¿Tu empresa ya cuenta con un Plan de Continuidad de Negocio (PCN)?

Creando un Plan de Continuidad de Negocio alineado a ISO 22301

En un mundo cambiante, las empresas se ven constantemente amenazadas por diversos factores, internos y externos que pueden poner en riesgo la continuidad del negocio. Un ambiente de crisis pone a prueba a las organizaciones y su capacidad de respuesta; las empresas que tengan una capacidad de respuesta más ágil y acertada podrán seguir garantizando su competitividad incluso durante o posterior a una crisis. Prepararse para afrontar efectivamente una crisis que permita a la organización seguir operando durante y después de la contingencia debe ser considerada en las organizaciones como una estrategia fundamental.

¿Tu empresa ya cuenta con un Plan de Continuidad de Negocio (PCN)?

Las empresas suelen tener planes de continuidad, sin embargo, no es una práctica común entre la mayoría de las organizaciones. El Plan de Continuidad de Negocio es usado ante la presencia de un evento disruptivo real y si quieres que sea útil, debes asegurarte de que lo preparas adecuadamente.

Elementos del Plan de Continuidad de Negocio (alineado a los requisitos de la Norma ISO 22301)

Al desarrollar tu PCN asegura contemplar los siguientes requisitos:

• Roles y responsabilidades definidas

• Proceso para activar la respuesta

• Detalles para gestionar las consecuencias inmediatas

• Detalles sobre cómo y a través de quien comunicarse, incluyendo la respuesta a los medios

• Cómo continuar o recuperar actividades dentro de los RTO´s (Recovery Time Objective: tiempo objetivo para la reanudación del servicio después del evento disruptivo)

• Proceso de recuperación

Adicionalmente, cada plan que generes para cada incidente o evento disruptivo tienes que definir:

• Propósito y alcance

• Objetivos

• Interdependencias e interacciones internas y externas

• Requerimientos de recursos

• Flujo de información y procesos de documentación

• Definir umbrales de impacto para la iniciación del plan

• Evaluar la naturaleza, la extensión y el impacto de un incidente

• Definir cómo activar la respuesta adecuada

• Definir procesos para manejar la respuesta

• Tener recursos disponibles

• Comunicación con las partes interesadas

Es importante que, si tu Plan de Continuidad de Negocio está alineado a la Normativa ISO 22301, no olvides contemplar los siguientes requerimientos para la respuesta de incidentes:

• Definir umbrales de impacto para la iniciación del plan

• Evaluar la naturaleza, la extensión y el impacto de un incidente

• Definir cómo activar la respuesta adecuada

• Definir procesos para manejar la respuesta

• Tener recursos disponibles

• Comunicación con las partes interesadas

Por último, te comparto los principales elementos a considerar al formular los planes de recuperación

• Objetivo de tiempo de recuperación

• Responsabilidades / autorizaciones

• Tareas clave

• Capacidad mínima aceptable

• Recursos

• Quién tiene que ser notificado

• Información de contacto – todas las partes involucradas

• Pasos de recuperación para actividad crítica (es recomendable que sea desarrollado por cada equipo de recuperación)

Los anteriores elementos pueden ser aprovechados para incidentes o eventos disruptivos relacionados con TI considerando lo siguiente:

• Generalmente tienen un RTO más corto

• Puedes usar la misma plantilla de plan

• El plan debe ser más detallado para cada sistema de TI –apéndices

• Considera que cada paso de la recuperación está determinado por el RTO de otras actividades críticas

Roles en el Desarrollo del Plan de Continuidad del Negocio

Al desarrollar el PCN, es importante definas roles y responsabilidades del personal involucrado como generalmente se realice con cualquier otro tipo de proyecto que se emprenda en tu organización. Tu organización podría optar por designar a un líder o responsable de gestionar la Continuidad de Negocio, si es el caso, es a través de esta figura quien coordina las actividades relacionadas al desarrollo del PCN, incluyendo la creación de plantillas, documentación de los planes y coordinación del personal involucrado.

Al momento de desarrollar los planes de respuesta a incidentes y de recuperación, es importante que asegures la participación de los involucrados, de esta manera lograrás tener planes más enfocados a la realidad que sean útiles al momento de enfrentar una crisis o evento disruptivo real con personal involucrado que conozca cómo actuar ante tales situaciones. Los planes desarrollados deberán ser revisados por el Comité Directivo con la finalidad de asegurar la gestión de recursos para su implementación.

Retos a los que puedes enfrentarte al implementar tu Plan de Continuidad del Negocio

• Identificar los activos esenciales en tu organización

• Involucrar a la Dirección y Gerencias en el desarrollo e implementación

• Concientización del personal sobre el uso y beneficios del PCN

• Interacción entre todas las áreas

Recuerda que, un PCN debe desarrollarse cuidadosamente sin que omitas alguno de los pasos ya que, de lo contrario, tendrás planes que no serán del todo útiles al momento de que tu organización se enfrente a una crisis o evento disruptivo.

En R&B Consultores tenemos los apoyos que requieres para desarrollar tu PCN, ¡contáctanos para apoyarte a traducir tus requerimientos en soluciones!