La continuidad del negocio
1-cuatro para armar un plan de continuidad de negocio:
Cuando hablamos de continuidad del negocio nos referimos a la capacidad de sobrevivir a las “cosas malas” que pueden tener un impacto negativo en la empresa: desde un brote de virus informático hasta un brote de virus biológico, y todos los demás peligros entre ambos, como incendios, inundaciones, tornados, huracanes, terremotos y tsunamis. El estándar internacional.
Cuando hablamos de continuidad del negocio nos referimos a la capacidad de sobrevivir a las “cosas malas”que pueden tener un impacto negativo en la empresa: desde un brote de virus informático hasta un brote de virus biológico, y todos los demás peligros entre ambos, como incendios, inundaciones, tornados, huracanes, terremotos y tsunamis.La Gestión de la Continuidad del Negocio (también llamada BCM, por sus siglas en inglés) es el proceso de lograr esta capacidad y mantenerla, y conforma una parte vital de la gestión de seguridad de sistemas de información, que ahora se conoce más comúnmente como seguridad cibernética.
Ahora bien, ¿cómo responder ante una contingencia? El presente artículo describe los puntos básicos de un BCM y suministra una lista de recursos que tú y tu organización pueden utilizar para mejorar la capacidad de sobrevivir a cualquier cambio imprevisible e indeseado.
2-La continuidad del negocio no es sólo para TI:
La mayoría de las organizaciones de hoy son sumamente dependientes de la tecnología de la información (desde equipos portátiles hasta servidores, de escritorio hasta tabletas y smartphones), pero queda claro que esta tecnología puede verse afectada por una amplia gama de incidentes potencialmente desastrosos. Éstos van desde cortes en el suministro de energía provocados por tormentas hasta la pérdida de datos causada por equivocaciones de los empleados o por criminales informáticos.
Desde los albores de la TI, estaba claro que las organizaciones iban a necesitar estrategias para prepararse para dichos incidentes, responder a ellos y recuperarse de ellos. Por ese motivo, gran parte de los primeros trabajos sobre el manejo de incidentes de interrupción de la actividad provino de la comunidad de TI.No obstante, con el paso del tiempo, la disciplina de “recuperación ante desastres” evolucionó a “un proceso de gestión holístico” que “identifica amenazas potenciales para la organización y el impacto que su materialización podría ocasionar en las operaciones corporativas, y que proporciona un marco para crear resistencia corporativa de modo que pueda dar una respuesta eficaz que proteja los intereses de sus grupos de interés, reputación, marcas y actividades de creación de valor fundamentales”.
3-Un programa básico de BCM en cuatro pasos:
Desafortunadamente, algunas empresas deben cerrar cuando las alcanza un desastre para el cual no estaban preparadas adecuadamente. Es lamentable porque el camino para dicha preparación está bien documentado. Cualquier empresa de cualquier tamaño puede mejorar las posibilidades de superar un incidente de interrupción de la actividad y quedar en una pieza (con la marca intacta y sin merma en los ingresos) si sigue ciertas estrategias probadas y de confianza, más allá de que desee obtener la certificación ISO 22301 o no .
1. Identifica y ordena las amenazas:
Crea una lista de los incidentes de interrupción de la actividad que constituyan las amenazas más probablespara la empresa. No uses la lista de otro, porque las amenazas varían según la ubicación. Por ejemplo, aquí en San Diego, donde vivo, hay un grado relativamente alto de sensibilización con respecto a los terremotos y a los incendios forestales, por lo que muchas organizaciones llevaron a cabo un nivel básico de planificación para prepararse ante desastres teniendo esos eventos en cuenta.
2. Realiza un análisis del impacto en la empresa:
Necesitas determinar qué partes de tu empresa son las más críticas para que sobreviva. Una manera es comenzar detallando las funciones, los procesos, los empleados, los lugares y los sistemas que son críticos para el funcionamiento de la organización.Necesitas determinar qué partes de tu empresa son las más críticas para que sobreviva.
En esta etapa deberás catalogar datos clave sobre los bienes involucrados en la realización de las funciones críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Deberás incluir números de serie de los equipos, acuerdos de licencia, alquileres, garantías, detalles de contactos, etc.
Deberán quedar documentados todos los acuerdos vigentes para mudar las operaciones a ubicaciones e instalaciones de TI temporales, de ser necesario. No te olvides de documentar el proceso de notificación para los miembros de la empresa en su totalidad y el procedimiento de asesoramiento para clientes.
4. Prueba el plan y refina el análisis:
La mayoría de los expertos en BCM recomiendan probar el plan al menos una vez al año, con ejercicios, análisis paso a paso o simulaciones. La prueba te permite sacar el mayor provecho a lo que invertiste en la creación del plan, y no sólo te permite encontrar fallas y dar cuenta de los cambios corporativos con el transcurso del tiempo, sino que también causa una buena impresión en la gerencia.
No cabe duda de que estos cuatro pasos significan un enorme trabajo, pero es una tarea que las empresas ignoran bajo su propio riesgo. Si el proyecto parece demasiado desalentador para aplicar a la empresa completa, considera comenzar por unos pocos departamentos o una sola oficina, si hay varias.
1. Identifica y ordena las amenazas:
Crea una lista de los incidentes de interrupción de la actividad que constituyan las amenazas más probablespara la empresa. No uses la lista de otro, porque las amenazas varían según la ubicación. Por ejemplo, aquí en San Diego, donde vivo, hay un grado relativamente alto de sensibilización con respecto a los terremotos y a los incendios forestales, por lo que muchas organizaciones llevaron a cabo un nivel básico de planificación para prepararse ante desastres teniendo esos eventos en cuenta.
2. Realiza un análisis del impacto en la empresa:
Necesitas determinar qué partes de tu empresa son las más críticas para que sobreviva. Una manera es comenzar detallando las funciones, los procesos, los empleados, los lugares y los sistemas que son críticos para el funcionamiento de la organización.Necesitas determinar qué partes de tu empresa son las más críticas para que sobreviva.
Luego, ordenarás el impacto de cada función en caso de que no esté disponible. Por ejemplo, Michael Miora, experto en recuperación ante desastres, sugiere utilizar una escala de 1 a 4, donde 1 = impacto crítico en las actividades operativas o pérdida fiscal, y 4 = sin impacto a corto plazo.
3. Crea un plan de respuesta y recuperación:
En esta etapa deberás catalogar datos clave sobre los bienes involucrados en la realización de las funciones críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Deberás incluir números de serie de los equipos, acuerdos de licencia, alquileres, garantías, detalles de contactos, etc.
Deberán quedar documentados todos los acuerdos vigentes para mudar las operaciones a ubicaciones e instalaciones de TI temporales, de ser necesario. No te olvides de documentar el proceso de notificación para los miembros de la empresa en su totalidad y el procedimiento de asesoramiento para clientes.
4. Prueba el plan y refina el análisis:
La mayoría de los expertos en BCM recomiendan probar el plan al menos una vez al año, con ejercicios, análisis paso a paso o simulaciones. La prueba te permite sacar el mayor provecho a lo que invertiste en la creación del plan, y no sólo te permite encontrar fallas y dar cuenta de los cambios corporativos con el transcurso del tiempo, sino que también causa una buena impresión en la gerencia.
No cabe duda de que estos cuatro pasos significan un enorme trabajo, pero es una tarea que las empresas ignoran bajo su propio riesgo. Si el proyecto parece demasiado desalentador para aplicar a la empresa completa, considera comenzar por unos pocos departamentos o una sola oficina, si hay varias.
Comentarios
Publicar un comentario