1 sep. 2014

Cómo hacer un Plan de Continuidad de Negocios (BCP) [II]

Este artículo es la continuación de este.

Planes para continuidad del negocio

Esta etapa consiste en la preparación detallada de planes de respuesta o recuperación y todos los acuerdos necesarios para asegurar la continuidad. Estos planes y acuerdos detallan las vías y medios necesarios para garantizar que los productos y servicios de la Organización continúan siendo entregados dentro de tiempos de inactividad tolerables, teniéndose que hacer un plan de continuidad para cada uno de los productos y/o servicios que se hayan categorizado como críticos.

Mitigando riesgos y amenazas

Las amenazas y riesgos son identificadas en el BIA. La mitigación de riesgos en un proceso siempre en ejecución, y tiene que ser ejecutado de manera permanente incluso sin que se haya activado el BCP. Por ejemplo, si una Organización requiere del suministro de energía eléctrica para producir, el riesgo de un corte del servicio puede ser mitigado por la instalación de una planta o estación eléctrica.

Otro ejemplo puede ser una Organización que depende de las comunicaciones internas y externas para funcionar adecuadamente. Una falla en sus sistemas de comunicaciones puede ser minimizada utilizando redes alternas de comunicaciones o instalando sistemas redundantes.

Análisis de la capacidad actual de recuperación

Hay que tener en cuenta las facilidades con las que cuenta actualmente la Organización para garantizar la continuidad del negocio, sin olvidar incluirlas en el BCP.

Crear Planes de Continuidad

Los planes de continuidad de negocio para los servicios y productos están basados en los resultados del BIA. Hay que asegurarse que los planes estén hechos con niveles incrementales de severidad del impacto causado por una interrupción. Por ejemplo, si ocurriera una inundación podrían utilizarse sacos de arena como respuesta a esta dificultad. Ahora, si el nivel del agua cubre el primer piso, se puede pensar en trabajar en un segundo o tercer piso de la edificación. Pensemos ahora que el nivel del agua se mantiene por demasiado tiempo, entonces tendríamos que reubicar la operación en un sitio alterno mientras baja el nivel del agua.

Los riesgos y beneficios de cada posible opción que se va a incluir en el BCP deben ser considerados, manteniendo presente los costos, flexibilidad y escenarios probables de interrupción. Para cada producto o servicio critico, debe escogerse la opción mas realista y efectiva para crear el Plan.

Preparación de respuesta

Una apropiada respuesta a una crisis que se presente requiere de equipos que lideren y respalden las operaciones de respuesta. Los miembros del equipo deben seleccionarse teniendo en cuenta capacitación y experiencia para asignarles tal responsabilidad.

El numero y alcance de los equipos puede variar dependiendo en el tamaño de la organización, funciones y estructura, y pueden existir los siguientes:
  • Equipo de Comand, que incluye al equipo de Respuesta a Crisis, y un equipo de Respuesta, Continuidad o Recuperación según se haya determinado.
  • Equipos de trabajo como el equipo de Coordinación de trabajo en un sitio alterno, Equipo de Compras y Contrataciones, Equipo de Inventario de daños, Equipo financiero y contable, equipo de residuos peligrosos, equipo de aseguramiento, equipo de asuntos legales, equipo de telecomunicaciones, Equipo Mecánico, Equipo de Notificaciones, Equipo de Noticias, o Equipo de Transporte.
Las actividades y responsabilidades de cada equipo deben ser definidas y documentadas, identificando quiénes son sus miembros, niveles de autoridad, tareas a realizar, roles y responsabilidades de los miembros, asi como resulta de utilidad identificar posibles miembros alternos de tales equipos.

Ahora, pensando en la tolerancia de los equipos que se creen en caso de ausencias o perdidas de personal, puede ser necesario suministrar entrenamiento a los miembros de los diferentes equipos en actividades que se desarrollan en equipos afines al que se está inicialmente asignado.

Ubicaciones alternas

Si las instalaciones principales de una organización, o en su defecto activos o información se pierden en un evento, una instalación alterna debe estar disponible. Hay tres tipos de ubicaciones alternas (nombres en ingles):
  1. Cold site: es una ubicación que no esta adecuada para operar. Esto significa que deben conseguirse desde muebles hasta computadores para que la operación pueda iniciar de nuevo. Para este tipo de instalación, debe realizarse un gran esfuerzo para que sea operable, lo cual se traduce también en una cantidad bastante considerable de tiempo. Los Cold sites son la opción mas económica de todas.
  2. Warm site: Es una ubicación que esta tecnológicamente lista y casi completamente equipada para iniciar operaciones, pudiendo estar completamente operacional en cuestión de horas. Como es de esperarse, esta opción es mas costosa que un Cold Site.
  3. Hot site: Ubicación que está completamente lista, pudiendo incluir si se desea hasta personal alterno para que realice las actividades que se suspendieron en el sitio original. Estas instalaciones pueden estar completamente operables en cuestión de segundos o minutos, siendo la opción mas costosa de todas las disponibles.
Cuando se tenga planeado contar con una ubicación alterna, debe considerarse para esa nueva ubicación todos los riesgos y amenazas, tiempo máximo de inoperatividad y claro, costos.

Por razones de seguridad, hay organizaciones que emplean sitios alternos super seguros, que como su nombre lo indica incluyen opciones que dan una mayor tranquilidad a sus clientes, encontrando entre ellas plantas eléctricas, altos niveles de seguridad física y protección contra vigilancia electrónica o intrusiones.

Procedimientos de Preparación

Entrenamiento

Los planes de continuidad pueden ser implementados fácilmente si:
  • Se informa a los empleados del contenido del BCP y de sus responsabilidades individuales cuando este se llegue a activar.
  • Se entrena a los empleados en el cumplimiento de sus responsabilidades con el BCP, y se les informa sobre las funciones de los equipos que se hayan creado.

Simulacros

Después de la capacitación, viene el entrenamiento con simulacros programados periódicamente con el propósito de mantener altos estándares de preparación y de respuesta. Estos entrenamientos aunque consumen recursos (personas, tiempo, etc) son el mejor método para validar la efectividad de un plan.

Aseguramiento de la calidad

Las revisiones del BCP tienen como objetivo validar la precisión, relevancia y efectividad del plan, asi como también descubrir que aspectos del BCP necesitan ser mejorados. Revisiones permanentes del BCP son esenciales para mantener su efectividad.

¿Qué hacer cuando se presenta una interrupción?

Las interrupciones son manejadas en tres etapas:
  • Respuesta
  • Continuar entregando servicios o productos críticos
  • Recuperación y Restauración

Respuesta

La respuesta a incidentes involucra el despliegue de todos los equipos, planes, medidas y acuerdos. Las siguientes tareas se ejecutan durante la fase de respuesta:

Gestión del Incidente

La gestión del incidente incluye las siguientes actividades:
  • Notificar a la Dirección, empleados y accionistas
  • Asumir el control de la situación
  • Identificar el rango y el alcance del daño
  • Implementar planes de acción
  • Identificación de daños a la infraestructura.
  • Coordinar el apoyo de fuentes externas e internas.

Gestión de Comunicaciones

La Gestión de Comunicaciones es fundamental para evitar la creación de rumores, mantener contacto con la prensa, servicios de emergencia y proveedores, empleados, accionistas y terceros interesados. Los requerimientos de comunicaciones pueden requerir sistemas redundantes, así como la creación de un plan para establecer todos los requerimientos de comunicaciones bajo una situación no deseada.

Gestión de Operaciones

Cuando se presente una interrupción, la Organización puede manejarse desde un Centro de Operaciones de Emergencia, lo cual garantiza que se centraliza la información, se coordinan los recursos y se asegura una respuesta efectiva a la situación.

Continuidad

La continuidad tiene como propósito asegurarse de que los servicios o productos críticos continúan siendo entregados a los clientes, o en caso contrario, que el tiempo de espera no sea mayor a los limites establecidos al hacer el BIA.

Recuperación y Restauración

La meta de la recuperación y restauración es recobrar la operatividad de la organización manteniendo la entrega de productos y servicios críticos. En esta etapa se incluyen las siguientes actividades:
  • Decidir donde reiniciar operaciones: reparar las facilidades estropeadas o ubicarse en un sitio alterno.
  • Regreso del personal a las instalaciones
  • Adquirir los recursos adicionales para restaurar por completo la operación.
  • Restablecer las operaciones normales de la organización.
  • Reanudación de las operaciones en los niveles anteriores a la interrupciónDecidir donde reiniciar operaciones: reparar las facilidades estropeadas o ubicarse en un sitio alterno.
  • Regreso del personal a las instalaciones
  • Adquirir los recursos adicionales para restaurar por completo la operación.
  • Restablecer las operaciones normales de la organización.
  • Reanudación de las operaciones en los niveles anteriores a la interrupción

Conclusión

Cuando una Organización no puede entregar a sus clientes los productos o servicios críticos que produce, las consecuencias pueden ser extremas. Todas las organizaciones están en riesgo, y pueden inclusive desaparecer si no están debidamente preparadas. El BCP es la herramienta que le permite a las organizaciones no solo a gestionar sus riesgos sino también a continuar entregando productos y/o servicios sin importar que se presente un desastre.

Fuente: Leonardo Camelo - Seguridad Información Colombia

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!