imtmphoto - Fotolia
Todo lo que los CIO necesitan saber sobre los planes de continuidad de negocios de TI
Llevar a cabo un plan de BC se ha vuelto vital para las organizaciones, especialmente cuando se enfrentan a los efectos de la pandemia. Aquí, discutimos lo que implica el plan y el papel que juega el CIO.
El momento de planificar una respuesta a una crisis es antes de que llegue. Los CIO que esperan que ocurra una se preparan para una batalla larga y cuesta arriba.
Si bien es muy probable que los CIO cuenten con un equipo responsable de mantener y probar uno o más planes de recuperación ante desastres (DR) de tecnología, también es probable que sean una parte integral de la implementación de un plan de continuidad del negocio (BC) de TI, especialmente a raíz de la pandemia de COVID-19.
¿Qué es un plan de continuidad de negocios de TI?
Los planes de BC difieren de los planes de DR en que se enfocan en proteger a toda la organización, con la TI como un recurso habilitador clave, mientras que los planes de DR generalmente se enfocan en proteger la infraestructura de TI en general. Los planes de BC tienen varias entradas que aportan datos sobre cómo opera el negocio. Estos incluyen un análisis de impacto de negocios (BIA), un análisis de riesgos y una definición de estrategias de recuperación para los elementos comerciales que se han identificado como de misión crítica.
¿Qué hay en un plan de BC?
Un plan típico de BC incluye lo siguiente:
- Declaraciones sobre el propósito, alcance y objetivos del plan de BC;
- Identificación de actividades comerciales de misión crítica para la organización;
- Pérdidas potenciales para la organización si esas funciones no se pueden realizar;
- Riesgos, amenazas y vulnerabilidades a funciones críticas y medidas para prevenir su ocurrencia;
- Estrategias y procedimientos para responder a eventos disruptivos y recuperar funciones críticas;
- Listas de contactos para contactos internos y externos importantes, es decir, proveedores y agencias gubernamentales;
- Inventarios de registros críticos, como registros de clientes, documentos impresos y documentos legales, y dónde se almacenan;
- Inventarios de recursos comerciales críticos, incluidos equipos, mobiliario y sistemas de oficina;
- Planos de las áreas de oficinas típicas en caso de reubicación a un espacio alternativo;
- Planes de sucesión para garantizar que los empleados con la formación adecuada puedan asumir las funciones de los empleados que no están disponibles por motivos de salud, vacaciones, etc.;
- Procedimientos para tratar con los medios de comunicación;
- Procedimientos para interactuar con organizaciones clave, como bancos, compañías de seguros y servicios públicos;
- Procedimientos para responder a las etapas iniciales del evento, también conocido como respuesta a incidentes;
- Procedimientos para la transición de la respuesta a incidentes a la recuperación empresarial;
- Procedimientos para la transición de empleados del modo de desastre al modo de negocio;
- Procedimientos para asegurar que los recursos de TI estén operativos;
- Procedimientos para reanudar las operaciones comerciales normales; y
- Procedimientos para preparar informes posteriores a la acción que resuman las lecciones aprendidas del evento.
La orientación para la preparación de planes de BC está disponible en muchas fuentes, incluidas las normas nacionales e internacionales, directrices específicas de la industria, informes técnicos, programas de capacitación y una amplia variedad de productos de software.
¿Por qué es tan importante un plan de BC?
Quizás no exista una mejor razón para tener un plan de BC que la pandemia de COVID-19. También es tan importante para las empresas con las que está trabajando una organización, ya que los planes de BC demuestran el compromiso de la organización en proteger el negocio y mantenerlo operativo, a pesar del potencial de eventos disruptivos.
Desde una perspectiva de auditoría, los planes de BC son cada vez más vitales para realizar controles de auditoría. Los auditores internos y externos están más familiarizados con los planes de BC –y los planes de DR de tecnología– que en años anteriores, por lo que los CIO deben reconocer la importancia de estos documentos, incluso si no tienen la tarea formal de liderar una iniciativa de plan de BC.
La experiencia ha demostrado que la promulgación de planes de BC y DR aumenta la probabilidad de que una organización se recupere con éxito de un evento disruptivo y reanude las operaciones. El simple hecho de saber qué hacer en caso de emergencia puede mejorar en gran medida las posibilidades de que la organización tenga una recuperación exitosa. Esto es especialmente cierto cuando se responde a interrupciones de la infraestructura de TI.
El papel de TI en el desarrollo del plan de BC
La infraestructura de TI sustenta la mayoría de las funciones críticas para el negocio, por lo que una de las primeras cosas que debe hacer el departamento de TI al desarrollar un plan de BC es mapear la relación entre los recursos tecnológicos y las funciones comerciales. Uno de los resultados más importantes de un BIA es la identificación de los recursos de TI que respaldan las funciones de misión crítica, ya que hay dos métricas que resultan de él: el objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO).
- RTO define el tiempo máximo necesario para que determinadas funciones comerciales se deshabiliten antes de que la organización experimente pérdidas. Para TI, esto significa la cantidad máxima de tiempo que los sistemas y recursos específicos se desactivan antes de que la empresa sufra. Una regla general para los RTO y RPO es: cuanto más corto sea el período de tiempo, mayor será la inversión potencial para lograr esa métrica.
- RPO también es importante en términos de cómo deben ser los datos, bases de datos y otros recursos actuales en términos de cuándo se realizó la última copia de seguridad de los recursos. Los datos personales de los clientes, por ejemplo, pueden ser fundamentales para el negocio de una organización. Estos datos deben respaldarse con más frecuencia que otros recursos, y garantizar que se puedan mantener RPO bajos, es decir, menos de 1 hora o menos de 5 minutos, requiere inversiones en tecnologías de duplicación o replicación de datos más sofisticadas, así como una mayor capacidad de almacenamiento de datos.