Archivo del sitio
La importancia del Plan de Contingencia de TI
El objetivo de este blog es establecer que es un Plan de Contingencia de TI y su importancia en las organizaciones.
El Plan de Contingencia de TI es una herramienta que mitiga el riesgo de no poder continuar con las operaciones por períodos que se prolongan más allá de lo soportado por los procesos de negocio. Es decir, no estamos hablando de interrupciones debidas a un corte de energía eléctrica. Un corte de energía eléctrica en los países centroamericanos es tan frecuente, que para poder operar, los centros de datos y lugares críticos de procesamiento de datos, deben de tener implementados sistemas de redundancia eléctrica, protección ante los cambios de voltaje y la generación de energía alterna a la fuente primaria. Por supuesto, la inversión a realizar en la protección eléctrica debe ser en proporción a la importancia que tiene el proteger los activos y mantener las operaciones funcionando. Si ponemos de ejemplo un Banco, seguramente para no interrumpir el flujo de atención a clientes, la protección eléctrica incluirá hasta plantas de generación eléctrica con capacidad para mantener operando todas las oficinas de manera continua. No hacer esto, implicaría además de un impacto financiero, al retrasar la percepción de ingresos, un daño a la imagen del Banco, que tendría a los clientes esperando a que se reanuden los servicios.
El Plan de Contingencia de TI va más allá. Cuando el centro de datos falla, junto con todos sus mecanismos de protección primaria, cuando se pone en riesgo no sólo las operaciones, sino la integridad física de las personas, el Plan de Contingencia debe de ser la guía que indica qué hacer. Responde a preguntas como: ¿Qué pasa si se inunda mi área de operaciones? ¿Qué pasa si se incendia el edificio? ¿Qué pasa si un terremoto destruye el edificio? ¿Qué pasa si un volcán hace erupción y me obliga a parar operaciones? En todos estos casos, la ejecución de negocios de manera normal no es posible, por lo que el Plan de Contingencia de TI debe prever como se trasladarán las operaciones, las tareas que hay realizar, quién será el responsable de realizarlas, como se comunicarán los equipos y la ejecución de procedimientos de contingencia para que se reconecten los vínculos con clientes, proveedores y empleados. Definitivamente, un Plan de Contingencia de TI es uno de esos planes que uno quisiese no tener nunca que ejecutar, pero llegado el momento de un desastre, es considerado un activo valioso de la empresa, preparada para afrontar problemas y seguir adelante con la ejecución de planes.
La creación de un Plan de Contingencia de TI inicia con las priorización de todos los activos de información, entendiendo en cada caso el nivel de criticidad para los objetivos de la empresa. Posiblemente, en una organización grande existan servicios que facilitan labores secundarias que no son precisamente en las que hay que enfocarse. Esta categorización debe ser realizada con la participación con los dueños de la información, comenzando con la alta dirección. Como resultado de este análisis, quién realiza el Plan de Contingencia de TI conocerá exactamente el orden en el que deben de afrontarse las contingencias, los servicios que deben iniciarse primero y todos los recursos involucrados. Esta priorización debe ser realizada tanto a nivel cualitativo como a nivel cuantitativo. Debe establecerse claramente el monto de pérdida por el cese de operaciones para poder establecer un plan de contingencia que con una inversión razonable minimice la pérdida. Esto es, el Plan de Contingencia no debe de ser más costoso que la pérdida, porque si ese fuera el caso, no tendría viabilidad financiera. Esto permite concluir que el Plan de Contingencia de TI es importante desde el punto de vista financiero para una organización, reduciendo la pérdida y el impacto en el negocio en caso de un desastre.
Planificar la Continuidad de los Negocios.
El término Continuidad de Negocios pasa a tener un significado inmenso cuando las condiciones existentes no permiten hacer negocios de manera normal. Cuando no podemos llegar a los clientes, o los clientes no pueden llegar a nosotros. En momentos de crisis, por situaciones totalmente ajenas a la organización, que obliga a parar operaciones, es recomendable tener un Plan de Continuidad de Negocios, que permita manejar la situación sin improvisar, a partir de medidas bien pensadas que garanticen la imagen, la atención al cliente y lo más importante, la constante generación de ingresos.
La generación de ingresos parece ser el factor de mayor peso a la hora de decidir implementar un programa de Continuidad de Negocios. Por esta razón, las normativas de riesgos operativos para el sector financiero siempre incluyen artículos relacionados con el mandato de realizar la planificación de la Continuidad de Negocios. En El Salvador, la Norma para la Gestión del Riesgo Operacional de las Entidades Financieras, menciona este tema desde varios puntos de vista. Uno es como una responsabilidad de los entes de Gobierno Corporativo: la junta directiva, el comité de riesgo, la alta gerencia y la unidad de riesgos. Luego, en el artículo 16 consigna el mandato de implementar un “Sistema de Gestión de la Continuidad”, explicando incluso las fases que debe de incluirse en el cumplimiento de este artículo. Las fases son típicas de lo que explican las normas relacionadas, como la BS25999, que prácticamente hacen de la Continuidad del Negocio un proceso más de la Gestión Empresarial, recomendando que exista una estructura formal de responsabilidad, tiempos específicos para revisar las necesidades de continuidad de negocios, la definición específica de planes de contingencia, la divulgación a toda la organización y muy importante, la prueba de los planes de contingencia.
Las empresas al momento de considerar la inclusión del Proceso de Gestión de Continuidad del Negocio en su dinámica de gestión empresarial, deben de considerar la importancia que tiene para su salud financiera la continuidad en la generación de ingresos. Este es el factor que decide si se hace o no una iniciativa de este tipo. Un primer paso debería de ser realizar una evaluación del impacto que tiene el cese de operaciones en todas las áreas de la organización. Este simple ejercicio proporcionaría los datos para definir el tipo de Gestión de la Continuidad que se necesita. El análisis de impacto establece el costo de dejar de operar por lapsos de tiempo considerados en función del tipo de empresa, pudiendo estos ser de horas, días o semanas. Este costo siempre estará reflejado como un costo de oportunidad por el ingreso no generado, las pérdidas incurridas por faltar al cumplimiento de un servicio y los costos de retornar a las operaciones. Factores secundarios a considerar incluyen el mantenimiento de la competitividad, respecto de empresas similares que hayan implementado ya esta función, así como la imagen de la empresa ante los ojos del cliente.
Como efecto secundario de la Planificación de la Continuidad de Negocios, las operaciones diarias se verían beneficiadas de mejoras que prevean la no interrupción de procesos, dado que al analizar las operaciones, surgen normalmente propuestas de mejora que permiten crear procesos más confiables, más robustos, que se adelantan a los eventos de falla y tienen ya implementados los caminos alternos para evitar el cese de operaciones.
El Riesgo Operativo y Tecnológico.
Se me ocurren muchas formas por las cuales las operaciones de TI en una empresa pueden parar. Yo siempre he dicho que las operaciones de TI son como una cadena, tan fuerte como su eslabón más débil. Ha ocurrido que por el mal funcionamiento de un aire acondicionado, se crea una humedad excesiva, que causa corto circuitos en el sistema eléctrico de centros de datos, obligando a parar las operaciones mientras se identifica el daño, se repara y se reinician los sistemas. Si esto tarda una hora, se pueden imaginar el estrago que causaría, por ejemplo en una sucursal bancaria, pasar diciéndoles a los clientes que estaremos reconectados en una hora. Ha ocurrido, es un hecho histórico y probablemente seguirá ocurriendo si la gestión de TI no prevé estas “posibles” fallas.
El riesgo operativo se refiere a la probabilidad de que una empresa incurra en pérdidas financieras por la interrupción de sus operaciones, debido a fallas en los procesos, las personas, las causas naturales, los siniestros y la fallas de sistemas de información. La legislación que regula las operaciones empresariales, especialmente de instituciones financieras y de empresas que cotizan en bolsa, en países desarrollados, ha obligado a las empresas en esos países, a considerar, implementar y demostrar a través de auditorías periódicas, que han realizado una evaluación de sus riesgos operativos y que han realizado las provisiones correspondientes para prevenir su materialización y en caso de que ocurran, existan planes bien definidos que permitan volver a funcionamiento normal en un plazo meta predefinido. Estas normas, se han ido implementando en los países latinoamericanos con mayor o menor rapidez, aplicando enfoques rigurosos algunos mientras otros han adoptado más bien un tono relajado. En El Salvador, la Superintendencia del Sistema Financiero, público en Junio del 2011, las Normas Para La Gestión Del Riesgo Operacional De Las Entidades Financieras, que es la norma que obliga a las Instituciones Financieras Reguladas en El Salvador a considerar el Riesgo Operativo dentro de su gestión.
El riesgo tecnológico se refiere a la probabilidad de que los servicios de TI no alcancen los niveles de servicio requeridos para soportar las operaciones de una empresa e impacten en los resultados. Obviamente, esta incluido dentro del Riesgo Operativo. En la norma salvadoreña se específica que el Riesgo Operativo es la probabilidad de incurrir en pérdidas por fallas, entre otras cosas, de los sistemas de información. Como ya dije antes, hay muchas cosas que pueden hacer que el riesgo tecnológico se materialice, llevando a las operaciones de TI a una situación de cese de operaciones. Los responsables de la gestión de TI en cada empresa deben de considerar cuidadosamente, la creación de un conjunto de procesos que les permita controlar los diferentes componentes de la infraestructura tecnológica, tales como la administración de la configuración, la administración de cambios, la seguridad, la gestión de proyectos y la gestión de contratos con proveedores entre otros. En el caso del riesgo tecnológico es importante considerar que no solo el cese de operaciones impacta en la organización. Cosas como comprometer la información de la organización podría ser una falla grave, que impacta en la imagen global de la empresa. Esto me indica la necesidad e importancia de crear políticas, procedimientos y auditorías de seguridad de la información. Otras situaciones como la lentitud en el servicio impactan directamente en la imagen ante los usuarios y clientes. Esto me indica la necesidad e importancia de tener un proceso de monitoreo de operaciones eficiente, que lleve métricas precisas del nivel de servicio que permitan tomar decisiones respecto al riesgo tecnológico. Si se piensa bien, la gestión del riesgo tecnológico tiene un nivel de sensibilidad alto, que debe de gestionarse proactivamente.
Gestión y Auditoría de TI 