En el post anterior, se nos ponía en contexto sobre la importancia de la realización de pruebas tras el diseño e implementación de un Plan de Continuidad de Negocio (en adelante, PCN).
Pero ¿en serio es tan importante la realización de pruebas? Pensamientos como éste pueden ser comunes: “Hemos pasado meses planificando y diseñando el PCN, involucrando a personal de distintas áreas de la organización y contando con la ayuda de expertos en la materia, ¿cómo va a fallar? Es posible que haya que probarlo dentro de un tiempo, pero de momento vamos a dejarnos de jaleos”. Me gustaría matizar que ese “tiempo” suele traducirse en años.
Un Sistema de Gestión de la Continuidad de Negocio, como buen Sistema de Gestión, se basa en el modelo PDCA (Plan-Do-Check-Act). Esto es algo que ya nos sonará, pero me atrevería a decir que cuando hablamos de Continuidad de Negocio la fase de pruebas (la fase Check) adquiere una relevancia especial. Es esencial asegurarnos de que nuestros planes funcionan, porque es mucho mejor comprobar que nuestros planes no funcionan durante una prueba/ejercicio que durante una crisis.
A grandes rasgos, la principal ventaja de la realización de pruebas sobre nuestro Plan de Continuidad de Negocio es el aumento de la capacidad de respuesta de la organización ante la ocurrencia de una situación de contingencia, pero siendo un poco más precisos, los beneficios de la realización de pruebas de continuidad son los siguientes:
- Validar que la documentación del PCN da una respuesta efectiva en situación de contingencia, en especial el Plan de Crisis y los Planes de Recuperación.
- Confirmar que el personal de la organización involucrado directamente en el PCN conoce sus roles, funciones y responsabilidades en caso de contingencia.
- Validar que el personal de la organización (no necesariamente con responsabilidades en el PCN) sabe qué hacer llegado el momento (actuaciones, posibles reubicaciones, etc.).
- Comprobar que los posibles terceros involucrados (proveedores, clientes, colaboradores, etc.), están familiarizados con el plan y conocen las tareas que deben llevar a cabo en caso de contingencia.
- Confirmar que la infraestructura involucrada en las pruebas (TIC, áreas de trabajo, etc.) se ha recuperado según lo previsto.
- Identificar deficiencias y, en consecuencia, mejorar e incrementar la eficiencia del PCN.
- Conocer más a fondo el significado de Continuidad de Negocio y tomar conciencia de su importancia.
Vale, de acuerdo, es necesario e importantísimo realizar pruebas de manera periódica sobre nuestro PCN, ¿pero qué pruebas o ejercicios podemos llevar a cabo? El Business Continuity Institute describe cinco tipos de ejercicios o pruebas. Veamos una descripción de cada uno de ellos.
Ejercicios basados en discusión
Estos ejercicios están considerados como los más rentables, ya que son los que menos recursos requieren en cuanto a tiempo y dinero, y los resultados obtenidos suelen ser de gran utilidad. Éstos se articulan como reuniones de trabajo donde se identifica un escenario de siniestro y se debate sobre si las acciones descritas en el plan de recuperación asociado son adecuadas.
Estos ejercicios también son una buena oportunidad para revisar la atribución de roles al personal y qué se espera de ellos durante la ejecución de cada una de las acciones que tienen asociadas. Además, si se ha identificado algún nuevo escenario de siniestro, también pueden ser aprovechados para desarrollar el borrador del plan de recuperación asociado.
No se establece una frecuencia específica para llevar a cabo estos ejercicios, sino que se deben llevar a cabo cuando se considere oportuno, por ejemplo, tras la incorporación de un nuevo plan al sistema documental, la inclusión de un nuevo participante en el ámbito del PCN, etc.
Ejercicios de mesa
Este tipo de ejercicios se pueden abordar de diferentes maneras. En su forma más básica se puede llevar a cabo de manera similar a los ejercicios basados en discusión, sin embargo, con estos ejercicios se pretende analizar en profundidad las acciones propuestas para responder a un escenario de siniestro en particular.
La dinámica de estos ejercicios consiste, básicamente, en simular “sobre papel” la ocurrencia de un incidente, y seguir las acciones descritas en el plan de recuperación asociado tal y como si dicho incidente se hubiera materializado de manera real. Para ello, será necesario reunir dentro de la misma sala a todas las personas implicadas en la recuperación, y comprobar así que todos ellos tienen claro qué deben hacer llegado el momento de la crisis.
Estos ejercicios permiten identificar de una manera relativamente sencilla aspectos que posiblemente no se tuvieron en cuenta en la definición del plan, tales como dependencias entre departamentos, dependencias de terceros, roles y responsabilidades, comunicaciones que se deben llevar a cabo entre los distintos equipos de trabajo, etc.
Estos ejercicios deberían llevarse a cabo al menos una vez al año.
Ejercicios de puestos de mando
El objetivo de estos ejercicios es simular un escenario de siniestro lo más realista posible en términos de presión a la que se ve sometida el equipo que debe gestionar la recuperación, información que reciben durante el incidente, etc. Durante la realización del ejercicio, se proporciona información al equipo en determinados intervalos de tiempo, tal y como sucedería en un incidente real.
De esta manera, el escenario irá evolucionando en función de las decisiones que tome el equipo al respecto. La información proporcionada al equipo puede venir por diferentes vías: teléfono, email, personal involucrado, etc. Además, para aportar realismo, se podría hacer uso de tecnología que simulara prensa, televisión, radio, redes sociales, etc.
No se establece una frecuencia determinada para la realización de este tipo de ejercicios, sin embargo, el personal involucrado en el PCN debería participar en alguno de estos ejercicios al menos una vez cada tres años.
Pruebas unitarias
Las pruebas unitarias tienen como objetivo evaluar la capacidad de recuperación que tiene la organización sobre un entorno determinado. Estas pruebas suelen tener el enfoque de éxito o fracaso, y se suelen aplicar a equipamiento o tecnología, nunca sobre personas. Por ejemplo, una posible prueba unitaria podría ser la restauración de un servidor haciendo uso de las cintas de back-up en un tiempo previamente estipulado.
En cuanto a la frecuencia de realización de estas pruebas se recomienda que todos los entornos sean probados al menos una vez al año, aunque puede venir marcada por requerimientos legales o de terceros.
Simulacros
El objetivo de estos ejercicios es practicar y/o probar la eficacia de la respuesta que se ha definido ante la ocurrencia de un determinado incidente. El elemento diferenciador entre este tipo de ejercicio y el resto está en el realismo. El equipo que lleva a cabo este tipo de ejercicios debe responder al incidente de manera real, utilizando recursos reales, realizando comunicaciones reales, ejecutando tareas reales, etc. Incluso se utilizan actores que hacen el papel de víctimas cuando el ejercicio está relacionado con un incidente que pueda tener consecuencias de ese tipo.
Cabe destacar que antes de abordar pruebas de este tipo, es necesario haber realizado pruebas unitarias de todos los entornos, habiendo obtenido un nivel de éxito que nos permita afrontar la prueba con ciertas garantías.
Es muy importante planificar este tipo de pruebas de manera adecuada. En la fase de análisis se debe llevar a cabo un análisis de riesgos de forma que se asegure que, si algo falla durante la realización de la prueba, no impactará en la normal operativa de los procesos de negocio de la organización, provocando un incidente real.
La frecuencia de realización de estos ejercicios normalmente suele venir marcada por requerimientos legales o de terceros pero, si no es así, deberían realizarse pruebas de este tipo al menos una vez cada tres años. Cabe destacar que para llevar a cabo estos ejercicios se necesita gran cantidad de recursos económicos, de personal, etc.
En conclusión, la realización de pruebas es un elemento crucial en el proceso de Gestión de la Continuidad de Negocio, ya que estas reportarán madurez a nuestro PCN y, por consiguiente, aumentará la resiliencia de la organización frente a la ocurrencia de incidentes disruptivos.
Cada uno de los tipos de pruebas descritos varía en cuanto a dificultad de ejecución y recursos necesarios. Por tanto, es importante que el responsable de planear y llevar a cabo las pruebas de continuidad de negocio conozca las distintas opciones disponibles, para así poder decidir cuál de ellas llevar a cabo en función de los recursos de los que disponga, las pruebas que se hayan realizado con anterioridad, etc. Es recomendable, sobre todo cuando se planifican pruebas por primera vez, seguir un enfoque “de menos a más”, es decir, abordar en primer lugar pruebas “sobre papel” (ejercicios basados en discusión y ejercicios de mesa), siguiendo por ejercicios de puestos de mando y pruebas unitarias y, por último, llevar a cabo simulacros de incidentes reales.
(Imagen: Business Continuity Institute. Exercising your business continuity plan. (2015). http://www.bcifiles.com/Howtoguideexercise.pdf)
