LAS PERSONAS: EL FACTOR X EN SU PLAN DE RECUPERACIÓN ANTE DESASTRES
06 Feb 2018
Protección de datos, recuperación de desastres de TI y continuidad del negocio no son solamente acerca de procesos, sino también de un aspecto que a menudo se pasa por alto: las personas.
Como muchos procesos se automatizan y muchas organizaciones permiten, o requieren, que los empleados trabajen remotamente, el impacto de los seres humanos en nuestra vida cotidiana puede perderse. La automatización de actividades humanas, especialmente las propensas a errores pueden mejorar la eficiencia y precisión, pero hay muchas cosas que no podemos resolver con automatización; las personas son y continuarán siendo una parte crítica de la ecuación. Hay múltiples partes interesadas a considerar. Aunque la alta gerencia y miembros del directorio no están involucrados en las operaciones cotidianas y los detalles de las tareas desarrolladas por equipos específicos de Recuperación ante Desastres, son ellos los que establecen las decisiones presupuestarias generales que pueden influir en la cantidad de presupuesto de TI que se gasta en preparación y recuperación ante desastres. Los equipos de TI responsables de desarrollar la resiliencia y los planes de recuperación deben estar por encima de las actualizaciones necesarias, comunicar cambios a los planes de recuperación ante desastres, conducir pruebas exhaustivas y enfrentarse a los cambios tecnológicos. Y los empleados que ejecutan los planes de recuperación durante una emergencia están tomando decisiones cruciales en el momento, bajo presión y recuperando o incluso reconstruyendo sistemas en un desastre.
Esta confluencia de juicio, planificación y circunstancia influye en la capacidad de su organización para proteger y recuperar datos, y si no cuenta con el respaldo de estas partes interesadas, sus políticas de protección de datos y continuidad del negocio podrían necesitar una revisión. Descuidar el impacto humano en los entornos de TI puede tener efectos devastadores cuando las organizaciones enfrentan desastres naturales y ciberataques que de otro modo podrían haberse evitado o reducido el impacto.
Hay tres niveles de partes interesadas que pueden influir en la recuperación de desastres, el papel que desempeñan y cómo modificar sus políticas de RD y CN para garantizar que su empresa esté preparada para cualquier cosa.
Liderazgo Senior
El equipo de liderazgo Senior de una organización necesita respaldar los objetivos del nivel C y de la junta directiva para mantener la rentabilidad del negocio, la fiabilidad y la gestión eficaz de los riesgos. Existen múltiples presiones sobre el presupuesto, las prioridades tácticas o las áreas de enfoque estratégico que a veces pueden tener prioridad sobre las actividades de mitigación de riesgos. Existe un proceso de decisión sobre cuánto del presupuesto debe enfocarse en TI y cómo avanzar en la inversión digital de la empresa y en el liderazgo de TI para determinar qué parte de ese presupuesto se debe gastar en recuperación de desastres. En caso de un desastre, el enfoque y la cantidad en la recuperación de desastres gastados antes del desastre pueden ser la diferencia entre la supervivencia a largo plazo o el daño irrecuperable. Sin embargo, en ausencia de un desastre, puede verse como un gasto oneroso o incluso innecesario. Cada dólar invertido en TI y la planificación para desastres se pueden percibir a partir de otras inversiones en TI.
Si la continuidad del negocio y recuperación del desastre no son vistos como prioridad con los fondos adecuados, la organización puede simplemente no estar invirtiendo lo suficiente para estar listo en el evento de un desastre.
Asegurar el presupuesto requiere justificar el caso de negocio para esta inversión y el gasto de RD no es diferente. Dependiendo de la organización y del nivel de inversión requerido, ese caso de negocio puede necesitar ser justificado en niveles muy altos de liderazgo o incluso en el directorio. Comunicar efectivamente a los tomadores de decisión significa hablar en su lenguaje y la mejor manera de mostrar a aquellos que tienen el control de dinero, la importancia de la inversión en la recuperación del desastre es cuantificar las posibles consecuencias de no hacer la inversión.
Parte de esto es educar al liderazgo sobre el cambiante panorama de los desastres, la importancia de la recuperación y el impacto potencial en la organización si se mantiene el status quo. Detalle cuál es el actual proceso de recuperación, dónde están las fallas y lo que costará el tiempo de inactividad para el negocio. Mientras más detallado sea el análisis, mejor.
Presente un caso convincente de qué gastar y por qué, y qué tipo de pérdidas puede compensar. Resalte el riego y esté preparado para demostrar el impacto comercial con agudísimo detalle. Muestre los números, el costo de inactividad dividido en horas/ persona, así como cuantificar la erosión potencial de la imagen de la marca.
Los ataques cibernéticos y la resiliencia cibernética también deben integrarse en la presentación del caso de negocio. Muchas organizaciones creen que no serán víctimas de ransomware u otros ciberataques, y pueden no estar dispuestos a aceptar que cualquier persona, en cualquier momento, sea un objetivo.
Hay muchos ejemplos recientes de negocios que dañan su reputación y pierden credibilidad con los clientes cuando son golpeados por un ciberataque y no pueden o tardan en recuperarse. Sin embargo, incluso con los ataques de alto perfil y el temor que golpea los corazones de las organizaciones, las empresas todavía los ven de manera diferente a otros desastres y no comprenden por completo la frecuencia y el posible impacto. En realidad, el resultado final de un ataque cibernético no es diferente de un incendio o un huracán. Si los datos de una compañía han sido encriptados, ya no pueden acceder físicamente a sus sistemas. No se garantiza si la empresa puede volver a funcionar: puede pagar un rescate excesivo (con la advertencia de que se trata de una fuente no confiable sin garantías incluso si se paga el rescate) o recuperar los sistemas de las copias de seguridad.
El gasto necesita ser visto en el contexto de la resiliencia de producción general. ¿Gasta su dinero asegurándose de que el entorno de producción sea resistente y se centre menos en los planes y costos de recuperación de desastres? Aunque el gasto de presupuesto para mejorar la resiliencia de producción y la tolerancia a fallas es crítico, la realidad es que ningún sistema es a prueba de fallas y el nivel de inversión TI debe equilibrarse entre la resiliencia de producción y la recuperación ante desastres; comprendiendo el impacto comercial de la aplicación y los costos relativos del tiempo pérdida de datos.
Por lo general, el liderazgo de TI destinará parte de su gasto a la recuperación de desastres y la continuidad del negocio, pero ¿acaso están aprobando un presupuesto mínimo para hacer un check en la lista? Según el análisis de la encuesta de recuperación de desastres de TI 2017 de Gartner, en promedio, los encuestados dijeron que del 3 al 10 por ciento de sus presupuestos de TI están dedicados a la RD. También hay un aumento año tras año de clientes que gastan del 7 al 10 por ciento de su presupuesto en RD. Las empresas están empezando a comprender la urgencia, pero si el liderazgo senior no comprende completamente lo que está en riesgo, el gasto podría estancarse a medida que aumentan los riesgos.
Ya no se trata de si las cosas van a fallar, sino cuándo. Usted simplemente no puede diseñar para un mundo perfecto, y la empresa que puede presentar este caso con éxito al liderazgo senior o, a veces, incluso a la junta directiva, tiene la mejor oportunidad de asegurar el presupuesto y los recursos para mitigar el impacto y recuperarse de un desastre.
Equipos de Recuperación ante Desastres
Si hay alguna noticia reciente de un caso empresarial perfecto para abandonar la mentalidad “no me pasará a mí”, son los recientes incendios eléctricos en el aeropuerto de Atlanta que eliminó la fuente de alimentación principal y el respaldo, dejando en tierra a 1,800 vuelos. Con las interrupciones de las líneas aéreas generalmente atribuidas a los sistemas de TI anticuados de las aerolíneas o la complejidad provocada por las fusiones y adquisiciones, el incendio en el aeropuerto plantea otro problema de la infraestructura de los edificios que albergan las organizaciones.
Parece que la fuente de energía de reserva para el aeropuerto estaba lo suficientemente cerca de la fuente de energía principal que podría verse afectada por el mismo incendio y la discusión posterior al evento es invariablemente alrededor de lo que se podría haber hecho para prevenir o prepararse para tal evento.
Este es solo uno de los muchos desastres que los equipos de TI no solo necesitan anticipar, sino planear para recuperarse. Al crear planes, también deben lidiar con dependencias crecientes y otros factores X. Las nuevas implementaciones de aplicaciones y la mayor interconectividad pueden mejorar las capacidades, pero también significa nuevos puntos potenciales de fallas. Y al final del día, se trata de crear resiliencia a las cosas que fallan.
En este caso del apagón del aeropuerto de Atlanta, no hay mucho que las aerolíneas puedan haber hecho para anticipar los vuelos varados. Pero es un buen ejemplo de por qué los equipos de TI siempre deben tener en cuenta el factor humano y otros posibles errores fuera de su control cuando diseñan planes de continuidad del negocio y recuperación de desastres. Significa conocer y contabilizar puntos únicos de falla, cuando sea posible, y anotar cualquier dependencia.
Si el dinero no fuera un objeto, cada equipo de TI planearía construir sistemas altamente resilientes, altamente disponibles y tolerantes a fallas para todo. Sin embargo, muy pocas compañías pueden permitirse un presupuesto para hacer esto. En su lugar, deberían extender el concepto de recuperación escalonada a la resiliencia de la producción, y diseñar la resiliencia y recuperación de datos como un continuo. Las empresas deberían comenzar mirando a sus aplicaciones y datos más críticos para el negocio, y aprovechar al máximo la resiliencia en estas áreas, luego abordar las operaciones menos críticas en las que una empresa puede permitirse estar sin esos datos durante unos días o semanas.
Estas decisiones que los equipos de TI deben tomar pueden significar la diferencia entre hacer que las funciones críticas de sus organizaciones vuelvan a funcionar, o arriesgar los datos de sus clientes y la reputación de su marca.
Los equipos de recuperación de desastres son un componente crítico para garantizar la preparación tanto en términos de desarrollo de planes, manteniéndolos actualizados como, lo que es igual de importante, probándolos regularmente. En organizaciones más grandes, los equipos de RD dedicados se centran en estas actividades y deben asegurarse de que trabajen en colaboración con la organización en general. En las organizaciones más pequeñas, la coordinación y planificación de RD puede ser una actividad compartida o de tiempo parcial y es incluso más importante que las responsabilidades compartidas se entiendan y se ejecuten claramente.
Empleados
Una vez que la empresa cuenta con la aceptación de la alta dirección, la resiliencia y recuperación ante desastres por niveles, y los sistemas activos y en ejecución, aún está la pregunta de los empleados. ¿Pueden hacer su trabajo? ¿Pueden operar fuera de su empresa si es necesario y realizar sus funciones?
Se están haciendo más y más avances tecnológicos con respecto a la automatización en el espacio de recuperación de desastres. Pero incluso con estos avances, las personas siguen siendo una parte muy crítica del proceso. El nuevo progreso en la automatización puede conducir a la complacencia cuando se trata de capacitación y una subestimación del impacto que las personas pueden tener.
Incluso si la ejecución es automática, debe mantener su recuperación sincronizada con su entorno de producción, que cambia todo el tiempo. Las personas necesitan orquestar los procesos automatizados, hacer juicios de valor sobre el terreno y administrar a otras personas en el equipo. Este proceso es el más difícil o imposible de automatizar.
Los individuos a cargo de ejecutar la recuperación también pueden verse afectados por el desastre. En caso de un desastre natural que afecte a toda una región, como una tormenta de nieve o un huracán, los empleados locales probablemente se preocupen por el bienestar de sus bienes y la seguridad de sus familiares y amigos. También es posible que no puedan acceder físicamente al sitio de recuperación.
Para agregar otro desafío en ese escenario, algunas industrias altamente reguladas no permiten que los empleados trabajen desde su hogar, lo que deja a las compañías sin un plan de respaldo cuando la recuperación está en proceso. Las empresas tienden a descuidar u olvidarse de proporcionar instalaciones a raíz de esto, y también hay un costo implicado. Sin un plan para que sus empleados vuelvan a la normalidad, puede costar caro a su negocio.
Incluso con los mejores planes y procedimientos establecidos, las organizaciones necesitan tener esto en cuenta. ¿Tiene a las personas correctas para enfrentar un evento inesperado y están preparados para responder bajo coacción en una situación potencialmente estresante? Esto es una de las zonas grises en recuperación ante desastres y frecuentemente pasada por alto.
Muchas empresas optan por confiar en los servicios de recuperación gestionados para tener en cuenta estas situaciones, o tienen un equipo remoto que puede ejecutar la recuperación en lugar de los empleados que pueden verse afectados por el mismo desastre. En lugar de examinar a las personas para que prueben si pueden desempeñarse bajo presión, es más efectivo contar con un plan de contingencia y poder aprovechar a los empleados en otras ubicaciones o proveedores de terceros cuando sea necesario.
En un momento en que la automatización y los avances tecnológicos son inestimables para las empresas, el impacto de las personas está casi olvidado. Pero más avances e interconectividad también crean más puntos de falla, más necesidad de orquestación y clientes más educados que responsabilizarán a las empresas cuando no protejan sus datos.
Nunca automatizaremos a las personas por completo del proceso de recuperación y necesitaremos enfocarnos en el elemento de las personas, desde la alta gerencia en la definición de prioridades y presupuestos descendentes, hasta los equipos de RD para la planificación y prueba en preparación de un posible desastre para las necesidades de los empleados y responsabilidades en el momento del desastre. Las empresas que aseguran que su factor humano está a bordo en todos los niveles tienen la mejor posibilidad de sobrevivir a un desastre y estarán mejor preparadas cuando llegue el siguiente.