Continuidad Del Negocio
La continuidad del negocio David Forner Griñó PID_00156355 © FUOC • PID_00156355 Ninguna parte de esta publicación, i
Views 113 Downloads 10 File size 7MB
Recommend stories
- Author / Uploaded
- Sophia Camargo
Citation preview
La continuidad del negocio David Forner Griñó PID_00156355
© FUOC • PID_00156355
Ninguna parte de esta publicación, incluido el diseño general y la cubierta, puede ser copiada, reproducida, almacenada o transmitida de ninguna forma, ni por ningún medio, sea éste eléctrico, químico, mecánico, óptico, grabación, fotocopia, o cualquier otro, sin la previa autorización escrita de los titulares del copyright.
La continuidad del negocio
La continuidad del negocio
© FUOC • PID_00156355
Índice
Introducción...............................................................................................
5
1.
La gestión de la continuidad del negocio...................................
7
1.1.
Gestionar la continuidad de negocio es un ciclo continuo ........
8
1.2.
Requerimientos para gestionar la continuidad ...........................
9
1.3.
Objetivos de la continuidad de negocio .....................................
10
2.
A nosotros no nos pasará.................................................................
14
3.
¿Por qué necesitamos un plan de continuidad?........................
16
3.1.
4.
5.
6.
La percepción real de tener o no tener un plan de continuidad .................................................................................
20
Beneficios por gestionar la continuidad del negocio...............
22
4.1.
23
¿Qué significa para la organización gestionar la continuidad? ...
Grado de madurez de los planes de continuidad. Estado del arte..................................................................................................
24
5.1.
Evolución de los planes de continuidad .....................................
24
5.2.
La regulación y estandarización de los planes de continuidad ...
25
5.3.
Estado del arte .............................................................................
29
Relación entre la gestión de planes de continuidad y la gestión de riesgos...............................................................................
33
Enfoque de los planes. Terminologías..........................................
35
Resumen.......................................................................................................
37
7.
© FUOC • PID_00156355
5
Introducción
El concepto central de toda esta asignatura es el concepto de "continuidad�de negocio". Por lo tanto, lo primero que vamos a hacer es definirlo: La continuidad de negocio es la capacidad táctica y estratégica de una organización para planificar y responder a incidentes o interrupciones de negocio a fin de continuar las operaciones de negocio a un nivel aceptable predefinido. Cláusula 2.3 de la norma BS 25999-2:2007.
Resumiendo la idea en pocas palabras, el interés de cualquier organización es seguir operando ante cualquier situación de desastre/contingencia que ponga en peligro su continuidad. Figura 1. La continuidad del proceso está garantizada
A modo de ejemplo, todos estamos acostumbrados a disponer en nuestras casas de luz, agua, etc. Imaginemos que la compañía eléctrica a la que contratamos el servicio se ve afectada por un incendio que quema las principales subestaciones eléctricas de nuestra ciudad. Uno se pregunta: ¿aceptaría el cliente, es decir nosotros, estar dos días sin luz? Pues esta es, de forma sencilla, la pregunta que cualquier organización como la compañía eléctrica del ejemplo debería hacerse: ¿puedo no dar electricidad a mis clientes durante dos días? Con este ejemplo queremos transmitiros que la continuidad de negocio es una idea que afecta a todas las organizaciones, de las más grandes a las más pequeñas, y que debe considerarse como uno de los elementos de éxito y de futuro de cualquier organización.
La continuidad del negocio
© FUOC • PID_00156355
7
1. La gestión de la continuidad del negocio
Después de explicar el significado de la "continuidad del negocio", uno se pregunta: ¿Cómo lo debo hacer? ¿Qué necesito para conseguir este objetivo? Para conseguirlo, se debe establecer un proceso de "gestión de la continuidad de negocio". La norma BS25999-2 (cláusula 2.3) define la gestión�de�la�continuidad�del�negocio�(GCN) como: Proceso de gestión holístico que identifica las amenazas potenciales para una organización y el impacto en las operaciones de negocio que esas amenazas podrían causar si se materializasen, y que proporciona un escenario para la incorporación de resiliencia con la capacidad de respuesta efectiva para proteger los intereses de los accionistas, las partes interesadas, la imagen, marca o actividades de valor.
En definitiva, la gestión de continuidad de negocio es un proceso integral de gestión que identifica los posibles impactos que amenazan a una organización y ofrece un marco para proporcionar robustez y disponer de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y demás partes interesadas, la reputación, la marca y las actividades creadoras de valor.
La GCN tiene que ser asimilada y totalmente integrada en la organización como uno más de sus procesos de gestión.
La GCN aspira�a�mejorar�la�capacidad�de�recuperación�de�una�organización. Al identificar por adelantado los posibles impactos de una amplia gama de incidencias que trastornarían de forma súbita el éxito de la organización, establece prioridades para los esfuerzos de los especialistas en implantar robustez en sus respectivas áreas de especialización, como seguridad, instalaciones y tecnologías de la información. Si bien se interesa por todo tipo de mecanismos de fortaleza o robustez, la GCN se centra particularmente en desarrollar�una�capacidad�de�recuperación�que sea�conjunta�para�toda�la�organización�y�le�permita�sobrevivir�a�la�pérdida�total�o�parcial�de�su�capacidad�operativa. También debería enfocarse en soportar pérdidas significativas de recursos, como personal o maquinaria. Debido a que la capacidad de resistencia de la GCN de una organización depende de su equipo de gestión y de su personal (además de su tecnología y la diversificación geográfica), se debe desarrollar esta capacidad de recuperación en todos los niveles de la organización, desde la alta dirección hasta el "taller", y en todos los demás integrantes de la cadena de valor.
La continuidad del negocio
© FUOC • PID_00156355
8
El factor determinante de esta robustez en toda la organización se sustenta en la responsabilidad de la alta dirección de proteger los intereses a largo plazo del personal, clientes y todos aquellos que dependen de algún modo de la organización. Si bien se pueden calcular las pérdidas financieras ocasionadas por una interrupción, generalmente el mayor daño suele reflejarse en una pérdida de imagen o de confianza fruto de un incidente mal gestionado. Del mismo modo, un incidente bien gestionado puede mejorar la imagen de la organización y de su equipo de gestión. 1.1. Gestionar la continuidad de negocio es un ciclo continuo Cuando utilizamos el término "gestión de la continuidad" debemos entenderlo como un proceso continuo que la organización lleva a cabo para garantizar que los planes de continuidad de la organización sean efectivos en el tiempo y bajo las circunstancias de cada momento en la organización. Como veremos más adelante, la continuidad es un concepto que ha evolucionado y avanzado mucho en los últimos años, porque las organizaciones han entendido que no hablamos de una simple recuperación de datos o un proceso de backup. Nos hemos dado cuenta de que la continuidad del negocio es un proceso que debe ser gestionado de forma continua y en el que debe involucrarse a toda la organización. No nos sirve decir "yo gestiono la continuidad de mi empresa porque tengo un documento o plan en el armario que me protege". Esto no es suficiente, puesto que gestionar mi continuidad implica: •
Adaptar mi plan de forma constante a los cambios de mi organización. Debe estar "vivo".
•
Formar al personal de mi organización de forma periódica para que sepa cómo actuar en cada momento si se produce una contingencia.
•
Probar el plan periódicamente (por ejemplo, una o dos veces al año) para asegurarme de que funciona y puedo estar tranquilo.
•
Revisar y actualizar todos los documentos del plan.
Por lo tanto, veis que la gestión de la continuidad de negocio es necesaria. No me sirve hacer una foto de cómo estoy hoy, si dentro de un año seguramente muchas cosas habrán cambiado. Plan de continuidad Imaginad que desarrollo un plan de continuidad en el que uno de los documentos del plan son los teléfonos de las personas clave de la organización que intervendrán decisivamente en el caso de producirse un incidente. ¿Qué pasaría si el día en que sucede el incidente, el teléfono que consta en el documento no está actualizado? ¿Qué pasaría si la persona que debe coordinar todas las acciones, está enferma y no he previsto un sustituto o bien el sustituto está de vacaciones? Es un ejemplo sencillo, pero que pone de manifiesto que "si no gestiono, la continuidad no está garantizada".
La continuidad del negocio
© FUOC • PID_00156355
9
En esta línea, y dada la importancia creciente del asunto, algunas organizaciones se han preocupado por estandarizar y normativizar un modelo de gestión de la continuidad de negocio, alineado completamente con los modelos de gestión de otras normas existentes y que nos permiten gestionar el ciclo�de vida�de�la�continuidad�del�negocio. Mostramos a continuación el modelo desarrollado por la norma British Standard para la gestión�del�ciclo�de�vida�de�la�continuidad�del�negocio: Figura 2. Ciclo de vida de la continuidad del negocio
Fuente. The lifecycle diagram, BSI British Standards BS 25999-1
Este modelo de gestión se desarrollará con más detalle en el apartado "Metodología" y posteriores, donde se explicarán las fases que hay que seguir para desarrollar un plan de continuidad dentro de la organización, que deberemos gestionar de la mejor forma posible para garantizar su efectividad. 1.2. Requerimientos para gestionar la continuidad El interés de una organización por gestionar la continuidad de su negocio y garantizar su operatividad frente a situaciones de desastre le obliga a: •
Conocer�muy�bien�su�negocio y sus activos más críticos (personas, puestos de trabajo, sistemas de información).
•
Evaluar�los�riesgos y gestionarlos.
La continuidad del negocio
© FUOC • PID_00156355
•
10
Evaluar�y�validar�las�estrategias�de�continuidad para que siempre respondan a las exigencias del negocio.
•
Disponer�de�planes�de�continuidad y recuperación que permitan recuperar los procesos de negocio más críticos.
•
Verificar periódicamente, mediante pruebas, que�los�planes�funcionan.
•
Atender�a�cambios que puedan alterar la situación y obliguen a revisar las medidas y procedimientos de continuidad existentes.
Cuando hablamos de continuidad de negocio, no hablamos sólo de continuidad tecnológica. Hablamos de continuidad de procesos, de personas, de puestos de trabajo disponibles, de sistemas de información, de comunicaciones, etc. Es importante no olvidar esta idea.
1.3. Objetivos de la continuidad de negocio Cuando una organización decide afrontar un proyecto de continuidad de negocio persigue habitualmente los objetivos que se muestran a continuación: 1) Coste •
Minimizar�las�pérdidas�derivadas�de�una�contingencia. Es el principal objetivo de un plan de continuidad. Las empresas invertirán dinero en continuidad con la intención de que si pasa algo, serán capaces de garantizar el servicio.
•
Optimizar�el�rendimiento�de�la�inversión. Las organizaciones que invierten en planes de continuidad intentan ajustar el presupuesto al mínimo indispensable para garantizar la operatividad de sus procesos más críticos en situaciones de contingencia.
2) Cobertura�de�riesgos •
Cubrir�los�riesgos�que�se�consideren�de�mayor�impacto�para�la�organización. Puesto que la cobertura de todos los riesgos de una organización es imposible y tendría unos costos inalcanzables, las organizaciones analizan los riesgos que pueden tener un mayor impacto en la organización e intentan mitigarlos de la forma más económica y eficiente posible.
•
Asumir�riesgos�residuales�con�menor�probabilidad�e�impacto. Las organizaciones focalizan sus inversiones para tratar de mitigar los riegos de mayor probabilidad e impacto. Los de menor probabilidad e impacto son aceptados o transferidos a terceros.
•
Minimizar�el�riesgo�de�trabajar�con�terceros. Las organizaciones que trabajan con terceras empresas deben ser conscientes de los riesgos que
La continuidad del negocio
© FUOC • PID_00156355
11
ello representa (control insuficiente de los procedimientos, inexistencia de planes de continuidad por parte del proveedor). •
Minimizar�los�problemas�legales/regulatorios. Algunos sectores están obligados a desarrollar planes de continuidad para garantizar un adecuado nivel de servicio y cumplir con requerimientos legales. Sería el caso, por ejemplo, de los requerimientos de continuidad de la ley americana Sarbanes-Oxley Act (SOX) para las empresas que cotizan en la bolsa de Nueva York, o de Basilea 2, que afecta a las entidades financieras.
•
Proteger�la�imagen�pública�y�la�confianza�en�la�empresa.
3) Tiempo�de�restauración •
Minimizar� el� tiempo� de� restauración. El objetivo es minimizar el tiempo de interrupción de los procesos afectados por la contingencia.
•
Restablecer�las�operaciones�tecnológicas�y�de�soporte�a�las�operaciones�de�negocio�sensibles�al�tiempo.
•
Minimizar�el�impacto�de�la�discontinuidad.
•
Minimizar� la� improvisación (simplificar la toma de decisiones). El desarrollo de un plan de continuidad permite preestablecer las acciones que se deberían seguir para restaurar la operativa del negocio.
•
Automatizar�todo�aquello�que�sea�posible. Puesto que las situaciones de desastre/contingencia acostumbran a ser situaciones poco previsibles, es recomendable automatizar todo aquello que podamos para reducir la actividad humana al mínimo necesario.
4) Grado�de�cobertura •
Recuperación�inmediata�de�los�procesos�más�críticos. Disponer de planes de recuperación para todos los procesos es costoso para la organización, por lo que es recomendable empezar con los procesos que son más críticos y esenciales para garantizar la continuidad del negocio.
5) Cultura�de�continuidad •
Crear� una� cultura� de� continuidad� en� la� organización. Involucrar a la organización es uno de los objetivos y elementos clave del éxito de cualquier plan de continuidad de negocio. Es necesario formar y concienciar a todo el personal para alcanzar los objetivos.
La continuidad del negocio
© FUOC • PID_00156355
•
12
La�continuidad�debe�ser�"Mandatory�(obligatoria)". La continuidad no puede ser sólo cosa de unos cuantos, sino que toda la organización debe ser siempre parte involucrada.
•
Tranquilizar (reducir la incertidumbre). El plan debe dar tranquilidad a la propia organización. Es un avance el poder pensar que estás protegido frente a desastres y que dispones de mecanismos para afrontar situaciones difíciles que podrían poner en peligro tu negocio.
El siguiente gráfico (figura 3) resume los objetivos que una organización acostumbra a tener presentes cuando se plantea acometer el desarrollo de un plan de continuidad: Figura 3. Objetivos de la continuidad de negocio
Como se observa en el gráfico anterior (figura 3), la combinación de objetivos parciales es la que definirá la estrategia de continuidad que acometerá la organización. Esta estrategia tratará de optimizar la relación entre los costes de implantación de la estrategia adoptada con las potenciales pérdidas económicas y otros impactos originados por una contingencia. El siguiente gráfico pone de manifiesto la necesidad de la organización de definir la ventana de interrupción que la organización considerará admisible ante una situación de contingencia. Debemos tener en cuenta que cuánto menor sea la ventana de interrupción, más elevados serán los costes para la organización (se necesita más personal, mucha más redundancia en los sistemas de información y la infraestructura, comunicaciones en alta disponibilidad, etc.).
La continuidad del negocio
© FUOC • PID_00156355
Figura 4. Ventana coste-tiempo
13
La continuidad del negocio
© FUOC • PID_00156355
14
2. A nosotros no nos pasará
Una de las respuestas más habituales cuando hablamos de continuidad de negocio y de posibles amenazas que podrían poner en peligro la supervivencia de una organización es: "A nosotros no nos pasará". Muchas organizaciones consideran que por el mero hecho de no haber sufrido ningún incidente en el pasado, el futuro será igual o mejor. Y, evidentemente, es un gran error. Cualquier organización por grande o pequeña que sea puede ser víctima de un desastre, por muy inverosímil que esto nos pueda parecer. Siempre tenemos la sensación que las cosas sólo les pasan a los demás y no a nosotros. También nos encontramos con organizaciones que te dicen: "ya lo pagará todo la compañía de seguros", o bien "¿por qué tengo que gastar dinero en protegerme de algo que probablemente nunca pasará?". La gran cantidad de negocios que han desaparecido después de sufrir un incidente sugiere que estas respuestas se sustentan en premisas falsas. Si bien las bombas, incendios e inundaciones acaparan los titulares de los medios de comunicación, el 90% de las incidencias que ponen en riesgo el negocio son "catástrofes silenciosas" que no figuran en los medios pero que pueden tener un efecto devastador para el buen funcionamiento de una organización. Veámos algunos ejemplos: •
Que un proveedor, al que tengo contratado un servicio crítico, no cumpla con los niveles de servicio mínimos exigidos. Imaginemos que nuestro distribuidor de mercancías tiene una incidencia que le impide entregar nuestras mercancías a tiempo.
•
Que la mitad de los empleados de nuestra organización se pongan enfermos y nuestro servicio se vea afectado.
•
Que nuestro proveedor de comunicaciones tenga una incidencia que nos impida transmitir información crítica a nuestros clientes durante varias horas.
•
Que nuestros sistemas se vean afectados por un virus informático qué en la mayoría de casos no es notificado a los medios.
A la hora de gestionar cualquier acontecimiento, el éxito se mide tanto por la respuesta técnica dada como por la competencia de su equipo gestor.
La continuidad del negocio
© FUOC • PID_00156355
15
Podemos decir que las organizaciones que se ven afectadas por catástrofes se dividen en dos grupos muy claros: las que tienen capacidad para recuperarse y las que no. Cuando una organización ha lidiado una crisis con éxito, el valor de sus acciones ha crecido a largo plazo, mientras que aquellas que se considera que no han gestionado bien su crisis vieron caer el precio de sus títulos y, pasado un año, seguían sin recuperarse. Investigaciones más recientes demuestran que aquellas organizaciones que destinan un mayor presupuesto a control de riesgos, GCN y buen gobierno son las empresas más rentables en su sector, lo que indica que la GCN�es�una inversión,�no�un�coste. Un elemento clave para el éxito de los programas de GCN es que las distintas responsabilidades se asuman en los niveles apropiados de la organización. En estas empresas las implicaciones de la GCN se evalúan en todas las etapas del proceso de desarrollo de nuevos productos y forman parte del proceso de control del cambio.
La continuidad del negocio
© FUOC • PID_00156355
16
3. ¿Por qué necesitamos un plan de continuidad?
Después de tantas explicaciones uno se pregunta: ¿pero realmente es necesario un plan de continuidad? La mejor forma de comprender por qué es un tema que no debe pasar por alto ninguna organización es a partir de hechos, de noticias que han ocurrido en el pasado y que deben ser una fuente de aprendizaje para el futuro. Mostramos a continuación un conjunto de casos reales y estadísticas/estudios significativos: •
Ataque� a� las� Torres� Gemelas� de� Nueva� York� el� 11� de� septiembre� del 2001. El atentado de las Torres Gemelas de Nueva York es un ejemplo muy significativo en términos de continuidad de negocio, sin entrar en detalles de las devastadoras y desgraciadas consecuencias que tuvo este triste episodio. Desde el punto de vista empresarial, las organizaciones que disponían de un plan de continuidad fueron capaces de mantenerse "a flote" a pesar de todo. Algunas empresas tenían previsto el desplazamiento de personas a otros centros para seguir trabajando, disponían de un centro de proceso de datos en otra ubicación en la que pudieron recuperar muchos de sus sistemas de información y seguir dando el servicio a sus clientes.
Figura 5. Atentado de las Torres Gemelas de Nueva York
Hay que remarcar que la sociedad empresarial americana está muy concienciada de la necesidad de disponer de planes de continuidad cuando se crea una empresa.
La continuidad del negocio
© FUOC • PID_00156355
•
17
Incendio�en�el�edificio�Windsor�de�Madrid�el�12�de�febrero�del�2005. El caso del edificio Windsor es uno de los episodios más recientes en España, donde se puso en práctica un plan de continuidad. En este caso, una empresa muy afectada por el desastre fue capaz de distribuir al personal del edificio en otras sedes de la empresa, pudieron recuperar mucha de la información al disponer de procedimientos de backup y recuperación eficientes, y en definitiva, pudieron garantizar la continuidad de sus servicios. Todo ello favoreció finalmente la reputación y buena práctica de la organización.
Figura 6. Lo que le pasó a la Torre Windsor
No todo fue positivo, puesto que hubo empresas que perdieron mucha documentación en papel (en algún caso, muy crítica), lo que tuvo consecuencias negativas para su negocio. •
Desastres�naturales�por�todo�el�mundo�y�todos�los�sitios.
Figura 7. Inundaciones, huracanes, terremotos
La continuidad del negocio
© FUOC • PID_00156355
•
18
La continuidad del negocio
Incendios Colapsadas las operaciones de Iberia en todo el mundo por un incendio en Madrid Los técnicos trabajan en la reparación del sistema informático, afectado por las llamas mientras que los vuelos sufren retrasos de una hora. Éste es el segundo fallo que sufren sus servicios informáticos en una semana. Iberia ha cancelado hasta las 18:00 horas un total de nueve vuelos y continúa registrando un retraso medio en sus vuelos de entre media hora y hora y cuarto en todos los aeropuertos en los que opera, como consecuencia del incendio declarado a las 10. 00 horas de hoy en sus sistemas informáticos centrales localizados en el Polígono de la Muñoza (Madrid), informaron a Europa Press fuentes de la aerolínea. Como consecuencia del incendio, las operaciones de facturación, embarque y entrega de equipajes se están realizando a mano en todos los aeropuertos donde la compañía opera en España y en el resto del mundo. Aunque el fuego ha sido controlado, Iberia augura «un día complicado» para volar.
•
Pandemias. Sin intención de poner el miedo en el cuerpo a nadie, un ejemplo de amenaza que puede obligar a las empresas a activar un plan de continuidad son las pandemias. Como podéis ver en el gráfico, las pandemias no son algo nuevo. Durante el siglo XX se han producido pandemias de gripe realmente devastadoras donde murieron muchas personas. Uno se pregunta: ¿en qué me afecta una pandemia a mi empresa? Pues podría afectarme mucho. Te puedes preguntar: ¿qué hago si en mi departamento todos nos ponemos enfermos? ¿Cómo puedo dar el servicio?
Figura 9
Fuente: Presentación del Dr. Xavier Badia del 12-2-2009 sobre "Gripe Pandémica – Impacto Socio Sanitario"
Evidentemente, este tipo de amenaza tiene una probabilidad de materialización muy baja, pero la hay. Dejaremos que las empresas decidan qué riesgos quieren aceptar, transferir y cuáles mitigar. •
Estadísticas/estudios
Figura�8
© FUOC • PID_00156355
19
El treinta por ciento de las empresas que sufren una catástrofe – incendio, inundación, terremoto – nunca vuelve a abrir sus puertas. Un 29% adicional cierra en el plazo de dos años del desastre. Las empresas no pueden costear el cese de actividad y, especialmente, no pueden permitirse estar sin sus sistemas informáticos principales de los que depende su negocio. El estudio de META Group indica que las empresas privadas de sus sistemas informáticos básicos durante 10 días nunca se recuperan económicamente y que el 50% de esas empresas cierra en el plazo de cinco años. Meta Group "Dos de cada cinco empresas que experimentan un desastre están abocadas a quedar fuera del mercado en un plazo de cinco años". Gartner "Sólo el 6% de las empresas que experimentan pérdidas catastróficas de datos logran sobrevivir; el 43% nunca podrá reabrir su negocio y el 51% cerrará en dos años". Universidad de Texas • • • • •
El 80% de las empresas afectadas por un incidente grave cierran en 18 meses El 90% de las empresas que pierden datos a causa de un desastre cierran en el plazo de 2 años Sólo el 47% de las organizaciones tiene establecido un plan de continuidad de la actividad El 94% de las organizaciones que recurrió a su plan de continuidad de la actividad admitió que había reducido significativamente el impacto de la alteración El 43% de las organizaciones se vio afectada por pérdidas informáticas, mientras que una de cada tres perdió personal (35%) El 30% se vio afectada por pérdidas en las telecomunicaciones
Chartered Management Institute Business Continuity Survey
Plantear casos reales y conocer datos de cómo evolucionan las organizaciones que no tienen un plan de continuidad de negocio es una forma de darse cuenta de que no estamos tratando un tema anecdótico. Se trata de un tema muy serio y los acontecimientos pasados nos han demostrado que aquellas organizaciones que habían invertido en seguridad y continuidad fueron capaces de hacer frente a muchos de los desastres acontecidos. •
Circunstancias�que�pueden�justificar�disponer�de�un�plan�de�continuidad. El siguiente gráfico (figura 10) nos muestra las diversas situaciones que podrían poner en situación de riesgo a muchas organizaciones. Debemos tener en cuenta esta información, pues puede sernos muy útil a la hora de tomar decisiones sobre qué queremos proteger y qué no.
La continuidad del negocio
© FUOC • PID_00156355
20
Figura 10. Estadística de amenazas que pueden afectar a una organización
3.1. La percepción real de tener o no tener un plan de continuidad Para hacernos una idea de lo que implica gestionar bien o mal la continuidad de un negocio, mostramos el resultado de un estudio desarrollado por Oxford Executive Research el 1996 sobre el impacto de las catástrofes en el valor de las acciones de una organización.
La continuidad del negocio
© FUOC • PID_00156355
21
Figura 11. Impacto de las catástrofes en el valor de las acciones de una organización
Fuente: Rory F. Knight & Deborah J. Pretty
El gráfico anterior (figura 11) demuestra que la organización que pudo recuperarse al disponer de un plan mejoró su reputación y confianza por parte de los clientes hasta el punto de que el valor de sus acciones creció. En el caso de la otra organización, la que no disponía de un plan de continuidad, sufrió las consecuencias de un desastre con elevadas pérdidas económicas, dificultades y una pobre percepción sobre la capacidad de gestión de situaciones como la ocurrida.
La continuidad del negocio
© FUOC • PID_00156355
22
4. Beneficios por gestionar la continuidad del negocio
Gestionar la continuidad del negocio de una organización y disponer, por lo tanto, de un plan aportará los siguientes beneficios: •
Seremos capaces de identificar de forma proactiva los impactos de una contingencia operacional.
•
Dispondremos de un plan de respuesta a incidentes que minimizará el impacto de un desastre en la organización. De no ser así, una contingencia podría poder en peligro la supervivencia de una organización.
•
Reduciremos la probabilidad de interrupción del servicio o de la producción.
•
Minimizaremos las pérdidas financieras.
•
Fortaleceremos el trabajo en equipo en situaciones de crisis. El espíritu de equipo que se crea durante la buena gestión de un incidente puede mejorar el resultado de un negocio mucho después de que el problema se haya solucionado.
•
Permite demostrar un plan de respuesta creíble mediante la ejecución de pruebas.
•
Puede mejorar la reputación de la organización al ser capaces de garantizar la continuidad de las operaciones en situaciones de contingencia.
•
Puede aportar una ventaja competitiva al garantizar el servicio a los clientes. A modo de ejemplo, las empresas que venden a otras empresas han recurrido a la GCN como ventaja competitiva para lograr nuevos clientes y mejorar sus márgenes al incorporarla a su política de atención al cliente. Por el contrario, no disponer de un plan de continuidad puede conllevar la pérdida de competitividad.
•
Aporta cumplimiento legal a algunas organizaciones que, por el tipo de negocio, están obligadas a disponer de planes de continuidad (por ejemplo, el sector financiero).
Pero la motivación principal para instaurar la GCN no debe centrarse en las cuestiones de buen gobierno u obligaciones legales, sino que su puesta en marcha agrega valor a una organización y a los productos y servicios que ofrece.
La continuidad del negocio
© FUOC • PID_00156355
23
4.1. ¿Qué significa para la organización gestionar la continuidad? Una pregunta que nos podemos plantear es: ¿cómo afecta a la dirección, al personal, a la operativa y a mi negocio la decisión de abordar el desarrollo de un plan y gestionarlo? En la siguiente tabla (figura 12) intentamos resumir los principales aspectos que la dirección debería considerar: Figura 12. Principales aspectos a considerar por la dirección
La continuidad del negocio
© FUOC • PID_00156355
24
5. Grado de madurez de los planes de continuidad. Estado del arte
5.1. Evolución de los planes de continuidad Como nosotros lo entendemos, el concepto o idea de "plan de continuidad" es un concepto muy actual. La situación hoy en día es el resultado de una continua evolución, muy condicionada por el rápido avance de las tecnologías de la información. Todo ello ha contribuido a que los procesos de negocio actuales exijan unos tiempos de respuesta ante incidentes que nadie se podría imaginar hace dos décadas. ¿Alguien se imagina en la sociedad actual una empresa que no disponga de correo electrónico o de Internet durante una semana, o durante unas horas? Seguro que muchos contestaríais que eso es imposible, que no tendría sentido ir a trabajar. La evolución de los planes de continuidad ha sido rápida pero aún tiene mucho camino por recorrer. En el gráfico siguiente (figura 13) resumimos de forma general grandes etapas de su evolución. Figura 13. Etapas de evolución de los planes de continuidad
Las tres grandes etapas de evolución de los planes de continuidad son las siguientes: •
Etapa�de�backup. En esta primera etapa, las empresas centraban sus esfuerzos en proteger la información mediante procesos de respaldo y recuperación de datos. Eso era suficiente puesto que la prioridad no era la recuperación rápida de los sistemas.
La continuidad del negocio
© FUOC • PID_00156355
•
25
Etapa�de�contingencia. En la segunda etapa, las organizaciones centraban sus esfuerzos en proteger sus sistemas, sus centros de procesamiento de datos, sus aplicaciones, etc. Por lo tanto, se daba un paso más, y no sólo eran los datos lo más importante, sino también el tiempo de recuperación de las infraestructuras (comunicaciones, servidores, etc.).
•
Etapa�de�continuidad. En la tercera y última etapa, las organizaciones se dieron cuenta de que la información, los sistemas, las redes, etc. eran importantes pero lo más importante era el alineamiento�entre�el�negocio y� las� medidas� de� protección� y� recuperación� disponibles. No solo era importante la recuperación TIC (tecnologías de la información y comunicación), sino también considerar a las personas, a los puestos de trabajo, a las personas clave en el proceso de recuperación, etc.
Actualmente la mayoría de organizaciones han superado la etapa de backup y se encuentran o bien en la etapa de contingencia, o bien en la etapa de continuidad. La gran mayoría aún concentran sus esfuerzos en la recuperación tecnológica, aunque muchos de ellos son conscientes de que para garantizar la continuidad de sus procesos deben madurar hacia la tercera etapa. Uno de los aspectos que más ha frenado la evolución hacia un modelo de continuidad ha sido el modelo organizativo de la continuidad. En muchas organizaciones, el liderazgo de los planes lo ha asumido la dirección TIC lo que ha convertido los planes en puros planes de recuperación tecnológicos. Para evolucionar hacia un modelo que tenga en cuenta el negocio, sus procesos, por encima de todo, debe involucrarse a la dirección del negocio, que es la que determina cuáles son los niveles aceptables e inaceptables de servicio. Con ello no queremos menospreciar la importante labor de las áreas tecnológicas (ni mucho menos) pero debemos comprender que la continuidad del negocio debe ser liderada por el negocio. 5.2. La regulación y estandarización de los planes de continuidad En los últimos años se ha detectado un creciente interés por parte de entidades reguladoras (administraciones) y organizaciones internacionales de estandarización en incorporar los planes de continuidad dentro de su marco de actividad. Se están buscando garantías de que las organizaciones dispongan de planes de continuidad, operativos y actualizados, y que su desarrollo se alinee con las mejores prácticas del mercado (estándares). Este interés es el que nos ha llevado a disponer en la actualidad de regulaciones, normas y estándares como: 1)�Regulaciones
La continuidad del negocio
© FUOC • PID_00156355
26
a)�Ley�Orgánica�de�Protección�de�Datos�de�Carácter�Personal�(LOPD). Nacida en 1999 (evolución de la derogada LORTAD) con la voluntad de proteger la información de carácter personal. Establece medidas técnicas y organizativas para garantizar la disponibilidad de la información, así como medidas para proteger de su uso no autorizado. b)�Basilea�2�–�Comité�de�Supervisión�Bancaria�de�Basilea. Se proponen medidas para proteger a las entidades financieras frente a los riesgos financieros y operacionales. Entre las medidas para alcanzar estos niveles de protección se encuentra el desarrollo de planes de continuidad y recuperación. c)�Sarbanes-Oxley�Act�(SOX). Nacida en el 2002 de la voluntad de controlar a las empresas que cotizan en la bolsa de Nueva York y sus filiales, para evitar que los procesos con transacciones económicas pudieran ser alterados de forma fraudulenta. Establece requerimientos de seguridad relacionados con la continuidad del negocio (los artículos 302, 404 y 409 afectan a la continuidad de negocio). Hace varios años que la SOX traspasó las fronteras y actualmente existen versiones de la misma en Japón (llamada J-SOX) o en la Unión Europea (llamada EuroSOX). Figura 14
d)�Otras�(que�no�profundizaremos�en�esta�asignatura): •
Gubernamentales: –
EE.UU.: legislación federal, Continuity of Operations Planning (COOP)
– •
UK: Civil Contingencies Bill
Finanzas –
UK: Financial Services Act
–
Australia: Prudential Regulation Authority
–
EE.UU.: Gramm-Leach-Bliley Act
–
EE.UU.: Expedited Funds Availability Act
–
EE.UU.: SAS70 audit reports
–
EE.UU.: FDIC OCC
La continuidad del negocio
© FUOC • PID_00156355
•
Salud –
•
27
EE.UU.: Health Insurance Portability and Accountability Act (HIPAA)
Empresas�de�servicios�públicos –
EE.UU.: Federal Communications Commission (FCC)
–
EE.UU.: Environmental Protection Agency (EPA)
–
EE.UU.: State Departments of Environmental Services and Public Utilities Commissions/ Public Services Commissions.
2)�Normas,�estándares�y�buenas�prácticas a) ISO/IEC�27001/27002: ambas ISO contemplan la continuidad de negocio como un elemento clave dentro de la gestión de la seguridad de la información. En su capítulo 14 de la ISO27002 se tratan los siguientes aspectos de la continuidad del negocio. •
14.1 Aspectos de la seguridad de la información de la gestión de la continuidad del negocio: –
14.1.1 Incluir la seguridad de la información en el proceso de gestión de continuidad del negocio.
–
14.1.2 Continuidad del negocio y evaluación del riesgo.
–
14.1.3 Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la Información.
–
14.1.4 Marco referencial de la planeación de la continuidad del negocio.
–
14.1.5 Prueba, mantenimiento y re-evaluación de los planes de continuidad del negocio.
b) ITIL�-�"IT�Infrastructure�Library": es un conjunto de publicaciones para las mejores prácticas en la gestión de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas según necesidades, circunstancias y experiencia de cada proveedor de servicios. Dentro de su bloque "Service Delivery" contempla la "Gestión de la continuidad del servicio TI". c) ISO/IEC�20000: primer estándar internacional certificable para la gestión de servicios TI. Proviene del estándar británico BS 15000. Incorpora el ciclo de vida Plan-Do-Check-Act y, como su norma predecesora, fue inicialmente desarrollada para indicar las mejores prácticas contenidas dentro del marco ITIL. d) NIST�(National�Institute�of�Standards�and�Technology): es un organismo federal no regulador que forma parte de la Administración de Tecnología del Departamento de Comercio de los EE.UU. cuya misión es la de elaborar y promover patrones de medición, normas y tecnología. En su
La continuidad del negocio
© FUOC • PID_00156355
28
publicación 800-34 (Contingency Planning Guide for Information Technology Systems ) de su serie 800 desarrolla una guía para el desarrollo de planes de contingencia de los sistemas de información. Es una excelente guía de referencia. e) PAS�77�(Publicly�Available�Specification): IT�Service�Continuity�Management�–�Code�of�Practice. Desarrollado por el British Standard Institution, fue el paso previo al desarrollo del BS 25777 – Gestión de la continuidad TIC. f)
BS�25999�para�la�gestión�de�la�continuidad�del�negocio: aunque éste es el estándar que desarrollaremos a fondo más adelante, podemos decir que actualmente es el estándar de referéncia para la gestión de la continuidad de negocio (evolución del PAS 56 - Guide to Business Continuity Management). Consta de dos partes: •
Parte�1�(BS25999-1)�–�Código�de�práctica: establece el proceso por el cual una organización puede desarrollar e implementar la continuidad de negocio, incluyendo una completa lista de controles basada en las mejores prácticas de BCM (Business Continuity Management).
•
Parte� 2� (BS25999-2)� –� Especificación: especifica los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión de continuidad de negocio documentado en el contexto de la gestión global de riesgos de una organización. A partir de esta norma pueden ser certificados los sistemas de gestión de continuidad de negocio.
Es importante remarcar que esta norma, al igual que otras normas actuales, usa el ciclo "Plan-Do-Check-Act" (PDCA – Planificar – Hacer – Comprobar – Actuar) para la mejora continua del sistema de gestion de la continuidad de negocio de las organizaciones. g) BS�25777:2008�–�Information�and�Communications�technology�continuity�Management�–�Code�of�practice: norma que sustituye al PAS 77 y que aporta las recomendaciones necesarias para asegurar que las TIC y los servicios puedan recuperarse en unos tiempos aceptables por la dirección de la organización. Es un estándar más concreto que la 25999 y entra en detalles (como por ejemplo, hablar de centros alternativos, procedimientos específicos de TIC). Se prevé en breve la publicación de una segunda parte de especificación (en la misma línea que la BS25999-2). h) ISO�24762:�2008�–�Guidelines�for�Information�and�Communications technology�disaster�recovery�services: focalizada en la recuperación de desastres. i)
SS�507�–�Business�Continuity/disaster�recovery�(BC/DR)�service�providers: es un estándar de Singapur que especifica los requerimientos que de-
La continuidad del negocio
© FUOC • PID_00156355
29
ben cumplir aquellas organizaciones que ofrecen servicios de continuidad de negocio/recuperación de desastres. j)
COSO-Enterprise�Risk�Management: Su objetivo principal es identificar los factores que causan informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha establecido una definición común de controles internos, normas y criterios a partir de los cuales las empresas y organizaciones pueden evaluar sus sistemas de control.
Todas ellas hacen referencia, en mayor o menor medida, a aspectos organizativos y técnicos para salvaguardar los activos de una organización (información, personas, infraestructuras). A modo de ejemplo, y para comprender la repercusión de no disponer de planes de continuidad y contingencia, la Unión Europea requiere de la disponibilidad de planes de continuidad en determinadas administraciones públicas para ofrecer fondos de ayuda europeos. En estos casos ¿algún organismo público pondría en peligro una ayuda económica por no disponer de un plan? Esto nos demuestra que los organismos públicos de más responsabilidad son muy conscientes de la importancia de este tema. Se profundizará más en cada una de ellas en el Anexo: Normas y estándares que tratan la continuidad del negocio. 5.3. Estado del arte Una vez vista la evolución de los planes de continuidad en su breve historia, consideramos interesante comprender cuál es la situación real de las empresas sobre la base de estudios realizados por prestigiosas organizaciones del sector. Mostramos a continuación algunos indicadores: •
Tiempos de inactividad de la organización a causa de eventos inesperados.
La continuidad del negocio
© FUOC • PID_00156355
30
Figura 15
Fuente: Encuesta global de seguridad 2008 realizada por PriceWaterhouseCoopers
•
Empresas que incluyen la continuidad de negocio en su política de seguridad.
Figura 16
Fuente: Encuesta global de seguridad 2008 realizada por PriceWaterhouseCoopers
•
Empresas que dedican recursos a actividades de continuidad de negocio y contingencia (2008)
La continuidad del negocio
© FUOC • PID_00156355
31
Figura 17
•
¿Qué área funcional de la empresa de su organización lidera los planes de continuidad de negocio?
Figura 18
Fuente: Ernst&Young's 2008 Global Information Security Survey
•
Encuesta realizada por la empresa Sungard (2009) para determinar el conocimiento e importancia que los ejecutivos de la empresas dan a la continuidad de negocio para conseguir el éxito empresarial. "El estudio muestra que los responsables de tomar decisiones sobre informática y sobre la empresa quieren las mismas cosas: evitar pérdida de productividad y el impacto negativo sobre la satisfacción del cliente que pueden derivarse de las interrupciones imprevistas", dice Patrick Doherty, vicepresidente ejecutivo y director de marketing de SunGard Availability Services. "Pero hay una distancia significativa entre esos grupos acerca de cómo lograr dicho objetivo. En gran medida se debe a que la empresa no relaciona el requisito de mantener disponibles los sistemas y aplicaciones de informática fundamentales con el éxito global de la compañía. Los sistemas informáticos todavía son vistos como una 'caja negra' por muchos directivos, especialmente cuando se trata de la dependencia entre sistemas que afectan a la disponibilidad global".
La continuidad del negocio
© FUOC • PID_00156355
32
El resultado de la encuesta pone de manifiesto el desalineamiento que existe todavía entre el negocio y el área tecnológica por lo que se refiere a continuidad de negocio y recuperación frente a desastres.
La continuidad del negocio
© FUOC • PID_00156355
33
6. Relación entre la gestión de planes de continuidad y la gestión de riesgos
Incorporamos este apartado para esclarecer la relación que existe entre los planes de continuidad y la gestión de riesgos. La gestión de riesgos tiene un alcance mucho más amplio que la gestión de la continuidad de negocio. Mientras que la primera está presente en todas las decisiones y actividades de una organización, la segunda se focaliza exclusivamente en aquellos riesgos que tengan relación con la continuidad del negocio. La gestión de riesgos trata todo tipo de riesgos, mientras que la continuidad del negocio se centra en aquellos riesgos que puedan provocar la interrupción de sus procesos más críticos. La gestión de riesgos permite tratar los riesgos de forma proactiva, con el objetivo de mitigar, aceptar o transferirlos. La gestión de la continuidad del negocio es un proceso más enfocado a gestionar el riesgo residual, y por lo tanto, podemos considerar los planes de continuidad como controles reactivos para gestionar el riesgo. Figura 19
Incluimos a continuación una tabla comparativa para entender mejor que la gestión del riesgo y la gestión de la continuidad siguen métodos y alcances diferentes (pero estrechamente relacionados):
La continuidad del negocio
34
© FUOC • PID_00156355
Tabla 1. Comparativa entre la gestión del riesgo y la gestión de la continuidad
Gestión de riesgos
Gestión de la continuidad de negocio
Método�clave
Análisis de riesgo
Análisis de impacto o Business Impact Analysis (BIA)
Parámetros clave
Impacto y probabilidad
Impacto y tiempo
Tipo�de�incidente
Todo tipo de eventualidades
Acontecimientos causantes de trastornos serios en el negocio
Magnitud�del incidente
Todos los eventos que afecten a la organización
Sólo los incidentes que afectan a la supervivencia del negocio (afectan a los procesos críticos)
Intensidad
Todas, desde graduales hasta súbitos
Acontecimientos súbitos o de rápida evolución (aunque es posible que la respuesta también resulte apropiada si un incidente persiste y se transforma en severo)
La gestión de la continuidad del negocio está enfocada en la gestión de riesgos para garantizar que, en cualquier circunstancia, la organización pueda seguir operando al menos a un determinado nivel. Esta gestión incluye la reducción del riesgo a un nivel aceptable y la planificación para recuperar los procesos de negocio en caso de que se produzca un desastre.
La continuidad del negocio
© FUOC • PID_00156355
35
7. Enfoque de los planes. Terminologías
Dentro del sector de la continuidad a menudo se cometen errores terminológicos motivados por la elevada variedad de términos y acrónimos que se utilizan. En este apartado tratamos de aclarar el significado y alcance de diferentes términos relacionados con la continuidad y recuperación del negocio. •
Disaster�recovery�plan�(DRP). El DRP es una estrategia planificada en fases, cuyo objetivo es recuperar todos los servicios relacionados con las tecnologías de la información y la comunicación y los recursos que los conforman, en el menor tiempo posible, a partir de un evento que ocasiona una interrupción mayor en su funcionamiento.
•
Business�resumption�plan�(BRP). El objetivo del BRP es tratar de reanudar todos y cada uno de los procesos de negocio que posee la organización y que se hayan podido ver afectados por un fallo o incidente en las diferentes aplicaciones IT que los conforman.
•
Continuity�of�operations�plan�(COOP). El objetivo del COOP es tratar de conseguir la recuperación de las funciones estratégicas de una organización que son desempeñadas en sus instalaciones corporativas.
•
Contingency�plan�(CP). El objetivo del CP es tratar de conseguir la recuperación de los servicios y recursos de TI después de un desastre que provoca una interrupción mayor en su funcionamiento.
•
Alta�disponibilidad�(AD). Medidas para aportar un nivel de redundancia en sistemas de información considerados críticos para la organización.
•
Emergency�response�plan. Estos planes tratan de conseguir la salvaguarda del personal de la organización, del público, del medio ambiente, así como del resto de activos de la organización ante una situación de desastre.
•
Business� continuity� plan� (BCP)� o� Plan� de� continuidad� de� negocio (PCN). El PCN es un conjunto estructurado por planes de actuación, planes financieros, planes de comunicación, planes para la gestión de crisis, etc., destinados a "mitigar el impacto" provocado por la concreción de determinados riesgos sobre la información y los procesos de negocio de una organización. Los PCN intentan dar respuesta a situaciones que no han podido ser evitadas por las medidas de seguridad implantadas por la organización. Un PCN está formado por N planes: –
Planes de activación.
–
Planes de recuperación de áreas de negocio.
La continuidad del negocio
© FUOC • PID_00156355
–
36
Planes de recuperación de infraestructuras (sistemas de información, comunicaciones, etc.).
–
Planes de traslado y gestión de recursos humanos de la empresa.
–
Planes de evacuación.
–
Etc. (todos aquellos que la organización precise para recuperar su negocio lo antes posible ante una situación de contingencia).
•
Business�continuity�management�(BCM)�o�Gestión�de�la�continuidad del�negocio�(GCN). La gestión de la continuidad del negocio es el punto central de un conjunto de actividades que se desarrollan en la organización con el objetivo de garantizar la continuidad de los procesos de negocio de la misma y que afectan a personas, edificios, sistemas de información, etc. Esta gestión establece los procedimientos, estructura organizativa y herramientas de soporte necesarias para garantizar que los planes de continuidad y recuperación sean válidos y efectivos frente a situaciones de contingencia
Para comprender algunos de estos conceptos tan importantes en continuidad de negocio, incluimos un esquema que ayudará a comprender mejor la relación existente entre estos. Como se aprecia, el concepto que abarca todos los demás conceptos es la gestión de la continuidad de negocio. Dentro de esta gestión se desarrollan todos los planes necesarios para garantizar la recuperación del negocio, y a un nivel más bajo, se desarrollan procedimientos de recuperación tecnológicos para la recuperación TI ante un desastre. Figura 20
La continuidad del negocio
© FUOC • PID_00156355
37
Resumen
Como resumen de este módulo, hacemos algunas observaciones clave sobre la continuidad del negocio: •
El terrorismo, los desastres naturales, las epidemias, los problemas de suministro eléctrico de los últimos años ponen de manifiestos que las organizaciones no pueden considerar el "fallo" como una opción. Las empresas deben decidir si asumen o no tales riesgos. El desarrollo de planes de continuidad es una opción para dar respuesta a estos riesgos.
Figura 21
•
Incorporar la "continuidad de negocio" dentro de la cultura de la organización es un proceso crítico para asegurar que los planes son conocidos, son efectivos y están al día. Para ello las organizaciones deben definir de forma clara los roles y responsabilidades del personal que participará, así como establecer un plan riguroso de formación, comunicación, mantenimiento y pruebas que garantice su éxito.
La continuidad del negocio
© FUOC • PID_00156355
38
Figura 22
•
La aproximación de la continuidad de negocio a un estándar asegura la consistencia y facilita su cumplimiento. Como hemos visto, existen y están apareciendo estándares que proporcionan un framework para el aseguramiento de la consistencia del plan.
Figura 23
•
Hay que tener presente que la demanda en planes de continuidad será ascendente con la aparición y aplicación de medidas� regulatorias (como hasta el momento la SOX, Basilea 2, etc.). Estas regulaciones están empujando a las organizaciones a adoptar soluciones de continuidad.
•
La continuidad de negocio proporciona una ventaja competitiva. Por esta y otras razones indicadas, hay que entender el plan como una inversión y no como un gasto.
La continuidad del negocio
© FUOC • PID_00156355
•
39
No olvidar que la continuidad de negocio no es continuidad TIC. Contempla:
•
–
Personas
–
Edificios, áreas de trabajo
–
Centros de procesos de datos y salas técnicas
–
Proveedores de servicios
–
Sistemas de información
–
Transporte
–
Etc.
La continuidad de negocio se debe encontrar siempre dentro de un proceso de mejora continua para la gestión de los riesgos de la organización.
•
Debe orientarse a recuperar los procesos de negocio críticos de la organización.
•
Debe estar diseñado para integrarse con el resto de elementos de seguridad de la organización.
•
Debe servir para automatizar un conjunto de tareas de manera que se evite tener que planificarlas en momentos de crisis.
•
Es importante conocer los costes del "downtime" o tiempo de interrupción.
La continuidad del negocio