Jesús de la Fuente, B.C.&R.S. Business Development Global Technology Services, IBM Global Services

IT CIO.es. ¿Cuáles son las principales ventajas que aporta a las empresas un Plan de Continuidad de Negocio?

J. de la F.: Es una garantía total. De hecho, aunque es incipiente, el estándar BS 25999 lo que va a significar es que las empresas que lo siguen han visto su compañía desde todos los puntos de vista incluidos en el estándar y, por tanto, han controlado los riesgos y establecido los procedimientos para no caer en la improvisación.

Una compañía que tiene un BCP es una compañía que tiene una continuidad en el futuro, pretensión de seguir ahí muchos años y, por tanto, da la confianza empresarial suficiente al mercado para hacer negocios con ella con garantía. En definitiva, significa que la empresa tiene bajo control sus hipotéticos riesgos desde todos los puntos de vista.

Un BCP también ofrece una ventaja competitiva, lo que resulta un aspecto fundamental en un entorno de mercados globalizados. Si analizamos cualquier industria, vemos que tiene una cadena de valor, que existe una especialización por tareas y una relación estrecha entre cliente y proveedor. Cada vez más, vemos que el cliente pregunta a su proveedor cómo tiene asegurado que va a cumplir con sus compromisos porque, si no lo hace, le afecta y si no demuestra que tiene esa certificación no va a hacer negocios con él.

Esta situación se da con mayor frecuencia debido a la globalización y la especialización por áreas. Las empresas miran muy bien con quienes se quieren ‘casar’. Cada vez más, tener un plan de continuidad de negocio es el garante de ser un socio fiable.

IT CIO.es. ¿A qué inconvenientes se enfrentan las empresas cuando tienen que poner en marcha de un Plan de Continuidad de Negocio?

J. de la F.: Toda empresa tiene actividades que son productivas y otras que suelen ser de staff o soporte, como por ejemplo la administración, RRHH o finanzas. A veces, dentro de este staff es donde se ubica el departamento de seguridad. En algunas compañías vemos que la Continuidad de Negocio es algo que hacen determinadas personas de un departamento en concreto (Informática, Seguridad…) y parece que es una actividad que les toca a otros cuando, en realidad, debe implicar a toda la organización.

Otro punto a considerar es que en una compañía todos son muy celosos de su área de responsabilidad y cuando hay temas que analizar a través de toda una organización hay ‘ruidos’ y diferentes puntos de vista. Estos son dos aspectos que complican las cosas.

Nuestra medicina es que tiene que haber un compromiso de toda la dirección, desde el CEO, y desde arriba hacia abajo, con directrices claras porque afecta a todo el negocio. Debe haber una cultura corporativa de seguridad para que no haya ese tipo de roces internos.

Además, hay muchos fallos al acometer el Plan de Continuidad porque es un tema de gran complejidad. Aunque hay compañías que se proponen atacar todo el tema, nosotros creemos que es mejor centrarse en los procesos críticos. Esta disciplina es una cultura, un modo de trabajar. No se hace continuidad de negocio dos meses al año. Recomendamos que se centren en los procesos críticos, acometerlos de uno en uno, probar lo que implantan y comprobar que no se han equivocado.

También hay que decir que algunos entienden los Planes de Continuidad de Negocio como en el pasado, desde una perspectiva puramente TI. Este es otro problema.

En los análisis de impacto de negocio hay parámetros fundamentales, como el máximo tiempo de recuperación de aplicaciones y la máxima pérdida de datos que la empresa puede permitirse, en función de los cuales se diseña la solución técnica para sustentar el negocio. Hay compañías que esto lo hacen de manera muy superficial y llegan a una solución que no responde a sus necesidades. Este es uno de los puntos que suelen estar en el origen de los problemas y errores.

Nosotros les aconsejamos que hagan pruebas porque, si no las hacen, el día que surge el problema no pueden andar buscando los manuales. Probar es fundamental porque se hace de una manera planificada y con tranquilidad, con la tecnología y las personas clave.

IT CIO.es. ¿Cada cuánto tiempo hay que realizar las pruebas?

J. de la F.: Recomendamos que las hagan una vez al año. Hay que tener en cuenta que cuando se realiza una prueba es en ‘real’ y, por tanto, incide en el negocio.

Y no solo hay que probar, también hay que actualizar. Resulta fundamental porque todo esto lo vemos como un ciclo que está continuamente retroalimentándose. En todo ese ciclo ha pasado una serie de meses durante los cuales la compañía sigue evolucionando. Si no se implementa no sirve para nada porque a la vuelta de un par de años el BCP serviría para lo que se planteo inicialmente, no para la situación actual y real de la compañía.

Desde nuestro punto de vista, el Plan de Continuidad de Negocio es un viaje continuo que hay que estar actualizando y probando de acuerdo a los procesos críticos de negocio.

IT CIO.es.
¿Cuáles son los argumentos para convencer a los directivos no TI de la compañía para hacer un Plan de Continuidad de Negocio?

J. de la F.: Puede argumentar que su negocio está basado en las Tecnologías de la Información, que las TI no están porque hacen bonito, sino que tienen que ser flexibles para soportar más carga, en definitiva, que no se trata de equipos, sino del negocio.