'By 'Dejan Kosutic on November 04, 2010
¿Alguna vez le ha sucedido que su gerente le asigne la responsabilidad de implementar la continuidad del negocio simplemente porque usted es parte del departamento de TI? ¿Por qué se identifica continuidad del negocio con tecnología de la información?
Probablemente porque la continuidad del negocio tiene sus orígenes en la recuperación ante desastres, y la recuperación ante desastres básicamente se trata de tecnología de la información. Veinte o treinta años atrás, la continuidad del negocio no existía conceptualmente, pero sí la recuperación ante desastres: la principal preocupación era cómo salvar los datos si se producía un desastre. En ese momento, era muy común comprar equipos costosos y colocarlos en una ubicación remota para que todos los datos importantes de una organización estuvieran resguardados si, por ejemplo, se produjera un terremoto. No sólo resguardados sino también que los datos se procesarían más o menos con la misma capacidad que si estuvieran en la ubicación principal.
Pero después de un tiempo se hizo evidente… ¿para qué servirían los datos si no existieran operaciones comerciales en las cuales utilizarlos? Así fue como surgió la idea de la continuidad del negocio: su objetivo es permitir que el negocio siga funcionando, aún en caso de una interrupción importante.
Definiciones
Veamos las definiciones: continuidad del negocio es la “capacidad estratégica y táctica de la organización para planificar y responder ante los incidentes e interrupciones del negocio con el fin de permitir la continuidad de las actividades comerciales en un nivel aceptable previamente definido” (BS 25999-2:2007); mientras que recuperación ante desastres se refiere “al proceso, políticas y procedimientos relacionados con preparar la recuperación o continuación de la infraestructura tecnológica crítica de una organización después de un desastre natural o producido por el hombre” (Wikipedia.org).
Como puede ver en las definiciones, en la recuperación ante desastres el énfasis se encuentra en la tecnología, mientras que para la continuidad del negocio son las actividades comerciales. Por lo tanto, la primera es parte de la segunda; la puede considerar como uno de los principales facilitadores de las actividades comerciales, o como la parte tecnológica de la continuidad del negocio.
Sin embargo, es posible que usted haya notado algo más: la definición de continuidad del negocio está tomada de la norma BS 25999-2, la principal norma sobre gestión de continuidad del negocio, mientras que la definición de recuperación ante desastres está extraída de Wikipedia. En realidad, “continuidad del negocio” es un término oficial reconocido por las normas, mientras “recuperación ante desastres” no.
Importancia de su implementación
Entonces, ¿por qué no es una buena idea que un departamento de TI implemente la continuidad del negocio para toda la organización? Porque la continuidad del negocio es principalmente un asunto comercial, no un tema de TI. Si el departamento de TI implementara la continuidad del negocio para toda la organización, no podría definir la criticidad de las actividades comerciales ni de la información. Además, es un interrogante ver si lograría el compromiso de las partes comerciales de la organización.
La mejor forma de organizar la implementación de la continuidad del negocio es que el sector comercial lidere el proyecto; de esta forma lograría mayor concienciación y aceptación de todos los sectores de la organización. El departamento de TI debe cumplir su función en ese proyecto, una función clave, preparando los planes de recuperación ante desastres.
'By 'Dejan Kosutic on April 08, 2010
Si comenzó a implementar la gestión de la continuidad del negocio, probablemente el mayor desafío que está enfrentado sea la redacción de los planes de continuidad del negocio.
¿Por qué es tan difícil? Bueno, tiene que pensar diversos escenarios en los cuales se podrían producir desastres (u otro tipo de interrupción de las actividades comerciales) y tiene que idear una forma para manejar este tipo de incidentes excepcionalmente raros pero potencialmente catastróficos.
Entre los problemas que tiene la gente que redacta estos planes se incluye qué debe contener el plan (cuáles son los elementos principales), qué tan largo (o detallado) debe ser, qué pasos debe incluir, etc.
Una de las posibles soluciones a estos problemas en Venezuela podría ser la utilización bajo analogía de las normas BS 25999-2, ISO 22301, BS 25999-1 en conjunto con la ISO 27001, las cuales definen un patrón y una estructura sobre cómo se deben redactar estos planes.
Según estas normas, los planes de continuidad del negocio deben consistir de (1) un plan de respuesta a los incidentes y (2) planes de recuperación. Un plan de respuesta a los incidentes generalmente es un único plan redactado para toda la organización y describe qué se debe hacer inmediatamente después de que se produce un desastre: disminuir los efectos del incidente, comunicar a los servicios de emergencia, evacuación del edificio, reunión en los puntos de encuentro, organización del transporte a las ubicaciones alternativas, etc.
Los planes de recuperación generalmente se redactan en forma separada para cada actividad crítica y los pasos que se deben incluir normalmente son los siguientes: cuándo y cómo realizar la comunicación con los diversos grupos de interés (empleados y sus familiares, accionistas, clientes, socios, organismos oficiales, medios de comunicación, etc.), cómo armar el equipo, cómo recuperar la infraestructura, cómo controlar si las aplicaciones están funcionando y si los derechos de acceso son correctos, cómo verificar qué datos faltan o han sido alterados por el desastre, cómo recuperar los datos y cómo decidir cuándo la recuperación ha terminado para poder comenzar el funcionamiento normal.
Los planes de recuperación de después de desastres (los planes de recuperación de la infraestructura de I.C.T) son los que se deben redactar con mucho cuidado porque deben detallar cómo configurar cada sistema que se ejecuta dentro del objetivo de tiempo de recuperación de una actividad crítica determinada. Generalmente, esto se hace redactando un detallado plan de recuperación para cada sistema que se debe recuperar.
Por regla general, estos planes deben tener un nivel de detalle que permita que otros empleados (o personal externo) pueda ejecutarlo si la gente que trabaja con esa actividad crítica no está disponible. Por lo tanto, hay que usar el sentido común cuando se redactan los planes; deben ser comprensibles para todo el mundo, no sólo para usted.
Según mi experiencia, el mayor desafío al redactar estos planes se encuentra en que los empleados se tienen que enfrentar con algo completamente diferente, algo en lo que nunca han tenido que pensar. Para superar este problema, es recomendable organizar un taller en el que, con o sin un moderador, los empleados puedan compartir sus ideas sobre “qué sucedería si…”, “cómo reaccionar cuando…”. etc.
La verdad es que, con el sólo hecho de que sus empleados hayan comenzado a pensar en la continuidad del negocio, ya tiene hecho el 50% del trabajo. Con esta forma de ver las cosas, los resultados de la planificación de la continuidad del negocio son mucho mejor.
No hay comentarios:
Publicar un comentario