Ya sea que hablemos de la continuidad de los procesos de negocio en general o de la continuidad de los servicios de TI en particular (equivalentes a los planes de contingencia de TI), hay una serie de aspectos clave a la hora de abordar estos proyectos que es necesario tener en cuenta para garantizar su éxito:
Mapa de procesos y/o catálogo de servicios de TI
Conseguir disponer de un mapa de procesos de negocio y/o un catálogo de
servicios de TI suficientemente detallado.
Participación de la Dirección
Conseguir la participación y/o involucración de la Dirección en el
proyecto. En caso de abordar un Plan de Continuidad de Negocio la participación
debe quedar plasmada en el compromiso de involucrarse de forma continua y
participativa en la ejecución del proyecto. Dicha participación es clave, por
no decir absolutamente imprescindible. Un Plan de continuidad de Negocio es un
proyecto estratégico para la organización.
Análisis de Impacto en el Negocio (BIA)
Conseguir que la Dirección y los interlocutores se ubiquen dentro del
alcance de este tipo de proyectos y tengan claro la diferencia entre una
incidencia y un desastre. Para ello es muy importante explicar el concepto de análisis
de impacto en el negocio (BIA). El BIA
introduce en el análisis la variable temporal que permite evaluar,
precisamente, cuando un incidente puede llegar a convertirse en un desastre si
no se soluciona a tiempo.
Valoración tangible vs intangible
Poder valorar de forma tangible – económicamente - el impacto asociado a la
no disponibilidad de un proceso crítico de negocio (PCN) o de un servicio de TI
(PCTI).
Análisis de Riegos
Disponer de un análisis de riesgos creado con criterios homogéneos a lo
largo de toda la organización. Esto puede ser complicado cuando la organización
decide abordar este tipo de proyectos de forma interna y no dispone o designa a
un responsable del proyecto que marque las pautas.
Plan de Tratamiento de Riesgos
Establecer el Plan de Tratamiento de Riesgos como un entregable básico del
proyecto. En realidad no nos gustaría llegar a tener que activar nuestro Plan.
Estrategias de Recuperación
Conseguir que quede clara la diferencia entre lo que son las medidas de
reducción, eliminación del riesgo (o del impacto asociado) con respecto a lo
que son las estrategias de recuperación a implementar para conseguir cumplir
con los requisitos de continuidad del negocio (RTOs).
Riesgo vs Coste
Valorar económicamente, con el nivel de detalle necesario, las medidas de
reducción del riesgo y estrategias de recuperación planteadas. Los análisis de riesgo
vs coste y RTO vs coste permitirán a la Dirección decidir en base a criterios
de negocio. La experiencia demuestra que casi siempre, para algunos procesos de
negocio o servicios de TI, la primera valoración de los RTO es demasiado
restrictiva. Suele ser necesario un segundo análisis.
Escenarios de Indisponibilidad
Agrupar los riesgos residuales inaceptables para la organización en una
serie de escenarios de indisponibilidad que se puedan tratar a posteriori con planes
operativos de recuperación específicos para cada escenario (planes de
recuperación ante desastres).
Oficina de Continuidad
La definición e implementación de una Oficina de
Continuidad constituida por una estructura de roles y responsabilidades que
velen en la organización por la continuidad y sean asumidas por personal
capacitado (definiendo la estructura y seleccionando a las personas adecuadas
para ejercer cada rol). Roles que pueden ser internos, externos o una mezcla de
ambos.
