Business Continuity Planning
BCP
La planificación de la continuidad del negocio, implica desarrollar un plan práctico sobre cómo la empresa puede prepararse y continuar operando después de un incidente o crisis.
Un plan de continuidad de negocio nos permitirá:
- Identificar y prevenir riesgos cuando sea posible.
- Preparación ante los riesgos que no puedes controlar.
- Respuesta y recuperación rápidamente, si ocurre un incidente o crisis.
No debemos esperar a que ocurra un desastre grande o pequeño para construir el plan de continuidad del negocio.
Es posible que no se pueda predecir todo tipo de incidentes que puedan amenazar el negocio, sin embargo, podemos desarrollar un plan que cubra una variedad de incidentes, por ejemplo, desastres naturales, problemas con la computadora, problemas de personal, etc.
Para aprovechar al máximo un plan de continuidad del negocio, se debe incluir un programa para realizar pruebas y actualizaciones, asegurándose de tener en cuenta cualquier cambio en el negocio, la industria o la ubicación en la que estamos operando.
Es obligatorio adoptar un enfoque cíclico y orientado a los procesos para la planificación de la continuidad del negocio, este enfoque incluye cuatro pasos en este proceso:
- Análisis de Impacto del Negocio
- Evaluación de riesgos
- Gestión de riesgos
- Monitoreo de riesgos y pruebas
Nadie puede predecir el futuro, sin embargo, podemos estar listos con un plan de continuidad del negocio sólido, se puede llevar la implementación de un plan muestra a los empleados, accionistas y clientes, demostrando que somos una empresa proactiva; mejorando la eficiencia general y ayudar a asignar los recursos financieros y humanos adecuados para mantener a la empresa en funcionamiento durante una interrupción grave.
En Tecnologías de la Información, el fracaso no es una opción Rberny.
No es sorprendente que las organizaciones hayan dado prioridad a desarrollar e implementar planes confiables de continuidad comercial para garantizar que los servicios de TI, estén siempre disponibles para los usuarios internos y los clientes externos.
Pero los desarrollos y las tendencias tecnológicas recientes, especialmente la virtualización de servidores y computadoras de escritorio, la computación en la nube, el surgimiento de dispositivos móviles en la fuerza laboral y las redes sociales, están teniendo un impacto en la forma en que las empresas manejan la planificación y las pruebas de continuidad del negocio de TI.
Gran parte del impacto es para mejorar, dicen los expertos, pero estas tendencias también pueden crear nuevos desafíos para los ejecutivos de TI, seguridad de la información y gestión de riesgos.
Sin duda la definición de un desastre podría variar mucho de una empresa a otra, por ejemplo: la pérdida de datos en una sola PC, podría tener un efecto desastroso en el negocio, si no se está preparado para tal evento, entonces es innegable el requerimiento de tener un plan de continuidad de negocio claramente documentado y probado, así como de importante, es contar con la tecnología de recuperación de desastres correcta.
Es crucial desarrollar el plan con anticipación y revisarlo con los empleados.
Recomendaciones para crear un plan
Identificar información y aplicaciones críticas para el negocio.
Debemos identificar todos los procesos de negocios, evaluar qué recursos de TI están involucrados en el proceso y evaluar su importancia en el proceso, no obviar y reconocer los procesos que de forma natural se convertirán en altamente críticos, mientras que otros pueden identificarse como menos importantes para las operaciones comerciales exitosas.
Es tarea del gerente de TI, asegúrese de examinar el rol de las tecnologías de voz, datos, comunicación unificada y otras al evaluar los procesos de negocios.
Por ejemplo:
¿La empresa realiza procesos de manufactura?, ¿Tenemos una aplicación de fabricación que la mayoría de los empleados utilizan para los procesos de trabajo cotidiano?, ¿Es crítico para el éxito de la empresa responder de manera oportuna al correo electrónico del cliente?, ¿La empresa aloja internamente una aplicación basada en web para realizar transacciones de clientes?
Determinar el impacto de la pérdida de la información o las aplicaciones en un período temporal o prolongado.
Debemos de asegurarnos de cubrir una gama de posibles desastres, desde una interrupción a gran escala hasta un solo usuario o una falla en la estación de trabajo, al mismo tiempo, evaluar la probabilidad de varios tipos de escenarios de desastre, una cierta cantidad de fallas ocurren como resultado de una tecnología más antigua o una tecnología cambiante.
Por ejemplo:
¿Podría la empresa trabajar efectivamente sin acceso a sus datos de aplicación durante 1, 2 o más días?, ¿Qué pasaría si el sitio de trabajo fuera inaccesible debido a manifestaciones públicas o por un terremoto?, ¿Es posible acceder a las aplicaciones del negocio desde distintas ubicaciones para darle seguimiento a los clientes?
Evaluar las opciones de copia de seguridad, redundancia y acceso remoto para las estrategias de recuperación ante desastres.
Investigar y evaluar las soluciones más prácticas.
Las opciones potenciales deben ser dictadas por las prioridades identificadas previamente.
Por ejemplo:
¿Tiene servicios de respaldo de correo electrónico, si su servidor de correo electrónico interno no funciona?, ¿Dónde se almacena su información crítica?, ¿Cómo está respaldado y con qué frecuencia?, ¿Se han verificado o probado las copias de seguridad?, ¿Están disponibles fuera del sitio si no puede acceder a su sitio de trabajo?
En consecuencia, debemos desarrollar un presupuesto para todos los equipos y servicios necesarios para llevar a cabo cada estrategia, tengamos presente que, por lo general, la complejidad y el costo aumentan a medida que disminuye la cantidad aceptable de tiempo de inactividad.
No caigamos en el pozo de dinero de tratar de garantizar un tiempo de actividad del 100% para cada recurso de TI.
Permitirme el siguiente consejo:
Este sería un momento ideal para realizar un inventario detallado de todos los recursos de TI y recopilar tanta información como sea posible, considerando los detalles físicos, como la marca, el modelo, el número de serie y la fecha de compra, serán importantes para presentar reclamaciones de seguros, en su caso.
La información de configuración es importante para diseñar redundancia en el negocio y para prepararse para cualquier posible reemplazo, es importante mantener el inventario actualizado; así que especifique las fechas de creación y revisión de los documentos, preste atención al aspecto humano del negocio y asegúrese de incluir información de contacto para todos los usuarios, proveedores y proveedores de servicios.
Desarrollar un plan escrito completo e implementar medidas que cumplan con los requisitos del negocio de una manera rentable.
El plan debe contener procedimientos para antes, durante y después de un desastre, hay que tomarse el tiempo necesario para implementar las estrategias seleccionadas del paso anterior y desarrollar procedimientos para probarlas, debemos asegurarnos de incluir un proceso para garantizar que el plan de recuperación de desastres se mantenga y se actualice a medida que el negocio va cambiando y por supuesto que como esté creciendo.
Probar periódicamente el plan de recuperación de desastres.
¿De qué sirve el plan, si no sabes si funcionará?
Es importante probar y evaluar el plan de forma regular, preferiblemente al menos una vez al año, es muy importante asegurarnos de capacitar a los empleados sobre qué hacer en caso de un desastre grande o pequeño, actualizar el plan para corregir cualquier problema que se pueda descubrir durante las pruebas y la capacitación.
Tratar con desastres, grandes o pequeños, nunca es fácil, sin embargo, al prepararse ahora, la empresa puede reducir o eliminar por completo el impacto de un desastre, asegurando una entrega constante de productos y servicios para nuestros clientes.
Recomendaciones
- Usar un plan de respaldo que incluya almacenamiento seguro fuera del sitio.
- Centralizar y organizar todo el software vital para la organización en una ubicación segura fuera del sitio, tenemos que incluir cualquier paquete de actualización que se pueda haber instalado.
- Documentar todas las contraseñas importantes para la organización, estos pueden incluir algunos de los siguientes: ISP, red, correo de voz, nombre de dominio y alojamiento, correo electrónico, base de datos y otras contraseñas web.
- Documentar la configuración y la estructura de la red.
Por supuesto, esta no es labor de una sola persona, ni un solo departamento, ni estar alejado de la dirección de la empresa es recomendable, es una tarea en conjunto, ya que estamos hablando finalmente de la operación del negocio.
Las prácticas adicionales que la industria usan comúnmente para mantener un BCP actual incluyen:
- Integración de la planificación de la continuidad del negocio en cada decisión empresarial.
- Incorporación de las responsabilidades de mantenimiento de BCP en las descripciones de los puestos de trabajo aplicables y las evaluaciones de personal.
- Asignar la responsabilidad de la revisión periódica del BCP a un coordinador de planificación, departamento, grupo o comité, no convertirse en juez y parte.
- Realizar auditorias periódicas y pruebas anuales, o más frecuentes, del BCP.
Si bien el enfoque de las buenas prácticas, se refleja en cuatro pasos, el proceso en realidad representa un ciclo continuo que debe evolucionar con el tiempo en función de los cambios en las amenazas potenciales, las operaciones comerciales, las recomendaciones de auditoría y los resultados de las pruebas, recordemos que este proceso debe incluir cada función comercial crítica y la tecnología que la respalde, las políticas, estándares y de esta manera los procesos también deben integrarse en el proceso general de planificación de la continuidad del negocio.
Este marco debe incluir un plan para operaciones de recuperación a corto y largo plazo.
Sin un BCP que tenga en cuenta todos los elementos críticos de toda la empresa, es posible que una empresa no pueda reanudar el servicio al cliente a un nivel aceptable, entonces la administración también debe priorizar los objetivos de negocios y las operaciones críticas que son esenciales para la supervivencia de la organización, ya que la restauración de todas las unidades de negocios puede no ser factible debido al costo, la logística y otras circunstancias imprevistas.
Saludos,
Views: 11