LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

La base de la gestión de la continuidad son las políticas, guías, estándar y procedimientos implementados por una organización. Todo el diseño, implementación, soporte y mantenimiento de los sistemas debe estar fundamentado en la obtención de un buen plan de continuidad del negocio, recuperación de desastres y en algunos casos, soporte al sistema. En ocasiones el plan de la continuidad se confunde con la gestión de la recuperación tras un desastre, pero son conceptos diferentes. 

Política

Las políticas son una serie de normas impuestas por las esferas directivas de la organización que soportan todos los procesos de negocio y que se desarrollan siguiendo un plan determinado.

Las guías son una serie de conceptos de los que se  recomienda su seguimiento según el plan designado. De todas formas, dependiendo de las necesidades y requisitos de negocio, estas guías pueden ser ignoradas o alteradas durante la implementación.

Estándares

Los estándares consisten en las especificaciones técnicas realizadas para la implementación de todos los procesos de negocio. Son un derivado de las políticas y las guías. En 2007 BSI, British Estándares Institución, publicó la norma BS 25999 partes 1 y 2 para establecer la gestión de la continuidad de negocio en las organizaciones.

En 2012 se publicó la ISO 22301, norma internacional para la gestión de la continuidad de negocio basada en la anterior BS 25999 y teniendo ya aplicación y reconocimiento mundial.

Procedimiento

El estándar británico 25999-1 ofrece especificaciones para la implementación de un sistema de gestión de la continuidad en una organización. Esta tarea puede resultar compleja en grandes organizaciones, que contratan expertos y consultores que ofrecen soporte y formación al respecto.

Planificación y despliegue  de recursos

El concepto de gestión de la continuidad implica que los recursos subyacentes se encuentran implementados y desplegados de un modo determinado, que permite ser reestructurado fácilmente dependiendo de las necesidades de la organización. Este nivel de flexibilidad requiere que todas las funciones de negocio sean planeadas e implementadas, desde el principio, con la mentalidad de disponer de un plan de continuidad del negocio.

Estructura organizativa

Parte del trabajo de la gestión de la continuidad es asegurar que todo el personal de la organización comprende qué procesos del negocio son los más importantes para la organización.

Este entendimiento debe quedar de manifiesto en la formación del personal, de forma que los empleados puedan asegurar la continuidad del negocio incluso cuando hay una entrada y salida de personal constante. Es importante también contar con diferentes individuos con el mismo conocimiento, sobre todo en momentos críticos cuando la persona con el conocimiento experto no se encuentra disponible.

Gestión de la seguridad

En el entorno empresarial, la seguridad debe ser la prioridad principal en la gestión de las tecnologías de la información. Para la mayoría de organizaciones la seguridad está regida por la legislación y el cumplimiento de estas normas está controlado por auditorías.

El no cumplimiento de estas normas tiene un impacto económico y organizativo en la entidad.

Gestión documental

En el entorno de tecnologías de la información la rotación de personal es inevitable y forma parte de la gestión de la continuidad. La solución a los problemas relacionados con la rotación de personal es la creación de documentación completa y actualizada. Esto asegura que el personal entrante dispone de la información necesaria sobre sus funciones y tareas.

Esto implica que los procesos relacionados con la documentación es generada (no escrita) desde los sistemas existentes y gestionada de forma automática.

Gestión del cambio

Las regulaciones determinan que los cambios relacionados con los procesos de negocio deben ser documentados y clasificados para futuras auditorias, esto se denomina “control de cambios”. Un nuevo nivel de estabilidad entra en la organización ya que requiere que el personal de soporte documente y coordine todos los cambios en los sistemas. A medida que este proceso se automatiza, el énfasis pasará del control de personal al cumplimiento de la normativa.

Gestión de auditorias

Uno de los aspectos que requieren más tiempo y recursos en la gestión de tecnologías de la información son las auditorías. Uno de los objetivos de la gestión de la continuidad es la automatización del data center, que incluye la gestión de las auditorías. Todos los procesos de negocio modernos deberían ser diseñados de forma que generen automáticamente la información y documentación necesaria para las auditorías como parte del día a día de la organización.

Acuerdos de nivel de servicios

El punto de encuentro entre la gestión y las tecnologías de la información son los Acuerdos de Nivel de Servicio. Dichos acuerdos proporcionan un contrato escrito donde se estipula el alcance de la gestión con respecto a la disponibilidad de un determinado proceso de negocio y los recursos que las tecnologías de la información ofrecen como soporte a ese proceso.