Trataré de ser conciso y preciso en un tema que es holístico y que requiere de mínimos detalles para que funcione, sin embargo expondré las etapas, conceptos y pasos más importantes.
Primero y fundamental es conseguir apoyo e involucrar a la alta gerencia en el proyecto; es ideal tener sponsors de nivel. Como planificadores de continuidad de negocios y/o expertos en el tema, debemos ser capaces de convencer a la alta dirección de la necesidad de este plan. Tenemos que dirigir el proyecto y a la vez ser capaces de generar la sensibilidad suficiente en la organización para que el plan funcione.
Como en todo proyecto, debemos determinar el alcance del BCP. En rigor debiera ser único y abordar todos los procesos críticos de la organización y ser capaz de definir todas las estrategias de recuperación necesarias que permitan a la organización salvar vidas y mantener el negocio posterior a una crisis o desastre. Sin embargo es común encontrar BCP más acotados, orientados a satisfacer las necesidades de continuidad de uno o más procesos críticos.
Tenemos que formar un comité directivo (alta gerencia). Si no se puede formar, solicitar tiempo y atención de otro comité directivo. También debemos definir el equipo de trabajo multidisciplinario. Es fundamental que exista un representante de cada área de la compañía. Este equipo de trabajo es el que desarrolla, implementa y ejecuta el plan, mientras que el comité autoriza, supervisa, define roles, da el presupuesto y toma las decisiones estratégicas.
A continuación y entrando de lleno en materia, debemos identificar “todos” los procesos de la organización. En el mejor de los casos esto ya estará realizado, de lo contrario tendremos que hacer entrevistas con los dueños de procesos para identificarlos y diagramarlos. Una vez realizado esto, con apoyo de los dueños de los procesos, se identificará la criticidad de éstos para el negocio. Esto depende exclusivamente del “core” de negocios, el BCP en este sentido, es un “traje a la medida”.
Una vez identificados los procesos críticos, realizamos evaluaciones de riesgos a éstos. Con la anterior identificamos los potenciales riesgos a los cuales se encuentran expuestos y la probabilidad de ocurrencia e impacto. El objetivo de esta etapa es gestionar los riesgos asociados a los procesos críticos.
Business Impact Analysis
Continuando con nuestro plan, debemos realizar un BIA (Business Impact Analysis). Independientemente de que se hayan mitigado en su totalidad los riesgos de los procesos críticos, siempre existirá un riesgo residual y siempre tendremos que estar preparados para enfrentar una crisis o desastre, por lo cual debemos identificar cómo una interrupción de estos procesos críticos impacta el negocio. La evaluación de riesgos es preventiva, el BIA es reactivo.
El principal objetivo del BIA es identificar el Objetivo de Tiempo de Recuperación, RTO (Recovery Time Objective) y el Objetivo de Punto de Recuperación, RPO (Recovery Point Objective). El RTO es el tiempo que el negocio soporta la interrupción del proceso crítico, es decir, RTO 2 horas, quiere decir que puedo estar 2 horas sin el servicio. Si se sobrepasa el tiempo existe un impacto en el negocio, por lo cual la estrategia de recuperación estará basada en el RTO. .
Por su parte el RPO está relacionado con el punto en el tiempo desde el cual debo recuperar el proceso crítico. RPO 2 días quiere decir que por lo menos necesito 2 días de información para que el proceso se ejecute de manera normal. Este punto esta asociado a la cantidad de data que la empresa se puede permitir perder, por lo cual nuestras estrategias de recuperación deben considerar los RPO en las estrategias de respaldo.
Con la información recopilada podemos desarrollar nuestras estrategias de recuperación para las posibles causas o escenarios de contingencia donde se vean interrumpidos los procesos críticos. Se recomienda utilizar las condiciones “Worst Case” (peor caso) ya que allí estarán contenidos los demás escenarios. Las estrategias deben considerar, más allá de los procesos tecnológicos necesarios para la contingencia (DRP), a las personas necesarias que cumplen roles dentro de los procesos críticos y su reubicación en caso necesario. Estas estrategias serán el corazón de nuestro BCP ya que nos permitirán salvar vidas y minimizar o evitar un impacto negativo en el negocio a causa de una crisis o desastre.
Respondiendo interrogantes
Tenemos que definir los procedimientos, grupos y roles (pueden ser distintos a los roles en operación normal) para responder y operar en emergencia o contingencia. Debemos poder responder: ¿qué hacer en emergencia?, ¿qué le digo a mis clientes?, ¿cómo contacto a mis empleados?, ¿adónde voy?, ¿qué le respondo a los medios o prensa?
Debemos definir nuestro plan de manejo y comunicación de crisis. Se deben generar instancias de presentación y coordinación con autoridades publicas (Carabineros, Bomberos, Clínicas y Hospitales). Debemos poder responder: ¿quiénes necesitan saber?, ¿qué necesitan saber?, ¿cuándo lo necesitan saber?
Tenemos que realizar campañas, talleres y charlas de concientización y capacitación para los equipos de trabajo, comité directivo y en general para todos los empleados. En lo posible debemos generar logo y eslogan, tratar de ser lúdicos y atraer al publico objetivo, dar incentivos y premios por participación.
Finalmente, la culpa o descuido levísimo es la “falta de aquella esmerada diligencia que un hombre juicioso emplea en la administración de sus negocios importantes”.
Asimismo, debemos definir un plan de pruebas para las estrategias de recuperación y BCP en su totalidad. Existen varios tipos de pruebas, desde las más básicas y pasivas hasta las totales, entre las que destacan, ejercicios de escritorio, simulacro detallado, simulacros funcionales, simulacros de evacuación y ejercicios a gran escala. El BCP no será valido si no se ha probado. Esta etapa es esencial.
Una vez concretadas todas las fases, planes, procedimientos, pruebas, etc, estamos en condiciones de armar nuestro BCP, que será la integración de la documentación generada.
Una decisión muy importante, que debemos tener la capacidad de responder con nuestro BCP, es cuándo activarlo y entrar en contingencia y también cuándo y cómo volver a la operación normal.
Para finalizar debemos definir un plan de mantención y actualización del BCP.
En general, el BCP nos debe permitir contestar y abordar las siguientes interrogantes: ¿quién?, ¿qué?, ¿dónde?, ¿cuándo?, ¿cómo?
El BCP no es un proyecto, no es una tarea de una sola vez, no es por un período fijo de tiempo. Debe ser un plan permanente, dinámico, consistente en varios proyectos, interdependientes y reiterativos.
Sobre el autor Gabriel Bergel es Fundador y Organizador de 8.8 Computer Security Conference, Socio Fundador y actualmente Presidente de ISSA Chile Chapter, Miembro del Comité Académico de Segurinfo Chile, Miembro del Directorio de CSA Chile y Miembro del Comité Asesor para Latam de ISC2. Ingeniero en Computación e Informática, posee certificaciones CISSP, CISM, CBCP e ISO 27001 LA y 10 años de experiencia en distintos rubros de la seguridad de la información. Referencias del artículo: Manual BCLE 2000 Administración de Continuidad de Negocios para Profesionales Avanzados (DRI).
