Fundamento para el establecimiento de un sgcn

“La Gestión de la Continuidad del Negocio consiste en una mejora proactiva de la resistencia de la organización frente a contingencias, proporciona mecanismos para restaurar los productos y servicios clave dentro de un marco temporal limitado y protege la reputación corporativa.”

Recomendación previa, leer:

• ¿En qué consiste la Gestión de la Continuidad del Negocio?

Fundamento para el establecimiento de un sgcn

Tal vez se pueda pensar que el nombre de SGCN ante desastres es un término equivocado, debido a que una interrupción de la cual una organización pueda recuperarse a través de una estrategia planeada por medio de un SGCN, no se la puede clasificar de desastre.

Esencialmente, un SGCN provee la capacidad a la organización de poder absorber el impacto producido por un incidente no esperado y prevenir la detención de las funciones críticas del negocio.

No obstante, cuando hablamos de continuidad de negocio es habitual pensar únicamente en sistemas informáticos, y los planes de contingencia que llevan asociados para su recuperación ante desastres. Ciertamente, sin un plan de contingencias de los sistemas informáticos, una interrupción de una función crítica del negocio apoyada en un sistema informático, tiene mucho más riesgo de convertirse en un desastre para el negocio.

Por el contrario, existe abundante evidencia para probar que aquellas organizaciones que implantaron un SGCN, tienen mucha más oportunidad de recuperarse de un evento catastrófico que aquellas que no lo hicieron. Este es el fundamento esencial para el desarrollo de planes de continuidad del negocio.

Este tipo de planificación provee una serie de procedimientos y estrategias de recuperación no solamente de recursos TI, sino de información ya sea digital o en papel, terceras partes, personal o instalaciones, que sería muy difícil de diseñar y desarrollar sobre la marcha cuando haya ocurrido un desastre.

Incluso hay una fase de entrenamiento y prueba del plan, que propicia que aquellos que juegan un papel dentro del plan, estén mejor preparados para enfrentarse con una posible situación de desastre y responder de una forma racional a la gran irracionalidad y caos que acompaña a este tipo de crisis.

Más allá de estas substanciales contribuciones, una efectiva planificación que incluya la identificación y la implementación de mecanismos que puedan llegar a evitar la ocurrencia de ciertos desastres, serán de gran ayuda para prevenir desastres evitables. Además, la efectividad de la planificación puede ser medida en términos de eventos potenciales de desastres que han sido minimizados o eliminados.

Existe una serie de beneficios adicionales que se obtienen con el desarrollo de un SGCN:

1. Reducción de costes de seguros: una efectiva implementación de un SGCN puede reducir los costes derivados de contrataciones de seguros en dos formas. La primera reducción se puede apreciar a través del análisis de riesgos y análisis de impacto efectuados como parte del plan, con el cual se puede ajustar la cobertura de seguros actual. A menudo, en ausencia de estos análisis, la identificación de los riesgos que requieren la contratación de seguros se realiza informalmente, resultando en la adquisición de coberturas inapropiadas o que no se justifican en relación costo / beneficio.

Otra forma en la que el plan puede ayudar a reducir costes es poniendo énfasis en la prevención. Por ejemplo, si se identifica la existencia de un riesgo de incendio en el centro de cómputos y se instalan sistemas de detección y supresión automática, se demuestra capacidad de prevención de males mayores, o de detección y corrección inmediatas, lo que puede ser usado para reducir los costes de un seguro contra incendio.

2. Utilización del equipamiento de recuperación para el negocio: en algunos casos, el equipamiento e instalaciones adquiridos para en el SGCN, puede ser usado como equipo de desarrollo, como equipo de pruebas, incluso como equipos de producción. También ciertos sistemas como grupos electrógenos o UPS, proveen servicios que mejorarán la funcionalidad de los sistemas protegidos durante la actividad normal.

¿Qué tipo de organización requiere prioritariamente un sgcn?

La planificación de los sistemas de información varía de acuerdo a la organización. Como señalamos anteriormente, no todas las organizaciones requieren el mismo nivel de confianza de sus sistemas de información para la supervivencia de sus productos y servicios, aunque hoy en día son pocas las que puedan prescindir de sus sistemas de información y mantener su nivel de competitividad.

Un modelo que puede ser útil para visualizar estos conceptos es el modelo de conveniencia estratégica desarrollado por Macfarlán y otros autores. Ellos se basan en dos importantes factores que miden:

• La importancia estratégica de los sistemas de información existentes en la organización.
• La importancia estratégica de los de sistemas planificados para su futura implantación y de acuerdo a los mismos, se determina la naturaleza y la cantidad de planificación requerida.

Ellos identifican cuatro tipos de organizaciones, cada una con diferentes necesidades en materia de planificación en sistemas de TI. Ellas son las siguientes:

1. Organizaciones de asesoramiento o consultoría. Ambos sistemas, tanto los existentes como los planificados tienen poco impacto estratégico sobre estas organizaciones. Es el caso de servicios profesionales, que podría seguir operando aún ante un desastre que interrumpa la operación de sus sistemas existentes.
2. Organizaciones tipo Fábrica. Aunque los sistemas planificados para su implantación futura son poco importantes, los sistemas existentes y operando son críticos. Estas organizaciones requieren moderados esfuerzos de planificación, que deben concentrarse fundamentalmente en las necesidades de recursos de corto plazo.
3. Organizaciones en reestructuración. Aunque los sistemas existentes son relativamente poco importantes, los sistemas planificados son críticos. Se requerirán esfuerzos de planificación cuya cuantía puede fluctuar entre moderada y grande y ellos deben concentrarse en las necesidades de las aplicaciones previstas a largo plazo. Podría ser el caso de una empresa manufacturación en rápido crecimiento, donde los nuevos sistemas previstos son absolutamente necesarios para permitir que la firma alcance sus objetivos estratégicos.
4. Organizaciones estratégicas. En ellas son críticos tanto los sistemas existentes como los futuros. Deben emprender sustanciales esfuerzos de planificación concentrados en las necesidades de recursos y aplicaciones de corto y largo plazo. Es el caso de organizaciones tales como bancos, empresas aseguradoras y grandes empresas de comercio minorista. En estos casos la interacción orgánica entre la Gerencia de TI y la Gerencia General debe ser muy ágil, al punto que en algunas firmas internacionales la Gerencia de TI asciende jerárquicamente para transformarse en Dirección de TI, y su titular se integra al Consejo de Dirección de la organización.

De estos cuatro tipos de organizaciones, principalmente las organizaciones tipo fábrica o estratégicas son las que requieren este tipo de planificación debido a la dependencia hacia sus sistemas de información tanto actuales como futuros.

En las organizaciones de asesoramiento o en reorientación, la dependencia hacia sus sistemas de información no es tan marcada como en el caso de las anteriores, por lo que, si bien es aconsejable contar con una planificación de continuidad de negocios y servicios, no se hace tan imprescindible.