Inicio / Protege tu empresa / Blog / La gripe A y la continuidad de negocio (II)

La gripe A y la continuidad de negocio (II)

Publicado el 07/09/2009, por Javier Cao Avellaneda

Retomando la problemática avanzada en el artículo anterior profundizaré en los aspectos necesarios a tener en cuenta en todo plan de continuidad de negocio. Así, nuestra reacción debe responder a las cinco grandes preguntas:

  • ¿Qué?: Definir las partes de la organización que serán críticas en los primeros momentos y por tanto, que deberán volver a la normalidad lo antes posible.
  • ¿Quién?: Qué personas se tendrán que movilizar y en qué orden, cuanta gente hará falta en las primeras horas, los primeros días y sobre todo, cómo se coordinará el tema para que no se de una situación caótica.
  • ¿Cómo?: Aquello que tendremos que hacer para mitigar la contingencia, para entrar en la fase de recuperación y, por último, volver a la normalidad.
  • ¿Dónde?: A qué lugares tendremos que acudir para poder hacer todo esto. Si las ubicaciones físicas principales están afectadas, hay que tener lugares alternativos donde poder desplegar el Plan. ¿Qué pasa si no tengo mi equipo habitual o no se puede entrar al CPD de la empresa?
  • ¿Cuándo?: ¿Qué ventanas de interrupción son tolerables? ¿En cuánto tiempo tenemos que volver a la normalidad? Todo esto viene definido por el Análisis de Impacto en el Negocio (en ingles Business Impact Analysis o BIA). Este estudio no es más que un análisis de riesgos que se centra en la dimensión de la disponibilidad como único criterio para tomar decisiones sobre qué hacer y en qué intervalo de tiempo. Para ello, se realizan estimaciones de dos valores que definen la estrategia de recuperación y que son el tiempo objetivo de recuperación (RTO) y el punto objetivo de recuperación (RPO). Vamos a explicar más detalladamente ambos conceptos.

El RTO (Recovery Time Objetive) establece cómo de rápido las diferentes unidades de negocio necesitan volver a su funcionamiento. Por tanto, determina los plazos en los que hay que volver a funcionar con normalidad. Estos pueden establecerse en períodos de tiempo en función de la criticidad de los procesos y pueden ser cuestión de horas o semanas en aquellos procesos prescindibles. Por tanto, se trata de identificar el orden en que hay que tratar de reconstruir la actividad, recuperando antes aquellos procesos cuya paralización suponen un mayor impacto para la organización. En una situación de crisis siempre hay recursos limitados y es necesario elegir qué hacer primero atendiendo a un criterio de negocio.

El RPO (Recovery Point Objetive) se refiere al punto más reciente en el tiempo en el que los sistemas pueden ser recuperados, reflejando por tanto cuanta es la cantidad de información que una organización puede permitirse perder sin que le afecte muy negativamente. Por tanto, el RPO determina la periodicidad con la que deben salvaguardarse los datos para todos aquellos procesos de negocio. Cuanto más cortos son el RTO y el RPO, más complejos y caros son los planes de continuidad de negocio. Estos dos parámetros deciden también las diferentes estrategias de recuperación. Para procesos críticos que deben recuperarse en cuestión de horas (RTO pequeño) y que no pueden perder más de 2 horas de información (RPO pequeño) la solución puede ser disponer de un HOT SITE o un CPD paralelo que redunde el Centro de Procesos de Datos principal.

Todas estas cuestiones tienen que estar bien resueltas. Como se puede ver, el Plan de Continuidad de Negocio es un esquema estructurado de toma de decisiones para situaciones en donde el tiempo es oro y no se puede improvisar. Muchas veces el estrés, la presión o las situaciones nos superan y nos inducen a error. El Plan solventa todas estas dudas y la prueba del plan demuestra si funciona o no como está previsto. Por ello, testar el Plan es tan importante o más que tenerlo.

Cuando una amenaza se tiene identificada, se estiman las consecuencias y cómo de posible es que ocurra, en cierta forma se tiene algo más de control sobre la situación. Si además existe un plan para poder reaccionar – en el caso de que a pesar de todo, las cosas sucedieran – ese riesgo está identificado, cuantificado y gestionado y por tanto es difícil dejarse llevar por el miedo. Sin embargo, quien no tiene claras las respuestas a estas cinco preguntas básicas sin duda puede tener suficientes motivos para estar asustado, y por tanto dejarse llevar por la psicosis que puede estar generando el eco mediático en la sociedad.