- Gestión de la continuidad
-
La gestión de la continuidad del negocio es la actividad que se lleva a cabo en una organización para asegurar que todos los procesos de negocio críticos estarán disponibles para los clientes, proveedores, y otras entidades que deben acceder a ellos. Estas actividades incluyen un gran número de tareas diarias como gestión de proyectos, copias de seguridad de los sistemas, control de cambios y helpdesk. La gestión de la continuidad no se implanta cuando ocurre un desastre, si no que hace referencia a todas aquellas actividades que se llevan a cabo diariamente para mantener el servicio y facilitar la recuperación.
La base de la gestión de la continuidad son las políticas, guías, estándar y procedimientos implementados por una organización. Todo el diseño, implementación, soporte y mantenimiento de los sistemas debe estar fundamentado en la obtención de un buen plan de continuidad del negocio, recuperación de desastres y en algunos casos, soporte al sistema. En ocasiones la gestión de la continuidad se confunde con la gestión de la recuperación tras un desastre, pero son conceptos diferentes. La recuperación de desastres es una pequeña parte de la gestión de la continuidad.
El término continuidad del negocio describe una filosofía o metodología de desarrollar la actividad del negocio, mientras que la planificación de la continuidad de negocio es la actividad que determina cual debe ser esta metodología. El plan de continuidad del negocio puede ser visto como la metodología utilizada por los usuarios de la organización diariamente para asegurar el desarrollo normal del negocio. Los componentes necesarios en el plan de continuidad necesarios para disponer de un plan documentado incluye:
Políticas
Las políticas son una serie de normas impuestas por las esferas directivas de la organización que soportan todos los procesos de negocio y que se desarrollan siguiendo un plan determinado.
Guías
Las guías son una serie de conceptos de los que se recomienda su seguimiento según el plan designado. De todas formas, dependiendo de las necesidades y requisitos de negocio, estas guías pueden ser ignoradas o alteradas durante la implementación.
Estándares
Los estándares consisten en las especificaciones técnicas realizadas para la implementación de todos los procesos de negocio. Son un derivado de las políticas y las guías.
Procedimientos
El estándar británico 25999-1 ofrece especificaciones para la implementación de un sistema de gestión de la continuidad en una organización. Esta tarea puede resultar compleja en grandes organizaciones, que contratan expertos y consultores que ofrecen soporte y formación al respecto.
Planificación y despliegue de recursos
El concepto de gestión de la continuidad implica que los recursos subyacentes se encuentran implementados y desplegados de un modo determinado, que permite ser reestructurado fácilmente dependiendo de las necesidades de la organización. Este nivel de flexibilidad requiere que todas las funciones de negocio sean planeadas e implementadas, desde el principio, con la mentalidad de disponer de un plan de continuidad del negocio.
Estructura organizativa
Parte del trabajo de la gestión de la continuidad es asegurar que todo el personal de la organización comprende qué procesos del negocio son los más importantes para la organización.
Este entendimiento debe quedar de manifiesto en la formación del personal, de forma que los empleados puedan asegurar la continuidad del negocio incluso cuando hay una entrada y salida de personal constante. Es importante también contar con diferentes individuos con el mismo conocimiento, sobre todo en momentos críticos cuando la persona con el conocimiento experto no se encuentra disponible.
Análisis del impacto en el negocio
El concepto completo de gestión de la continuidad está basado en los procesos de negocio de una organización, y la asignación de un nivel de importancia a cada proceso. Un análisis de impacto en el negocio es la herramienta principal que permite recopilar esta información para así asignar una criticidad, objetivos de recuperación y tiempo de recuperación a cada uno de ellos.
Puede ser utilizado para identificar la importancia del impacto en los diferentes niveles de una organización. Por ejemplo, se puede examinar el efecto de una interrupción en las actividades estrategias operacionales, funcionales o estratégicas de una organización. No solo en las actividades actuales, el efecto de interrupciones por la introducción de grandes cambios, como la creación de un nuevo producto o servicio, también puede ser calculado por el análisis de impacto de negocio.
Las mejores prácticas indican que un análisis de impacto de negocio debe ser revisado como mínimo anualmente, pero esta revisión puede ser más frecuente en el caso de:
- Un gran cambio en el ritmo de negocio
- Cambios significativos en los procesos internos de negocio, localización o tecnología
- Cambios significativos en el entorno externo de negocio, como los mercados o cambios en la regulación legal.
Gestión de la seguridad
En el entorno empresarial, la seguridad debe ser la prioridad principal en la gestión de las tecnologías de la información. Para la mayoría de organizaciones la seguridad está regida por la legislación y el cumplimiento de estas normas está controlado por auditorías.
El no cumplimiento de estas normas tiene un impacto económico y organizativo en la entidad.
Gestión documental
En el entorno de tecnologías de la información la rotación de personal es inevitable y forma parte de la gestión de la continuidad. La solución a los problemas relacionados con la rotación de personal es la creación de documentación completa y actualizada. Esto asegura que el personal entrante dispone de la información necesaria sobre sus funciones y tareas.
Esto implica que los procesos relacionados con la documentación es generada (no escrita) desde los sistemas existentes y gestionada de forma automática.
Gestión del cambio
Las regulaciones determinan que los cambios relacionados con los procesos de negocio deben ser documentados y clasificados para futuras auditorias, esto se denomina “control de cambios”. Un nuevo nivel de estabilidad entra en la organización ya que requiere que el personal de soporte documente y coordine todos los cambios en los sistemas. A medida que este proceso se automatiza, el énfasis pasará del control de personal al cumplimiento de la normativa.
Gestión de auditorías
Uno de los aspectos que requieren más tiempo y recursos en la gestión de tecnologías de la información son las auditorías. Uno de los objetivos de la gestión de la continuidad es la automatización del data center, que incluye la gestión de las auditorías. Todos los procesos de negocio modernos deberían ser diseñados de forma que generen automáticamente la información y documentación necesaria para las auditorías como parte del día a día de la organización. Esto reduce drásticamente el tiempo y coste asociado con la producción manual de este tipo de información.
Acuerdos de nivel de servicio
El punto de encuentro entre la gestión y las tecnologías de la información son los Acuerdos de Nivel de Servicio. Dichos acuerdos proporcionan un contrato escrito donde se estipula el alcance de la gestión con respecto a la disponibilidad de un determinado proceso de negocio y los recursos que las tecnologías de la información ofrecen como soporte a ese proceso.
Planificación
La planificación, prevención y preparación son el punto clave de cualquier sistema de gestión de la continuidad. Esto empieza con la identificación de los riesgos potenciales y amenazas al negocio, tanto internas como externas.
Véase también
- Tecnologías de información y comunicación
- ITIL
Enlaces externos
- http://www.doxanegocios.com Cambios Inteligentes: Consultora latinoamericana especializada en la gestión del cambio
- British Standards Institution - Continuidad de Negocio BS 25999 (BSI)
- Metodología de gestión de la continuidad
- Portal sobre gestión de la continuidad
- Business Continuity Institue
- Gestión de Infraestructuras y Servicios
Wikimedia foundation. 2010.