La gestión de la continuidad del negocio

La gestión de  la continuidad  del negocio

La base de la gestión de la continuidad son las políticas, guías, estándar y procedimientos

implementados por una organización. Todo el diseño, implementación, soporte y

mantenimiento de los sistemas debe estar fundamentado en la obtención de un buen plan

de continuidad del negocio, recuperación de desastres y en algunos casos, soporte al

sistema. En ocasiones el plan de la continuidad se confunde con la gestión de la

recuperación tras un desastre, pero son conceptos diferentes. La recuperación de

desastres es una pequeña parte de la gestión de la continuidad.  Este plan puede ser

visto como la metodología utilizada por los usuarios de la organización diariamente para

asegurar el desarrollo normal del negocio.

Los componentes necesarios en el plan de continuidad necesarios para disponer de un

plan documentado incluye:

Políticas

Las políticas son una serie de normas impuestas por las esferas directivas de la

organización que soportan todos los procesos de negocio y que se desarrollan siguiendo

un plan determinado.

Guías

Las guías son una serie de conceptos de los que se  recomienda su seguimiento según el

plan designado. De todas formas, dependiendo de las necesidades y requisitos de

negocio, estas guías pueden ser ignoradas o alteradas durante la implementación.

Estándares

-Los estándares consisten en las especificaciones técnicas realizadas para la

implementación de todos los procesos de negocio. Son un derivado de las políticas y las

guías. En 2007 BSI, British Estándares Institución, publicó la norma BS 25999 partes 1 y

2 para establecer la gestión de la continuidad de negocio en las organizaciones.

-En 2012 se publicó la ISO 22301, norma internacional para la gestión de la continuidad

de negocio basada en la anterior BS 25999 y teniendo ya aplicación y reconocimiento

mundial.

Procedimiento

El estándar británico 25999-1 ofrece especificaciones para la implementación de un

sistema de gestión de la continuidad en una organización. Esta tarea puede resultar

compleja en grandes organizaciones, que contratan expertos y consultores que ofrecen

soporte y formación al respecto.

Planificación y despliegue  de recursos

El concepto de gestión de la continuidad implica que los recursos subyacentes se

encuentran implementados y desplegados de un modo determinado, que permite ser

reestructurado fácilmente dependiendo de las necesidades de la organización. Este nivel

de flexibilidad requiere que todas las funciones de negocio sean planeadas e

implementadas, desde el principio, con la mentalidad de disponer de un plan de

continuidad del negocio.

Estructura organizativa

Parte del trabajo de la gestión de la continuidad es asegurar que todo el personal de la 

organización comprende qué procesos del negocio son los más importantes para la

organización.

Este entendimiento debe quedar de manifiesto en la formación del personal, de forma que

los empleados puedan asegurar la continuidad del negocio incluso cuando hay una

entrada y salida de personal constante. Es importante también contar con diferentes

individuos con el mismo conocimiento, sobre todo en momentos críticos cuando la

persona con el conocimiento experto no se encuentra disponible.

Gestión de la seguridad

En el entorno empresarial, la seguridad debe ser la prioridad principal en la gestión de las

tecnologías de la información. Para la mayoría de organizaciones la seguridad está regida

por la legislación y el cumplimiento de estas normas está controlado por auditorías.

El no cumplimiento de estas normas tiene un impacto económico y organizativo en la

entidad.

Gestión documental

En el entorno de tecnologías de la información la rotación de personal es inevitable y

forma parte de la gestión de la continuidad. La solución a los problemas relacionados con

la rotación de personal es la creación de documentación completa y actualizada. Esto

asegura que el personal entrante dispone de la información necesaria sobre sus

funciones y tareas.

Esto implica que los procesos relacionados con la documentación es generada (no

escrita) desde los sistemas existentes y gestionada de forma automática.

Gestión del cambio

Las regulaciones determinan que los cambios relacionados con los procesos de negocio

deben ser documentados y clasificados para futuras auditorias, esto se denomina “control

de cambios”. Un nuevo nivel de estabilidad entra en la organización ya que requiere que

el personal de soporte documente y coordine todos los cambios en los sistemas. A

medida que este proceso se automatiza, el énfasis pasará del control de personal al

cumplimiento de la normativa.

Gestión de auditorias 

Uno de los aspectos que requieren más tiempo y recursos en la gestión de tecnologías de

la información son las auditorías. Uno de los objetivos de la gestión de la continuidad es la

automatización del data center, que incluye la gestión de las auditorías. Todos los

procesos de negocio modernos deberían ser diseñados de forma que generen

automáticamente la información y documentación necesaria para las auditorías como

parte del día a día de la organización. 

Acuerdos de nivel de servicios

El punto de encuentro entre la gestión y las tecnologías de la información son los

Acuerdos de Nivel de Servicio. Dichos acuerdos proporcionan un contrato escrito donde

se estipula el alcance de la gestión con respecto a la disponibilidad de un determinado

proceso de negocio y los recursos que las tecnologías de la información ofrecen como

soporte a ese proceso.