La importancia de implementar un Plan de Continuidad de Negocios (1ra parte)

c.p.c. Ramón Serrano Béjar *

El Plan de Continuidad del Negocio, que incluye a los denominados Business Continuity Plan (BCP) y Disaster Recovery Plan (DRP), tiene como objetivo proteger los procesos críticos y operativos del negocio contra desastres naturales o fallas mayores por la interrupción de las operaciones de una empresa, disminuyendo el impacto en las pérdidas de tipo financiero, de información crítica del negocio, credibilidad y productividad, debido a que los recursos de la organización no están disponibles.

El Plan de Continuidad del Negocio busca amortiguar en lo posible este riesgo mediante un plan global que permita la pronta recuperación de la operación y de la información, en caso de presentarse algún evento que afecte el flujo normal de las actividades de una organización. Para ello es necesario que las empresas desarrollen formalmente un Business Impact Assessment (BIA ), el cual se utiliza para identificar los riesgos y los puntos críticos a desarrollar en el BCP/DRP.

En países como México, el BCP y DRP involucra una mayor responsabilidad para las empresas por ubicarse en una zona altamente sísmica que puede alterar la continuidad normal de las operaciones y la recuperación de la información crítica. Para ello, también hay que considerar sucesos como la pandemia de gripe A H1N1 que particularmente afectó a las empresas en México en 2009. Muchas tuvieron que suspender sus actividades laborales y productivas normales, sin que la mayoría tuviera un BCP formal implementado, es por ello que a lo largo de este texto serán brevemente mencionados los pasos a seguir para realizarlo y, debido a su extensión, serán abordados en dos partes. En esta primera entrega se tratará información general como: 

Definiciones

Un DRP implica la recuperación oportuna de recursos y servicios de tecnología de la información después de que ocurre un desastre, como un sismo o incendio, o fallas de hardware o software que pongan en riesgo la continuidad de la operación. Mientras que un BCP es más amplio en cuanto a planes para la recuperación de procesos de toda la organización de negocios. Éste incluye, entre otros, los planes para instalaciones de trabajo, la comunicación de información crítica a empleados, servicios telefónicos, internet, estaciones de trabajo y servidores para reanudar las operaciones productivas o de servicio y los procedimientos para la restauración de la empresa al estado previo del desastre.

La principal diferencia es que el DRP es comúnmente asociado con la recuperación del sistema de Tecnología de Información (TI) por sí sola, mientras que el BCP tiene un contexto de negocios más amplio. El back-up o respaldo de la información sólo es una parte de un DRP. El primero se refiere a la copia de archivos que facilita la restauración de los activos de TI. Los archivos de copia de seguridad pueden contener información vital para la empresa como datos, información financiera y operativa, aplicaciones, sistemas operativos y documentación, entre otros.

Muchas pequeñas y medianas empresas piensan erróneamente que el back-up es un Plan de Continuidad de recuperación. No es así. El simple back-up o la copia de datos, en sí mismo, no garantiza que un negocio será capaz de desarrollar sus operaciones de manera normal, ni siquiera la recuperación mínima necesaria de su información después de que ocurren los desastres.

También es importante definir qué se entiende por un BIA, cuyo propósito es crear un documento que ayude a entender el costo y el impacto que un desastre pueda tener sobre un negocio en particular. Considera principalmente:

a) Priorizar procesos críticos del negocio.
b) Calcular el Maximum Tolerable Downtime (MTD), es decir, el tiempo máximo sin servicio que una organización puede soportar y seguir cumpliendo con sus objetivos de negocio.

Por lo tanto, la continuidad del negocio es un concepto que abarca la planeación para recuperación de desastres principalmente en sus datos (DRP) y la planeación para el restablecimiento del negocio (BCP).

Código de Mejores Prácticas Corporativas

Conforme a la Práctica siete del Código de Mejores Prácticas Corporativas,
el BCP/ DRP está relacionado con las siguientes funciones del Consejo de Administración:

XV. Asegurar el establecimiento de planes de contingencia y de recuperación de la información. (Esto es lo más importante)

VI. Asegurar la creación de valor para los accionistas y la permanencia en el tiempo de la sociedad. De no tener un BCP/DRP se puede poner en peligro la continuidad de las operaciones y de la información de la organización.VIII. Asegurar el establecimiento de mecanismos de control interno y de calidad de la información.

X. Asegurar el establecimiento de mecanismos para la identificación, análisis, administración, control y la adecuada revelación de los riesgos, por la posible falta de establecer, probar y actualizar el Plan de BCP/DRP.

Política general

Debido a que cualquier interrupción en los procesos de negocio afecta la operación y su continuidad, es responsabilidad de la Dirección General aprobar, poner en marcha y probar formalmente un Plan de Continuidad de Negocio que cubra las actividades y críticas necesarias. En la definición de esta política, por lo menos, se deben considerar:

a) Respaldos o back-ups de la información; se deben definir los procedimientos formales para la validación.

b) Elementos de seguridad
física necesarios.

c) Integración y enlace formal del BCP con el DRP.

d) Mantenimiento continuo del Plan BCP/DRP.

e) Pruebas del plan, las cuales deben incluir las simulaciones e intentos de restauración necesarios.

f) Establecer políticas necesarias de seguridad física.

g) Crear un centro de operación de emergencia en caso de que se presente una contingencia que imposibilite continuar operando en las instalaciones de la empresa (plantas, fábricas, almacenes, centros de servicio, tiendas, etcétera). Éste deberá contar con la infraestructura tecnológica adecuada y suficiente para soportar las aplicaciones clave del negocio, tanto operativas como financieras.

h) Los roles y responsabilidades de las diferentes áreas y procesos dentro de la organización que incluyen el entrenamiento necesario al personal aplicable.

i) La revisión de la política, en todo caso, debe ser modificada si existieran cambios en los procesos operativos y financieros de negocio de la organización o en su infraestructura tecnológica. En caso de no haber cambios, se debe realizar su revisión anualmente para identificar los riesgos y desviaciones resultantes.

Inicio del plan

La Dirección General y los diferentes ejecutivos principales de primer nivel de una empresa (los Directores de Operaciones, Sistemas, Administración, Finanzas y Recursos Humanos) son los responsables de iniciar el Plan de Continuidad del Negocio.

Este Plan es esencial y debe ser preventivo y no correctivo para continuar con las actividades críticas del negocio de la organización. En caso de una falla o desastre inesperado que pudiera seriamente interrumpir los procesos y actividades importantes de la operación de la compañía.

En nuestro artículo del próximo lunes, analizaremos el desarrollo, la evaluación, las características y todo lo que debes de saber para implementar con éxito en un Plan de Continuidad de
Negocios; no dejes de consultar la siguiente entrega para que lo puedas llevar a cabo.

* Miembro del Consejo Editorial de la Revista Veritas e Integrante de la Comisión de Gobierno Corporativo del Colegio de Contadores Públicos de México.

Este artículo refleja la opinión del autor y no necesariamente del colegio, *Integrantes de la Comisión Fiscal Internacional del Colegio de Contadores  Públicos de México y Socios de Impuestos y Servicios Legales de Deloitte. relacionespublicas @colegiocpmexico.org.mx