CONCEPTOS INICIALES

Hemos tenido la oportunidad de brindar entrenamiento durante muchos años en temas de Continuidad del Negocio (CN), y uno de los primeros problemas que los responsables de implementar este programa manifiestan tener es que la Alta Dirección no tiene claridad del objetivo de la CN, lo que se agrava más cuando el propio responsable no lo sabe explicar. Es por ello que es muy importante, aclarar las expectativas de la Alta Dirección y para ello queremos retomar algunos de los conceptos que los estándares ISO 22301 de continuidad de negocios o ISO 22316 de resiliencia organizacional definen:

• Continuidad del Negocio es la capacidad de la organización para continuar entregando sus productos o servicios a niveles aceptables previamente establecidos luego de un evento de interrupción.  Por lo general se activa en respuesta a eventos que amenazan la viabilidad de la organización.
• Gestión de Continuidad del Negocio es el proceso de gestión integral que identifica las amenazas potenciales de una organización y los impactos en las operaciones de negocios que podrían causar esas amenazas si se realizan, y que brinda un marco de trabajo para construir la resiliencia organizacional con la capacidad de dar una respuesta efectiva que salvaguarde los intereses de sus partes interesadas clave, su reputación, marca y actividades que crean valor.
• Programa de Continuidad del Negocio es el proceso continuo de gestión y gobierno apoyado por la Alta Gerencia y con los recursos adecuados para implementar y mantener la gestión de la continuidad del negocio.
• Sistema de Gestión de Continuidad del Negocio es parte del sistema general de la organización que establece, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio.
• Resiliencia Organizacional es la capacidad de una organización para absorber y adaptarse en un entorno cambiante.

De una forma más sencilla se explica en clases, y utilizaremos los mismos ejemplos ahora: Continuidad del Negocio es la capacidad de esquema alterno a distancia segura que ya tiene la organización, para que cuando producto de una interrupción el elemento primario falle, el alterno esté disponible. Gestión de Continuidad del Negocio es el proceso que logra que la CN, es decir la capacidad alterna, se integre y viva permanentemente en todos los procesos de la organización. Programa de Continuidad del Negocio es el conjunto de entregables y resultados visibles de una gestión de Continuidad del Negocio apoyada por la Alta Dirección.  Sistema de Gestión de Continuidad del Negocio es el programa de CN avalado o certificado por un tercero contrastado contra una norma como el ISO 220301. Finalmente, Resiliencia Organizacional es también una capacidad que ya tiene la organización, pero esta vez no de un esquema alterno únicamente sino, en general, de respuesta a cualquier cambio progresivo o súbito; por eso la CN contribuye a la resiliencia organizacional, mas no es lo mismo.

BUENAS PRÁCTICAS INTERNACIONALES

Otro aspecto importante a considerar es la evolución de las buenas prácticas internacionales, cómo han nacido y han ido integrando los estándares internacionales. 

En 1987 nace en Estados Unidos la revista Disaster Recovery Journal como un foro para compartir conocimiento y experiencia entre sus lectores.  En el año 1988 el DRI (Disaster Recovery Institute) es fundado en Estados Unidos como un ente rector de buenas prácticas. 

En 1996 es creado en Inglaterra el BCI (Business Continuity Institute) como otra corriente de pensamiento en temas de continuidad del negocio.  Ambos institutos publican y actualizan periódicamente sus guías de buenas prácticas, 10 en el caso de DRI y 6 en el caso de BCI; aunque ambas buenas prácticas consideran los temas que componen los programas de continuidad del negocio, tienen sus diferencias en enfoques como el caso del BIA o en profundizar temas de respuesta a emergencias.

En 2009 se publica el estándar británico BSI 25999 que considera principalmente las buenas prácticas de BCI.

Un año más tarde, en 2010, se publica la ISO 27031 que describe los conceptos y principios de la preparación de la tecnología de la información y las comunicaciones (TIC) para la CN, y proporciona un marco de métodos y procesos para identificar y especificar todos los aspectos para mejorar la preparación de las TIC de una organización para garantizar la continuidad del negocio.

La ISO 22301, estándar internacional para implementar y mantener planes, sistemas y procesos de continuidad del negocio efectivos, se publica en 2012.

En 2015 se publica la ISO 22317, que marca las directrices para el Análisis de Impacto al Negocio (BIA). Proporciona una guía para que una organización establezca, implemente y mantenga un proceso de BIA formal y documentado.

Y, finalmente, en el 2019 se actualizó la norma ISO 22301, mencionada anteriormente.

EVOLUCIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO

La continuidad del negocio ha ido evolucionando en el tiempo haciéndose más precisa en definir e incorporar algunos ámbitos o alcances sobre los cuales trabaja. Al inicio, el entendimiento que se tenía de continuidad estaba muy asociado a la contingencia ante escenarios específicos. Luego se identificó que uno de los escenarios más dramáticos es la caída de un data center completo, entonces se fue cambiando el concepto de ser específico a escenarios o contingencias puntuales, a la caída de un data center completo. En este momento se comenzó a hablar de “Plan de Recuperación ante Desastres”. Posteriormente este abarcaba la posibilidad de que no solo el data center se caiga si no también las operaciones del negocio por otras razones como: afectación de instalaciones, afectación de los proveedores críticos, por nombrar algunas. En este punto se comienza a usar el término “Continuidad del Negocio”.

Es así que el objetivo que era el documento, “el plan”, pasó a ser un proceso permanente, cuyos objetivos, entregables y resultados debían ser actualizados constantemente y es en este punto en el que se comienza a hablar de “programa” como un conjunto de planes y luego un conjunto de fases. Finalmente este programa que requiere ser gestionado de acuerdo a un sistema de mejora continua de calidad, se convierte en un “Sistema de Gestión de Continuidad del Negocio”.

En sus inicios el Pan de Continuidad era un documento de gran tamaño que contenía información diversa y estaba enfocado en la respuesta pero también en las causas de por qué esa respuesta era importante. Con lo cual el plan contenía las principales amenazas y riesgos que enfrentaba la organización y las prioridades de recuperación. También definía las estrategias de recuperación, los roles necesarios para esas respuestas, los protocolos de actuación y las responsabilidades de mantenimiento, capacitación y pruebas del plan. El objetivo principal era compendiar toda esta información en un solo documento.

En la actualidad el plan ha cambiado el sentido y está enfocado principalmente a responder al incidente, es decir, ya no está orientado a tener volúmenes de información, más bien a que su contenido sea muy ligero, fácil de recordar y trasladar. El plan actual hace énfasis en los protocolos de respuesta por rol. Podríamos tener incluso pequeños planes o secciones por cada rol aunque el plan como concepto más amplio sería el conjunto de todos estos pequeños planes. Sin embargo, de cara al que va a responder, solo le corresponde conocer y administrar su propio plan.

Las demás informaciones que ya no se documentan en el plan tales como el BIA, la Evaluación de Riesgos, las Estrategias de Recuperación son documentos independientes que pueden consultarse pero ya forman parte del Programa o Sistema de Gestión, más no del Plan de Continuidad del Negocio. Lo mismo en el caso del mantenimiento o ejercicios y pruebas que no se circunscriben al plan si no a todas las demás actividades del programa a fin de crear conciencia, mantener el estado de alerta y las capacidades vivas a nivel de estrategias, así como de ejercitar y validar los protocolos o los planes correspondientes.

ETAPAS DEL CICLO DE VIDA DE LA CONTINUIDAD DEL NEGOCIO