plan de continuidad del negocio - pcn

Anuncio
PLAN DE CONTINUIDAD DEL NEGOCIO - PCN
El Plan de Continuidad de Negocio - PCN, no es más que un conjunto de estrategias,
procedimientos preventivos y reactivos que permiten un rápido retorno a una situación
normalizada, dicho conjunto de estrategias y procedimientos son creados para que la
actividad de la institución se recupere en un nivel aceptable después de una
interrupción no prevista de sus sistemas de información, y de la situación normal de
funcionamiento.
El impacto de un incidente, emergencia y/o evento de gran magnitud puede verse
reflejado en 4 componentes:




Procesos
Infraestructura física
Tecnología
Recursos Humanos
Como se indico en políticas y planes al momento no se cuenta con este plan, el cual
se encuentra en la etapa de contratación, aunque la proyección de la UAECOBB es
contar con una infraestructura básica que le permita continuar con sus operaciones en
los diferentes puntos de la ciudad y ser autónoma mientras se pone en funcionamiento
el Plan de Continuidad de Negocio que se está construyendo.

Procesos normales de Gestión del Riesgo
Los procesos de gestión del riesgo que maneja la Unidad no serán postergados pues
es una entidad cuya naturaleza es la respuesta y debe trabajar en coordinación con
las demás entidades para apoyar procesos de atención y recuperación después de un
incidente de gran magnitud.
Luego de una evaluación de daños y análisis de necesidades se evaluara si se
continúa despachando desde cada estación o se requerirá la ubicación provisional en
un lugar remoto o diferente como otra estación cercana o la más próxima a la zona de
afectación.

Infraestructura
El Plan Maestro de Equipamientos ha suministrado las directrices para la construcción
de Estaciones adicionales en sitios estratégicos de la ciudad y adicionalmente, según
el mismo estudio se ha dispuesto el traslado, reubicación o reconstrucción de las
estaciones existentes. Así mismo se han definido las necesidades de reforzamiento
estructural de algunas de las estaciones que están en funcionamiento actualmente.
En caso de presentarse daños que representen un peligro inminente para la vida del
personal y la operación normal de una estación se despachará desde la estación más
cercana al sitio.

Tecnología
Se realizará el soporte de comunicaciones y sistemas operativos de acuerdo a los
recursos de las 17 estaciones.
 Personal
Partiendo del número actual de personal operativo dispuesto en dos turnos cada uno
de 24 horas en cada estación, como primer paso se consolidara la información de
lesionados, desaparecidos y fallecidos, una vez consolidada la información se
procederá a implementar el plan de continuidad de negocio que la UAECOBB
construirá.
Cuando hablamos del peligro de la continuidad del negocio por contingencia o
desastre, el discurso cambia, por que de inmediato nos cuestionamos.
¿Cómo vamos a asumir gastos en aspectos intangibles que desconocemos ó
que son difíciles de cuantificar?
¿Se tiene el convencimiento de que tan sólo reportan beneficios y reducen
gastos, ó mejor salvan el negocio si ocurren las contingencias?
El análisis de impacto sobre el negocio es la primera acción a realizar para el
desarrollo de un PCN. La cantidad de recursos y tiempo necesarios para realizar el
análisis, dependerán del tamaño y complejidad de la Institución, independientemente
de este aspecto, deberán participar en su desarrollo todas las áreas de la institución.
Esta es la fase más importante del plan ya que identifica los riesgos asociados a los
procesos críticos del negocio, determina el impacto de los mismos y los prioriza para
establecer posteriormente las estrategias de recuperación mediante la determinación
de los tiempos de recuperación.
La selección de la estrategia de recuperación dependerá del cumplimiento de las
conclusiones que determinó el análisis de impacto sobre el negocio. Estas estrategias
de recuperación son una combinación de medidas preventivas, de detección y
correctivas que realizan las acciones para eliminar la amenaza, minimizar la
probabilidad de que suceda y reducir el efecto de la misma.
Por tanto, la selección de una estrategia dependerá de la criticidad del proceso del
negocio, las aplicaciones que intervienen en el mismo, el costo, el tiempo requerido
para la recuperación y la seguridad.
Posteriormente y basado en la información del análisis de impacto sobre el negocio, el
análisis de criticidad y la estrategia de recuperación seleccionada, se complementará
desarrollando un plan de recuperación post desastres. Este plan debe estar escrito en
un lenguaje sencillo que comprendan todos los involucrados en el mismo.
Una vez desarrollado el PCN, no hay que olvidar la fase de pruebas. La experiencia ha
demostrado que la mayoría de las pruebas de continuidad no llegan a la escala total
de todas las operaciones de la Institución. Con ello no se asegura la eficacia del plan
porque uno de los fines de las pruebas es determinar si el plan funciona o no y
analizar qué partes del mismo necesitan ser mejoradas. Por estos motivos, los
resultados obtenidos de las pruebas deberán ser revisados por la alta gerencia para
concluir si se cumple con los objetivos del plan de continuidad de negocio diseñado.
Para que el PCN refleje los cambios producidos en la institución, tanto en sistemas de
información como en sistemas operativos, el plan y las estrategias de recuperación
deberán ser revisados y actualizados de forma periódica, así mismo deberá probarse
periódicamente para garantizar su correcto funcionamiento en caso de que fuera
necesario activar el plan.
Por tanto, como se ha expuesto anteriormente, un PCN es esencial para asegurar el
funcionamiento de la institución ante cualquier tipo de contingencia y para conseguir
su efectividad se debería, como mínimo, considerar los siguientes aspectos:
- El PCN debería estar basado en directrices marcadas por la dirección a
través de un análisis de impacto de negocio y una gestión del riesgo se
consiguen los fundamentos para un efectivo plan.
- El PCN es más que la recuperación de la tecnología, es la recuperación de la
operativa del negocio.
- La validez de un PCN sólo se demuestra probándolo.
- Un PCN debería ser actualizado periódicamente para reflejar y responder a
los cambios que se vayan produciendo en la Institución.
No obstante, debemos poner énfasis en mencionar que en la mayoría de las
instituciones que disponen de un PCN, probablemente son más efectivos en caso de
su ejecución, debido a que se consideraron todos los aspectos básicos necesarios
para su definición y que antes de ejecutar el plan se debieron responder a la pregunta:
¿Hemos alineado las tecnologías de la información y la capacidad operativa de
respuesta con los objetivos del negocio?
En la mayoría de la ocasiones olvidamos que las Tecnologías de la Información están
para servir y ayudar al negocio, nunca al contrario.
Los PCN deben ser actualizados a fin de reflejar adecuadamente la introducción de
nuevas infraestructuras, sistemas, procesos u otros cambios producidos dentro de la
institución, es por esto que para desarrollar el plan debemos tener en cuenta los
siguientes aspectos:
 Iniciación y gestión del proyecto
Una vez tomada la decisión se debe asignar a los funcionarios que van a dar
continuidad al proyecto de comienzo a fin y en los cuales se soportarán las
emergencias.
 Análisis del riesgo
Un Análisis de Riesgo y Vulnerabilidad proporciona una herramienta
independiente para medir el grado de exposición de la institución a hechos
potencialmente destructivos. Las áreas de investigación incluyen las
exposiciones físicas, las medidas de protección existentes y un análisis de la
relación costo/beneficio de la reducción a la exposición, lo anterior es logrado
mediante la adquisición de datos en la estimación del riesgo y los escenarios
de daño, dicho análisis se realiza mediante la identificación, estimación y
manejo, asociado a la comunicación del riesgo. Se inicia por determinar que
amenazas se ubican en la entidad y en zona de influencia de la misma, (p.e.
zonas de ladera próximas, ríos y quebradas que tengan posibilidad de
desbordarse, para establecer enseguida, ante la posibilidad de que estas
amenazas se materialicen el nivel de afectación o vulnerabilidad que se puede
tener, al interrelacionar las amenazas y la vulnerabilidad, se podrá establecer el
nivel de riesgo que tenga la entidad.
 Análisis del impacto
En la realización del análisis del impacto debemos adelantarnos a los
acontecimientos y visualizar las posibles fallas que puedan ocurrir, para esto
debemos contar con simulaciones y simulacros que nos dan el alcance real de
la situación
 Inventario de procesos críticos
De igual forma debemos evaluar y reevaluar todos los procesos normalizados a
la fecha para poder visualizar la criticidad de las operaciones, sin esto no es
posible conseguir una continuidad en el negocio
 Recurso humano idóneo
Si bien los análisis y los recursos son parte importante para desarrollar el PCN,
es también fundamental contar con personal especializado en áreas que por
sus trabajos solo les competen a ellos, no obstante en caso de cualquier baja
se debe contar con listas de personal extra para ser llamado en caso de
necesitarse
 Infraestructura física mínima,
necesaria para atender los procesos
críticos
En esta parte del proceso se requiere adoptar los recursos mínimos
necesarios para dar solución inmediata.
 Infraestructura tecnológica mínima necesaria
En la atención de un incidente, emergencia y/o evento de gran magnitud, se
requiere de unos elementos básicos para dar inicio a la respuesta, dichos
elementos son las tecnologías de información, las comunicaciones y la
capacidad de respuesta que deben estar en constante revisión preventiva y
con capacidad de aumentar a medida que la emergencia va creciendo, luego
los demás elementos propios de la emergencia según sea el área de daño, por
Ej. No se utilizan los mismos elementos para trabajar para una rotura de un
tubo madre, que para reparar una línea de alta tensión, sin embargo las
comunicaciones si van a efectuarse por un mismo medio de radiofrecuencia
con sus instituciones y bajo la coordinación del Sistema Distrital para la
Atención de Emergencias - SDPAE
 Intercambio de la información
Basándonos en el ej. anterior nos damos cuenta que para dar respuesta
efectiva al incidente, emergencia y/o evento de gran magnitud, requerimos de
las demás instituciones, para ello también se requiere de información oportuna
y veraz de los hechos acaecidos con miras a solucionar de forma inmediata el
percance, sin embargo el intercambio de información se da con estos actores :
o Clientes
o Entes de control (Internos y Externos)
o Proveedores
o Outsoursing de servicios
 Planes de Contingencia
Las amenazas específicas (por ejemplo, la presencia de materiales peligrosos,
un impacto negativo potencial en el público o determinadas características
especiales del negocio) merecen especial atención, para este tipo de
situaciones se debe crear un plan específico desarrollando planes altamente
focalizados con procedimientos de respuesta ante situaciones de crisis y
acciones de recuperación del negocio.
 Facilitación de Pruebas y Entrenamiento
Las simulaciones, simulacros y pruebas adicionales, brindan ayuda en el testeo
de planes ya existentes, periódicamente o a solicitud del interesado. Estos
servicios proporcionan guía y apoyo en escenarios de prueba, monitoreo de
pruebas y evaluación de los resultados de las mismas. Adicionalmente, brinda
sesiones de orientación y entrenamiento
FASES DEL ENFOQUE DEL PLAN DE CONTINUIDAD DEL NEGOCIO
El PCN parte de una evaluación de riesgos, un análisis del impacto en el negocio y
una estrategia de recuperación, en el enfoque que se le de al plan, se debe tener en
cuenta que se debe adaptar a las necesidades, donde los factores críticos incluyan, la
experiencia que podamos aportar con consultoría estratégica, nuestra capacidad para
trabajar en equipo con la gerencia, con profesionales del área de implementación y
personal de auditoria interna, con nuestra habilidad para usar herramientas
automatizadas para proyectos, ya sea con aquéllas de propiedad de la institución o
bien las pertenecientes al sistema, con metodología consistente, modular y fácil de
usar, al final debe ayudar a minimizar los inconvenientes de los recursos propios de
las instituciones y brindar soporte y confiabilidad a la alta gerencia.
Todo lo anterior se resume en tres fases:
 Administrar el Negocio
o Evaluación del riesgo de interrupción
o Análisis del impacto sobre el negocio
 Crear el Plan
o Estrategia de Recuperación alternativas
o Requerimientos críticos de Recursos de recuperación
o Plan de Continuidad del Negocio
 Probar y Administrar el Plan
o Administración del Plan
o Prueba del Plan
Descargar