En una mañana cualquiera, en las instalaciones de una de las miles de empresas del país, la alerta de huracán, sismo, incendio o cualquier otro desastre impredecible se enciende ¿Sabe el personal de la empresa qué hacer para garantizar la continuidad del negocio?, ¿Sabe qué hacer para proteger la información de la compañía?, ¿Sabe usted qué hacer?
Una encuesta reciente de IDG Research reveló un porcentaje alarmante de encuestados cuyas compañías no ponen a prueba sus planes con suficiente frecuencia para que sean más eficaces durante una interrupción, 80% indicó que su empresa pone a prueba los planes de recuperación de desastres solamente una vez al año o simplemente no lo hacen.
En años anteriores, la tasa presentada podría haber sido suficiente para adaptarse a los cambios en los procesos de negocio; sin embargo, hoy en día, las organizaciones se enfrentan cada vez más (e incluso diariamente), a cambios en los procesos de misión crítica y sistemas, del personal, alteraciones en el hardware y software, así como desastres naturales. Como resultado, la continuidad de planes de negocio ha quedado obsoleta con mucha mayor rapidez que en el pasado.
Ante escenarios de desastre, desgraciadamente cada vez más habituales, el proceso de funcionamiento del negocio puede durar horas o incluso días, lo cual potencialmente se traduce en pérdidas significativas de ingresos.
Un enfoque de conocimiento integral de todas las posibles situaciones que trae consigo cada tipo de desastre, permite asegurar que las organizaciones tengan acceso a los datos cuando y donde lo necesiten, realizar movilizaciones de material vital, interrumpir o canalizar operaciones de información en función del nivel de importancia según lo definido por una evaluación experta realizada antes de que se presenten.
La importancia de las pruebas y llevar a cabo ensayos de recuperación de catástrofes son parte esencial en el éxito de la continuidad de las operaciones, la comprensión efectiva de las características únicas de la más amplia diversidad de las amenazas existentes para la organización permitirá medir los niveles de riesgo y formular una precisa evaluación general y tener una acción para cada problemática.
Una organización que pone a prueba sus planes al menos una vez al año puede ser capaz de recuperarse, pero el camino a la recuperación suele ser más largo y plagado de nuevas situaciones que puede pasar factura en comisión del servicio de reanudación y la reputación corporativa.
Además de las pruebas, el plan de continuidad debe enfocarse en los componentes críticos de un plan de continuidad de negocio ante alguna catástrofe, para asegurar la eficacia y la reacción favorable ante lo imprevisto, componentes que dejarán las bases para la implementación de un sólido programa de acción que pueda ser replicado una y otra vez en la compañía.
Las organizaciones necesitan un fuerte enfoque en tres elementos básicos para enfrentar el desastre: el personal, los procesos y la planificación junto con un liderazgo decisivo.
No importa qué tan innovadora sea la tecnología de la organización, aún teniendo el 100% de sus datos replicados y funcionando en un sitio seguro, permanecerá paralizada si no tiene a las personas correctamente entrenadas y equipadas para tomar las riendas y poner de nuevo a la organización en marcha. Las empresas tienen que garantizar que las personas adecuadas estén disponibles para ejecutar los procesos de negocio de recuperación, basado en orientaciones planificadas y escenarios posibles.
También debe planear la posibilidad de que el nivel más bajo del personal pueda tomar decisiones críticas debido a la falta de disponibilidad del equipo ejecutivo. Para ello es necesario una comprensión de que la organización representa un “trust de cerebros”, así como asegurarse del establecimiento de una cadena de comando seguro en la que se sigue una jerarquía específica, previamente establecida y en la que aquellos que representan el "trust de cerebros" deben preparar a sus respectivas "copias de seguridad" en la cadena para tomar decisiones en su ausencia.
Y siguiendo de cerca el imperativo de la gestión de personas es necesidad de las organizaciones documentar con cuidado sus procesos, tanto en términos de cómo recuperar y cómo operar para que puedan ser replicados. Las organizaciones también tienen necesidad de practicar y perfeccionar los procesos usando una variedad de escenarios, planteamientos resultantes del ensayo previamente efectuado.
¿Qué acciones emprender ante el desastre?
Cuando ocurre un desastre hay tres pasos principales para iniciar el proceso de gestión del incidente:
1. Detalles de la movilización a un centro de mando central.
2. Aspectos relevantes para la activación de un plan de recuperación del negocio.
3. Identificación de los tiempos en que funcionará la organización en un estado de recuperación y la planificación en consecuencia para hacer frente a los desafíos que ello represente.
Una vez que los procesos son establecidos y documentados, el siguiente paso crítico es comunicar efectivamente estos procesos al personal. La comunicación es un área donde la mayoría de las organizaciones presentan importantes deficiencias.
Al menos 44% de las empresas no comunican un plan general de continuidad para los trabajadores, en este sentido, el plan de la empresa es un compromiso con la capacidad de recuperación de negocio que se debe comunicar constantemente desde los más altos niveles de una organización, acto que además de ofrecer operabilidad, refuerza la percepción de que la organización está en buenas manos y sabe lo que está haciendo ante cualquier panorama.
Adoptar un enfoque integral para la continuidad del negocio, privacidad y seguridad de la información con el objetivo de mitigar el riesgo operativo, no es tarea fácil. Sin embargo, las organizaciones que están mejor informadas pueden evaluar con exactitud cada escenario y gestionar los riesgos operativos necesarios para alcanzar la competitividad estratégica que brindará ventajas en sus respectivos mercados combinada con una mayor solidez en su reputación.
Las organizaciones se benefician de la asistencia de terceros expertos y en la búsqueda de un socio, éstas deben considerar las empresas que ofrecen una amplia experiencia en tres áreas: disponibilidad de la información, la privacidad y seguridad de datos, así como habilidad en la identificación, la adopción y la incorporación de mejores prácticas de la industria en cuanto a normas y reglamentos.
* Gerente de DMS (Document Management System) y BMP (Business Process Management) México de Iron Mountain.
