UN ENFOQUE SGCN
TITULO
Un enfoque sobre Gestión de Continuidad del Negocio
Cuando la empresas y lo profesionales comenzaron a estudiar los asuntos relacionados con la continuidad de los negocios, aparecieron muchísimos conceptos como Plan de Continuidad del Negocio, Plan de Recuperación ante Desastres, Plan de Respuesta a Emergencia, Plan de Manejo de Crisis y Plan de Contingencia, los cuales en ese momento parecía que significan lo mismo semánticamente hablando. Entonces surgieron otros términos como BIA, RTO, RPO, Hot site, Cold site, Recursos Mínimos, Registro vital, Tolerancia al riesgo y otros, que lo que lograron, fue confundir aún más.
En mis estudios decidí entonces investigar en diversas fuentes y me enteré por ejemplo que había muchos organismos o entidades que dictan normas y regulan estos conceptos, inclusive entidades gubernamentales de diferentes países (Colombia no es la excepción), encontrándome nuevamente con más definiciones en libros y artículos de expertos, que, en vez de aclararme el panorama, terminaron por confundirme más, y lo peor, fue disminuir mi confianza para dominar los conceptos necesarios.
Cuando tuve que elaborar el primer Plan de Continuidad, empecé consultando toda la información posible en Internet y otras fuentes, organicé un plan de trabajo, desarrollé una lista de preguntas, construí formatos y me preparé para entrevistar a las personas de TI y a pedir muchísima información de la infraestructura correspondiente (hardware y software principalmente). Sin embargo, entre el poco tiempo que me brindaban los entrevistados y el pretender entender en media hora lo que estos profesionales con quince años de experiencia hacía en su día a día, terminé por hacer un plan de alto nivel, sin mucho detalle, que estuvo aceptado por los entrevistados y que pasó la auditoria correspondiente- Identifique entonces algunos “vicios” que sigo viendo en muchas organizaciones a las que visito:
Después de muchos análisis, es posible concluir que Continuidad del Negocio no son los conceptos, ni los planes, ni los términos técnicos, sino, simplemente implementar medidas efectivas que permitan reaccionar de formas adecuada en caso de ocurrencia de un evento de interrupción o un desastre y que los procesos no sean afectados de manera importante, y en la medida de lo posible se pueda seguir operando normalmente. Lo ideal es que estas medidas no se deban implementar simultáneamente, sino de manera progresiva.
Tener un enfoque de “Plan de Continuidad” no es lo adecuado. Para que realmente sea efectivo, es necesario tener un “Sistema de Gestión de Continuidad”. Lo realmente importante es realizar una adecuada Gestión y para este propósito los planes son un medio más para lograr la continuidad del negocio y “no son el objetivo”. Muchas empresas están muy preocupadas en documentar sus planes, pero muy pocas son las que realmente han tomado conciencia de un programa de gestión integral de la continuidad del negocio, el mismo que debiera ser su real objetivo.
Como resultados de todos estos análisis y reflexiones es posible concluir que un adecuado Enfoque de Administración de la Continuidad del Negocio puede tener los siguientes componentes:
1.- Plan estratégico de la Continuidad del Negocio
Como todo Plan Estratégico debe incluir: Un fuerte nivel de compromiso de la alta gerencia, un líder de continuidad del negocio, roles y responsabilidades asignados, la creación de conciencia, el compromiso de cada área para facilitar recursos (humanos, financieros y materiales), la ejecución de pruebas, el involucramiento de terceros y entidades públicas. Existen modelos en los que nos podemos apoyar para definir las acciones concretas a nivel corporativo y de esta forma poder tener un horizonte claro y entender que el logro de la excelencia en continuidad del negocio no es inmediato sino progresivo.
Es importante dar respuestas concretas a las siguientes preguntas: ¿Qué tanto tengo que hacer en continuidad del negocio?, ¿Será suficiente con implementar mi centro de cómputo alterno?, ¿Es necesaria la creación de un área o una función de continuidad del Negocio?, y muchas más. Posiblemente las respuestas no sean fáciles, pero si utilizamos un patrón contra el cual nos podamos comparar, podremos elaborar nuestro plan estratégico de continuidad del negocio más fácilmente.
2.- Compromiso de la Alta Gerencia
Sin el apoyo de la Alta Gerencia, ningún tipo de proyecto que involucre a toda la Compañía, será exitoso. En lo que respecta a Continuidad del Negocio, la Alta Gerencia debe tener una participación activa siendo responsable de dictar las normas relacionadas con el “antes, durante y después” de la contingencia. Además, debe liderar los planes para el manejo de crisis y deben asignar para ello los recursos necesarios. El apoyo político no es suficiente.
La Gerencia no debe esperar a que ocurra un desastre real para medir su impacto. Debe promover el análisis previo y destinar el presupuesto a invertir para tener a la empresa lista. “No perder el negocio es el beneficio”. ¿Cuál es el valor del negocio como para ponerlo en riesgo?
3.- Responsabilidad para la Continuidad del Negocio.
La experiencia con empresas que han logrado implementar un Sistema de Gestión de Continuidad del Negocio hace evidente la importancia de contar con una estructura organizacional para este propósito, distribuida en la empresa, con responsabilidades bien definidas, auto-sostenible en el tiempo y con el apoyo de expertos.
Es frecuente escuchar cosas como, “hicimos un estudio hace unos años, pero no hemos avanzado por falta de tiempo…”, “…el equipo que elaboró los planes para el año 2020 ya no está en la organización…”, “…quien hizo los planes salió hace un año y ya nadie más los actualizó…”. Esto ocurre simplemente porque no existe una función formal de continuidad al interior de la organización, y no existe alguien que le de seguimiento a los esfuerzos de la organización referente a estos temas.
El considerar la continuidad del negocio como un “proyecto” involucrando personal de varias áreas y sin formalizar la función, es una de las mayores causas de su fracaso. Se debe instaurar un área responsable de la continuidad del negocio y un coordinador capaz de articular todo lo necesario en la organización para cumplir con los objetivos de la continuidad del negocio. Pretender implementar la gestión de continuidad con sólo dos o tres personas es prácticamente imposible; es importante distribuir la responsabilidad entre los dueños de los procesos y que la coordinación actúe como tal, es decir, coordinando, dando guías, y estandarizando el trabajo.
Al distribuir la responsabilidad se logra:
4.- Lenguaje Estandarizado
Si no logramos estandarizar un lenguaje en todas las áreas involucradas, aparecerán términos, conceptos, y opiniones que generarán complejidad haciendo improbable su consolidación y mantenimiento. Lo importante es que todas las áreas estén claras en lo que tienen que definir y documentar, y “todas lo desarrollen de la misma forma”.
5.- Programa Continuo
Se deben tener estrategias de continuidad sostenibles en el tiempo las cuales se deben revisar, mejorar periódicamente y probar, y probar, y probar. La perfección está en la práctica, y cuanto mejor hagamos las cosas, mejor preparados estaremos.
Temas como crear conciencia, efectuar análisis de impacto, actualización de los planes, pruebas periódicas, y considerar continuamente los cambios en la estructura organizacional, deben ser tareas del día a día de un sistema de gestión de continuidad del negocio.
6.- Documentación de la Continuidad del Negocio.
Si las estrategias, procedimientos e información necesaria para la continuidad del negocio no están actualizadas, se puede convertir en un problema y no en una solución. Si se cuenta con herramientas con las que se pueda automatizar y mantener esta documentación, muy seguramente este esfuerzo será más eficiente.
Por: Alejandro Hernández Valenzuela
alejandro.hernandez@grupoisec.com
Cuando la empresas y lo profesionales comenzaron a estudiar los asuntos relacionados con la continuidad de los negocios, aparecieron muchísimos conceptos como Plan de Continuidad del Negocio, Plan de Recuperación ante Desastres, Plan de Respuesta a Emergencia, Plan de Manejo de Crisis y Plan de Contingencia, los cuales en ese momento parecía que significan lo mismo semánticamente hablando. Entonces surgieron otros términos como BIA, RTO, RPO, Hot site, Cold site, Recursos Mínimos, Registro vital, Tolerancia al riesgo y otros, que lo que lograron, fue confundir aún más.
En mis estudios decidí entonces investigar en diversas fuentes y me enteré por ejemplo que había muchos organismos o entidades que dictan normas y regulan estos conceptos, inclusive entidades gubernamentales de diferentes países (Colombia no es la excepción), encontrándome nuevamente con más definiciones en libros y artículos de expertos, que, en vez de aclararme el panorama, terminaron por confundirme más, y lo peor, fue disminuir mi confianza para dominar los conceptos necesarios.
Cuando tuve que elaborar el primer Plan de Continuidad, empecé consultando toda la información posible en Internet y otras fuentes, organicé un plan de trabajo, desarrollé una lista de preguntas, construí formatos y me preparé para entrevistar a las personas de TI y a pedir muchísima información de la infraestructura correspondiente (hardware y software principalmente). Sin embargo, entre el poco tiempo que me brindaban los entrevistados y el pretender entender en media hora lo que estos profesionales con quince años de experiencia hacía en su día a día, terminé por hacer un plan de alto nivel, sin mucho detalle, que estuvo aceptado por los entrevistados y que pasó la auditoria correspondiente- Identifique entonces algunos “vicios” que sigo viendo en muchas organizaciones a las que visito:
- Un tercero, quien no conoce los procesos o la infraestructura crítica, elabora los planes entrevistando a funcionarios expertos.
- Los entrevistados nunca tienen tiempo y el PCN no es su prioridad, por lo que con el poco tiempo y la poca información que suministran, los planes resultantes no son los adecuados y no cubren los aspe4ctpos realmente importantes.
- Lo más preocupante es que el responsable de los planes es conciente que si ocurriera un desastre real, “los planes no van a funcionar” a pesar que estén aceptados por los entrevistados y por el auditor.
Después de muchos análisis, es posible concluir que Continuidad del Negocio no son los conceptos, ni los planes, ni los términos técnicos, sino, simplemente implementar medidas efectivas que permitan reaccionar de formas adecuada en caso de ocurrencia de un evento de interrupción o un desastre y que los procesos no sean afectados de manera importante, y en la medida de lo posible se pueda seguir operando normalmente. Lo ideal es que estas medidas no se deban implementar simultáneamente, sino de manera progresiva.
Tener un enfoque de “Plan de Continuidad” no es lo adecuado. Para que realmente sea efectivo, es necesario tener un “Sistema de Gestión de Continuidad”. Lo realmente importante es realizar una adecuada Gestión y para este propósito los planes son un medio más para lograr la continuidad del negocio y “no son el objetivo”. Muchas empresas están muy preocupadas en documentar sus planes, pero muy pocas son las que realmente han tomado conciencia de un programa de gestión integral de la continuidad del negocio, el mismo que debiera ser su real objetivo.
Como resultados de todos estos análisis y reflexiones es posible concluir que un adecuado Enfoque de Administración de la Continuidad del Negocio puede tener los siguientes componentes:
1.- Plan estratégico de la Continuidad del Negocio
Como todo Plan Estratégico debe incluir: Un fuerte nivel de compromiso de la alta gerencia, un líder de continuidad del negocio, roles y responsabilidades asignados, la creación de conciencia, el compromiso de cada área para facilitar recursos (humanos, financieros y materiales), la ejecución de pruebas, el involucramiento de terceros y entidades públicas. Existen modelos en los que nos podemos apoyar para definir las acciones concretas a nivel corporativo y de esta forma poder tener un horizonte claro y entender que el logro de la excelencia en continuidad del negocio no es inmediato sino progresivo.
Es importante dar respuestas concretas a las siguientes preguntas: ¿Qué tanto tengo que hacer en continuidad del negocio?, ¿Será suficiente con implementar mi centro de cómputo alterno?, ¿Es necesaria la creación de un área o una función de continuidad del Negocio?, y muchas más. Posiblemente las respuestas no sean fáciles, pero si utilizamos un patrón contra el cual nos podamos comparar, podremos elaborar nuestro plan estratégico de continuidad del negocio más fácilmente.
2.- Compromiso de la Alta Gerencia
Sin el apoyo de la Alta Gerencia, ningún tipo de proyecto que involucre a toda la Compañía, será exitoso. En lo que respecta a Continuidad del Negocio, la Alta Gerencia debe tener una participación activa siendo responsable de dictar las normas relacionadas con el “antes, durante y después” de la contingencia. Además, debe liderar los planes para el manejo de crisis y deben asignar para ello los recursos necesarios. El apoyo político no es suficiente.
La Gerencia no debe esperar a que ocurra un desastre real para medir su impacto. Debe promover el análisis previo y destinar el presupuesto a invertir para tener a la empresa lista. “No perder el negocio es el beneficio”. ¿Cuál es el valor del negocio como para ponerlo en riesgo?
3.- Responsabilidad para la Continuidad del Negocio.
La experiencia con empresas que han logrado implementar un Sistema de Gestión de Continuidad del Negocio hace evidente la importancia de contar con una estructura organizacional para este propósito, distribuida en la empresa, con responsabilidades bien definidas, auto-sostenible en el tiempo y con el apoyo de expertos.
Es frecuente escuchar cosas como, “hicimos un estudio hace unos años, pero no hemos avanzado por falta de tiempo…”, “…el equipo que elaboró los planes para el año 2020 ya no está en la organización…”, “…quien hizo los planes salió hace un año y ya nadie más los actualizó…”. Esto ocurre simplemente porque no existe una función formal de continuidad al interior de la organización, y no existe alguien que le de seguimiento a los esfuerzos de la organización referente a estos temas.
El considerar la continuidad del negocio como un “proyecto” involucrando personal de varias áreas y sin formalizar la función, es una de las mayores causas de su fracaso. Se debe instaurar un área responsable de la continuidad del negocio y un coordinador capaz de articular todo lo necesario en la organización para cumplir con los objetivos de la continuidad del negocio. Pretender implementar la gestión de continuidad con sólo dos o tres personas es prácticamente imposible; es importante distribuir la responsabilidad entre los dueños de los procesos y que la coordinación actúe como tal, es decir, coordinando, dando guías, y estandarizando el trabajo.
Al distribuir la responsabilidad se logra:
- Que la continuidad de negocio sea implementada con mejor calidad, debido a que los mismos dueños del proceso son quienes definen, documentan y prueban sus procedimientos de continuidad.
- Creación de conciencia y conocimiento en la organización y por lo tanto la existencia de mayor confianza en que lo definido debe funcionar. Si no funciona, la coordinación no es la única responsable, también son los dueños de los procesos.
4.- Lenguaje Estandarizado
Si no logramos estandarizar un lenguaje en todas las áreas involucradas, aparecerán términos, conceptos, y opiniones que generarán complejidad haciendo improbable su consolidación y mantenimiento. Lo importante es que todas las áreas estén claras en lo que tienen que definir y documentar, y “todas lo desarrollen de la misma forma”.
5.- Programa Continuo
Se deben tener estrategias de continuidad sostenibles en el tiempo las cuales se deben revisar, mejorar periódicamente y probar, y probar, y probar. La perfección está en la práctica, y cuanto mejor hagamos las cosas, mejor preparados estaremos.
Temas como crear conciencia, efectuar análisis de impacto, actualización de los planes, pruebas periódicas, y considerar continuamente los cambios en la estructura organizacional, deben ser tareas del día a día de un sistema de gestión de continuidad del negocio.
6.- Documentación de la Continuidad del Negocio.
Si las estrategias, procedimientos e información necesaria para la continuidad del negocio no están actualizadas, se puede convertir en un problema y no en una solución. Si se cuenta con herramientas con las que se pueda automatizar y mantener esta documentación, muy seguramente este esfuerzo será más eficiente.
Por: Alejandro Hernández Valenzuela
alejandro.hernandez@grupoisec.com
CITA
| ¿Quiénes somos? | Nuestros servicios | Noticias | Experiencias de éxito | Contáctenos | Política de Privacidad
Copyright © 2017 I-Sec de Colombia. Todos los derechos reservados
Copyright © 2017 I-Sec de Colombia. Todos los derechos reservados
Sitio desarrollado por Weebly. Gestionado por Mi.com.co