¿Está su organización preparada para la próxima disrupción?

13 ago 2021
 

Planificación de un ejercicio de escritorio eficaz

La mayoría de las organizaciones con capacidades de continuidad del negocio maduras suelen tener un programa de ejercicios impulsado por un propósito que incluye probar las soluciones de recuperación que van desde estrategias de recuperación individuales hasta planes de recuperación detallados. Los programas de continuidad del negocio maduros incluyen la prueba de todos los planes de continuidad al menos una vez al año, según el presupuesto. Los requisitos para estos ejercicios pueden variar desde simulaciones hasta recorridos (walkthroughs).

A veces es difícil obtener presupuesto o la participación para ejercicios más elaborados. El ejercicio de escritorio suele ser una de las opciones más rentables y prácticas, tanto para los programas de continuidad del negocio maduros como para los nuevos. Es más fácil de vender a ejecutivos y responsables del negocio. Sin embargo, un ejercicio de escritorio eficaz requiere una planificación y una facilitación fluida por parte del profesional de la gestión de la continuidad del negocio (BCM). Este artículo se sumerge en el aspecto táctico de realizar un ejercicio de escritorio eficaz para los profesionales que buscan un equilibrio entre la eficacia, el presupuesto y la participación del negocio.

La naturaleza cambiante de las amenazas exige el mantenimiento continuo de un programa BCM. Como profesional, es posible que esté actualizando la documentación de gobierno, la estructura del programa y los planes de continuidad en respuesta a factores externos e internos. El mantenimiento y las actualizaciones garantizan que el programa BCM sea eficaz y operativo. Uno de los proyectos de mantenimiento importantes es asegurarse de que sus planes de continuidad se ejecuten y prueben. Las formas comunes de hacerlo incluyen recorridos (walkthroughs) de planes, ejercicios de escritorio y pruebas funcionales. Algunos de estos ejercicios se explican a continuación:

Dependiendo de los requisitos de su organización y la madurez del programa, puede seleccionar el tipo de ejercicio apropiado. Un ejercicio de escritorio es una de las formas de probar la recuperación del negocio sin activación en tiempo real y es un buen equilibrio entre los recorridos (walkthroughs) del plan y un ejercicio funcional. Estos ejercicios requieren menos planificación en comparación con un ejercicio funcional y son más complejos que un simple recorrido por el plan.

Se podrían diseñar escenarios de ejercicios de escritorio para ejercitar la respuesta a la amenaza organizacional más probable. Por ejemplo, si tiene una oficina en una región propensa a desastres naturales, como una zona sísmica, es posible que desee ejercitar sus planes de continuidad utilizando un escenario de terremoto.

Planificación de ejercicios de escritorio

La planificación de un ejercicio de escritorio es uno de los pasos iniciales e importantes. Los profesionales de BCM deben trabajar en estrecha colaboración con los participantes del negocio para definir el alcance y el objetivo del ejercicio y comprender qué es fundamental para el negocio y cómo se alinea con las prioridades comerciales estratégicas de la organización. Los responsables de las actividades comerciales y la alta dirección deben participar en el proceso de planificación desde el principio.

Aspectos a tener en cuenta al determinar el alcance de un ejercicio de escritorio:

¿Qué plan o procedimientos de recuperación las empresas considerarían críticos y desearían priorizar para el ejercicio?

Una función o grupo de negocio generalmente gestiona varios procesos, pero no todos los procesos pueden ser críticos para el negocio o deben recuperarse dentro del mismo tiempo objetivo. Es una buena práctica revisar la criticidad de un proceso e identificar si es una actividad de misión crítica. Los datos del análisis de impacto al negocio (BIA) se pueden utilizar para evaluar la criticidad de varios procesos de negocio. Los datos del BIA deben revisarse y actualizarse (si es necesario) antes de utilizarlos para la evaluación de prioridades.

¿Estos planes tienen una dependencia crítica de la ejecución de otros planes?

Dado que la mayoría de las actividades del negocio son interdependientes, es importante revisar la dependencia tanto ascendente como descendente para el proceso del negocio o los planes de recuperación en el alcance. Si existe una dependencia crítica en la ejecución de otros procesos o plan, podría considerar incluir el plan de dependencia como parte del ejercicio o supuestos claros durante el ejercicio en el que estas dependencias están disponibles. Por ejemplo, si estamos discutiendo la recuperación del negocio, pero depende de una recuperación ante desastres (DR) de aplicaciones de negocio críticas, puede incluir al representante del equipo de recuperación ante desastres o indicar una suposición de que la aplicación se recuperará dentro de un tiempo objetivo de recuperación determinado (RTO).

¿Quién necesita participar o estar disponible para el ejercicio?

Como estos ejercicios de escritorio pueden requerir un buen compromiso de tiempo por parte de la empresa (según el objetivo y el alcance del ejercicio), los profesionales de BCM deben determinar los jugadores y bloquear sus calendarios con anticipación para que tengan suficiente tiempo para planificar. Además, los roles y responsabilidades de los jugadores deben comunicarse antes de la facilitación del escenario real. Además de comunicar las responsabilidades, los profesionales deben identificar un contacto de respaldo para cada jugador. Idealmente, los contactos de respaldo también deberían participar en el escenario para probar la redundancia desde la perspectiva de las personas. Por ejemplo, si el contacto principal no está disponible, ¿el respaldo comprende los roles y responsabilidades y se siente seguro al ejecutar los procedimientos y planes de recuperación en el alcance?

Jugadores en el ejercicio de escritorio

A medida que planifica los ejercicios de escritorio para las diferentes funciones del negocio, es importante comprender quiénes participarán y qué roles desempeñarán.

Cuatro tipos principales de participantes para un ejercicio de escritorio:

Dependiendo del alcance y el objetivo del ejercicio, las partes interesadas externas, como el departamento de bomberos, los equipos regionales de emergencia y los proveedores, también pueden incluirse en el ejercicio. Los roles y responsabilidades de los jugadores deben comunicarse claramente durante la fase de planificación del ejercicio.

Logística

Una vez que se identifica a los participantes para el ejercicio, el siguiente paso es trabajar en la logística para realizar el ejercicio, que debe identificarse y planificarse con anticipación. Algunas de las logísticas comunes del ejercicio se enumeran a continuación:

  • Sala de guerra: estos ejercicios deben reproducirse o realizarse en una sala de guerra real que podría identificarse como parte de sus planes de recuperación. La sala de guerra de respuesta debe estar equipada con telecomunicaciones, videoconferencia, instrucción de alto nivel y pizarras blancas adecuadas.
  • Viaje: si la sala de guerra está en un lugar remoto o en un sitio diferente, se debe comunicar lo mismo a los participantes para que puedan planear estar allí antes de tiempo. Si es necesario, se deben proporcionar instrucciones de conducción y otra información antes del ejercicio.
  • Participación remota: si por alguna razón los participantes no pueden asistir al ejercicio en persona, el practicante de BCM debe asegurarse de que la sala de guerra esté equipada con los dispositivos adecuados para videoconferencias y, como mínimo, debe tener un puerto de telecomunicaciones. Es aconsejable que las personas clave participen en persona. Otros contactos de respaldo podrían marcar de forma remota.

Definición de temas clave para el ejercicio

Los temas clave ayudan a proporcionar estructura a un ejercicio de escritorio. A continuación, se enumeran algunos ejemplos de temas clave:

Construyendo un escenario

La construcción de un escenario de escritorio es fácil si tiene un alcance claro y temas clave definidos para el ejercicio. Cosas a considerar al construir un escenario:

  • El escenario debe permitir a la audiencia probar los puntos de recuperación en el alcance y tocar temas clave.
  • Agregue inyecciones en su escenario: introduzca información adicional que empujaría a los participantes a pensar en las dependencias
  • Mantenlo simple

Guía de facilitación de ejercicios

Como Gestor de BCM, facilitaría con mayor frecuencia el ejercicio de escritorio e informaría sobre los resultados.

Pautas de facilitación:

  • Tenga una línea de tiempo clara para el ejercicio. Asigne tiempo para la ejecución del escenario, la pausa y el informe.
  • Evite las madrigueras: guíe a la audiencia del ejercicio para que no lea demasiado en el escenario, sino que se centre en la respuesta.
  • Aclare el objetivo del ejercicio: estos ejercicios a veces se interpretan erróneamente como auditoría.
  • Pídale a alguien que le ayude a tomar notas o, si es posible, grabe la sesión.
  • Anime a todos a participar y contribuir a la respuesta.
  • Informe después del escenario para identificar oportunidades de mejora y actualizar los planes si es necesario.

Ejemplo de escenario de escritorio

Un escenario de escritorio podría variar desde una interrupción natural hasta un ciberataque y dependería del plan que desee ejercer. Ejemplos de escenarios para ejercitar sus planes:

Ejemplo de escenario de ejercicio de escritorio

Ejemplo de escenario: terremoto

Hora del escenario: enumerar el día y la hora permitirá a la empresa determinar si es un momento pico para el proceso o no y en función de esto, se puede personalizar la respuesta.

Sugerencia: capture la información de las horas pico en los planes de recuperación. Durante la elaboración y/o actualización del BIA, es un buen momento para discutir con la empresa los requisitos de horas pico de los procesos de negocio.

Descripción general del escenario: la descripción general debe proporcionar suficientes detalles sobre cómo se está desarrollando la interrupción sin proporcionar muchos detalles técnicos sobre el escenario.

Consejo: los escenarios no deben ser demasiado detallados para evitar agujeros de conejo.

Inyectar: información adicional que brindaría información de impacto o de preparación a los participantes sobre en qué deben enfocarse. Inyecta ayuda para tomar acciones que cumplan con el objetivo del ejercicio.

Consejo: las inyecciones deben estar alineadas con el objetivo del ejercicio.

Tarjeta del facilitador: los facilitadores pueden imprimir tarjetas con preguntas con anticipación. Estas tarjetas clave ayudan a impulsar las conversaciones y cubren los temas clave del ejercicio.

Estudio de caso: ejercicio de escritorio sobre huracanes, mayo de 2019

Una empresa de software tiene una oficina crítica en Orlando, Florida, que a menudo se ve afectada durante la temporada de huracanes del Atlántico. Con el fin de prepararse para la temporada de tormentas, de junio a octubre, la oficina de BCM de la compañía comenzó a planificar la temporada en marzo, donde trabajaron en estrecha colaboración con el negocio actualizando los planes de continuidad y planificando el ejercicio de escritorio antes de que comenzara la temporada de huracanes.

Marzo: planificación del ejercicio

Durante la sesión de planificación con la empresa, la oficina de BCM identificó lo siguiente:

  • Partes interesadas / equipos clave que necesitan participar en el ejercicio.
  • Alcance y objetivo del ejercicio.
  • Ubicación del ejercicio: ubicación remota documentada como un centro de comando de crisis en los planes de continuidad.
  • Planes y equipos dependientes que deben incluirse en el ejercicio.
  • Dependencias que deben cubrirse.
  • Supuestos para el ejercicio
  • Modo de comunicación.

Una vez que las partes interesadas clave, los objetivos y la ubicación del ejercicio se discutieron y examinaron con la empresa, la oficina de BCM envió una invitación de «reserva la fecha» a las partes interesadas clave. La invitación al ejercicio se envió en la segunda semana de marzo e incluyó lo siguiente:

  • Breve descripción general del programa de continuidad del negocio
  • Descripción, objetivo y alcance del ejercicio de escritorio 
  • Responsabilidades y rol del asistente
  • Ubicación del ejercicio e indicaciones para conducir
  • Documentos que deben revisar antes del ejercicio
  • Información de acceso telefónico si el asistente va a ser remoto
  • Contacto de respaldo si el asistente no puede unirse al ejercicio

A fines de marzo, la oficina de BCM recibió respuestas de todos los asistentes. En algunos casos, la oficina del programa tuvo que hacer un seguimiento proactivo con los equipos.

Después de reservar la fecha para el ejercicio como parte del programa de BCM, la oficina trabajó en la reserva de la ubicación del centro de comando para el día del ejercicio y en la adquisición de los artefactos (pizarrones, cuadernos, marcadores, etc.) que pudieran ser necesarios para facilitar el ejercicio.

Abril: Plataforma de facilitación

Después de guardar la fecha del ejercicio y obtener la confirmación de los asistentes, la oficina de BCM comenzó a trabajar en la plataforma de facilitación que incluía lo siguiente:

Mayo: Facilitación del ejercicio

El ejercicio se realizó en la primera semana de mayo.

Facilitación del ejercicio

  • Se discutió el procedimiento de recuperación y respuesta para un huracán de categoría 5 que hipotéticamente podría golpear el site.
  • Procedimiento de respuesta iniciado mediante la activación del CMT, que activó la respuesta de emergencia para el sitio (una vez que el CMT garantizó la seguridad del personal y se inició el equipo de respuesta de emergencia / respuesta del negocio)
  • La empresa trabajó con diferentes equipos globales asegurando que el trabajo esté cubierto si el site de Orlando no está disponible.
  • Informe con diferentes equipos

Escenario de facilitación del ejercicio: antes del huracán

Actualización de la hora después de 24 horas: durante el huracán

Actualización de la hora después de 24 horas: después del huracán

Lecciones aprendidas del ejercicio sobre huracanes

  • El ejercicio ayudó a llevar a un equipo de respuesta diferente a la misma escritorio.
  • Fue difícil para los equipos remotos en EMEA y APAC participar durante las horas de EE. UU. (Los futuros equipos regionales viajarán a la ubicación de Orlando para participar en el ejercicio)
  • Hubo algunas brechas de comunicación entre los equipos de respuesta y los equipos de recuperación del negocio.
  • Algunos de los equipos en la sala de guerra no funcionaban, lo que se informó en los elementos de acción.
  • El sistema de respuesta a emergencias no se actualizó con el contacto de la alta dirección.
  • El procedimiento de cierre del site y el líder del site se identificaron claramente durante el ejercicio
  • El respaldo para los gerentes de oficina no estaba preparado para las responsabilidades de recuperación.
  • Grabar el ejercicio utilizando software de telecomunicaciones fue útil para referencias posteriores.
  • Tomar café y refrescos en la sala de guerra ayudó con los descansos.

La oficina de BCM documentó los aprendizajes, las brechas y los elementos de acción en el informe del ejercicio de escritorio y socializó con los participantes. BCM PO trabajó con las funciones de negocio y otros equipos para abordar las brechas antes de la temporada de huracanes.

Los elementos de acción y las brechas se abordaron a fines de mayo, y los propietarios de negocios proporcionaron una firma final de los documentos de continuidad actualizados antes de que comience la temporada de huracanes.

Junio-octubre

La respuesta de continuidad se activó varias veces durante la temporada de huracanes, no solo para tormentas de categoría superior, sino también para depresiones tropicales que suelen ir acompañadas de vientos de alta velocidad y lluvias intensas. El equipo de respuesta pudo confiar fácilmente en los documentos de continuidad actualizados y la memoria muscular que se construyó como parte del ejercicio de respuesta a huracanes realizado en mayo.

Los ejercicios de escritorio deben realizarse periódicamente. Para un ejercicio de escritorio eficaz, los escenarios que abordan las amenazas con mayor probabilidad y probabilidad deben ejercitarse con más frecuencia. Los ejercicios regulares del programa BCM, no limitados al escritorio, ayudan a construir un programa BCM más efectivo y procesable.

Vaishali Jain

Vaishali Jain es gerente senior de programas para la gestión de la continuidad del negocio en ServiceNow. Tiene su base en San Francisco. En su puesto, Jain se desempeña como experta residente en todo lo relacionado con BCM en ServiceNow. Conoció la continuidad del negocio durante sus años de consultoría con Deloitte, donde tuvo la oportunidad de aprender sobre los conceptos de BCM y comprender cómo funciona la continuidad para diferentes industrias. En Deloitte, tuvo la oportunidad de desarrollar y personalizar programas de continuidad para varios clientes. Ahora se especializa en BCM en el sector de la tecnología en la nube. Jain tiene experiencia en la implementación de herramientas de continuidad del negocio y le apasiona automatizar los flujos de trabajo de gestión de riesgos. Obtuvo su certificación como Business Continuity Professional en mayo de 2017. Forma parte de la Business Recovery Managers Association, una organización sin fines de lucro para profesionales de la continuidad del negocio en el área de la bahía. Ella es un miembro activo de la comunidad de riesgo y, a menudo, comparte su experiencia y mejores prácticas con compañeros practicantes. Jain tiene experiencia en la gestión, construcción y mantenimiento de programas BCM eficientes. Como practicante, ha planeado y ejecutado varios ejercicios de escritorio para diversas industrias. Le apasiona el tema y le gusta compartir sus aprendizajes y experiencias con compañeros practicantes.

Comentarios

2 comentarios en «Planificación de un ejercicio de escritorio eficaz»

  1. Cordial saludo Jain,

    Espero te encuentres bien, mi nombre es Samir Garcés y de entrada quiero decirte que tu publicación me gustó mucho. Soy nuevo en el gremio de la continuidad del negocio — actualmente estoy laborando como Consultor Junior para una firma, sin duda me gustaría ampliar mis conocimientos y profundizar temas de pruebas de escritorio, diseño de un BCM, BIA, entre otros.

    Espero poder ampliar más mi interés.

    Mil gracias.

    Responder
    • Hola Samir, muchas gracias por tu comentario.

      Estás en el espacio indicado para desarrollar tus conocimientos en Continuidad. En DRJ en Español encontrarás mucho material de apoyo para tu gestión.

      En este contexto, te invito a revisar la agenda de nuestra próxima conferencia que regresa a formato presencial y que se celebrará del 23 al 25 de noviembre 2022 en Ciudad Panamá. Te dejo enlace para tu revisión: https://live.eventtia.com/es/conferenciadrje2022.

      Saludos, Ruth

      Responder

Deja un comentario

COMPARTIR

ÚLTIMOS ARTÍCULOS

Herramientas de Ciberseguridad a aplicar para cada función de la nueva versión de NIST CSF 2 y recomendaciones para maximizar la inversión

Durante el punto álgido de la pandemia, la mayoría de las organizaciones dejaron de realizar viajes de negocios por completo. Otros elevaron la autorización para viajes relacionados con negocios a los niveles más altos de C-Suite, asegurando una visión de arriba hacia abajo de los costos y las posibles ramificaciones reputacionales de viajar cuando otros no lo hacían.

Leer Más >>

De reactivo a proactivo: Elaboración de una estrategia de recuperación ante desastres preparada para el futuro

Durante el punto álgido de la pandemia, la mayoría de las organizaciones dejaron de realizar viajes de negocios por completo. Otros elevaron la autorización para viajes relacionados con negocios a los niveles más altos de C-Suite, asegurando una visión de arriba hacia abajo de los costos y las posibles ramificaciones reputacionales de viajar cuando otros no lo hacían.

Leer Más >>

Terremotos: predecir lo impredecible

Durante el punto álgido de la pandemia, la mayoría de las organizaciones dejaron de realizar viajes de negocios por completo. Otros elevaron la autorización para viajes relacionados con negocios a los niveles más altos de C-Suite, asegurando una visión de arriba hacia abajo de los costos y las posibles ramificaciones reputacionales de viajar cuando otros no lo hacían.

Leer Más >>

Desinformación sobre desastres

Durante el punto álgido de la pandemia, la mayoría de las organizaciones dejaron de realizar viajes de negocios por completo. Otros elevaron la autorización para viajes relacionados con negocios a los niveles más altos de C-Suite, asegurando una visión de arriba hacia abajo de los costos y las posibles ramificaciones reputacionales de viajar cuando otros no lo hacían.

Leer Más >>

Predicciones de seguridad y ciberseguridad para 2024

Durante el punto álgido de la pandemia, la mayoría de las organizaciones dejaron de realizar viajes de negocios por completo. Otros elevaron la autorización para viajes relacionados con negocios a los niveles más altos de C-Suite, asegurando una visión de arriba hacia abajo de los costos y las posibles ramificaciones reputacionales de viajar cuando otros no lo hacían.

Leer Más >>

Lecciones posteriores al desastre: qué se debe aprender y cómo

Durante el punto álgido de la pandemia, la mayoría de las organizaciones dejaron de realizar viajes de negocios por completo. Otros elevaron la autorización para viajes relacionados con negocios a los niveles más altos de C-Suite, asegurando una visión de arriba hacia abajo de los costos y las posibles ramificaciones reputacionales de viajar cuando otros no lo hacían.

Leer Más >>