ISO 27001 & BS 25999

Probablemente se ha preguntado por qué tiene que realizar un análisis de impactos en el negocio (AIN) una vez que ya ha sido realizada la evaluación de riesgos. Ya identificó todos los riesgos, ¿verdad? Ya le demandó bastante tiempo analizar su empresa, entonces ¿por qué hacer otro análisis?

Bien, el objetivo del AIN es diferente. Para la continuidad del negocio todo tiene que ver con el tiempo; no importa que usted pueda recuperar sus actividades comerciales si no lo logra en un tiempo razonable. “Razonable” es lo que tiene que determinar el AIN. Su principal objetivo es encontrar cuál es el objetivo de tiempo de recuperación para cada actividad crítica de la organización.

Esta clase de análisis generalmente se toma muy ligeramente; la empresa, a menudo, no es consciente de que los malos resultados pueden generar gastos innecesarios o pueden crear una estrategia inadecuada de continuidad del negocio, aunque también se subestiman los esfuerzos necesarios para realizar un AIN.

Por lo tanto, estos son algunos consejos que harán que su análisis de impactos en el negocio sea más efectivo:

Tómelo como un (mini) proyecto. Defina quién será la persona responsable de su implementación y qué autoridad tendrá, defina el alcance, los objetivos y el período de tiempo.

Haga las tareas, prepare un buen cuestionario. Un cuestionario bien estructurado le ahorrará mucho tiempo y hará que los resultados sean más precisos. Las normas BS 25999-1 y BS 25999-2 le proporcionarán una noción bastante amplia de qué debe contener; entre otras cosas, usted tiene que identificar los impactos producidos por las interrupciones y tiene que determinar cómo estos impactos varían en el tiempo, identificar los recursos necesarios para la recuperación, etc. Una buena práctica es utilizar tanto preguntas cualitativas como cuantitativas para identificar los impactos.

Defina un criterio claro. Si sus entrevistados tienen que responder preguntas asignando valores, por ejemplo, de 1 a 5, asegúrese de explicar con exactitud qué significa cada una de estas cinco puntuaciones. No es extraño que el mismo evento sea evaluado como catastrófico por los empleados de menor nivel mientras que la alta gerencia evalúa su impacto como moderado.

Recolecte los datos a través de la interacción personal. Los mejores resultados se obtienen cuando alguien experto en continuidad del negocio realiza una entrevista con la persona responsable de una actividad crítica. De esa forma se clarifican muchas preguntas sin responder y se logran respuestas equilibradas. Si no es posible realizar las entrevistas, al menos organice un taller de trabajo con todos los participantes para que ellos puedan aclarar todas las dudas que tengan. Es decir, no les envíe simplemente los cuestionarios y les llame la atención si no se los devuelven a tiempo.

Determina los objetivos de tiempo de recuperación sólo después de que haya identificado todas las interdependencias. Por ejemplo, a través del cuestionario usted puede llegar a la conclusión de que para una actividad crítica “A” el período máximo tolerable de interrupción es de 2 días; sin embargo, el período máximo tolerable de interrupción para la actividad crítica “B” es 1 día y no se puede recuperar sin la ayuda de la actividad crítica “A”. Esto significa que el objetivo de tiempo de recuperación  para “A” será de 1 día en lugar de 2 días.

De acuerdo a mi experiencia, los resultados del AIN muchas veces son impensados; generalmente el objetivo de tiempo de recuperación es mayor de lo que se pensaba inicialmente y el AIN revela las dependencias de algunos recursos que se transforman, en realidad, en un punto único de falla. Pero lo mejor de todo, es que el análisis de impactos en el negocio es la forma más efectiva de hacer pensar a la gente sobre lo inesperado; generando esta concienciación, usted aumenta las posibilidades de supervivencia de su empresa.

También puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 – Parte 1: Análisis del impacto en el negocio (es un curso de capacitación disponible para la venta).

Si comenzó a implementar la gestión de la continuidad del negocio, probablemente el mayor desafío que está enfrentado sea la redacción de los planes de continuidad del negocio.

¿Por qué es tan difícil? Bueno, tiene que pensar diversos escenarios en los cuales se podrían producir desastres (u otro tipo de interrupción de las actividades comerciales) y tiene que idear una forma para manejar este tipo de incidentes excepcionalmente raros pero potencialmente catastróficos.

Entre los problemas que tiene la gente que redacta estos planes se incluye qué debe contener el plan (cuáles son los elementos principales), qué tan largo (o detallado) debe ser, qué pasos debe incluir, etc.

Una de las mejores soluciones para todos estos problemas radica en utilizar la norma BS 25999-2 que, junto con la BS 25999-1, define una estructura sobre cómo se deben redactar los planes.

Según estas normas, los planes de continuidad del negocio deben consistir de (1) un plan de respuesta a los incidentes y (2) planes de recuperación. Un plan de respuesta a los incidentes generalmente es un único plan redactado para toda la organización y describe qué se debe hacer inmediatamente después de que se produce un desastre: disminuir los efectos del incidente, comunicar a los servicios de emergencia, evacuación del edificio, reunión en los puntos de encuentro, organización del transporte a las ubicaciones alternativas, etc.

Los planes de recuperación generalmente se redactan en forma separada para cada actividad crítica y los pasos que se deben incluir normalmente son los siguientes: cuándo y cómo realizar la comunicación con los diversos grupos de interés (empleados y sus familiares, accionistas, clientes, socios, organismos oficiales, medios de comunicación, etc.), cómo armar el equipo, cómo recuperar la infraestructura, cómo controlar si las aplicaciones están funcionando y si los derechos de acceso son correctos, cómo verificar qué datos faltan o han sido alterados por el desastre, cómo recuperar los datos y cómo decidir cuándo la recuperación ha terminado para poder comenzar el funcionamiento normal.

Los planes de recuperación de después de desastres (los planes de recuperación de la infraestructura de ICT) son los que se deben redactar con mucho cuidado porque deben detallar cómo configurar cada sistema que se ejecuta dentro del objetivo de tiempo de recuperación de una actividad crítica determinada. Generalmente, esto se hace redactando un detallado plan de recuperación para cada sistema que se debe recuperar.

Por regla general, estos planes deben tener un nivel de detalle que permita que otros empleados (o personal externo) pueda ejecutarlo si la gente que trabaja con esa actividad crítica no está disponible. Por lo tanto, hay que usar el sentido común cuando se redactan los planes; deben ser comprensibles para todo el mundo, no sólo para usted.

Según mi experiencia, el mayor desafío al redactar estos planes se encuentra en que los empleados se tienen que enfrentar con algo completamente diferente, algo en lo que nunca han tenido que pensar. Para superar este problema, es recomendable organizar un taller en el que, con o sin un moderador, los empleados puedan compartir sus ideas sobre “qué sucedería si…”,  “cómo reaccionar cuando…”. etc.

La verdad es que, con el sólo hecho de que sus empleados hayan comenzado a pensar en la continuidad del negocio, ya tiene hecho el 50% del trabajo. Con esta forma de ver las cosas, los resultados de la planificación de la continuidad del negocio es mucho mejor.

También puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 – Parte 3: Planificación de la continuidad del negocio (es un curso de capacitación disponible para la venta).

¿Está pensando en implementar la norma BS 25999-2 sobre gestión de la continuidad del negocio? ¿Pero escuchó que le costará mucho dinero? Probablemente le cueste algún dinero, pero no necesariamente tanto como pensaba; puede solucionar esto con una buena estrategia de continuidad del negocio.

La estrategia de continuidad del negocio, según la define la norma BS 25999-2, es una “metodología que tiene una organización para asegurar su recuperación y continuidad frente a un desastre o algún otro incidente grave o interrupción del negocio”. Por lo tanto, el tema es prepararse lo mejor posible uno mismo para contrarrestar un desastre en el caso que se produzca. Esta preparación puede incluir medidas institucionales (diseño de planes, firma de contratos con proveedores o socios, ejercitación, revisión, concienciación de la gente, etc.) y medidas que incluyan la inversión en equipamiento, infraestructura, etc.

El tiempo es un factor muy importante en la recuperación: si no recupera su actividad comercial a tiempo, probablemente perderá sus clientes y, en consecuencia, perderá su negocio también. Por eso, la estrategia de continuidad del negocio debe establecer el objetivo de tiempo de recuperación (RTO, por sus siglas en inglés) para cada una de sus actividades críticas; es posible que el RTO sea diferente para cada una de ellas.

Una consideración importante: cuanto más corto es el RTO, mayor será la inversión que necesitará. Por ejemplo, si desea recuperar su centro de datos en menos de una hora, tendrá que invertir en una ubicación alternativa con casi el mismo equipamiento que la ubicación principal; en cambio, si desea recuperar su centro de datos en dos semanas, la inversión será mucho menor porque será suficiente almacenar las cintas de respaldo en una ubicación alternativa, contando luego con dos semanas para obtener el equipamiento necesario. Todo esto significa que su RTO no debe ser demasiado prolongado pero tampoco demasiado corto.

Una vez que se establece el RTO, todavía necesitará realizar otras inversiones; sin embargo, con una buena estrategia de continuidad del negocio, podrá disminuir esa inversión aún teniendo la posibilidad de recuperar sus actividades críticas dentro del objetivo de tiempo de recuperación. Estos son algunos ejemplos:

• Es posible que no necesite si propio centro de datos en una ubicación alternativa (en la mayoría de los países se puede alquilar este tipo de servicio a una empresa especializada), lo cual significa que no necesitará invertir en infraestructura, incluso, tal vez, ni siquiera en equipamiento o software.
• Es posible que no necesite oficinas en una ubicación alternativa ya que los empleados que no tienen que atender clientes personalmente pueden trabajar desde sus hogares.
• Es posible que no necesite una ubicación alternativa para nada si tiene otras unidades de negocio en diferentes lugares que pudieran hacerse cargo de las actividades críticas afectadas por el desastre.
• Es posible que no necesite comprar equipamiento por adelantado si puede encontrar un proveedor que le garantice la entrega del equipamiento dentro de su RTO.
• Etc.

En todos estos ejemplos, necesitará incrementar sus capacidades organizativas, pero si desea ahorrar dinero, seguramente es algo merece ser tenido en cuenta.

También puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 – Parte 2: Estrategia de continuidad del negocio (es un curso de capacitación disponible para la venta).