La estrategia de continuidad

En esta fase se seleccionarán los métodos operativos alternativos que se van a utilizar en el caso de que ocurra un incidente que provoque una interrupción en la organización. El método seleccionado deberá garantizar la restauración de los procesos afectados dentro de los tiempos de recuperación objetivo (RTO), establecidos en el BIA (Business Analysis Impact), tal como comentamos en nuestro artículo anterior “Preparando el análisis de impacto y la evolución de riesgos”.

Identificando estrategias

Existen diferentes estrategias para mitigar el impacto de una interrupción. Cada una de estas estrategias tiene unos parámetros de tiempo, disponibilidad y costes asociados que serán más o menos apropiados dependiendo de las funciones de negocio.

A continuación, se describen diferentes estrategias para reubicación funcional:

No hacer nada: Este tipo de actuación podría utilizarse en aquellas funciones o actividades que se han clasificado como “no urgentes” en el Análisis de Impacto. En este tipo de estrategia se asume el riesgo.

Utilización de espacios propios: Espacios existentes en la organización tales como salas de formación, cafeterías, etc. Este tipo de estrategia requiere una planificación minuciosa.

Reutilización de recursos: Reubicación de personal con funciones no urgentes en tareas que requieren una mayor prioridad. En este caso se debe poner cuidado en convertir la función no urgente en urgente por ser desatendida durante demasiado tiempo.

Trabajo Remoto o Teletrabajo: Posibilidad de trabajar desde ubicaciones exteriores a la organización mediante conexión remota.

Acuerdos Recíprocos: Acuerdos entre dos organizaciones (o dos unidades de negocio de la propia organización diferentes) con características de equipamiento/espacio similares que permitiría a cada una de las partes recuperar funciones en la otra localización. En este caso es importante definir las condiciones de uso y la realización de pruebas periódicas para asegurar las condiciones pactadas.

Sitio alternativo subcontratado a terceros: Celebrar contratos con compañías especializadas de espacios alternativos para la recuperación de la actividad. En este caso hay que asegurar que estas compañías pueden proporcionar unos tiempos de recuperación acordes con las necesidades de la organización. Este tipo de compañías pueden proporcionar diferentes tipos de soluciones:

• Espacio dedicado: Se garantiza la disponibilidad inmediata del espacio. En contrapartida este servicio es más caro que otras alternativas.
• Espacio compartido: Se comparte el espacio con otras compañías. Es más barato que un centro dedicado.
• Espacios móviles: Se pueden utilizar rápidamente, pero tienen un espacio limitado.
• Módulos prefabricados: Pueden tardar unos días en estar disponibles para su uso.

Localizaciones diversas: Se traslada la operación, pero no el personal.

Centro replicado: Solución que permite trasladar de forma inmediata la operación y continuar la actividad de forma inmediata. También puede denominarse “centro espejo”. Esta solución es normalmente la más cara, pero también la mejor solución en el caso de que se necesite una recuperación muy rápida de la operación.

Selección de estrategias

La selección adecuada de estrategias alternativas permite mitigar el impacto de una interrupción teniendo en cuenta los siguientes criterios para las mismas:

– Permitan reanudar las actividades prioritarias en los niveles de capacidad y RTO acordados durante el BIA.

– Consecuentes con la cantidad y tipo de riesgos que la organización puede o no asumir.

– Ofrecer los beneficios a un costo asumible y razonable.

Cuando la organización considera que una amenaza es extremadamente improbable o que el coste de proteger una actividad prioritaria es prohibitivo, puede optar por aceptar el riesgo y volver a evaluarlo. Esta posición, puede plantear que la actividad no era tan crítica como se creía, y evaluar la retirada del servicio dentro del alcance del Plan de Continuidad de Negocio. Además, deberán considerarse otros factores como:

– Ubicación y superficie requerida

• Espacio suficiente
• Zonas acondicionadas para acoger a personal

 – Recursos técnicos necesarios:

• Hardware
• Software
• Comunicaciones
• Datos de respaldo

 – Recursos humanos requeridos

 – Recursos materiales y de infraestructura

• Servicios auxiliares necesarios
• Tiempos de activación
• Coste

Suele ocurrir que cuanto menor sea el tiempo de recuperación objetivo, mayor será el coste de la solución. Por ello es conveniente realizar un análisis con tiempos de recuperación adecuados y adaptados a la realidad de la organización.

Una vez tomada la decisión sobre el tipo de estrategia que se utilizará como respaldo en caso de interrupción del negocio, pasaremos a desarrollar todos los procedimientos, funciones y actividades que permitirán restablecer los procesos de negocio en unos plazos razonables.

Vayamos a verlo con un ejemplo.

A continuación, se muestra una tabla que recoge la relación entre el tiempo de recuperación objetivo (RTO) con la estrategia de recuperación más adecuada:

En la próxima y ultima nota técnica de la serie de continuidad, hablaremos sobre Comités de Crisis y organización de equipos.

Luis Frias Vergara

Senior Consultant | IT Audit Services

Control Solutions 360

 

Echa un vistazo a nuestros servicios y soluciones de continuidad de negocio