viernes, junio 25, 2010

Plan de Continuidad de Negocios o Business Continuity Plan (BCP)


En esta entrada voy a darles una guía sobre como realizar un Plan de Continuidad de Negocios, aunque les recomiendo tener a mano la Norma BS 25999-2 para que este trabajo sea aun mas fructífero.

Mientras que las organizaciones gubernamentales, sin ánimo de lucro o las ONG cumplen con funciones criticas, las organizaciones privadas deben entregar de manera continua productos y servicios para cumplir con sus inversores y claro esta, sobrevivir. Siendo Organizaciones cuyo propósito es tan disímil, ambas tienen una necesidad en común: implementar un Plan de Continuidad de Negocios o BCP.

Planeación de la Continuidad del Negocio vs. Plan de Reanudación del Negocio y Plan de Recuperación de Desastres.

Un plan de reanudación de negocios describe como reiniciar la operación después de una interrupción. Un Plan de recuperación de desastres se enfoca en recuperar los sistemas después de una interrupción estrepitosa. Ambos implican detener las operaciones criticas y su reanudación.

Ahora, aceptar que algunos productos o servicios deben ser permanentemente entregados sin interrupciones es la clave para entender los diferentes alcances del Plan de Reanudación de Negocios y el Plan de Continuidad de Negocios.

La ejecución de un Plan de Continuidad de Negocios permite que los productos o servicios críticos sigan siendo entregados a los clientes. En vez de enfocarse en restablecer las operaciones después de que estas se interrumpan por un desastre, un plan de continuidad se enfoca en que los procesos críticos continúen estando disponibles.

Que es un Plan de Continuidad de Negocios?

Los productos o servicios críticos de una Organización son aquellos que deben ser entregados para asegurar la supervivencia de la Organización, evitar los problemas de no entregarlo y cumplir con obligaciones legales o contractuales existentes. El Plan de Continuidad de Negocio es un plan proactivo que busca asegurar que los productos o servicios continúen siendo entregados durante una interrupción no planeada.

Un Plan de Continuidad Incluye:
  • Planes, medidas y disposiciones para asegurar la entrega continua de los servicios y/o productos que le permitan a la Organización recuperar sus instalaciones, información y activos.
  • La identificación de los recursos necesarios para respaldar la continuidad del negocio, incluyendo personal, información, equipos, recursos financieros, apoyo legal, seguridad y alojamientos en caso de ser necesarios.
Implementar un BCP mejora la imagen de la Organización con sus empleados, accionistas y clientes al demostrar una actitud proactiva. Dentro de los beneficios adicionales podemos incluir una mejora en la eficiencia organizacional, así como también permite identificar la relación entre los activos, recursos humanos, los recursos financieros y los productos y servicios críticos de la organización.

Por que es valioso un Plan de Continuidad del Negocio?

Toda organización está en riesgo de ser víctima de un desastre:
  • Un desastre natural como una inundación, un incendio, un terremoto, etc.
  • Sabotaje
  • Cortes de energía
  • Fallas en comunicaciones, transporte o de seguridad.
  • Ciber ataques por parte de un hacker

Creación de un Plan de Continuidad de Negocios BCP
Crear y mantener un BCP le sirve a una Organización para conseguir los recursos necesarios para enfrentar cualquiera de estas situaciones, vamos ahora a ver que secciones incluye por lo general un BCP:


Establecer el Control

Un BCP contiene una estructura de gobierno, a menudo en la forma de un comité que asegura un compromiso de alta dirección y define las funciones de alta dirección y sus responsabilidades. Este comité es el responsable de la supervisión, inicio, planeación, aprobación, ensayos y auditorias al BCP. Asimismo implementa el BCP, coordina actividades, aprueba los resultados que arroje el BIA, supervisa la creación de planes de continuidad y revisa los resultados de actividades de aseguramiento de calidad.

Los directivos de un Comité BCP normalmente:
  • Aprueban la estructura de gobierno
  • Aclaran cuáles son sus funciones y las de todos los que participan en el programa
  • Revisan la creación de comités, grupos de trabajo y equipos que van a desarrollar y ejecutar el plan
  • Suministran orientación estratégica
  • Aprueban los resultados del BIA
  • Revisan los productos y servicios críticos que se han identificado
  • Aprueban los Planes de Continuidad
  • Monitorean las actividades de aseguramiento de calidad,
  • Resuelven conflictos de interés
El comité del BCP normalmente esta compuesto por los siguientes miembros:
  • Líder Ejecutivo, quien tiene la responsabilidad general del comité del BCP; solicita el apoyo de la alta dirección y dirección, y asegura la financiación adecuada para el BCP.
  • Coordinador del BCP asegura el apoyo de la alta dirección, estima requisitos de financiación, desarrolla la política del BCP, coordina y supervisa el proceso de BIA, asegura participaciones eficaces de los lideres de procesos, coordina y supervisa el desarrollo de los planes y disposiciones para la continuidad del negocio; establece grupos de trabajo y equipos y define sus responsabilidades; coordina jornadas de capacitación, y establece la revisión periódica, pruebas y de auditorías del BCP.
  • Oficial de Seguridad, quien trabaja para garantizar que todos los aspectos del BCP cumplen con los requisitos de seguridad de la organización.
  • Jefe de Información el cual coopera estrechamente con el coordinador del BCP y especialistas IT en planes de continuidad.
  • Lideres de proceso, quienes suministran información valiosa sobre las actividades de la organización, y revisan los resultados del BIA.
El comité BCP es comúnmente co-presidido por el coordinador ejecutivo y el coordinador.


Análisis de Impacto de Negocio o BIA

En este blog ya existe una entrada sobre este tema, la cual esta en este link: Análisis de Impacto de Negocios / Business Impact Analysis (BIA)


Planes para continuidad del negocio

Esta etapa consiste en la preparación detallada de planes de respuesta o recuperación y todos los acuerdos necesarios para asegurar la continuidad. Estos planes y acuerdos detallan las vías y medios necesarios para garantizar que los productos y servicios de la Organización continúan siendo entregados dentro de tiempos de inactividad tolerables, teniéndose que hacer un plan de continuidad para cada uno de los productos y/o servicios que se hayan categorizado como críticos.

Mitigando riesgos y amenazas

Las amenazas y riesgos son identificadas en el BIA. La mitigación de riesgos en un proceso siempre en ejecución, y tiene que ser ejecutado de manera permanente incluso sin que se haya activado el BCP. Por ejemplo, si una Organización requiere del suministro de energía eléctrica para producir, el riesgo de un corte del servicio puede ser mitigado por la instalación de una planta o estación eléctrica.

Otro ejemplo puede ser una Organización que depende de las comunicaciones internas y externas para funcionar adecuadamente. Una falla en sus sistemas de comunicaciones puede ser minimizada utilizando redes alternas de comunicaciones o instalando sistemas redundantes.

Análisis de la capacidad actual de recuperación

Hay que tener en cuenta las facilidades con las que cuenta actualmente la Organización para garantizar la continuidad del negocio, sin olvidar incluirlas en el BCP.

Crear Planes de Continuidad
Los planes de continuidad de negocio para los servicios y productos están basados en los resultados del BIA. Hay que asegurarse que los planes estén hechos con niveles incrementales de severidad del impacto causado por una interrupción. Por ejemplo, si ocurriera una inundación podrían utilizarse sacos de arena como respuesta a esta dificultad. Ahora, si el nivel del agua cubre el primer piso, se puede pensar en trabajar en un segundo o tercer piso de la edificación. Pensemos ahora que el nivel del agua se mantiene por demasiado tiempo, entonces tendríamos que reubicar la operación en un sitio alterno mientras baja el nivel del agua.

Los riesgos y beneficios de cada posible opción que se va a incluir en el BCP deben ser considerados, manteniendo presente los costos, flexibilidad y escenarios probables de interrupción. Para cada producto o servicio critico, debe escogerse la opción mas realista y efectiva para crear el Plan.

Preparación de respuesta

Una apropiada respuesta a una crisis que se presente requiere de equipos que lideren y respalden las operaciones de respuesta. Los miembros del equipo deben seleccionarse teniendo en cuenta capacitación y experiencia para asignarles tal responsabilidad.

El numero y alcance de los equipos puede variar dependiendo en el tamaño de la organización, funciones y estructura, y pueden existir los siguientes:
  • Equipo de Comand, que incluye al equipo de Respuesta a Crisis, y un equipo de Respuesta, Continuidad o Recuperación según se haya determinado.
  • Equipos de trabajo como el equipo de Coordinación de trabajo en un sitio alterno, Equipo de Compras y Contrataciones, Equipo de Inventario de daños, Equipo financiero y contable, equipo de residuos peligrosos, equipo de aseguramiento, equipo de asuntos legales, equipo de telecomunicaciones, Equipo Mecánico, Equipo de Notificaciones, Equipo de Noticias, o Equipo de Transporte.
Las actividades y responsabilidades de cada equipo deben ser definidas y documentadas, identificando quiénes son sus miembros, niveles de autoridad, tareas a realizar, roles y responsabilidades de los miembros, asi como resulta de utilidad identificar posibles miembros alternos de tales equipos.

Ahora, pensando en la tolerancia de los equipos que se creen en caso de ausencias o perdidas de personal, puede ser necesario suministrar entrenamiento a los miembros de los diferentes equipos en actividades que se desarrollan en equipos afines al que se está inicialmente asignado.

Ubicaciones alternas.

Si las instalaciones principales de una organización, o en su defecto activos o información se pierden en un evento, una instalación alterna debe estar disponible. Hay tres tipos de ubicaciones alternas (nombres en ingles):
  1. Cold site: es una ubicación que no esta adecuada para operar. Esto significa que deben conseguirse desde muebles hasta computadores para que la operación pueda iniciar de nuevo. Para este tipo de instalación, debe realizarse un gran esfuerzo para que sea operable, lo cual se traduce también en una cantidad bastante considerable de tiempo. Los Cold sites son la opción mas económica de todas.
  2. Warm site: Es una ubicación que esta tecnológicamente lista y casi completamente equipada para iniciar operaciones, pudiendo estar completamente operacional en cuestión de horas. Como es de esperarse, esta opción es mas costosa que un Cold Site.
  3. Hot site: Ubicación que está completamente lista, pudiendo incluir si se desea hasta personal alterno para que realice las actividades que se suspendieron en el sitio original. Estas instalaciones pueden estar completamente operables en cuestión de segundos o minutos, siendo la opción mas costosa de todas las disponibles.
Cuando se tenga planeado contar con una ubicación alterna, debe considerarse para esa nueva ubicación todos los riesgos y amenazas, tiempo máximo de inoperatividad y claro, costos.

Por razones de seguridad, hay organizaciones que emplean sitios alternos super seguros, que como su nombre lo indica incluyen opciones que dan una mayor tranquilidad a sus clientes, encontrando entre ellas plantas eléctricas, altos niveles de seguridad física y protección contra vigilancia electrónica o intrusiones.

Procedimientos de Preparación

Entrenamiento
Los planes de continuidad pueden ser implementados fácilmente si:
Se informa a los empleados del contenido del BCP y de sus responsabilidades individuales cuando este se llegue a activar.
Se entrena a los empleados en el cumplimiento de sus responsabilidades con el BCP, y se les informa sobre las funciones de los equipos que se hayan creado.

Simulacros
Después de la capacitación, viene el entrenamiento con simulacros programados periódicamente con el propósito de mantener altos estándares de preparación y de respuesta. Estos entrenamientos aunque consumen recursos (personas, tiempo, etc) son el mejor método para validar la efectividad de un plan.

Aseguramiento de la calidad:
Las revisiones del BCP tienen como objetivo validar la precisión, relevancia y efectividad del plan, asi como también descubrir que aspectos del BCP necesitan ser mejorados. Revisiones permanentes del BCP son esenciales para mantener su efectividad.


Que hacer cuando se presenta una interrupción?
Las interrupciones son manejadas en tres etapas:
  • Respuesta
  • Continuar entregando servicios o productos críticos
  • Recuperación y Restauración

Respuesta:
La respuesta a incidentes involucra el despliegue de todos los equipos, planes, medidas y acuerdos. Las siguientes tareas se ejecutan durante la fase de respuesta:
Gestión del Incidente
La gestión del incidente incluye las siguientes actividades:
  • Notificar a la Dirección, empleados y accionistas
  • Asumir el control de la situación
  • Identificar el rango y el alcance del daño
  • Implementar planes de acción
  • Identificación de daños a la infraestructura.
  • Coordinar el apoyo de fuentes externas e internas.
Gestión de Comunicaciones

La Gestión de Comunicaciones es fundamental para evitar la creación de rumores, mantener contacto con la prensa, servicios de emergencia y proveedores, empleados, accionistas y terceros interesados. Los requerimientos de comunicaciones pueden requerir sistemas redundantes, así como la creación de un plan para establecer todos los requerimientos de comunicaciones bajo una situación no deseada.

Gestión de Operaciones

Cuando se presente una interrupción, la Organización puede manejarse desde un Centro de Operaciones de Emergencia, lo cual garantiza que se centraliza la información, se coordinan los recursos y se asegura una respuesta efectiva a la situación.
Continuidad
La continuidad tiene como propósito asegurarse de que los servicios o productos críticos continúan siendo entregados a los clientes, o en caso contrario, que el tiempo de espera no sea mayor a los limites establecidos al hacer el BIA.
Recuperación y Restauración:
La meta de la recuperación y restauración es recobrar la operatividad de la organización manteniendo la entrega de productos y servicios críticos. En esta etapa se incluyen las siguientes actividades:
  • Decidir donde reiniciar operaciones: reparar las facilidades estropeadas o ubicarse en un sitio alterno.
  • Regreso del personal a las instalaciones
  • Adquirir los recursos adicionales para restaurar por completo la operación.
  • Restablecer las operaciones normales de la organización.
  • Reanudación de las operaciones en los niveles anteriores a la interrupciónDecidir donde reiniciar operaciones: reparar las facilidades estropeadas o ubicarse en un sitio alterno.
  • Regreso del personal a las instalaciones
  • Adquirir los recursos adicionales para restaurar por completo la operación.
  • Restablecer las operaciones normales de la organización.
  • Reanudación de las operaciones en los niveles anteriores a la interrupción
Conclusión

Cuando una Organización no puede entregar a sus clientes los productos o servicios críticos que produce, las consecuencias pueden ser extremas. Todas las organizaciones están en riesgo, y pueden inclusive desaparecer si no están debidamente preparadas. El BCP es la herramienta que le permite a las organizaciones no solo a gestionar sus riesgos sino también a continuar entregando productos y/o servicios sin importar que se presente un desastre.

1 comentario:

CAMILO ANDRÉS dijo...

el articulo esta bien detallado, me gustaria contactarnos para un tema de consultoria sobre PCN