El desarrollo de un Plan de Continuidad del Negocio o BCP (por sus siglas en ingles, las cuales significan Business Continuity Plan), debería contemplar 5 aspectos básicos como parte de su ciclo de vida, estos son:
- Análisis.
- Diseño de la solución.
- Implementación.
- Pruebas y aceptación del Plan.
- Mantenimiento.
El análisis consiste en identificar los procesos críticos de TI que mantienen en correcto funcionamiento el desarrollo de las actividades de la corporación en general, entendiéndose que en la nueva teoría de administración de empresas, el Área de TI que antes era un departamento de apoyo a la toma de decisiones y soporte a las actividades empresariales, ha pasado a ser una de las áreas funcionales en todo negocio, así como lo es Recursos Humanos, Logística, Finanzas o Ventas.
En lo referente a Diseño de la Solución vamos a detallar como proteger estos procesos que identificamos en la fase anterior, en la medida de lo posible se debe intentar mantener en un funcionamiento “aceptable” los procesos críticos del negocio que son apoyados en la infraestructura informática de la empresa. En esta etapa se elaboran los Planes de Recuperación ante Desastres o DRP (Disaster Recovery Plans) por sus siglas en ingles. Debe entenderse como desastre toda situación que hace compromete la seguridad de la infraestructura informática o incluso puede llegar a convertirla en no disponible. Los desastres se pueden clasificar principalmente en: Desastres naturales, que por su misma naturaleza, son casi imposibles de predecir y a la vez de afrontar. Por otro lado tenemos desastres a causa de un error humano, estos últimos en la mayoría de los casos son más fáciles de reparar.
La Implementación es probablemente lo más difícil ya que el impacto que puede tener el implementar un BCMS (Business Continuity Management System) – Sistema de Administración de Continuidad del Negocio – es complicado ya que además de involucrar personal para invertir tiempo en el desarrollo del mismo, puede tener un impacto económico considerable dependiendo del alcance y es aquí en donde debemos de preguntarnos: ¿Cual es el impacto de la caída de algún servicio informático critico para la organización y hasta donde nos podría costar la no disponibilidad del mismo? Por ejemplo, una empresa de seguros que no tiene la base de datos de contratos de clientes y coberturas al momento que un cliente es víctima de algún siniestro se puede convertir en un problema bastante grande que incluso podría tener implicancias legales, mucho peor si se trata de un siniestro que pone en riesgo la vida de una persona como lo sería un seguro de salud. Si un cliente sufre una amenaza de infarto y alguien solicita ayuda, puede resultar en el fallecimiento del cliente. Probablemente sea un caso excesivo sin embargo no es una situación imposible de presentarse para el tipo de negocio que hemos puesto de ejemplo que es una empresa de seguros.
En cuanto a las pruebas, estas deben ser rigurosas, asegurando que realmente la estrategia de BCP es medible bajo dos puntos de vista: Retribución de la inversión y Garantía de Continuidad. Es aquí en donde se muestra el valor real que tienen los DRP creados en la segunda fase. Por último hay un tema de aceptación que debe ser sostenido ante un directorio con los “Tomadores de Decisión” de la corporación.
Finalmente, como cualquier sistema, este debe tener un proceso de mantenimiento continuo, que garantice el correcto funcionamiento del mismo además de que la estrategia inicial no haya cambiado y de ser este el caso, el mantenimiento hará que la estrategia sea actualizada. Conforme el Área de TI vaya cambiando, así mismo se deberá hacer ajustes en la estrategia inicial de tal manera que esta siga teniendo un valor real para la organización.
El tema de BCP en cuanto a TI se refiere va mas allá de tan solo redundancia en servicios, replicas de bases de datos o ejecución de copias de respaldo, ya que hablamos de copias de respaldo, es interesante ver como siempre nos estamos preocupando de hacer copias de respaldo de la información, sin embargo las guardamos en el mismo lugar en donde queda nuestra oficina. Si ocurriera un incendio en el edificio en donde se ubica esta oficina no nos serviría de nada, cierto? La información se quemaría así como los demás bienes de la empresa, dejándonos imposibilitados de poder restaurarla al adquirir nuevos equipos, es por esta razón que una de las buenas prácticas nos dice que las copias de respaldo no se deben almacenar en el mismo lugar físico en donde se encuentra la empresa ni cerca. En algunos países esta recomendación es llevada a cabo de una forma interesante y es que se hacen alianzas de protección de información, las cuales consisten por ejemplo en que la empresa A almacena las copias de respaldo de la empresa B, cabe resaltar que por mas relación de confianza que haya entre dichas empresas siempre hay consideraciones que se deben tener como por ejemplo intercambiar las medias encriptadas y en cajas que utilicen precintos de seguridad inclusive el uso de una caja fuerte no estaría de más.
Para terminar, enfoquemos el tema de un BCP no solo como una manera de mantenerse a flote sino como una estrategia que mantiene la buena reputación de nuestra organización o acaso nos gustaría que nuestros clientes se quejen de la falta de disponibilidad de nuestros servicios porque algún sistema de información falla o no está disponible en el momento requerido?