La importancia de implementar un Plan de Continuidad de Negocios (2da parte)

C.P.C. Ramón Serrano Béjar*

En nuestro artículo anterior conocimos la definición, la relación con el Código de Mejores Prácticas Corporativas, la Política General y cómo es que inicia un Plan de Continuidad de Negocios (BCP).

Desarrollo y administración

La Dirección General debe desarrollar un Plan de Continuidad del Negocio que cubra aspectos críticos y básicos de la actividad de la compañía, es esencial para continuar con las actividades del negocio en caso de una falla. Como recomendaciones adicionales al desarrollo y administración del BCP podemos enunciar:

a) Entender los riesgos que está enfrentado la empresa identificando formalmente sus procesos críticos.

b) Asignar un presupuesto autorizado suficiente al BCP/DRP por la Dirección General y ratificado por el Comité de Auditoría.

c) Contar con la infraestructura informática alterna para el restablecimiento de la denominada Configuración Mínima Aceptable de Recuperación (MARC).

Evaluación de riesgo

Realizar un análisis de impacto sobre el negocio (BIA), para determinar los requerimientos del Plan e identificar todos los eventos reales que puedan causar interrupciones, sin embargo, no se debe limitar exclusivamente a recursos e infraestructura tecnológica asociado a los sistemas de información. Los pasos involucrados en el análisis comprenden:

a) Técnicas para obtener información.

b) Seleccionar los funcionarios y empleados clave a entrevistar.

c) Analizar e interpretar la información operativa y financiera.

d) Identificar los procesos críticos por área.

e) Determinar los tiempos máximos tolerables de caída por proceso (MTD).

f) Priorizar la recuperación de las funciones críticas del negocio.

Características

Con el fin de garantizar su consistencia a lo largo de las diferentes unidades de negocio, el Plan debe considerar:

a)Establecer grupos de recuperación.

b) Definir los escenarios de contingencia posibles.

c) Condiciones para la activación del plan de continuidad.

d) Una estrategia de recuperación de desastres:

d.1) Esquemas de recuperación de respaldos, evitando o disminuyendo la pérdida de datos críticos.

d.2) Prioridades y tiempos de recuperación.

d.3) Procesos, usuarios, servicios, aspectos técnicos e información mínimos indispensables a restaurar para reiniciar la operación.

e) Identificar e implementar las responsabilidades y procedimientos de emergencia para permitir la recuperación en un tiempo limitado.

f) Procedimiento que incluya las actividades antes y durante el evento de la contingencia.

Involucramiento del personal

Los aspectos de seguridad de la información cuando se implementan las políticas, son:

a) Aun cuando el BCP/DRP haya sido probado éste puede fallar si el personal no está lo suficientemente familiarizado y convencido con sus contenidos y responsabilidades.

b) Cuando las personas involucradas olvidan el riesgo, se puede presentar cierta apatía disminuyendo su importancia y la necesidad de una participación activa en él.

c) Se deberá crear un plan de concientización sobre la importancia del BCP/DRP para toda la organización.

Pruebas

El BCP/DRP necesita ser probado periódicamente con el fin de garantizar que la compañía entienda cómo debe ser ejecutado.

Probarlo en la organización, evalúa su viabilidad y garantiza un entrenamiento práctico para el personal involucrado de los grupos de recuperación, lo cual representa una parte fundamental sobre cómo reaccionar adecuadamente en caso de presentarse una contingencia.

Las fallas en el análisis del plan de pruebas del BCP/DRP ocasionarán una disminución de la validez de la prueba. Los diferentes tipos incluyen:

a) Las pruebas sobre la mesa de los diferentes escenarios (por medio del uso de listas de verificación y análisis paso a paso)

b) Simulaciones del Plan de Continuidad.

c) Las pruebas de recuperación técnica, las del sitio alterno, las de servicios externos (comunicaciones, energía, etcétera) del BCP/DRP y la prueba completa, con el fin de evaluar personal, equipos, recursos físicos, para entender su capacidad de soportar interrupciones.

Una vez aprobado y desarrollado debe ser evaluado. Se recomienda que la frecuencia de esta prueba no exceda un año. Es necesario que la persona que desarrolló las pruebas de continuidad del negocio analice los incidentes y presente un reporte a la Dirección General para su aprobación  y al Comité de Auditoría para su validación. Es necesario que el área de Auditoría Interna, en caso de estar capacitada, revise e informe si las pruebas al BCP/DRP se llevaron de manera completa y oportuna, señalando las desviaciones y omisiones que determine.

Mantenimiento y Actualización

El BCP/DRP debe actualizarse  periódicamente, presentando sus conclusiones, para lograr una operación adecuada, ya que  su éxito puede ser cuestionable y parcial. Los cambios incluyen:

a) Las adquisiciones de nuevos equipos y sistemas.

b) Actualizaciones en los sistemas operacionales y financieros.

c) Cambios en el personal aplicables.

d) Direcciones o números telefónicos.

e) Estrategias de negocio.

f) Ubicaciones físicas de unidades productivas (plantas, fábricas, almacenes, tiendas etcétera).

Conclusiones

Resulta vital para todas las organizaciones implementar un Plan de Continuidad de Negocios para amortiguar y minimizar los efectos de la contingencia críticos, operativos y financieros, reduciendo el tiempo en la recuperación de la información, restaurando los procesos operacionales clave de sus recursos y servicios de TI, ocasionadas por fallas, desastres naturales, siniestros, e incluso epidemias.

La implementación del BCP/DRP requiere del apoyo de la Dirección General y del Consejo de Administración  a través de su Comité de Auditoría para cumplir con las prácticas aplicables del Código de Mejores Prácticas Corporativas.

El BCP/DRP debe probarse anualmente, actualizarse y documentarse en forma completa en los procesos críticos y operativos.

La falta de un BCP/DRP puede originar severos impactos financieros y de falta de recuperación de información a las empresas.

El Contador Público que esté  preparado para tal fin puede llegar a ser un elemento clave en el estudio y aprobación del BCP/DRP, ya sea como consultor externo, auditor interno o consejero, aportando valor agregado a las operaciones de su clientes.

Este artículo refleja la opinión del autor y no necesariamente del colegio, *Miembro del Consejo Editorial de la Revista Veritas e Integrante de la Comisión  de Gobierno Corporativo del Colegio de Contadores Públicos de México.
relacionespublicas@colegiocp
mexico.org.mx