Nadie está totalmente a salvo de sufrir percances. Aunque muchos de los peligros barajados por las empresas tengan una probabilidad mínima de convertirse en realidad, la cultura de la seguridad se va abriendo paso entre nuestras empresas.

Cada vez son más las organizaciones deciden contar con un Plan de Continuidad de Negocio para tener controlados al máximo sus riesgos y minimizar o, incluso anular, sus consecuencias negativas y seguir operando con la mayor normalidad. Una vez llegado a este punto es cuando llega el momento de plantearse qué aspectos debe contemplar el BCP para, llegado el caso, obtener los resultados previstos.

Para dar respuesta a esta cuestión hemos pulsado la opinión de:

• Josep Micolau, Delivery Director de CA
• Ángel Fernández, director general de Hitachi Data Systems en España y Portugal
• Fernando Martínez, Country Presales Manager de Symantec para España y Portugal
•  Carlos Gallego, consultor del área de Virtualización de Osiatis

Con sus respuestas a nuestra pregunta:  ¿Qué puntos principales debe contemplar un BCP?  

estos cuatro expertos nos han ofrecido consejos muy a tener en cuenta para dar con las claves para conseguir el mejor Plan de Continuidad de Negocio para su empresa.

Josep Micolau, Delivery Director de CA:

La International Organization for Standardization (ISO) y el British Standards Institute establecen las mejores prácticas para la elaboración de un Plan de Continuidad de Negocio en “ISO/IEC 17799:2000 Code of Practice for Information Security Management” y BS 7799 Information Security”, respectivamente.

El desarrollo de un Plan de Continuidad de Negocio se puede dividir en cinco áreas principales, que son comúnmente conocidas como el ciclo de vida de un plan de negocio:

• En la fase de Análisis se debe proceder a realizar una Análisis de Riesgos acerca de las amenazas potenciales sobre los procesos de negocio. A continuación se deberá realizar un Análisis de Impacto, conocido como Business Impact Assessment (BIA), con el objetivo de identificar los procesos de negocio que pueden verse afectados por estas amenazas. Como resultado de este análisis se procederá a la Definición de Escenarios de Impacto donde se detallen los requerimientos de continuidad de los distintos procesos de negocio afectados y la Documentación de los Requerimientos de Recuperación.

• En la fase de Diseño de la Solución se establecerán las medidas lógicas y adecuadas para mitigar el riesgo, minimizar el impacto o permitir la recuperación adecuada según los requerimientos de negocio identificados en la fase de Análisis.

• La tercera fase, la de Implementación, consiste en la realización práctica de la solución establecida en la fase de diseño. Esta implementación puede consistir en la instalación de componentes tecnológicos o en la comunicación oficial de las asignaciones personales que deben cubrir las funciones definidas para el momento de crisis.

• La fase de Pruebas debe permitir obtener la garantía y la aceptación por parte de la organización de que se satisfacen los requerimientos de continuidad de negocio establecidos.

• El Mantenimiento continuado es necesario para garantizar que el Plan de Continuidad de Negocio permanece viable y típicamente se revisa anualmente o cada dos años dependiendo de la organización.

Ángel Fernández, director general de Hitachi Data Systems en España y Portugal:

Los planes de contingencia están muy orientados a la recuperación de los datos, que como ya hemos mencionado son, junto con las personas, el activo fundamental de las empresas. Los puntos clave que hay que tener en cuenta son:

• La cantidad de datos que se acepta perder en caso de desastre,
• El tiempo que se tarda en recuperar los datos y
• Los procedimientos necesarios para recuperarlos

Tradicionalmente se han utilizado planes de contingencia basados en copias de seguridad que se guardan en centros remotos, muchas veces en medios como cintas o cartuchos. Estos planes tienen el inconveniente de que los parámetros de pérdida de datos y tiempo de recuperación son muy altos y, por lo tanto, pueden perjudicar seriamente al negocio.

Fernando Martínez, Country Presales Manager de Symantec para España y Portugal: 

Fundamentalmente debe contemplar los siguientes puntos. Obviamente dependiendo del tipo de empresa, de negocio, de actividad o de envergadura los puntos pueden ser más o menos complejos:

• Desarrollo de la política del Plan de Contingencia. Un Departamento formal o agencia debe proporcionar la guía necesaria y la Autoridad necesaria para desarrollar un plan de contingencia eficiente.
• Estudiar y llevar a cabo un Análisis del Impacto en el Negocio. Por medio de este análisis se determinan los componentes críticos de IT, los procesos a considerar en el plan de Contingencia y Aplicaciones y Sistemas Críticos para el negocio.
• Identificar controles preventivos. Medidas que han de tomarse para reducir los efectos de caída de los sistemas. Estos mecanismos deben aumentar la Disponibilidad y reducir el ciclo de contingencia.
• Desarrollo de estrategias de recuperación. Determinar cómo se pueden recuperar los sistemas, aplicaciones y procesos de la manera más rápida posible para evitar el tiempo de parada del negocio.
• Desarrollo del plan de Contingencia. Este debe incluir una guía donde se explique la recuperación de los sistemas que hayan sido dañados en la caída.
• Planificación de Chequeos y formación. Chequear un plan significa prevención de los posibles fallos que puedan surgir en el caso de llevarse a cabo, la formación es imprescindible para preparar al personal para la activación del plan. Ambas actividades mejoran el rendimiento y la eficiencia de todas las partes implicadas en el Plan de Contingencia.
• Mantenimiento del plan. El plan debe ser un documento vivo que se actualice regularmente para estar actualizado con los cambios de los sistemas.

Carlos Gallego, consultor del área de Virtualización de Osiatis:

Los principales puntos que debe completar una Política de Continuidad del Negocio se resumen en:

• Establecer las políticas y alcance de la gestión para la continuidad del negocio.
• Evaluar el impacto en el negocio de una interrupción de los servicios TI.
• Analizar y prever los riesgos a los que está expuesto la infraestructura TI.
• Establecer las estrategias de continuidad del servicio TI.
• Adoptar medidas proactivas de prevención del riesgo.
• Desarrollar los planes de contingencia.
• Poner a prueba dichos planes.
• Formar al personal sobre los procedimientos necesarios para la pronta recuperación del servicio.
• Revisar periódicamente los planes para adaptarlos a las necesidades reales del negocio.