Continuidad de Negocio: Aspectos a tener en cuenta

Seguimos con continuidad de negocio. Hace unos días estuvimos viendo, con cierto nivel de detalle (quizá demasiado para aquellos más interesados en una guía rápida más orientada al how-to), algunos aspectos sobre los elementos que forman los tiempos de recuperación y la importancia que tiene el tipo de actividad que estemos analizando. Pasando a otros temas más prácticos, hoy me gustaría repasar algunos puntos a tener en cuenta durante la realización de un Plan de Continuidad de Negocio, que considero vitales para llegar a buen puerto: alcance, contar con el apoyo de Dirección, tener en cuenta la posible necesidad de inversión, y cómo determinar los tiempos de recuperación objetivo.

Alcance

El primer aspecto que debemos tener en cuenta es el alcance de nuestro Plan de Continuidad de Negocio (PCN), en dos aspectos diferentes. Por un lado, en un sentido de horizontalidad; es necesario definir claramente qué servicios, actividades o procesos van a estar incluidos en el PCN, si además tenemos la intención de certificar el sistema según la ISO 22301; aunque desde un punto de vista de utilidad de un PCN lo más lógico es intentar que el alcance cubra toda la organización, especialmente en empresas de reducido tamaño donde la infraestructura se comparte, también cabe la posibilidad de escoger un alcance reducido que cubra elementos relativamente independientes (una división geográfica o la matriz organizativa de la empresa, por ejemplo) o simplemente aquellos procesos que de antemano ya se sabe que son los más críticos para la continuidad de la organización, como podría ser la producción o logística en una empresa de carácter más industrial, o el portal web en una empresa puramente de comercio electrónico.

Por supuesto, sobra decir que si nuestra intención es meramente comercial (i.e. conseguir el sello para la web corporativa), el alcance, así como el resto del plan, probablemente no tienen la menor importancia como elemento que garantice la continuidad.

Por otro lado, debe definirse el alcance en un sentido de verticalidad: ¿hasta dónde queremos llegar en la definición y desarrollo del plan? ¿Aparte de los elementos TIC, vamos a diseñar los planes de comunicación tras un incidente, los planes de sustitución del personal o los planes de recuperación infraestructura física? Esto nos ayudará a saber si estamos hablando de un Plan de Continuidad de Negocio o de un Plan de Contingencia TIC, siendo el segundo un caso particular del primero. No obstante, cabe señalar que en general, cuando se habla de Continuidad de Negocio lo más común es que se hable principalmente de Continuidad TIC, es decir, de los planes de continuidad de la infraestructura TIC que da soporte a los procesos de negocio, dejando el resto de planes (y escenarios de siniestro, en ocasiones) fuera, en muchos casos por una mera cuestión de competencias.

Apoyo de Dirección

El segundo punto a tener en cuenta es, como en cualquier Sistema de Gestión, contar con el apoyo de la Dirección. Este requisito de los Sistemas de Gestión que a veces parece una mera formalidad es particularmente importante en el caso de un PCN, ya que el resultado del proyecto no será únicamente un conjunto de documentos, sino que es muy probable que de las estrategias de recuperación se deriven iniciativas orientadas a satisfacer los requisitos de continuidad de los distintos procesos de negocio identificados (en realidad, de las actividades de negocio críticas o BCAs, por sus siglas en inglés), lo que dicho de otra manera significa gastarse dinero.

Aunque la inversión económica en iniciativas también es habitual en la implantación de una ISO 27001 tras la realización del Análisis de Riesgos y la elaboración del Documento de selección de controles, (Documento de aplicabilidad o SoA, Statement of Applicability), en un SGSI dichas iniciativas son más susceptibles de ser suplidas con aspectos normativos y procedimentales, opción menos frecuente en la definición de estrategias de recuperación. Además, tengamos en cuenta que un PCN también requiere la elaboración de un Análisis de Riesgos, por lo que al final, la suma de los elementos que pueden constituir un gasto es superior; primero, tratamos los riesgos, y una vez tratados, minimizamos el impacto de los potenciales incidentes.

Por tanto, es importante que Dirección, que es al fin y al cabo (por lo general) quien tiene la llave para cualquier inversión, esté implicada en la necesidad del PCN y los hallazgos que se derivan de su implantación.

Inversión

Tras el punto anterior, es fácil deducir que un aspecto importante de cualquier PCN (de cualquier proyecto, en realidad) es la inversión; Dirección puede estar totalmente implicada en el proyecto, pero las circunstancias económicas de la organización no ser las ideales para emprender nuevos proyectos. Resumiendo mucho, podemos afirmar que el propósito de un PCN es ver cómo de preparada está una organización para hacer frente a potenciales incidentes, y poner los medios necesarios para prepararla en aquellos ámbitos en los que no está todo lo preparada que debería estarlo, a menudo a través de iniciativas que pueden requerir inversiones en tecnología, externalización de servicios, personal, proyectos normativos, etc. Dado que estos proyectos pueden requerir una cierta inversión, al comenzar la implantación del PCN debe tenerse en cuenta que garantizar la viabilidad de la organización puede derivar en un gasto adicional; totalmente lógico, si lo piensan bien.

Ahora bien, es fácil plantearse la siguiente pregunta: ¿tiene sentido elaborar un PCN si la organización no se plantea o puede hacer frente a una inversión adicional en caso de ser necesaria para cumplir con los requerimientos de negocio? En mi opinión, sí, lo tiene, pero como decía Jack el Destripador, vayamos por partes. Lo primero es que teniendo en cuenta que las fases de análisis de un PCN tienen como propósito “entender la organización”, éste siempre servirá para detectar aquellos procesos críticos a los que no se les está dando el tratamiento adecuado y al menos tratar de poner en marcha, con un coste mínimo, todas las iniciativas que permitan minimizar el impacto mientras no se puedan abordar aquellas de mayor coste económico (ya sean internas o externas).

Por otro lado, hay que tener en cuenta que el aspecto subjetivo que en general existe en la estimación de los impactos tolerables en procesos que no tienen un impacto directo asociado (como sería el caso de un sistema de producción en el que el impacto económico de una parada puede calcularse en base a las unidades no producidas más el coste del tiempo del personal de planta, aparte de otros aspectos más difíciles de calcular, como el impacto sobre la marca, el potencial desabastecimiento de clientes, imposibilidad de hacer frente a pedidos o proyectos en marcha, etc.) permite en muchos casos estirar razonablemente los tiempos que una actividad puede estar interrumpida, sin que ello ponga en riesgo la continuidad de la organización.

Que nadie se rasgue las vestiduras todavía; entiendo que decir que los impactos y por tanto los tiempos son elásticos puede hacerle a alguien pensar que no hay, por tanto ninguna línea roja que una vez superada, implique poner en riesgo la continuidad de la organización. En realidad sí la hay, pero más que una línea, suele ser una amplia franja; como señalaba Mamadeo en un comentario a una de las entradas anteriores es habitual que los usuarios establezcan tiempos de recuperación para sus actividades que son muy superiores a los necesarios e incluso que en el pasado fueron superados sin que hubiera consecuencias reseñables. Esta elasticidad es la que permite limitar en muchos casos las iniciativas que han de ponerse en marcha, a coste de elevar el impacto, asumiendo aquellas estrategias que sin poner en riesgo la continuidad del negocio implican una menor inversión. Dicho de otra forma, entre un sistema de copias de seguridad semanales y un sistema de replicación de datos en tiempo real hay muchos tonos, y aunque el segundo pueda ser la opción ideal para una organización, es posible que una replicación cada 24 horas garantice la continuidad, aun a coste de implicar un mayor impacto.

Por último, cabe señalar que incluso cuando una organización no dispone de recursos para poner en marcha alguna iniciativa que tras un proceso de poda se considera imprescindible, aunque no le quede otra que asumir el riesgo hasta que las cosas mejoren, el desarrollo de un PCN puede ayudar a la organización a prepararse para la aparición de distintos incidentes y mejorar en general la preparación y seguridad de la organización.

Tiempos de recuperación

Para acabar con esta entrada, una cuestión de vital importancia es quién debe establecer los tiempos de recuperación objetivo o RTO. Tengamos en cuenta que estos tiempos (que como ya vimos vienen determinados por el impacto máximo tolerable) son los que al fin y al cabo van determinar cuáles son las actividades críticas, qué estrategias de recuperación deben aplicarse y qué proyectos hace falta poner en marcha. Por tanto, si las actividades críticas que salen del Análisis de Impacto sobre el Negocio no se corresponden con las reales ya sea porque se ha hecho una mala elección de interlocutores o en los tiempos ha intervenido el celo de los responsables, el peso jerárquico de los departamentos u otras cuestiones de política interna, podemos encontrarnos en mitad de un incidente con actividades críticas a las que nadie le da importancia hasta que es demasiado tarde.

Y aquí ya he introducido un poco la respuesta a esta última pregunta: los RTOs de “negocio” debe establecerlos el responsable del proceso, dado que es quien mejor lo conoce. No obstante, si sólo tuviésemos eso en cuenta no sería raro encontrarnos con medio centenar de procesos que no pueden estar más de una hora detenidos. ¿Qué es necesario tener en cuenta al establecer los tiempos de recuperación objetivo?

1. Explicar bien al usuario cuál es la finalidad del proyecto, qué es lo que se necesita de él y evitar hablarle de siglas (RTO, RPO, MTD, etc.) o de conceptos técnicos. Al final, lo que es necesario que nos diga no es otra cosa que cuánto estima que es el tiempo máximo que puede transcurrir con la actividad X detenida antes de que haya consecuencias graves. ¿Qué es una consecuencia grave? Pueden ser muchas cosas y ahí radica su subjetividad, pero por ejemplo, en algunas organizaciones puede ser la necesidad de llamar a Dirección. Por tanto, la pregunta sería: ¿cuánto tiempo ha de estar la actividad X parada antes de que sea necesario llamar a Dirección?

En este punto, es útil preguntar por incidentes pasados que puedan hacerle reflexionar sobre los tiempos que está proporcionando y elevarlos. No se trata, no obstante, de conseguir que reduzca sus tiempos, sino de que éstos respondan a la realidad ya que como vimos, un tiempo demasiado restrictivo para un proceso no crítico puede errar el objetivo de los trabajos de recuperación, descuidando otras actividades críticas afectadas o no por la contingencia, además de incrementar innecesariamente la presión sobre los equipos de trabajo.

2. Relativizar los tiempos proporcionados y buscar puntos objetivos de contraste. Aunque hay de todo, siempre es normal encontrar interlocutores que “barren para casa” y proporcionen, sin ninguna razón más que el orgullo propio, tiempos de recuperación totalmente fuera de perspectiva. Sin ir más lejos, conozco algún usuario que disponiendo de impresoras disponibles en departamentos apenas a unos metros indicó que no podía estar más de 1 hora sin impresora, sin que en realidad hiciese un uso realmente crítico e intensivo de ésta. Por ello, es necesario revisar los tiempos de los usuarios y ponerlos en perspectiva, detectando aquellos que se salen del marco, y estudiando si se trata de algo justificado o es necesario hacer una segunda ronda de consultas con ese interlocutor.

Es útil, en este punto, disponer de alguna persona que sin ser experta en todas las áreas, sí que conozca con cierta profundidad la organización. Tampoco está fuera de lugar que el usuario sea consciente de que tiempos menores pueden requerir inversiones mayores, apelando a su sentido de la responsabilidad.

3. En tercer lugar, una vez tenemos los tiempos de recuperación objetivo ya establecidos, es necesario ponerlos en común con Dirección (o el máximo responsable del proyecto con competencias), lo que ayudará a, como dice Mamadeo, ponerlos en contexto y homogeneizarlos, independizándolos todo lo posible de aspectos subjetivos y objetivizarlos en torno a la posición relativa de dichos procesos en el esquema general de la organización.

Tras estos tres pasos, los tiempos resultantes, aunque siempre podrán contener errores por exceso o por defecto (i.e. tiempos de recuperación objetivo demasiado estrictos o demasiado laxos), deben estar suficientemente cercanos a la realidad. Las posteriores iteraciones del PCN así como, sobre todo, la realización regular de las pruebas de continuidad de negocio permitirán ir ajustando dichos tiempos para que sean lo más cercanos a las necesidades del negocio, manteniendo un razonable equilibrio entre los recursos demandados y el impacto resultante. Pero eso, en cualquier caso, lo veremos otro día.

[Sobre el autor]

Comments

  1. En lo que respecta al alcance, apoyo de la dirección e inversión, son factores comunes con la seguridad de la información si no tenemos esto bien definidos no llegaremos a buen puerto con nuestro proyecto.