Plan de Continuidad del Negocio y plan de contingencia.

Transcripción

1 Plan de Continuidad del Negocio y plan de contingencia. La pérdida de reputación y la interrupción del negocio encabezan la lista de los mayores riesgos para las empresas. Hoy en día, la continuidad del negocio no sólo se asocia con fenómenos físicos como incendios o fallos tecnológicos, sino que se extiende a un nivel estratégico en el que la reputación y el valor del accionista son elementos clave. Contar con un Plan de Continuidad del Negocio permite a las empresas garantizar la continuidad de la actividad frente a una crisis, aumentando las posibilidades de supervivencia de la compañía. Ventajas El Plan de Continuidad de Negocio es una herramienta que permite prevenir o evitar los posibles escenarios originados por una situación de crisis así como minimizar las consecuencias económicas, reputacionales o de responsabilidad civil derivadas de la misma. Ayuda además a reducir los costes asociados a la interrupción o evitar penalizaciones contractuales por incumplimiento de contratos como proveedor de productos o servicios. El Plan de Continuidad del Negocio permite anticiparse a la situación de crisis y garantizar el desarrollo normal de la actividad, determinando los riesgos de magnitud suficiente para poder en peligro el normal funcionamiento de las actividades del negocio y señalando las acciones a adoptar en caso de que éstos se materialicen. Asimismo, ayuda a determinar de antemano qué información es crítica y cómo debe salvaguardarse. Estos planes son una herramienta de estabilidad y continuidad que aporta prestigio a las empresas que los implantan. Cuando hablamos de continuidad del negocio nos referimos a la capacidad de sobrevivir a las cosas malas que pueden tener un impacto negativo en la empresa: desde un brote de virus informático hasta un brote de virus biológico, y todos los demás peligros entre ambos, como incendios, inundaciones, tornados, huracanes, terremotos y tsunamis. El estándar internacional para la continuidad del negocio, ISO 22301, la define como la capacidad [de una organización] de continuar la prestación de productos o servicios en los niveles predefinidos aceptables tras incidentes de interrupción de la actividad. 1

2 La Gestión de la Continuidad del Negocio (también llamada BCM, por sus siglas en inglés) es el proceso de lograr esta capacidad y mantenerla, y conforma una parte vital de la gestión de seguridad de sistemas de información, que ahora se conoce más comúnmente como seguridad cibernética. Ahora bien, cómo responder ante una contingencia? El presente artículo describe los puntos básicos de un BCM y suministra una lista de recursos que tú y tu organización puede utilizar para mejorar la capacidad de sobrevivir a cualquier cambio imprevisible e indeseado. La continuidad del negocio no es sólo para TI La mayoría de las organizaciones de hoy son sumamente dependientes de la tecnología de la información (desde equipos portátiles hasta servidores, de escritorio hasta tabletas y smartphones), pero queda claro que esta tecnología puede verse afectada por una amplia gama de incidentes potencialmente desastrosos. Éstos van desde cortes en el suministro de energía provocados por tormentas hasta la pérdida de datos causada por equivocaciones de los empleados o por criminales informáticos. Desde los albores de la TI, estaba claro que las organizaciones iban a necesitar estrategias para prepararse para dichos incidentes, responder a ellos y recuperarse de ellos. Por ese motivo, gran parte de los primeros trabajos sobre el manejo de incidentes de interrupción de la actividad provino de la comunidad de TI. No obstante, con el paso del tiempo, la disciplina de recuperación ante desastres evolucionó a un proceso de gestión holístico que identifica amenazas potenciales para la organización y el impacto que su materialización podría ocasionar en las operaciones corporativas, y que proporciona un marco para crear resistencia corporativa de modo que pueda dar una respuesta eficaz que proteja los intereses de sus grupos de interés, reputación, marcas y actividades de creación de valor fundamentales. Una vez más, terminología ISO Hay que tener en cuenta que, aunque tu empresa no necesita tener certificación ISO para sobrevivir a un desastre, algunas corporaciones desean conseguir esta certificación para mejorar su programa de BCM y a la vez para ganar más mercado. Por ejemplo, es evidente que ciertas empresas esenciales para la cadena de suministro de algunas industrias reciben más solicitudes por el seguro de continuidad del negocio en las negociaciones contractuales, y su adherencia a ISO ciertamente contribuye a esta cuestión. Un programa básico de BCM en cuatro pasos Desafortunadamente, algunas empresas deben cerrar cuando las alcanza un desastre para el cual no estaban preparadas adecuadamente. Es lamentable porque el camino para dicha preparación está bien documentado. Cualquier empresa de cualquier tamaño puede mejorar las posibilidades de superar un incidente de interrupción de la actividad y quedar en una pieza (con la marca intacta y sin merma en los ingresos) si sigue ciertas estrategias probadas y de confianza, más allá de que desee obtener la certificación ISO o no. A continuación, un resumen de los cuatro pasos principales: 1. Identifica y ordena las amenazas 2

3 Crea una lista de los incidentes de interrupción de la actividad que constituyan las amenazas más probables para la empresa. No uses la lista de otro, porque las amenazas varían según la ubicación. Por ejemplo, aquí en San Diego, donde vivo, hay un grado relativamente alto de sensibilización con respecto a los terremotos y a los incendios forestales, por lo que muchas organizaciones llevaron a cabo un nivel básico de planificación para prepararse ante desastres teniendo esos eventos en cuenta. Pero qué ocurre donde se encuentra tu empresa? Y qué pasa con la fuga de datos o la interrupción de la infraestructura de TI, que pueden ocurrir en cualquier parte? Qué pasa si un producto químico tóxico provoca que se cierren las instalaciones por varios días? Estás ubicado cerca de una vía ferroviaria? De una autopista importante? Cuánto depende tu empresa de proveedores extranjeros? En esta etapa, una buena técnica es reunir personas de todos los departamentos en una sesión de intercambio de ideas. El objetivo de la reunión es crear una lista de escenarios ordenados por probabilidad de ocurrencia y por potencial de causar un impacto negativo. 2. Realiza un análisis del impacto en la empresa Necesitas determinar qué partes de tu empresa son las más críticas para que sobreviva. Una manera es comenzar detallando las funciones, los procesos, los empleados, los lugares y los sistemas que son críticos para el funcionamiento de la organización. De esto se puede ocupar el líder del proyecto de BCM; para ello, deberá entrevistar a los empleados de cada departamento y luego elaborar una tabla de resultados que liste las funciones y las personas principales y las secundarias. A continuación determinarás la cantidad de días de supervivencia de la empresa para cada función. Cuánto puede resistir la empresa sin que una función en particular provoque un impacto grave? Luego, ordenarás el impacto de cada función en caso de que no esté disponible. Por ejemplo, Michael Miora, experto en recuperación ante desastres, sugiere utilizar una escala de 1 a 4, donde 1 = impacto crítico en las actividades operativas o pérdida fiscal, y 4 = sin impacto a corto plazo. Si luego se multiplica el Impacto por los días de supervivencia, se puede ver cuáles son las funciones más críticas. Al principio de la tabla quedarán las funciones con un impacto mayor y con sólo un día de supervivencia. 3. Crea un plan de respuesta y recuperación En esta etapa deberás catalogar datos clave sobre los bienes involucrados en la realización de las funciones críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Deberás incluir números de serie de los equipos, acuerdos de licencia, alquileres, garantías, detalles de contactos, etc. Necesitarás determinar a quién llamar en cada categoría de incidente y crear un árbol de números telefónicos para que se hagan las llamadas correctas en el orden correcto. También necesitas una lista de quién puede decir qué cosa para controlar la interacción con los medios durante un incidente (considera quedarte con una estrategia de sólo el CEO si se trata de un incidente delicado). 3

4 Deberán quedar documentados todos los acuerdos vigentes para mudar las operaciones a ubicaciones e instalaciones de TI temporales, de ser necesario. No te olvides de documentar el proceso de notificación para los miembros de la empresa en su totalidad y el procedimiento de asesoramiento para clientes. Los pasos para recuperar las operaciones principales deberían ordenarse en una secuencia donde queden explícitas las interdependencias funcionales. Cuando el plan esté listo, asegúrate de capacitar a los gerentes sobre los detalles relevantes para cada departamento, así como la importancia del plan general para sobrevivir a un incidente. 4. Prueba el plan y refina el análisis La mayoría de los expertos en BCM recomiendan probar el plan al menos una vez al año, con ejercicios, análisis paso a paso o simulaciones. La prueba te permite sacar el mayor provecho a lo que invertiste en la creación del plan, y no sólo te permite encontrar fallas y dar cuenta de los cambios corporativos con el transcurso del tiempo, sino que también causa una buena impresión en la gerencia. No cabe duda de que estos cuatro pasos significan un enorme trabajo, pero es una tarea que las empresas ignoran bajo su propio riesgo. Si el proyecto parece demasiado desalentador para aplicar a la empresa completa, considera comenzar por unos pocos departamentos o una sola oficina, si hay varias. Todo lo que vayas aprendiendo en el proceso se podrá aplicar en mayor escala a medida que progreses. Evita a toda costa pensar que las cosas malas no suceden, porque sí lo hacen. Sólo tienes que estar preparado. Y no pretendas que cuando ocurra algo no será tan malo, porque podría serlo. El plan de continuidad tiene muchas facetas: 4

5 Hay que ver que hay diferencia entre continuidad del negocio y plan de contingencia CONTINGENCIA TIC vs CONTINUIDAD DE NEGOCIO Si bien es cierto que se van viendo avances significativos en la comprensión del, a veces, confuso mundo de la Continuidad de Negocio, todavía en ocasiones nos encontramos con que no se distinguen del todo algunos conceptos básicos. Es el caso de los Planes de Contingencia en relación con los Planes de Continuidad de Negocio. Aquí podemos entrar en discusiones del tipo: un Plan de Contingencia no es exactamente lo mismo que un Plan de Continuidad de Negocio o en realidad es un Plan de Continuidad de Negocio pero sólo para Sistemas. La forma más acertada de abordar el asunto, y en nuestra opinión la única que garantiza una comprensión definitiva del mismo, es considerar al Plan de Continuidad de Negocio como un Plan de Planes. Efectivamente, un buen Plan de Continuidad contendrá a su vez un cierto número de planes diferentes, como puede ser el Plan Evacuación, el Plan de Emergencia, el Plan de Gestión de Incidentes y, cómo no, un buen Plan de Contingencia de Sistemas. En aras de una mayor claridad, podemos decir que un Plan de Contingencia de las TIC (Tecnologías de la Información y las Comunicaciones) consiste en una estrategia planificada en fases, constituida por un conjunto de recursos de respaldo, una organización de emergencia y unos procedimientos de actuación, encaminados a conseguir una restauración ordenada, progresiva y ágil de los sistemas de información que soportan la información y los procesos de negocio considerados críticos en el PCN de la compañía. 5

6 Por su parte, el Plan de Continuidad de Negocio puede ser definido como un conjunto formado por planes de actuación, planes de emergencia, planes financieros, planes de comunicación y planes de contingencias destinados a mitigar el impacto provocado por la concreción de determinados riesgos sobre la información y los procesos de negocio de una compañía. A grandes rasgos, tres son los elementos característicos de un Plan de Continuidad de Negocio: Garantiza la continuidad de los procesos ante desastres y eventualidades. Es un elemento estratégico global, que se sustancia de n planes de contingencia de áreas de negocio y n planes de contingencia de las infraestructuras en las que se soporta el negocio, entre ellas los sistemas de información y las comunicaciones. Tiene como objetivo dar respuesta a las situaciones que no han podido ser evitadas por las medidas de seguridad implantadas por la organización. Por tanto, no debemos tener dudas al afirmar que el Plan de Contingencia es uno de los elementos más relevantes de un Plan de Continuidad de Negocio, y que si tenemos en cuenta la dependencia casi absoluta que las organizaciones y empresas de cualquier tipo tienen de los Sistemas de Información y de las Comunicaciones, nos daremos cuenta rápidamente de que a día de hoy es difícil dar Continuidad sin tener Contingencia de las TIC. Y decimos difícil y no imposible, pues en ocasiones podremos buscar alternativas manuales para aquellas actividades que en condiciones normales realizamos apoyándonos en las tecnologías de la información y las comunicaciones (TIC). En el ámbito de las normativas internacionales existentes en la actualidad, vemos también esta diferenciación entre Continuidad y Contingencia. Así, ahora mismo contamos con un estándar británico como es BS 25999, cuya parte 2 nos permite certificar todo un Sistema de Gestión de Continuidad de Negocio, y estamos a punto de que la futura norma ISO basada en el estándar británico vea la luz. Será la esperada ISO cuyo título en español todavía es difícil de traducir, pero que en inglés es Societal security Preparedness and continuity management systems Requirements. En el campo de la contingencia de las TIC, el pasado mes de Abril se publicó el estándar internacional ISO con el título Information technology Security techniques Guidelines for information and communication technology readiness for business continuity, es decir, una guía de buenas prácticas sobre la disponibilidad de las TIC para la Continuidad de Negocio. Como vemos, Contingencia TIC y Continuidad de Negocio son elementos muy vinculados y que casi siempre irán de la mano pero son distintos. TAREA Elaborar un pequeño FODA de la empresa 2. Elaborar un pequeño plan de contingencia TIC. Para la empresa. Si ya tiene explicar cómo es el plan de contigencia que tiene dicha empresa o institución. 6