El Plan de la Continuidad del Negocio Buenas Prácticas

EL PLAN DE CONTINUIDAD DEL NEGOCIO

Según la Guía de Buenas Prácticas del BCI (GBP), la Continuidad del Negocio (CN) es la disciplina clave que permite crear y mejorar la resiliencia de las organizaciones. Pero, ¿cuál es su historia? y ¿cómo ha evolucionado hasta poder llegar a esta definición?

En este whitepaper desarrollaremos el origen y evolución de la CN, así como la estructura del programa de CN, características de buenos planes, y todo lo que usted debe saber antes de transitar por el camino de esta apasionante disciplina.

CONCEPTOS INICIALES

Hemos tenido la oportunidad de brindar entrenamiento durante muchos años en temas de Continuidad del Negocio (CN), y uno de los primeros problemas que los responsables de implementar este programa manifiestan tener es que la Alta Dirección no tiene claridad del objetivo de la CN, lo que se agrava más cuando el propio responsable no lo sabe explicar. Es por ello que es muy importante, aclarar las expectativas de la Alta Dirección y para ello queremos retomar algunos de los conceptos que los estándares ISO 22301 de continuidad de negocios o ISO 22316 de resiliencia organizacional definen:

Continuidad del Negocio es la capacidad de la organización para continuar entregando sus productos o servicios a niveles aceptables previamente establecidos luego de un evento de interrupción. Por lo general se activa en respuesta a eventos que amenazan la viabilidad de la organización.
Gestión de Continuidad del Negocio es el proceso de gestión integral que identifica las amenazas potenciales de una organización y los impactos en las operaciones de negocios que podrían causar esas amenazas si se realizan, y que brinda un marco de trabajo para construir la resiliencia organizacional con la capacidad de dar una respuesta efectiva que salvaguarde los intereses de sus partes interesadas clave, su reputación, marca y actividades que crean valor.
Programa de Continuidad del Negocio es el proceso continuo de gestión y gobierno apoyado por la Alta Gerencia y con los recursos adecuados para implementar y mantener la gestión de la continuidad del negocio.
Sistema de Gestión de Continuidad del Negocio es parte del sistema general de la organización que establece, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio.
Resiliencia Organizacional es la capacidad de una organización para absorber y adaptarse en un entorno cambiante.

De una forma más sencilla se explica en clases, y utilizaremos los mismos ejemplos ahora: Continuidad del Negocio es la capacidad de esquema alterno a distancia segura que ya tiene la organización, para que cuando producto de una interrupción el elemento primario falle, el alterno esté disponible. Gestión de Continuidad del Negocio es el proceso que logra que la CN, es decir la capacidad alterna, se integre y viva permanentemente en todos los procesos de la organización. Programa de Continuidad del Negocio es el conjunto de entregables y resultados visibles de una gestión de Continuidad del Negocio apoyada por la Alta Dirección. Sistema de Gestión de Continuidad del Negocio es el programa de CN avalado o certificado por un tercero contrastado contra una norma como el ISO 220301. Finalmente, Resiliencia Organizacional es también una capacidad que ya tiene la organización, pero esta vez no de un esquema alterno únicamente sino, en general, de respuesta a cualquier cambio progresivo o súbito; por eso la CN contribuye a la resiliencia organizacional, mas no es lo mismo.

BUENAS PRÁCTICAS INTERNACIONALES

Otro aspecto importante a considerar es la evolución de las buenas prácticas internacionales, cómo han nacido y han ido integrando los estándares internacionales.

En 1987 nace en Estados Unidos la revista Disaster Recovery Journal como un foro para compartir conocimiento y experiencia entre sus lectores. En el año 1988 el DRI (Disaster Recovery Institute) es fundado en Estados Unidos como un ente rector de buenas prácticas.

En 1996 es creado en Inglaterra el BCI (Business Continuity Institute) como otra corriente de pensamiento en temas de continuidad del negocio. Ambos institutos publican y actualizan periódicamente sus guías de buenas prácticas, 10 en el caso de DRI y 6 en el caso de BCI; aunque ambas buenas prácticas consideran los temas que componen los programas de continuidad del negocio, tienen sus diferencias en enfoques como el caso del BIA o en profundizar temas de respuesta a emergencias.

En 2009 se publica el estándar británico BSI 25999 que considera principalmente las buenas prácticas de BCI.

Un año más tarde, en 2010, se publica la ISO 27031 que describe los conceptos y principios de la preparación de la tecnología de la información y las comunicaciones (TIC) para la CN, y proporciona un marco de métodos y procesos para identificar y especificar todos los aspectos para mejorar la preparación de las TIC de una organización para garantizar la continuidad del negocio.

La ISO 22301, estándar internacional para implementar y mantener planes, sistemas y procesos de continuidad del negocio efectivos, se publica en 2012.

En 2015 se publica la ISO 22317, que marca las directrices para el Análisis de Impacto al Negocio (BIA). Proporciona una guía para que una organización establezca, implemente y mantenga un proceso de BIA formal y documentado.

Y, finalmente, en el 2019 se actualizó la norma ISO 22301, mencionada anteriormente.

EVOLUCIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO

La continuidad del negocio ha ido evolucionando en el tiempo haciéndose más precisa en definir e incorporar algunos ámbitos o alcances sobre los cuales trabaja. Al inicio, el entendimiento que se tenía de continuidad estaba muy asociado a la contingencia ante escenarios específicos. Luego se identificó que uno de los escenarios más dramáticos es la caída de un data center completo, entonces se fue cambiando el concepto de ser específico a escenarios o contingencias puntuales, a la caída de un data center completo. En este momento se comenzó a hablar de “Plan de Recuperación ante Desastres”. Posteriormente este abarcaba la posibilidad de que no solo el data center se caiga si no también las operaciones del negocio por otras razones como: afectación de instalaciones, afectación de los proveedores críticos, por nombrar algunas. En este punto se comienza a usar el término “Continuidad del Negocio».

Es así que el objetivo que era el documento, “el plan”, pasó a ser un proceso permanente, cuyos objetivos, entregables y resultados debían ser actualizados constantemente y es en este punto en el que se comienza a hablar de «programa” como un conjunto de planes y luego un conjunto de fases. Finalmente este programa que requiere ser gestionado de acuerdo a un sistema de mejora continua de calidad, se convierte en un «Sistema de Gestión de Continuidad del Negocio”.

En sus inicios el Pan de Continuidad era un documento de gran tamaño que contenía información diversa y estaba enfocado en la respuesta pero también en las causas de por qué esa respuesta era importante. Con lo cual el plan contenía las principales amenazas y riesgos que enfrentaba la organización y las prioridades de recuperación. También definía las estrategias de recuperación, los roles necesarios para esas respuestas, los protocolos de actuación y las responsabilidades de mantenimiento, capacitación y pruebas del plan. El objetivo principal era compendiar toda esta información en un solo documento.

En la actualidad el plan ha cambiado el sentido y está enfocado principalmente a responder al incidente, es decir, ya no está orientado a tener volúmenes de información, más bien a que su contenido sea muy ligero, fácil de recordar y trasladar. El plan actual hace énfasis en los protocolos de respuesta por rol. Podríamos tener incluso pequeños planes o secciones por cada rol aunque el plan como concepto más amplio sería el conjunto de todos estos pequeños planes. Sin embargo, de cara al que va a responder, solo le corresponde conocer y administrar su propio plan.

Las demás informaciones que ya no se documentan en el plan tales como el BIA, la Evaluación de Riesgos, las Estrategias de Recuperación son documentos independientes que pueden consultarse pero ya forman parte del Programa o Sistema de Gestión, más no del Plan de Continuidad del Negocio. Lo mismo en el caso del mantenimiento o ejercicios y pruebas que no se circunscriben al plan si no a todas las demás actividades del programa a fin de crear conciencia, mantener el estado de alerta y las capacidades vivas a nivel de estrategias, así como de ejercitar y validar los protocolos o los planes correspondientes.

ETAPAS DEL CICLO DE VIDA DE LA CONTINUIDAD DEL NEGOCIO

Según la Guía de Buenas Prácticas (GBP) del BCI, el ciclo de vida de la Gestión de Continuidad del Negocio se compone por 6 fases también llamadas Prácticas Profesionales de la Continuidad del Negocio. Estas fases son:

Política y Gestión del Programa. Es la práctica que establece la política organizacional en relación a la CN. Define cómo debe ser implementada la política a través de un ciclo continuo de actividades dentro del programa de CN y demanda la acción, apoyo y compromiso de la alta dirección.

Integración. También llamada “concientización”, define cómo integrar la sensibilización y capacitación en CN a las actividades cotidianas como parte de la cultura organizacional.
Análisis. Revisa y evalúa la organización para identificar sus objetivos, cómo funciona y las restricciones de su entorno operativo. La técnica de análisis más usada es el BIA, Análisis de Impacto al Negocio o Business Impact Analysis (por sus siglas en inglés).
Diseño. En esta etapa se identifican y seleccionan soluciones apropiadas para lograr la continuidad de las operaciones ante un evento mayor. Estas soluciones deben satisfacer los requisitos identificados en la etapa de análisis.
Implementación. En esta práctica profesional se implementan las soluciones establecidas en la etapa de diseño. Esta implementación se logra a través de “planes de continuidad” que cumplan con los requerimientos y soluciones previamente identificados y definidos en las etapas de análisis y diseño.
Validación. En esta etapa se confirma la efectividad del programa de CN. El objetivo es asegurar que las estrategias de continuidad respondan al tamaño, complejidad y tipo de organización al que pertenecen, y que los planes sean precisos, efectivos, completos y actualizados oportunamente. Debe crearse un proceso continuo de mejora del programa.

ROLES Y RESPONSABILIDADES DE LA CONTINUIDAD DEL NEGOCIO

Como vimos en el apartado anterior, la primera de las 6 fases del ciclo de vida de la Gestión de Continuidad del Negocio es la “Política y Gestión del Programa”.

Parte de este proceso debe ser la “asignación de roles y responsabilidades”, así como la identificación de personas con autoridad para gestionar el programa de CN. Esto garantizará que las tareas requeridas para implementar y mantener el programa de CN se asignen a recursos competentes cuyo desempeño pueda ser evaluado periódicamente.

A continuación compartimos algunas responsabilidades guía de dos roles básicos dentro del programa.

CARACTERÍSTICAS DE BUENOS PLANES

Ante todo, los buenos Planes de Continuidad del Negocio deben responder de manera rápida y efectiva. Partiendo de esta premisa, listamos qué características deben cumplir los planes para lograr este gran objetivo:

Deben ser fáciles de utilizar en el momento de crisis, no necesariamente fácil de usar en condiciones normales.
Documentados a nivel de perfiles.
Cada perfil debe tener al menos al personal “primario” y al “alterno” o “alternos”.
No compiten con el día a día (no se trata de volver a documentar procedimientos del día a día, se trata de utilizarlos e invocarlos en los planes).
La información como códigos, nombres de personas, IPs, nombres de servidores, etc., deben ser en la medida de lo posible anexos al plan.
Difundidos dentro de la organización.
Probados con una frecuencia establecida.
De fácil acceso en el momento del desastre.
Tienen una sola versión vigente.
Son fáciles de actualizar ante los cambios en la organización, en la medida de lo posible.
No tienen versión final, siempre están en desarrollo y mejora.
Contienen una estructura de recuperación en base a perfiles y no a personas, las personas se asignan a los perfiles.

¿QUÉ CONTIENE UN PLAN DE CONTINUIDAD DEL NEGOCIO?

Como gestor de continuidad, usted puede estructurar el plan sobre la base del conocimiento y experiencia propia, sin embargo, queremos dejar una estructura referencial que puede servir de guía o complemento en caso lo requiera.

Un plan de Continuidad del Negocio debe contener:

Presentación Inicial
Control de cambios
Tabla de contenido
Glosario de términos
Premisas/descripción breve de las estrategias
Priorización de productos/áreas /procesos (RTOs)
Estructura del equipo (perfiles)
Personal asignado a cada perfil (incluye alterno)
Árbol de llamado
Actividades o tareas (por perfil de ser posible)
Recursos necesarios para la recuperación
Otros listados (anexos)
- Números telefónicos
- Proveedores
- Audiencias a informar

MANTENIMIENTO DE LA CONTINUIDAD DEL NEGOCIO

El mantenimiento de todo Programa de Continuidad del Negocio supone un proceso permanente de gestión del cambio.

Los objetivos del mantenimiento son varios:

Asegurar que los procedimientos/planes tengan consistencia con la situación actual de la organización.
Asegurar que las prioridades de recuperación se sigan manteniendo.
Minimizar los impactos de improvisación cuando se presente la necesidad de activar el plan/estrategia de recuperación.

Las fuentes que pueden generar cambios en el Programa de Continuidad del Negocio suelen ser diversas:

Revisiones y actualizaciones del programa de CN ya programadas en el año.
Lecciones aprendidas de los ejercicios.
Hallazgos de las auditorías internas y externas.
Inconsistencia de los resultados de los indicadores de continuidad del negocio.
Revisión permanente de los cambios en la organización

“Las actualizaciones en el plan se priorizan según la criticidad de la fuente de cambio”. Algunas ameritarán que se realicen cambios inmediatos, otras se añadirán a la revisión anual del Plan.

Responsabilidades del proceso de gestión de cambios del Programa de Continuidad del Negocio.

REFLEXIONES FINALES

Un Plan de Continuidad no necesariamente es un documento único, puede ser un conjunto de documentos estructurados según el tamaño, estructura, complejidad y tipo de organización.
Es el manual de uso de las estrategias de continuidad previamente establecidas.
Está alineado con el Análisis de Impacto al Negocio (BIA).
Asegura una respuesta oportuna y ordenada de la organización ante un evento mayor.
Es un documento vivo, con actualizaciones frecuentes.
No compite con el día a día, pero sí debe ser parte de él.

Elaborado por el equipo editorial DRJ en Español.

Solicita la versión PDF para descarga

Comparte

Team Work 2024 - Ejercicio de Gestión de Crisis

Gestión de Crisis y Respuestas a Incidentes

GROW Leaders - Liderazgo y Emprendimiento

Curso–Taller Continuidad del Negocio para TICs

Diseño y Ejecución de Ejercicios Efectivos

Organizational Resilience Manager

Curso-Taller Análisis de Impacto al Negocio (BIA)

XIII Conferencia DRJ en Español-Bogotá 2024

Descarga: El Plan de Continuidad del Negocio

Descarga: Trazar la ruta del CX (Customer Experience) hacia el éxito continuo

Conferencia DRJe 2024