Inicio / Protege tu empresa / Blog / ¿Sabías qué uno de los principales fallos de los planes de continuidad está en las reuniones iniciales?

¿Sabías qué uno de los principales fallos de los planes de continuidad está en las reuniones iniciales?

Publicado el 06/05/2014, por INCIBE
¿Sabías qué uno de los principales fallos de los planes de continuidad está en las reuniones iniciales?

¿Sabías que tan solo 1 de cada 4 empresas conocen el significado de qué es un plan de continuidad de negocio? La realidad es que en la actualidad existe una fuerte, por no decir total, dependencia de las nuevas tecnologías por parte de las organizaciones, convirtiendo la disponibilidad de los sistemas de información en algo crítico para el funcionamiento de las mismas.

¿Te has planteado que pasaría si las aplicaciones críticas de tu empresa dejaran de funcionar durante un periodo de tiempo prologando? ¿Cuánto le costaría a tu empresa? ¿La empresa lo podría asumir?

En el caso de Antonio, responsable de informática de una empresa de fabricación y distribución de calzado, se ha planteado cuanto le costaría a la empresa que los servidores no estuvieran operativos. La conclusión que ha sacado después de hacer números, es que la organización no podría aguantar más de una semana sin hacer uso de sistemas de información.

Si esta indisponibilidad de los sistemas causa un impacto significativo en la organización, se deben establecer medidas tanto técnicas como organizativas que permitan disponer de un plan B. Este plan debe recoger el conjunto de acciones necesarias a ejecutar para restaurar los sistemas y es conocido como Plan de Continuidad de Negocio (o por sus siglas PCN).

Antonio consciente de este hecho, se ha propuesto definir un plan de continuidad de negocio para disponer de un plan B.

Un plan de continuidad de negocio carece de sentido si no se sustenta en un adecuado conocimiento de la organización; y no solo desde un punto de vista técnico, sino también desde la perspectiva del negocio. Para obtener este conocimiento, es necesario conocer de primera mano los procesos y actividades críticas del negocio, y esta información solo la podemos obtener de los departamentos propietarios de los procesos.

Para llevar a cabo este análisis se debe asignar en primer lugar a una persona o grupo de personas que serán los responsables de coordinar el proceso de desarrollo del plan de continuidad de negocio. Estas personas deben contar necesariamente con el apoyo de la dirección de la organización.

Tras esto, es necesario identificar y acotar el alcance del proyecto. El alcance puede variar en función de las necesidades de la organización y siempre deberá estar alineado con los objetivos de negocio. Es decir, el alcance deberá al menos cubrir aquellos sistemas de información que soporten los procesos críticos de negocio. Este alcance deberá ser validado en última instancia por la dirección.

Reunion plan continuidad de negocio ciberseguridad

Una vez definido el alcance, se deben identificar los usuarios que disponen del conocimiento necesario de los procesos más críticos del negocio. Por norma general, se suele seleccionar por cada departamento a un usuario que tenga conocimiento sobre su operativa.

Antonio, como responsable de TI, conoce a grandes rasgos los principales procesos de negocio de la compañía. Sin embargo no tiene el conocimiento sobre las actividades críticas de cada uno de estos procesos. Es por esto que ha decidido implicar a la dirección y a los responsables de los departamentos para que proporcionen este conocimiento.

Después de seleccionar a los usuarios que participarán en este proceso, es importante trasladar a los implicados el objetivo del mismo, el rol que van a desempeñar y la colaboración que se espera de ellos.

Llegados a este punto, Antonio ha identificado como personas representativas al responsable de logística, la responsable financiera y a el responsable de producción. Ahora lo importante es saber que necesita de ellos.

Una vez seleccionados los implicados, debemos tener claro la información que necesitamos que ellos nos proporcionen para poder confeccionar un plan de continuidad de negocio adecuado. Esta información deberá al menos contemplar:

  • Describir las actividades y procesos en los que participan.
  • Listado de las aplicaciones (ERP, CRM, etc.) y de los servicios (correo electrónico, pasarelas de pago, acceso remoto) que sean necesarios para los procesos de negocio.
  • Establecer las dependencias de proveedores o de otros departamentos.
  • Enumerar las herramientas que pueden ser críticas y que forman parte de los sistemas de información (portátil, smartphone, sistemas de control industrial u otro tipo de equipos específicos.)
  • Identificar los periodos críticos en los procesos de negocio, como por ejemplo: cierre del ejercicio, confección de nóminas, declaración del IVA, etc. 
  • Identificar el tiempo máximo en el que una actividad o proceso puede permanecer interrumpido antes de causar un impacto considerable en la organización.
  • Identificar el volumen de información que puede perder en caso de que ocurra un incidente sin que suponga un problema significativo. Para facilitar la tarea al usuario es aconsejable establecer diferentes ejemplos para su comprensión.

El mejor método para recopilar esta información varía en función de la casuística de cada organización y de la disponibilidad de los usuarios. No obstante, los métodos más usados son:

  • Las reuniones con los usuarios: Tiene como ventaja principal que permite detectar más matices y en definitiva más información, dado que el interlocutor guía al usuario durante todo el proceso. Por el contrario, requieren de mayor disponibilidad por parte del usuario y algunas veces éstos pueden sentirse condicionados.
  • El uso de cuestionarios: Permiten agilizar el proceso, se deben desarrollar utilizando un lenguaje comprensible y claro para el usuario. Es recomendable facilitar ejemplos claros para evitar confundirle. Por último es muy importante establecer fechas de entrega de los cuestionarios.

A menudo, la mejor estrategia es hacer un primer intento de recopilación de información a través de cuestionarios y en el caso de que esta opción no funcione mantener reuniones presenciales. Sin embargo, para poder sacar el mayor partido a estas reuniones se deberán seguir una serie de pautas:

  • Planificaremos previamente las reuniones con los usuarios.
  • Informaremos a los usuarios antes de la reunión de los temas a tratar.
  • Al inicio de las reuniones plantearemos a los usuarios el orden día.
  • Se realizarán actas de las reuniones que deberán ser validadas por los usuarios posteriormente.
  • En el caso de que quede pendiente obtener cierta información estableceremos fechas límite para el envió de la misma.

La elección de reuniones individuales o colectivas dependerá en gran medida del tiempo disponible y del número de personas implicadas. Sin embargo, a la hora de mantener reuniones colectivas se debe tener presente que un número excesivo de personas puede dificultar la productividad de cualquier reunión.

Antonio, ha optado por remitir cuestionarios a las personas implicadas. Sin embargo, al recibir los cuestionarios ha podido comprobar que las respuestas denotan, que no se han comprendido los conceptos reflejados. Así pues, ha pensado que la mejor opción es mantener una reunión colectiva con todos los implicados.

Una vez recopilada toda la información, la persona o grupo encargado del proyecto debe revisar los resultados obtenidos para detectar posibles irregularidades y en tal caso, volver a validar con el usuario esta información.

Tras la reunión, Antonio ha recabado todo el conocimiento que le permite identificar las actividades críticas de negocio, los requisitos en términos de disponibilidad vinculadas a las mismas, así como en el resto de información asociada (aplicaciones, proveedores, etc).

Los resultados obtenidos se deben presentar a la dirección para que aporte su propia visión. Esta información constituye la base para la correcta definición de un plan de continuidad de negocio, y deberá ser completado con la visión que proporcionará el departamento de informática.

A partir de los resultados obtenidos, Antonio ha decidido presentarlos a la dirección con el fin de que proporcionen recursos tanto para la implantación de una estrategia de respaldo acorde con estos requisitos, como para la documentación del plan de continuidad de negocio.

No podemos caer en el error de pensar que la definición de un plan de continuidad de negocio es una tarea única y exclusiva del departamento de informática. Identificar qué es lo importante para el negocio es una decisión que va más allá de informática, es por este motivo que es necesario mantener una comunicación adecuada y eficiente con los responsables de las distintas áreas de negocio. Al fin y al cabo, el éxito de esta iniciativa suele depender en gran medida de la implicación directa de otras áreas de la organización.