de sus grupos

de inters, reputacin, marcas y actividades de creacin de valor

fundamentales.
Una vez ms, terminologa ISO 22301. Hay que tener en cuenta que,
aunque tu empresa no necesita tener certificacin ISO 22301 para
sobrevivir a un desastre, algunas corporaciones desean conseguir esta
certificacin para mejorar su programa de BCM y a la vez para
ganar ms mercado. Por ejemplo, es evidente que ciertas empresas
esenciales para la cadena de suministro de algunas industrias reciben
ms solicitudes por el seguro de continuidad del negocio en las
negociaciones contractuales, y su adherencia a ISO 22301 ciertamente
contribuye a esta cuestin.
Un programa bsico de BCM en cuatro pasos
Desafortunadamente, algunas empresas deben cerrar cuando las
alcanza un desastre para el cual no estaban preparadas
adecuadamente. Es lamentable porque el camino para dicha
preparacin est bien documentado. Cualquier empresa de cualquier
tamao puede mejorar las posibilidades de superar un
incidente de interrupcin de la actividad y quedar en una pieza (con la
marca intacta y sin merma en los ingresos) si sigue ciertas estrategias
probadas y de confianza, ms all de que desee obtener la certificacin
ISO 22301 o no.
A continuacin, un resumen de los cuatro pasos principales:
1. Identifica y ordena las amenazas
Crea una lista de los incidentes de interrupcin de la actividad que
constituyan las amenazas ms probables para la empresa. No uses la
lista de otro, porque las amenazas varan segn la ubicacin. Por
ejemplo, aqu en San Diego, donde vivo, hay un grado relativamente alto
de sensibilizacin con respecto a los terremotos y a los incendios
forestales, por lo que muchas organizaciones llevaron a cabo un nivel
bsico de planificacin para prepararse ante desastres teniendo esos
eventos en cuenta.
Pero qu ocurre donde se encuentra tu empresa? Y qu pasa con la
fuga de datos o la interrupcin de la infraestructura de TI, que pueden
ocurrir en cualquier parte? Qu pasa si un producto qumico txico
provoca que se cierren las instalaciones por varios das? Ests ubicado
cerca de una va ferroviaria? De una autopista importante? Cunto
depende tu empresa de proveedores extranjeros?
En esta etapa, una buena tcnica es reunir personas de todos los
departamentos en una sesin de intercambio de ideas. El objetivo de

la reunin es crear una lista de escenarios ordenados por

probabilidad de ocurrencia y por potencial de causar un impacto
negativo.
2. Realiza un anlisis del impacto en la empresa
Necesitas determinar qu partes de tu empresa son las ms
crticas para que sobreviva. Una manera es comenzar detallando las
funciones, los procesos, los empleados, los lugares y los sistemas que
son crticos para el funcionamiento de la organizacin. De esto se puede
ocupar el lder del proyecto de BCM; para ello, deber entrevistar a los
empleados de cada departamento y luego elaborar una tabla de
resultados que liste las funciones y las personas principales y las
secundarias.
A
continuacin
determinars
la
cantidad
de das
de
supervivencia de la empresa para cada funcin. Cunto puede
resistir la empresa sin que una funcin en particular provoque un
impacto grave?
Luego, ordenars el impacto de cada funcin en caso de que no est
disponible. Por ejemplo, Michael Miora, experto en recuperacin ante
desastres, sugiere utilizar una escala de 1 a 4, donde 1 = impacto crtico
en las actividades operativas o prdida fiscal, y 4 = sin impacto a corto
plazo. Si luego se multiplica el Impacto por los das de supervivencia,
se puede ver cules son las funciones ms crticas. Al principio de la
tabla quedarn las funciones con un impacto mayor y con slo un da de
supervivencia.
3. Crea un plan de respuesta y recuperacin
En esta etapa debers catalogar datos clave sobre los bienes
involucrados en la realizacin de las funciones crticas, incluyendo
sistemas de TI, personal, instalaciones, proveedores y clientes. Debers
incluir nmeros de serie de los equipos, acuerdos de licencia, alquileres,
garantas, detalles de contactos, etc.
Necesitars determinar a quin llamar en cada categora de incidente
y crear un rbol de nmeros telefnicos para que se hagan las llamadas
correctas en el orden correcto. Tambin necesitas una lista de quin
puede decir qu cosa para controlar la interaccin con los medios
durante un incidente (considera quedarte con una estrategia de slo el
CEO si se trata de un incidente delicado).
Debern quedar documentados todos los acuerdos vigentes para mudar
las operaciones a ubicaciones e instalaciones de TI temporales, de ser
necesario. No te olvides de documentar el proceso de notificacin
para los miembros de la empresa en su totalidad y el procedimiento de
asesoramiento para clientes.

Los pasos para recuperar las operaciones principales deberan ordenarse

en una secuencia donde queden explcitas las interdependencias
funcionales. Cuando el plan est listo, asegrate de capacitar a los
gerentes sobre los detalles relevantes para cada departamento, as
como la importancia del plan general para sobrevivir a un incidente.
4. Prueba el plan y refina el anlisis
La mayora de los expertos en BCM recomiendan probar el plan al
menos una vez al ao, con ejercicios, anlisis paso a paso o
simulaciones. La prueba te permite sacar el mayor provecho a lo que
invertiste en la creacin del plan, y no slo te permite encontrar fallas y
dar cuenta de los cambios corporativos con el transcurso del tiempo,
sino que tambin causa una buena impresin en la gerencia.
No cabe duda de que estos cuatro pasos significan un enorme trabajo,
pero es una tarea que las empresas ignoran bajo su propio riesgo. Si
el proyecto parece demasiado desalentador para aplicar a la empresa
completa, considera comenzar por unos pocos departamentos o una sola
oficina, si hay varias. Todo lo que vayas aprendiendo en el proceso se
podr aplicar en mayor escala a medida que progreses. Evita a toda
costa pensar que las cosas malas no suceden, porque s lo hacen. Slo
tienes que estar preparado. Y no pretendas que cuando ocurra algo no
ser tan malo, porque podra serlo.
Traduccin y adaptacin del post de Stephen Cobb en