Nunca se está libre de los desastres, ya sea por amenazas internas o externas, la contingencia es clave para la organización, por ello la precaución en gestión y acción para una excelente continuidad de negocio donde incluye acceso a sistemas de información, se ha vuelto crítico, tanto así que la Continuidad del negocio tiene su propia ISO, hablamos de la ISO 22301. Sin embargo, no tocaremos a profundidad esta norma (al menos no por ahora), hablaremos de unos controles exigidos por la ISO 27001 respecto a la continuidad del negocio y cómo lo gestiona.

Planificación

Es necesario la reunión de personal clave para analizar las posibles amenazas y riesgos que puedan ocasionar una catástrofe, y se hace uso de esta palabra porque es precisamente el objetivo de la búsqueda de continuidad de negocio, ¿Cómo sobrevivir a una catástrofe? ya sea porque hackearon un servidor principal, se incendió o inundó la oficina principal o con gestión de información crítica, falla en los servicios, etc. Es decir, todas las posibles amenazas latentes en la organización. El resultado de este análisis brindará un panorama de futuras simulaciones de recuperación ante desastres y cómo se gestionarán los resultados de esta ejecución de recuperación ya sea simulada o real. Esta planificación es el input necesario para la documentación de políticas y procedimientos en la ejecución de la recuperación y el retorno regular de las operaciones del negocio.

Ahora o nunca

Es hora de construir los procedimientos necesarios con el detalle de actividades a ejecutar cuando ocurra un desastre, es muy importante imaginar correctamente los pasos que tomaría como primera medida ante una catástrofe, como por ejemplo saber cuantas PCs de respaldo deberá levantar, cuántos servidores, qué personal debe estar dispuesto ante este desastre, qué proveedores deben considerarse dentro de la recuperación crítica del negocio, números telefónicos de emergencia, oficina alterna, accesos y procedimientos necesarios para levantar el negocio lo antes posible. Dependiendo de la organización es posible establecer un procedimiento por cada sistema de información debido a sus particularidades.

No sólo basta con establecer lo que se hará alternativamente durante el desastre, es muy importante determinar cómo recuperar la vía regular del negocio, es decir los sistemas de información en su completa normalidad respetando los niveles de acuerdo de servicio con los clientes.

Midiendo la efectividad

No es necesario esperar a que suceda el desastre para ponerlo a prueba, por lo tanto es responsabilidad del área de continuidad de negocio, de riesgo o tecnologías de la información, realizar unas pruebas lo más cercanas a un ambiente de producción para medir la efectividad de la ejecución del plan de recuperación ante un desastre, revisar los resultados y evaluar periódicamente si está adecuado a los cambios recientes en el negocio.

Consejo audit

No deje a sus sistemas de información fuera de su plan de recuperación ante desastres, si bien es cierto, la mayoría de empresas buscan contingencia improvisada con manejos de documentos manuales, es importante que se automatice la puesta en marcha de un servicio alterno que soporte los acuerdo de niveles de servicio con los clientes y a la vez se logre la puesta en marcha regular de los servicios lo antes posible. En audit le brindamos el servicio de planificación, implementación y auditoría de planes de recuperación ante desastres, y así evitar pérdidas a causa de riesgos relacionadas a la tecnología de la información.