FUNCIONES DE LA DIRECCION Y DEL EQUIPO DE GESTION DE INCIDENTE/EMERGENCIA

Durante el proceso de la elaboración e implementación del Plan de continuidad del negocio debe ser cuidadosamente elaborado y aprobado por la Dirección de la Empresa.

Las funciones de la Dirección se limitan a la revisión y aprobación del Plan, es decir las estrategias de respuestas y recuperación.

El equipo de gestión de incidentes es responsable de preparar los informes para la Dirección, identificando el día a día y la toma de decisiones.

Este equipo atiende las decisiones urgentes del Plan:

1.- Actividades de respuesta.

2.- Descripción del incidente o emergencia.

3.- Probables heridos, victimas, otras,

4.- Áreas afectadas

5.- Estado del Plan

6.- Información y comunicación en proceso.

 

 

Anuncios

ALCANCE DEL PLAN DE CONTINUIDAD DEL NEGOCIO

Debe ser diseñado para preparar la respuesta inmediata a los posibles escenarios.

1.- Que Departamentos deben de estar incluidos en el Plan. Desde mi punto de vista, todos deben de estar involucrados en el Plan y lo más importante que identifique donde en un momento dado de una crisis, incidente o emergencia pueden detener su proceso por falta de (muchas supuestos internos o externas). Recordemos estas organizaciones son internas o aquellas externas relacionadas a los procesos (proveedores).

Recordemos que no es lo mismo el Plan desde el punto informático, o el que queremos desarrollar, es decir que abarque la recuperación del proceso y la continuidad del negocio, se identifican todas las funciones críticas.

2.- Identificamos las probables amenazas e identificar las que pueden ocurrir.

Tenemos que tomar en cuentas los costos y las limitaciones presupuestarias.

En todo momento la Alta Directiva debe estar en conocimiento del alcance del Plan y que esté aprobada por ellos.

3.- Premisas de partida. Supuestos:

Que área fue afectada, cuales son os lugares alternativos.

Se registró un incendio en los almacenes y la Planta continua produciendo. Dónde lo almacenamos? Debe haber una inspección y evaluación previa.

Qué Departamento y personal tiene la asignación de recuperar

Producto del incendio, o no hay energía eléctrica, entre otra que pueden ocurrir. Tenemos un backup de las comunicaciones, están identificados y comprobadas.

Las organizaciones externas están contactadas de cuál será su función y responsabilidad, en el periodo razonable de respuesta?  Entre muchas interrogantes.

Debemos siempre pensar en el peor de los escenarios.

Se revisa y se actualiza el plan todos los años?

Se mantiene un programa de entrenamiento continuo?.

 

 

 

 

 

¿POR DÓNDE EMPEZAMOS?

Para preparar un Plan de Continuidad de Negocio tenemos que buscar toda la información y datos de la compañía: sus productos/servicios, objetivos, procesos internos y todo aquel dato que nos permita identificar debilidades.  No es lo mismo un Plan de Continuidad para una empresa de alimentos que para una empresa fabricante de plásticos. Aunque en ambos casos el objetivo será el de seguir produciendo, las actividades y procesos sobre las que se soporta la empresa tendrán diferentes prioridades de recuperación ante una contingencia grave.

El objetivo general del Plan de recuperación es conocer y preparar un mapa de acciones que reduzcan “la toma de decisiones” durante las operaciones de recuperación, restaure los servicios críticos rápidamente y permita un normal funcionamiento de los sistemas y procesos lo antes posible, minimizando costes y aumentando la efectividad.

Este plan los podemos fragmentar en cuatro fases:

FASE I – ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS

Obtener conocimiento de los objetivos de negocio y de los procesos que se consideran críticos para el funcionamiento de la empresa. Una vez identificados los procesos críticos, se analizarán cuáles son los riesgos asociados a dichos procesos para identificar cuáles son las causas potenciales que pueden llegar a interrumpir un negocio.

FASE II – SELECCIÓN DE ESTRATEGIAS

  • Valorar las diferentes alternativas y estrategias de respaldo en función de los resultados obtenidos en la fase anterior, para seleccionar la más adecuada a las necesidades del negocio.
  • Corregir las vulnerabilidades identificadas en los procesos críticos de negocio identificadas en el Análisis de Riesgos.

 

FASE III- DESARROLLO DEL PLAN

Una vez que se ha identificado la estrategia de respaldo hay que desarrollarla e implantarla dentro del negocio. En esta fase se desarrollan los procedimientos y planes de actuación para las distintas áreas y equipos, y se organizan los equipos que intervienen en cada fase del Plan.

 

FASE IV – PRUEBAS Y MANTENIMIENTO

Parte importante del Plan de Continuidad, es conocer que funciona y es efectivo. Para ello se define la estrategia de pruebas y se realiza la prueba del Plan, para afinarlo según los resultados. Además, en esta última fase se definirán los procedimientos de mantenimiento del Plan.

El propio Banco Mundial propone en su informe de 2014 cinco ideas clave sobre la Continuidad del negocio.

1. Es necesario asumir riesgos para aprovechar oportunidades de desarrollo. El riesgo de inacción probablemente sea la peor opción.

2. Para hacer frente al riesgo con éxito, en vez de responder en forma no planificada e improvisada cuando se produce una crisis, es esencial adoptar una administración proactiva, sistemática e integrada del riesgo.

3. No basta con detectar los riesgos: los obstáculos para la administración del riesgo también se deben detectar, priorizar y abordar mediante acciones públicas y privadas.

4. Cuando los riesgos exceden los medios que tienen los individuos para encararlos por su cuenta, la administración del riesgo exige la acción y la responsabilidad compartida entre distintos niveles de la sociedad, desde los hogares hasta la comunidad internacional.

5. Los Gobiernos desempeñan un papel esencial en administrar los riesgos sistémicos, generar el entorno propicio para la responsabilidad y la acción conjuntas, y canalizar el apoyo directo a los sectores vulnerables.

 

Bajo el “Efecto 11 de Septiembre”. Planes de continuidad del negocio

Las pérdidas humanas es lo primero que inevitablemente viene a la mente al recordar los infamantes sucesos que, como una pesadilla planetaria, pudimos seguir en vivo y en directo el pasado 11 de septiembre. La vida sigue, la guerra –ahora en stand by– y sus cadáveres también, pero son muchas las empresas que aún se preguntan si serían capaces de recuperarse en caso de sufrir un ataque de tales magnitudes, en el que no sólo desaparecieron sistemas informáticos, sino los propios edificios que los albergaban, y con ellos, desgraciadamente, buena parte del personal. Si antes de la destrucción del World Trade Center de Nueva York un directivo TIC hubiese referido un desastre potencial similar para que los responsables financieros de la empresa engordasen el presupuesto asignado a la recuperación y continuidad del negocio, como poco se hubiera ganado una sólida reputación de siniestro paranoico. Hoy todos sabemos que eso, aunque improbable, es posible, y lo más duro, ha sucedido. ¿Estamos todos locos? Es posible. Lo seguro es que estamos bajo el “Efecto 11 de Septiembre”.

Para sobrevivir es preciso mucho más que la simple recuperación de la información. Ésta parece ser la conclusión a la que han llegado los responsables TIC más avispados. Y de golpe. Las imágenes de la Zona Cero de Nueva York son así de elocuentes. Los directivos de tecnologías de la información y de comunicaciones se están dando cuenta de que la recuperación ante desastres es sólo una parte de lo que debería ser un plan de continuidad del negocio de alcance corporativo. Proveedores, consultores y expertos coinciden en el diagnóstico.
Gartner Group estima que el 85% de las grandes organizaciones tiene algún tipo de plan de recuperación de desastres, pero sólo un 25% cuenta con un mucho más amplio plan de recuperación del negocio, y sólo de un 10 a un 15% de esa pequeña tasa lo tiene actualizado. La situación es preocupante, pero por detrás de estas cifras avanza una creciente movilización –real en Estados Unidos, todavía poco más que potencial en España– de los directivos financieros, comerciales y tecnológicos hacia la planificación detallada de la continuidad de las actividades del negocio. Se trata de expandir las precauciones a todas las áreas críticas de la empresa, incluidas las vidas de los empleados y la integridad de la propiedad, algo para lo que la gran mayoría de los responsables de las compañías estaba poco o nada preparada el pasado septiembre, ni siquiera las estadounidenses, tan avanzadas. ¿Están vivos todavía? ¿Se encuentran en condiciones psíquicas para trabajar?
La necesidad de salvaguardar las actividades de la empresa es vital. Y hoy más que nunca. Siempre su interrupción total o parcial ha sido una amenaza catastrófica, especialmente en algunos sectores como la banca, pero aún más ahora, cuando los nuevos modelos económicos exigen una continua actividad e imponen una creciente dependencia de las TIC. Todo está en juego: no sólo los ingresos y los beneficios, sino también la imagen corporativa y la base de clientes.
En un entorno empresarial cada día más descentralizado, en el que las redes e Internet son factores clave, garantizar el acceso constante a la información resulta esencial tanto para el personal interno como para los socios comerciales, los clientes y los que pueden llegar a serlo. Áreas como la planificación de los recursos empresariales, la cadena de suministros, el comercio electrónico, las relaciones con los clientes y el concepto del e-business en general suponen hoy significativas ventajas competitivas que han de estar siempre “vivas”. Y la continuidad del negocio implica afrontar un enfoque activo, que vaya por delante de los acontecimientos, por muy improbables que puedan parecer.

El horror de lo improbable 
Puede que aún sea pronto para saber si, un tanto diluida ya la amenaza inminente de más atentados, el “Efecto 11 de Septiembre” se está traduciendo en una adopción real de mayores medidas de protección por parte de las empresas pero lo que está claro es que será difícil olvidar sus consecuencias. Datos de IDC: los ataques contra el WTC dejaron entre 9.000 y 14.000 pequeñas y medianas empresas sin servicio. En respuesta a la tragedia, las unidades de recuperación de desastres de muchas compañías tuvieron que enfrentarse a una seria prueba de sus capacidades. Y en la escala de preocupaciones de todos el terrorismo ascendió muchos puestos –incluso aquí en España, donde ya tenemos experiencia en esta negra materia–, quizá sobrepasando a los peligros potenciales asumidos de siempre, como los propios fallos de las TIC y los desastres fortuitos y naturales. 
En el relato de aquellos acontecimientos los medios de comunicación generalistas obviaron, por la urgencia de otros aspectos del desastre, la pesadilla a la que tuvieron que enfrentarse las empresas ubicadas en las Torres Gemelas, pero las firmas especializadas en servicios de recuperación y continuidad nunca olvidarán la que se les vino encima. En la historia del sector permanecerá en lugar destacado.
Nuria Grao, directora de Operaciones de Comdisco, uno de los principales proveedores de servicios de recuperación con presencia mundial, advierte de un pequeño enorme detalle: “un parámetro importante a tener en cuenta en un desastre es el nivel de simultaneidad de las contingencias que pueden ser declaradas en un mismo momento. En el caso del WTC, Comdisco superó el nivel máximo de contingencias declaradas y soportadas simultáneamente hasta entonces, llegando a un total de 76”. Una cifra considerable, muy superior a las 50 declaraciones atendidas por la compañía a raíz del Huracán Floyd en la Costa Este de Estados Unidos en 1999, el segundo acontecimiento en importancia en la vida de la corporación. 
En conjunto, Comdisco soportó la recuperación de 47 compañías, con un total de 92 declaraciones procedentes sobre todo de bancos, seguros y empresas de seguridad, entre las que se encuentran entidades de la talla internacional de Merrill Lynch y Morgan Stanley. Operando a un 30% de su capacidad en el momento más álgido, durante las actividades de soporte de Comdisco estuvieron activos trece centros de recuperación ubicados en distintas ciudades, se movilizaron 450 empleados, se utilizaron más de 3.000 posiciones de usuario (cada una con PC y teléfono), y más de 130 líneas de 2 Mbps para tráfico de voz y datos, con una media de 32.000 llamadas diarias. Además, se enviaron 4.200 PC adicionales según los tiempos de entrega contratados con los clientes. Adicionalmente, la compañía dispuso de plataformas móviles formadas por camiones trailers unidos entre sí que lograron añadir 3.000 metros cuadrados al espacio de las salas técnicas.
“En este momento, no existe ninguna declaración de desastre activa en nuestros centros. Todas fueron soportadas con éxito de septiembre a diciembre pasados”, concluye Nuria Grao

OBJETIVOS DE UN PLAN DE CONTINUIDAD DE NEGOCIO

 

 

Aumentar la probabilidad de la continuidad de que las funciones críticas de la organización en caso de registrarse alguna interrupción de sus operaciones.

Proporcionar un enfoque de organización y consolidación dirigidos a la respuesta y recuperación ante una emergencia o interrupción imprevista, evitando confusión y reduciendo la crisis o tensión.

Proporcionar una respuesta rápida y apropiada para cualquier imprevisto, reduciendo los impactos resultantes de las interrupciones a corto plazo.

Recuperar las funciones críticas de forma oportuna, aumentando la capacidad de la organización.

Aumentar la probabilidad de continuar del servicio de presentarse una interrupción.

Reducir el tiempo de recuperación y las probables perdidas económicas, directas e indirectas, como resultado de una interacción.

Reducir el impacto, tangible e intangible, en las funciones operativas después de la interrupción.

Realizar recuperación de las funciones críticas, mediante los procedimientos:

  • Reducir el tiempo de la recuperación
  • Minimizar los costos e la recuperación
  • Evitar la confusión y reducir el riesgo de errores
  • Evitar la duplicidad de esfuerzos

Creando Cultura en Continuidad de Negocio

Súmate al reto.

A lo largo de mis años trabajando seguridad, la prevención, gestión de riesgos y emergencias en general, aprendí que la base de una buena gestión preventiva es la cultura de la organización donde se desarrolla. Por ello, la diferencia son los programas que permiten fortalecer esa cultura de la seguridad. Es por esto que nace la idea de preparar un manual de plan de continuidad del negocio y recuperación de desastres y de esta forma entrenar al personal para fortalecer las organizaciones en la respuesta oportuna ante una emergencia y servir de asesor integral.