martes, 9 de septiembre de 2014

Planes de Continuidad. 10 aspectos clave



Ya sea que hablemos de la continuidad de los procesos de negocio en general o de la continuidad de los servicios de TI en particular (equivalentes a los planes de contingencia de TI), hay una serie de aspectos clave a la hora de abordar estos proyectos que es necesario tener en cuenta para garantizar su éxito:




Mapa de procesos y/o catálogo de servicios de TI
Conseguir disponer de un mapa de procesos de negocio y/o un catálogo de servicios de TI suficientemente detallado.

Participación de la Dirección
Conseguir la participación y/o involucración de la Dirección en el proyecto. En caso de abordar un Plan de Continuidad de Negocio la participación debe quedar plasmada en el compromiso de involucrarse de forma continua y participativa en la ejecución del proyecto. Dicha participación es clave, por no decir absolutamente imprescindible. Un Plan de continuidad de Negocio es un proyecto estratégico para la organización.

Análisis de Impacto en el Negocio (BIA)
Conseguir que la Dirección y los interlocutores se ubiquen dentro del alcance de este tipo de proyectos y tengan claro la diferencia entre una incidencia y un desastre. Para ello es muy importante explicar el concepto de análisis de impacto en el negocio  (BIA). El BIA introduce en el análisis la variable temporal que permite evaluar, precisamente, cuando un incidente puede llegar a convertirse en un desastre si no se soluciona a tiempo.

Valoración tangible vs intangible
Poder valorar de forma tangible – económicamente - el impacto asociado a la no disponibilidad de un proceso crítico de negocio (PCN) o de un servicio de TI (PCTI).

Análisis de Riegos
Disponer de un análisis de riesgos creado con criterios homogéneos a lo largo de toda la organización. Esto puede ser complicado cuando la organización decide abordar este tipo de proyectos de forma interna y no dispone o designa a un responsable del proyecto que marque las pautas.

Plan de Tratamiento de Riesgos
Establecer el Plan de Tratamiento de Riesgos como un entregable básico del proyecto. En realidad no nos gustaría llegar a tener que activar nuestro Plan.

Estrategias de Recuperación
Conseguir que quede clara la diferencia entre lo que son las medidas de reducción, eliminación del riesgo (o del impacto asociado) con respecto a lo que son las estrategias de recuperación a implementar para conseguir cumplir con los requisitos de continuidad del negocio (RTOs).

Riesgo vs Coste
Valorar económicamente, con el nivel de detalle necesario, las medidas de reducción del riesgo y estrategias de recuperación planteadas. Los análisis de riesgo vs coste y RTO vs coste permitirán a la Dirección decidir en base a criterios de negocio. La experiencia demuestra que casi siempre, para algunos procesos de negocio o servicios de TI, la primera valoración de los RTO es demasiado restrictiva. Suele ser necesario un segundo análisis.

Escenarios de Indisponibilidad
Agrupar los riesgos residuales inaceptables para la organización en una serie de escenarios de indisponibilidad que se puedan tratar a posteriori con planes operativos de recuperación específicos para cada escenario (planes de recuperación ante desastres).

Oficina de Continuidad
La definición e implementación de una Oficina de Continuidad constituida por una estructura de roles y responsabilidades que velen en la organización por la continuidad y sean asumidas por personal capacitado (definiendo la estructura y seleccionando a las personas adecuadas para ejercer cada rol). Roles que pueden ser internos, externos o una mezcla de ambos.