Ejecutar pruebas, dar mantenimiento y revisar la continuidad del negocio

por Atalait el Nov 27, 2017 12:11:11 AM

Ejecutar-pruebas-dar-mantenimiento-y-revisar.jpg

Los planes de continuidad de negocio son una pieza fundamental en la estructura de cualquier empresa, no contar con uno puede ser la diferencia entre una organización exitosa y una que no soporta una situación crítica.

Pensar que una emergencia no ocurrirá porque la probabilidad  de que se presente es baja no garantiza que estemos libres de riesgo. Por eso, una vez que hemos identificado los factores que amenazan nuestro negocio y hemos desarrollado los planes de acción que requerimos, es momento de poner manos a la obra para implementar las estrategias de respuesta.

Al momento de implementar nuestros planes de continuidad, nuestras instalaciones y capacidad de recuperación para defender a la organización contra interrupciones e incidentes deben ser probados y actualizados a medida que la organización cambie. Este es el aspecto más difícil de la mayoría de los programas de continuidad comercial y en el que la mayoría de las organizaciones descuidan su inversión por no establecer este nivel de protección de la organización como un objetivo primordial.

Ejecutar pruebas

Poner a prueba los planes y las instalaciones es un aspecto esencial para garantizar que cumplan con los requisitos de la organización y que se ejecuten de acuerdo con los criterios básicos fundamentales para que la empresa continue con sus operaciones críticas. Por lo tanto, los ejercicios de prueba se deben llevar a cabo regularmente, al menos una vez al año, y deben basarse en escenarios realistas, incidentes e interrupciones comunes para la organización.

Los principales beneficios y razones para la ejecución de pruebas en escenarios reales controlados incluyen: 

  • La validación de los planes de continuidad del negocio por medio de la educación, capacitación y conocimiento a aquellos con roles y responsabilidades críticos para la continuidad del negocio.
  • Confirmación de que se pueden lograr el objetivo de tiempo de recuperación (RTO, por sus siglas en inglés) y el objetivo de recuperación de datos (RPO, por sus siglas en inglés) requeridos.
  • Identificación de los aspectos de preparación o resiliencia que requieren mejoras o actualizaciones debido a cambios en instalaciones, tecnología, información o enlaces de comunicación.
  • Confirmación de que los planes e instalaciones funcionan según se requiere.
  • Demostración de la capacidad de recuperación.

Existen estándares internacionales (como las normas ISO 22320, 22316, 22398 o la 19011) que brindan orientación sobre la realización de ejercicios y pruebas. Sin embargo, antes de realizar una prueba por cuenta propia, planeada y ejecutada por la empresa misma, es importante que se tomen en cuenta una serie de aspectos que pueden resultar problemáticos: el costo de los ejercicios, la posible interrupción de las actividades normales si no se cuenta con la capacidad y experiencia necesarios para hacer un ejercicio efectivo, los riesgos que el ejercicio puede introducir en la organización por la falta de preparación para llevarlo a cabo.

El proceso más simple de verificación de los planes de continuidad sigue el modelo Plan-Do-Check-Act (PDCA): 

  • Planificar: se define el alcance, se identifican los recursos, se evalúan los riesgos, se prepara la programación de acciones y comunicados.
  • Hacer: el ejercicio se lleva a cabo de acuerdo con el plan, se toman notas sobre el calendario y cualquier problema u observación para realizar mejoras.
  • Revisar: los resultados del ejercicio se revisan y verifican para asegurar que se cumplan la continuidad del negocio, los requisitos de RTO / RPO y resiliencia, y cualquier acción identificada para el seguimiento. Además, se prepara un informe del ejercicio que se llevó a cabo.
  • Actuar: se realiza un seguimiento y validación de las acciones del ejercicio para garantizar que se generen soluciones para los problemas y riesgos identificados.

Una parte importante de la realización de los ejercicios de prueba es que se garantice la participación de las personas adecuadas para planificar y llevar a cabo los ejercicios. Para las pruebas de recuperación ante desastres esto es vital, ya que cualquier prueba puede introducir riesgos en los sistemas de producción y la recuperación debe ser validada y verificada por la empresa para garantizar que proporciona la funcionalidad y los datos necesarios en el plazo requerido.

Garantizar que el ejercicio se realice correctamente y con la frecuencia adecuada ayudará a asegurar que el entorno de continuidad del negocio no requiera enmiendas al momento de la ocurrencia de una emergencia real y, por lo tanto, evitará errores de ejecución.

La mejor forma de asegurar que el proceso completo sea un éxito es por medio del asesoramiento oportuno de una entidad o un socio externos que cuente con la capacidad y preparación necesaria para llevarlo a cabo. En muchas ocasiones, las empresas no están preparadas para realizar este tipo de planes ni los ejercicios que se requieren. 

Mantenimiento

Las organizaciones cambian constantemente, ya sea por cambios en el personal, por innovaciones tecnológicas, o por modificaciones en los procesos o productos y servicios. Por lo tanto, los planes de continuidad del negocio y las instalaciones también deben modificarse para garantizar que permanezcan vigentes. Cualquier cambio dentro de la organización debe evaluarse para identificar si afecta la capacidad de las organizaciones para continuar o recuperarse.

A menudo las organizaciones no se dan cuenta de que al cambiar las prioridades comerciales o implementar estrategias diferentes –por ejemplo, introducir nuevos productos o servicios o implementar proyectos para mejorar el rendimiento, los procesos o reducir costos– pueden alterar el análisis del impacto comercial, los requisitos de continuidad y los RTO / RPO. En otras palabras, las dependencias y las prioridades dentro de la organización pueden cambiar, lo que invalida las instalaciones, los planes y las capacidades de continuidad del negocio que se han implementado con anterioridad.

Por lo tanto, el método más sencillo y adecuado para asegurar la capacidad de continuidad y resiliencia del negocio es incluir una evaluación del impacto de cada cambio en los planes y estrategias de continuidad como parte de cualquier modificación en la organización. Esto requiere un estricto control de las modificaciones en los procesos de gestión, es necesario registrar y evaluar todas las alteraciones para que los nuevos procesos se incorporen con puntualidad y rigor.

Además del mantenimiento y la revisión como parte de un estricto proceso de cambio, las organizaciones también deben revisar periódicamente (al menos cada año) la información de continuidad del negocio, los planes e instalaciones para garantizar que estén actualizados. Esta revisión debe ser una cuestión de rutina después de realizar los ejercicios. Es muy fácil que la información, como los números de teléfono del personal y los datos de contacto de los proveedores, se vuelva obsoleta con rapidez.

Ejecutar-pruebas-dar-mantenimiento-y-revisar-2.jpg

Revisión

Llevar a cabo una revisión de los planes de continuidad del negocio de una organización es esencial para garantizar que se han implementado correcta y apropiadamente. Hay dos tipos de revisiones que se pueden realizar: evaluaciones y auditorías.

  • Evaluaciones. Consisten en la revisión de los procesos establecidos en el plan de continuidad para asegurar que se hayan definido y adoptado correctamente, que se hayan aplicado de forma adecuada dentro de la organización y, normalmente, que las soluciones implementadas cumplan con los requisitos identificados. Se pueden llevar a cabo autoevaluaciones –si existen las personas experimentadas necesarias al interior de la empresa– o se pueden llevar a cabo por un experto o un grupo de profesionales de la continuidad del negocio externos, sin duda, lo más recomenda
  • Auditorías. Consisten en la verificación de que el proceso de continuidad del negocio se haya seguido correctamente, las auditorías pueden realizarse interna o externamente. En este caso, con mayor razón, lo recomendable es contar con la asesoría de una entidad especializada en las regulaciones y normativas legales que debe cumplir una auditoría.

Las auditorías y evaluaciones se deben realizar con base en las prácticas industriales a nivel internacional.

El apego a las normas de la industria normalmente garantizarán:

  • Una política de continuidad del negocio definida y con suficientes detalles apropiados.
  • Una política de continuidad del negocio que se está implementando
  • La asignación de recursos suficiente y la preparación correcta de un presupuesto para la implementación y gestión continua de los planes de continuidad.
  • La identificación de los impactos comerciales.
  • La identificación de los requisitos de recuperación.
  • La identificación de las estrategias pertinentes para actuar.
  • La identificación y el registro de los riesgos y amenazas existentes.
  • La consideración y evaluación de todos los procesos, productos y servicios.
  • La ratificación de que las instalaciones, tecnologías e información estén disponibles en el plazo requerido tras la emergencia.
  • El mantenimiento de los planes, las instalaciones y la tecnología para la recuperación en línea con los cambios de la organización.
  • La preparación adecuada de los roles y las responsabilidades han sido comunicados y están dados de alta.
  • La implementación de una medición adecuada a través de indicadores clave de rendimiento (KPI).

Guía sobre recuperación de desastres