PLAN DE CONTINUIDAD DEL NEGOCIO - PCN El Plan de Continuidad de Negocio - PCN, no es más que un conjunto de estrategias, procedimientos preventivos y reactivos que permiten un rápido retorno a una situación normalizada, dicho conjunto de estrategias y procedimientos son creados para que la actividad de la institución se recupere en un nivel aceptable después de una interrupción no prevista de sus sistemas de información, y de la situación normal de funcionamiento. El impacto de un incidente, emergencia y/o evento de gran magnitud puede verse reflejado en 4 componentes: Procesos Infraestructura física Tecnología Recursos Humanos Como se indico en políticas y planes al momento no se cuenta con este plan, el cual se encuentra en la etapa de contratación, aunque la proyección de la UAECOBB es contar con una infraestructura básica que le permita continuar con sus operaciones en los diferentes puntos de la ciudad y ser autónoma mientras se pone en funcionamiento el Plan de Continuidad de Negocio que se está construyendo. Procesos normales de Gestión del Riesgo Los procesos de gestión del riesgo que maneja la Unidad no serán postergados pues es una entidad cuya naturaleza es la respuesta y debe trabajar en coordinación con las demás entidades para apoyar procesos de atención y recuperación después de un incidente de gran magnitud. Luego de una evaluación de daños y análisis de necesidades se evaluara si se continúa despachando desde cada estación o se requerirá la ubicación provisional en un lugar remoto o diferente como otra estación cercana o la más próxima a la zona de afectación. Infraestructura El Plan Maestro de Equipamientos ha suministrado las directrices para la construcción de Estaciones adicionales en sitios estratégicos de la ciudad y adicionalmente, según el mismo estudio se ha dispuesto el traslado, reubicación o reconstrucción de las estaciones existentes. Así mismo se han definido las necesidades de reforzamiento estructural de algunas de las estaciones que están en funcionamiento actualmente. En caso de presentarse daños que representen un peligro inminente para la vida del personal y la operación normal de una estación se despachará desde la estación más cercana al sitio. Tecnología Se realizará el soporte de comunicaciones y sistemas operativos de acuerdo a los recursos de las 17 estaciones. Personal Partiendo del número actual de personal operativo dispuesto en dos turnos cada uno de 24 horas en cada estación, como primer paso se consolidara la información de lesionados, desaparecidos y fallecidos, una vez consolidada la información se procederá a implementar el plan de continuidad de negocio que la UAECOBB construirá. Cuando hablamos del peligro de la continuidad del negocio por contingencia o desastre, el discurso cambia, por que de inmediato nos cuestionamos. ¿Cómo vamos a asumir gastos en aspectos intangibles que desconocemos ó que son difíciles de cuantificar? ¿Se tiene el convencimiento de que tan sólo reportan beneficios y reducen gastos, ó mejor salvan el negocio si ocurren las contingencias? El análisis de impacto sobre el negocio es la primera acción a realizar para el desarrollo de un PCN. La cantidad de recursos y tiempo necesarios para realizar el análisis, dependerán del tamaño y complejidad de la Institución, independientemente de este aspecto, deberán participar en su desarrollo todas las áreas de la institución. Esta es la fase más importante del plan ya que identifica los riesgos asociados a los procesos críticos del negocio, determina el impacto de los mismos y los prioriza para establecer posteriormente las estrategias de recuperación mediante la determinación de los tiempos de recuperación. La selección de la estrategia de recuperación dependerá del cumplimiento de las conclusiones que determinó el análisis de impacto sobre el negocio. Estas estrategias de recuperación son una combinación de medidas preventivas, de detección y correctivas que realizan las acciones para eliminar la amenaza, minimizar la probabilidad de que suceda y reducir el efecto de la misma. Por tanto, la selección de una estrategia dependerá de la criticidad del proceso del negocio, las aplicaciones que intervienen en el mismo, el costo, el tiempo requerido para la recuperación y la seguridad. Posteriormente y basado en la información del análisis de impacto sobre el negocio, el análisis de criticidad y la estrategia de recuperación seleccionada, se complementará desarrollando un plan de recuperación post desastres. Este plan debe estar escrito en un lenguaje sencillo que comprendan todos los involucrados en el mismo. Una vez desarrollado el PCN, no hay que olvidar la fase de pruebas. La experiencia ha demostrado que la mayoría de las pruebas de continuidad no llegan a la escala total de todas las operaciones de la Institución. Con ello no se asegura la eficacia del plan porque uno de los fines de las pruebas es determinar si el plan funciona o no y analizar qué partes del mismo necesitan ser mejoradas. Por estos motivos, los resultados obtenidos de las pruebas deberán ser revisados por la alta gerencia para concluir si se cumple con los objetivos del plan de continuidad de negocio diseñado. Para que el PCN refleje los cambios producidos en la institución, tanto en sistemas de información como en sistemas operativos, el plan y las estrategias de recuperación deberán ser revisados y actualizados de forma periódica, así mismo deberá probarse periódicamente para garantizar su correcto funcionamiento en caso de que fuera necesario activar el plan. Por tanto, como se ha expuesto anteriormente, un PCN es esencial para asegurar el funcionamiento de la institución ante cualquier tipo de contingencia y para conseguir su efectividad se debería, como mínimo, considerar los siguientes aspectos: - El PCN debería estar basado en directrices marcadas por la dirección a través de un análisis de impacto de negocio y una gestión del riesgo se consiguen los fundamentos para un efectivo plan. - El PCN es más que la recuperación de la tecnología, es la recuperación de la operativa del negocio. - La validez de un PCN sólo se demuestra probándolo. - Un PCN debería ser actualizado periódicamente para reflejar y responder a los cambios que se vayan produciendo en la Institución. No obstante, debemos poner énfasis en mencionar que en la mayoría de las instituciones que disponen de un PCN, probablemente son más efectivos en caso de su ejecución, debido a que se consideraron todos los aspectos básicos necesarios para su definición y que antes de ejecutar el plan se debieron responder a la pregunta: ¿Hemos alineado las tecnologías de la información y la capacidad operativa de respuesta con los objetivos del negocio? En la mayoría de la ocasiones olvidamos que las Tecnologías de la Información están para servir y ayudar al negocio, nunca al contrario. Los PCN deben ser actualizados a fin de reflejar adecuadamente la introducción de nuevas infraestructuras, sistemas, procesos u otros cambios producidos dentro de la institución, es por esto que para desarrollar el plan debemos tener en cuenta los siguientes aspectos: Iniciación y gestión del proyecto Una vez tomada la decisión se debe asignar a los funcionarios que van a dar continuidad al proyecto de comienzo a fin y en los cuales se soportarán las emergencias. Análisis del riesgo Un Análisis de Riesgo y Vulnerabilidad proporciona una herramienta independiente para medir el grado de exposición de la institución a hechos potencialmente destructivos. Las áreas de investigación incluyen las exposiciones físicas, las medidas de protección existentes y un análisis de la relación costo/beneficio de la reducción a la exposición, lo anterior es logrado mediante la adquisición de datos en la estimación del riesgo y los escenarios de daño, dicho análisis se realiza mediante la identificación, estimación y manejo, asociado a la comunicación del riesgo. Se inicia por determinar que amenazas se ubican en la entidad y en zona de influencia de la misma, (p.e. zonas de ladera próximas, ríos y quebradas que tengan posibilidad de desbordarse, para establecer enseguida, ante la posibilidad de que estas amenazas se materialicen el nivel de afectación o vulnerabilidad que se puede tener, al interrelacionar las amenazas y la vulnerabilidad, se podrá establecer el nivel de riesgo que tenga la entidad. Análisis del impacto En la realización del análisis del impacto debemos adelantarnos a los acontecimientos y visualizar las posibles fallas que puedan ocurrir, para esto debemos contar con simulaciones y simulacros que nos dan el alcance real de la situación Inventario de procesos críticos De igual forma debemos evaluar y reevaluar todos los procesos normalizados a la fecha para poder visualizar la criticidad de las operaciones, sin esto no es posible conseguir una continuidad en el negocio Recurso humano idóneo Si bien los análisis y los recursos son parte importante para desarrollar el PCN, es también fundamental contar con personal especializado en áreas que por sus trabajos solo les competen a ellos, no obstante en caso de cualquier baja se debe contar con listas de personal extra para ser llamado en caso de necesitarse Infraestructura física mínima, necesaria para atender los procesos críticos En esta parte del proceso se requiere adoptar los recursos mínimos necesarios para dar solución inmediata. Infraestructura tecnológica mínima necesaria En la atención de un incidente, emergencia y/o evento de gran magnitud, se requiere de unos elementos básicos para dar inicio a la respuesta, dichos elementos son las tecnologías de información, las comunicaciones y la capacidad de respuesta que deben estar en constante revisión preventiva y con capacidad de aumentar a medida que la emergencia va creciendo, luego los demás elementos propios de la emergencia según sea el área de daño, por Ej. No se utilizan los mismos elementos para trabajar para una rotura de un tubo madre, que para reparar una línea de alta tensión, sin embargo las comunicaciones si van a efectuarse por un mismo medio de radiofrecuencia con sus instituciones y bajo la coordinación del Sistema Distrital para la Atención de Emergencias - SDPAE Intercambio de la información Basándonos en el ej. anterior nos damos cuenta que para dar respuesta efectiva al incidente, emergencia y/o evento de gran magnitud, requerimos de las demás instituciones, para ello también se requiere de información oportuna y veraz de los hechos acaecidos con miras a solucionar de forma inmediata el percance, sin embargo el intercambio de información se da con estos actores : o Clientes o Entes de control (Internos y Externos) o Proveedores o Outsoursing de servicios Planes de Contingencia Las amenazas específicas (por ejemplo, la presencia de materiales peligrosos, un impacto negativo potencial en el público o determinadas características especiales del negocio) merecen especial atención, para este tipo de situaciones se debe crear un plan específico desarrollando planes altamente focalizados con procedimientos de respuesta ante situaciones de crisis y acciones de recuperación del negocio. Facilitación de Pruebas y Entrenamiento Las simulaciones, simulacros y pruebas adicionales, brindan ayuda en el testeo de planes ya existentes, periódicamente o a solicitud del interesado. Estos servicios proporcionan guía y apoyo en escenarios de prueba, monitoreo de pruebas y evaluación de los resultados de las mismas. Adicionalmente, brinda sesiones de orientación y entrenamiento FASES DEL ENFOQUE DEL PLAN DE CONTINUIDAD DEL NEGOCIO El PCN parte de una evaluación de riesgos, un análisis del impacto en el negocio y una estrategia de recuperación, en el enfoque que se le de al plan, se debe tener en cuenta que se debe adaptar a las necesidades, donde los factores críticos incluyan, la experiencia que podamos aportar con consultoría estratégica, nuestra capacidad para trabajar en equipo con la gerencia, con profesionales del área de implementación y personal de auditoria interna, con nuestra habilidad para usar herramientas automatizadas para proyectos, ya sea con aquéllas de propiedad de la institución o bien las pertenecientes al sistema, con metodología consistente, modular y fácil de usar, al final debe ayudar a minimizar los inconvenientes de los recursos propios de las instituciones y brindar soporte y confiabilidad a la alta gerencia. Todo lo anterior se resume en tres fases: Administrar el Negocio o Evaluación del riesgo de interrupción o Análisis del impacto sobre el negocio Crear el Plan o Estrategia de Recuperación alternativas o Requerimientos críticos de Recursos de recuperación o Plan de Continuidad del Negocio Probar y Administrar el Plan o Administración del Plan o Prueba del Plan