Business Continuity and Disaster Recovery

El valor de una organización no es el mobiliario, las instalaciones, ni las oficinas, tampoco importan los sistemas de TI, lo realmente importante es la información y el negocio. Ya se que en ciertos entornos las máquinas tienen un valor enorme, sin embargo ante un desastre se puede volver a comprar máquinas, lo que es realmente complicado de obtener son los resultados de las muestras de los laboratorios, recetas, lista de clientes y proveedores, pedidos, etc y no olvidemos la marca y reputación de la organización, todo esto es irrecuperable sin un adecuado Plan de Continuidad del Negocio (BCP).

No debemos confundir Continuidad del Negocio con Recuperación ante Desastres. Éste último es un subconjunto del BCP que trata de recuperar los sistemas de información intentando que el tiempo de no disponibilidad sea el mínimo posible, ya sea restableciendo los sistemas en el mismo CPD o en uno de respaldo. Por otro lado, el objetivo del BCP es preparar a la organización para seguir obteniendo ingresos a pesar de cualquier desastre, incidente o acción como puede ser cambios en el mercado. El BCP puede ser utilizado para mejorar la posición de la organización en el mercado demostrando su fortaleza frente a competidores, sobrevivir a un incremento exponencial del negocio, es decir controlar la entrada masiva de pedidos, en definitiva estar siempre disponible para las necesidades de los clientes.

A continuación comentaré brevemente cada una de las fases del BCP:

1. Elaborar el programa de Continuidad del Negocio: ¿Cuál es el objetivo del BCP? ¿Para qué se hace? Además hay que definir los roles y a un líder que ante un problema ponga la situación bajo control, que siempre mantenga la calma y que intente que los clientes no se vean afectados por la situación.
2. Proceso de Descubrimiento: Se trata de conocer los procesos de negocio de la organización, realizar un análisis de impacto (BIA) y un análisis de riesgos. Es decir, definir los procesos y servicios críticos de la organización, además de su criticidad. También es necesario realizar un inventario de los activos relacionados con los servicios.
   
   
3. Plan de Desarrollo: Analizar si es necesario redundar las comunicaciones, discos, servidores, CPD, oficinas, etc. Definir el RTO y RPO. Definir la política de copias de seguridad. Evaluar tipos de seguros que asuman las pérdidas ante un incidente. Definir los sistemas de incidentes y los medios de comunicación. Definir el equipo de emergencia y respuesta ante incidentes (CSIRT/CERT). Redactar procedimientos y redactar el plan de manera clara para que cuando haya algún incidente no aparezcan dudas.
   
   
4. Implementación del BCP: Además de implementar el BCP hay que preparar al personal para que sepa realizar correctamente sus funciones.
   
   
5. Mantenimiento e Integración: Realizar pruebas y revisar el plan, por lo menos anualmente. Las pruebas no se realizan para ver quién es el inútil que no sabe seguir el procedimiento sino para mejorar en cada iteración.

Hasta la empresa más grande que nos podamos imaginar está expuesta al riesgo de sufrir un desastre. El estándar ISO 22301 les ayuda a planificar, implantar y mantener el BCP, ya que ellos saben que la prioridad principal son los clientes y la comunicación con todos ellos, sin clientes no hay ingresos y sin ingresos la continuidad del negocio sería difícil o imposible. Por tanto, es importante que mantengamos a nuestros clientes contentos y satisfechos con los servicios que les prestamos.