Rara vez nos
avisan cuando ocurrirá un desastre. Aun teniendo un aviso y tiempo
previo, muchas detalles pueden fallar, cada incidente es único y se desarrolla
en una forma no esperada. Allí es donde adquiere relevancia un Plan de
Continuidad Operativa. Para que la organización tenga la mejor
posibilidad de responder exitosamente a un desastre se necesita tener un plan
probado en manos del personal que debe responder a la ejecución a cualquier
componente del plan. La inexistencia de un plan no solamente puede
significar una respuesta más lenta, sino que puede comprometer la existencia
misma de la empresa.
Cómo se diferencia un Plan de
Continuidad Operativa de un Plan de Recuperación de Desastres
Continuidad Operativa se refiere al
mantenimiento de las funciones del negocio o a una rápido reinicio después de
una disrupción mayor, causada por un incendio, inundación, epidemia o un ataque
malicioso a través de Internet. El Plan de Continuidad Operativa
identifica procedimientos e instrucciones que la organización debe aplicar
cuando se enfrenta a desastres de ese tipo. Cubre procesos de
negocios, activos, recursos humanos, asociados de negocios y otros.
El Plan de Recuperación de Desastres se
enfoca primordialmente en el restablecimiento de la Infraestructura y
Operaciones de TI después de una crisis. En efecto es una parte componente del
Plan de Continuidad Operativa. La pregunta a responder es, cómo se logra
que Recursos Humanos, Manufactura y Soporte de Ventas estén funcionando de
manera que la empresa continué produciendo ingresos inmediatamente después de
un desastre?
Es importante mencionar que el Análisis de
Impacto Operativo (AIO) es otro componente del Plan de Continuidad Operativa.
El AIO identifica el impacto de la pérdida súbita de funciones de negocios,
generalmente cuantificado con un costo. Dicho análisis permite
identificar si se debería utilizar outsourcing de actividades no críticas, por
supuesto con sus propios riesgos. El AIO permite visualizar los procesos
de toda la organización y determinar cuáles son los más importantes.
Por qué tiene importancia un Plan de
Continuidad Operativa
Independientemente que se trate de una
empresa pequeña o una corporación grande hay que tratar de mantenerse
competitivo. Es vital retener los clientes existentes mientras se amplía
la base de clientes, y no hay mejor manera de probar esta capacidad que después
de un evento adverso.
Ya que TI es crítico para la mayoría de las
empresas hay Planes de Recuperación de Desastres disponibles. Qué ocurre
con el resto de las funciones? La empresa depende de su gente y de sus
procesos. La capacidad de manejar incidentes efectivamente tendrá un
efecto positivo en la reputación y valor de mercado de la empresa y puede
además aumentar la confianza de los clientes.
Primero, hay que crear el Plan de
Continuidad Operativa
Si su empresa no tiene un Plan de Continuidad
Operativa, comience analizando sus procesos de negocios, determinando cuales
áreas son vulnerables y las pérdidas potenciales si dichos procesos no operan
por un día, dos días, una semana. Esto es esencialmente un AIO.
Después desarrolle un Plan. Para ello
existen plantillas gratuitas en línea para diversos tipos de negocios.
Hay seis pasos generales involucrados en la creación de un plan de continuidad
operativa:
1.
Definir el alcance del Plan.
2.
Identificar las áreas claves del negocio.
3.
Identificar las funciones críticas.
4.
Identificar dependencias entre diferentes áreas y
funciones del negocio.
5.
Determinar el tiempo de parada aceptable para cada
función crítica.
6.
Crear un plan para mantener las operaciones.
Una herramienta de planificación de
continuidad operativa comúnmente utilizada es hacer una lista de verificación
que incluya suministros y equipos, la ubicación de los respaldos de data y de
los sitios físicos de respaldo, donde debe estar disponible el plan y quién
debe tenerlo, información de contacto para emergencias, personal clave y
proveedores de respaldo.
Después, hay que probar el Plan de
Continuidad Operativa
Hay que probar el Plan en forma rigurosa para
determinar si está completo y si cumplirá el propósito asignado. Muchas
empresas prueban el plan de dos a cuatro veces por año, eso depende de la
empresa y también de la rotación de personal. Los formatos incluyen
ejercicios teóricos de simulación, caminatas-transversales estructuradas y
simulaciones.
El ejercicio teórico de simulación se
realiza en una sala de conferencia, con el equipo revisando el plan y
buscando aspectos no cubiertos y asegurando que todas las unidades de negocios
están representadas. En una caminata-transversal estructurada cada miembro del
equipo se pasea a través de componentes del plan para identificar debilidades.
Generalmente, el equipo trabaja con un desastre específico en
mente. Algunas empresas incluyen allí ejercicios y role-playing.
Finalmente, la simulación de prueba es más compleja y se realiza en forma
anual. Para esta prueba, se crea un ambiente que simula el desastre con
todos los equipos, insumos y personal que se requieran.
Finalmente, hay que revisar y mejorar
el Plan de Continuidad Operativa
Por lo menos en forma anual, con la
participación de personal clave, hay que revisar el plan. Esto incluye
retro-alimentación del personal y cualquier experiencia adquirida al respecto.
Como asegurar apoyo, sensibilización y
conciencia con respecto al Plan de Continuidad Operativa
La Alta Gerencia debe estar involucrada en la
creación y actualización del Plan, es una responsabilidad que no puede ser
delegada en los subordinados. El plan se mantendrá fresco y viable si se
mantiene como una prioridad. La Gerencia también es muy importante para
sensibilizar a los usuarios. Si los empleados no lo conocen, como se
espera que reaccionen cuando haga falta. En el entrenamiento, por
lo menos en su lanzamiento, debe participar personal de alto nivel y esto le
dará mayor credibilidad y urgencia.
Los autores son Ed Tittel y Kim Lindros
y el artículo apareció en CIO.
No hay comentarios.:
Publicar un comentario