Escrito por Daniel Raúl Sachi Miércoles, 24 de Junio de 2009 00:00
Nuevamente CXO Community, de la mano de Oscar Schmitz y Claudia Diego, nos sorprendió con una jornada (Continuidad del Negocio y Crisis Management) en la sede del UCEMA llena de contenidos y no falta de emociones (ya sabrán por qué).
Los anfitriones muy buenos como siempre, el lugar magnífico, así como la organización, cosas a las que nos tienen acostumbrados.
Hubo un poco de repetición en los temas, aunque no se sintió tanto porque el contenido fue siempre interesante.
Este es nuestro resumen y opinión de los temas presentados...
Planificación de la disponibilidad y continuidad del negocio. Normativa BS25999
Una charla dinámica que comenzó con una lista de normas que debieran tomarse como un sistema integrado para hacer bien nuestro trabajo. Entre ellas podemos ver las ISO 27000, ITIL, SOX, BS25999, etc. (Otra vez las British Standards como fuente de metodología, un clásico)
En seguridad y continuidad cada vez más se habla de accidentes naturales y no solo de acciones dirigidas. Pensar que hace poco un temblor hizo evacuar algunas torres de Buenos Aires y que eso provocó una disrupción en la continuidad del negocio, hace que debamos poner más énfasis en estos eventos posibles, porque un impacto siempre es igual a perdida, en mayor o menor medida.
Hay que tomar en cuenta que los impactos ahora son más grandes porque hay más tecnología, mayor aglomeración, mayor distribución de áreas organizacionales a nivel planeta, etc., por lo cual, además de ser prolijos a la hora de hacer nuestro BCP, también tenemos que ver muchos más factores que exceden lo local y conocido y que abarcan de bienes a personas, pasando por intangibles como la marca o la confiabilidad empresaria.
También es cierto que solo se puede ser exitoso en esto si llevamos el ciclo de vida de la continuidad en forma completa, es decir, planificar (mucho y todo el tiempo en especial yendo más allá de lo obvio y haciendo un buen análisis de riesgos), hacer (todo lo que se deba hacer en función del plan), Chequear (la eficiencia y eficacia de las estrategias) y Accionar (sobre lo que no está bien definido o erróneo, volviendo a comenzar el ciclo).
Un último tema, los planes deben ser elementos vivos y reflejar siempre la realidad. Si esto no ocurre y estos planes duermen el sueño de los justos sin actualizarse, gran parte de nuestro esfuerzo habrá sido en vano.
Plan de continuidad de negocio: Herramientas para mitigar los riesgos en la planificación y ejecución
El BCM (Business Continuity Management) evolucionó de solo pensar en el DRP (Data Recovery Plan) al concepto de Resilience es decir, la capacidad de que todo vuelva a la forma anterior al evento o desastre.
El ciclo de vida que debe tener un BCM debe ser el siguiente:
1. Crear un equipo multidisciplinario, con posibilidad de incorporación de terceras partes, que trabaje sobre los por qué y sea capaz de generar planes operativos de corto y estratégicos de mediano plazo.
2. Obtener información para el análisis de riesgo e impacto, como procesos de negocio y mapeo de relaciones. En este punto hay que despertar la atención del negocio y no ser tan exigentes para no cerrar puertas.
3. Analizar información para verificar resultados y asegurar la calidad. Testear las definiciones y resultados con el negocio, diseñando estrategias de aproximación al BCM con análisis de costo / beneficio.
4. Construir el plan del BCM con definición de visión, alcance y objetivos, definiendo también los roles de los recursos humanos involucrados.
5. Distribuir el plan del BCM, adecuando los reportes a los niveles a los que va dirigido. Es necesario concientizar a toda la organización. Hay que ser creativos y demostrar el valor del BCM.
6. Testear el plan del BCM definiendo fases de análisis y comprobación. Se debe ser exigente en el armado del cronograma y documentar todos los resultados. Esto es clave.
7. Mantener el plan del BCM actualizando el análisis de riesgos e impactos, la concientización y el plan estratégico. No hay que perder de vista nunca la protección del negocio y de las personas que lo componen.Hay herramientas (soluciones informáticas) que nos ayudan en esto dando un soporte a la toma de decisiones, manteniendo la documentación actualizada, armando comunicaciones de concientización por perfiles, versionando el plan con posibilidad de revisiones y efectuando los reportes de cumplimiento y la auditoría de acciones.
En resumen, todo pasa por gobernar bien el BCM, planificarlo correctamente, construirlo de manera consistente y ejecutarlo eficaz y eficientemente sin ser complaciente.
Continuidad de negocio y gripe A/H1N1
Las pandemias están cada vez más presentes y son elementos disruptivos de la continuidad de negocios. Para peor tienen comienzo indefinido y final imprevisible, y como ejemplo, esta última tuvo alto impacto en varias organizaciones.
Imagínense que muchas empresas ni siquiera tienen un BCP, muchas de las que lo tienen no consideran a las pandemias entre sus riesgos, y demás está decir que muchas de las que toman este riesgo en su BCP, no prueban su plan, con lo cual, las sorpresas a la hora de actuar son mayores.
Sobre quien tomamos acciones en un plan? Sobre todos los involucrados!!
Hay que pensar que nuestro personal no es el único que hace a la continuidad de negocio. Por ejemplo, qué pasa con nuestros proveedores? Y nuestros clientes?
La cadena de valor es larga y compleja y, como toda cadena, se rompe por lo más delgado sin importar cuán fuerte sea el resto de los eslabones.
Entonces, cómo preparamos y planificamos ante pandemias?
1. Mayor conciencia y educación, informando coherentemente, correctamente y de manera constante. Somos responsables y hay que predicar con el ejemplo.
2. Planificación anticipada, asumiendo que planificamos por todos los elementos de nuestra cadena de valor y poniendo énfasis en la gente.
3. La preparación es tener respuestas. Hay que identificar escenarios posibles y probabilidades planteando respuesta para cada uno de ellos y desarrollando caminos alternativos.Hay que tener una visión integral. Antes se tenía una visión de la operación directa y con estas últimas experiencias aprendimos que tenemos que mirar el todo. Incluso no solo a nuestro personal sino también a su familia (un enfermo en la familia nos inhabilita a ir a trabajar aún estando sanos).
También hay que pensar en el cambio cultural que algunas acciones como el trabajo remoto, agregan al problema (control por objetivos en lugar de control de presencia).
La estrategia debe ser sólida y basarse en el liderazgo y la toma de decisiones, la educación, la comunicación, el análisis de riesgos incluyendo los legales, políticas y procedimientos, revisión de nuestras relaciones comerciales y personales y foco en los procesos claves de negocios sin descuidar ninguna parte de la cadena.
El éxito devendrá de tener en cuenta que:
- No hacer nada es muy caro
- El plan debe ser mantenido y actualizado constantemente (piensen en la imprevisibilidad de este tema y los cambios en las reglas del juego no impuestas por nosotros)
- Debe formar parte inseparable de cualquier BCM
Kit de supervivencia de BCM: Por dónde empezar
En esta charla tuvimos la oportunidad de tener ciertos tips para hacernos de un buen plan.
Un BCM comienza con un buen análisis de riesgo e impactos. Esto nos da un menú de temas a atacar los que deberán pasar por un proceso de priorización y con esto, un orden de trabajo.
No necesariamente hay que analizar todos los riesgos antes de seguir con las próximas etapas donde planificaremos, construiremos, probaremos y ajustaremos el plan. Con un grupo pequeño de riesgos se puede comenzar este proceso. No se debe querer terminar con cada etapa con todos los elementos para comenzar la siguiente. Esto hace que los procesos sean muy largos. Se debe particionar, y trabajar en forma iterativa y constante, revisando todo el tiempo.
El esquema documental es indispensable. Por pequeño que sea nuestro BCP, este debe estar en blanco y negro. Esto nos da la posibilidad de compartir, revisar conjuntamente, accionar sin que haya transmisión oral y ser previsibles.
El BIA (Business Impact Analysis) es fundamental y debe tener un buen instructivo de trabajo. Un registro de BIA debiera contener por lo menos:
- Las funciones críticas
- Las tolerancias
- Las amenazas
- El tiempo objetivo de recuperación (RTO)
- Procedimientos operativos de:
- Emergencia
- Recupero
- Pruebas
Se deben tener instructivos o plantillas para la redacción de procedimientos, hacer uno para cada amenaza, grupo o tipo de amenazas, y tener responsables ante los 3 estados operativos, conservando el registro de pruebas (fundamental el RTO).
Para las pruebas, factor crítico de éxito de cualquier BCP, es necesario ser amplio y verificar:
- Pruebas de recorrido (hacer que el plan se ejecute)
- Pruebas de recupero de aplicaciones (ver cómo funcionan las cosas después de una recuperación)
- Pruebas de notificación de alertas (Llamadas)
- Prueba integral de recupero (cómo funciona todo después de un recupero)
Caso destacado: Gestión de crisis en un contexto de secuestro extorsivo
Esta charla comenzó tibia y fue creciendo en contenido y molestias. Incluso me había anotado que se habían pasado imágenes de innecesaria violencia, pero claro, al analizar en frío y ver cuál había sido mi reacción posterior al evento, creo que fue de alto impacto positivo.
Después de presentar la organización policial de la división antisecuestros, nos comentaron los siguientes datos sobre las distintas metodologías de secuestro:
- Tradicional, con seguimiento e inteligencia previa
- Express, guiado por las apariencias y elementos llamativos de la posible víctima
- Virtual, que es una estafa y no un secuestro real, pero nos asusta y podemos llegar a pagar rescate sin que hayamos tenido una víctima en la familia (aprovechan tiempos muertos de comunicación y no posibilidad de chequeo de información de algún familiar, para engañarnos)
A pesar de tener un mensaje bien claro de los secuestradores sobre no avisar a la policía y de estar vigilándonos, debemos efectuar la denuncia porque:
1. No tenemos experiencia en lidiar con estos casos
2. Necesitamos asesoramiento integral de gente que sí la tenga
3. En estos casos la policía aconseja, contiene, orienta y consensua estrategiasGeneralmente la víctima no es a quien va dirigido el daño del secuestro, es la familia o la empresa. En ambos casos el daño es grande porque sea cual sea el destinatario, los involucrados no pueden continuar sus negocios de la misma manera.
Para el secuestrador, esto es un negocio y aunque parezca muy loco hay que llevarlo adelante como una transacción comercial. Para esto, hay que considerar lo siguiente:
- Nunca decir que se tiene el dinero
- Tratar de ser frío y especular
- Requerir siempre prueba de vida
- Lograr dilatar y tener muchos contactos para facilitar la acción policial
El porcentaje de éxito en la captura de secuestradores va del 70% si la policía interviene desde las primeras negociaciones al 30% si interviene tardíamente durante el pago del rescate.
Como cierre se pasaron videos enviados por los secuestradores como pruebas de vida donde se muestra mucha angustia, crueldad innecesaria, dolor...
De allí mi primera impresión, pero ahora escribiendo la nota me doy cuenta de que esto me hizo reflexionar, analizar, y tomar acciones, porque al fin y al cabo..., nadie está exento.
Creo que se logró el cometido.
Cierre
Agradecimientos merecidos a los participantes (de muy buenos niveles todos) y una invitación para el 3 de septiembre a la Jornada de Seguridad de la Información en la Industria Financiera, a la cual, por supuesto, asistiremos.
Fuente: Riskout International / Por Daniel Sachi (Riskout International)
| < Prev | Próximo > |
|---|
Próximas Jornadas
 |
 |
 |
 |
 |
Revista Impresa #16
Kiosco Digital
 |
Ingreso de usuarios
Registrados
Esta semana: 2 registrados
Este mes: 14 registrados
Visitas
 | Hoy | 1848 |
 | Ayer | 8376 |
 | Esta semana | 19207 |
 | Ultima semana | 45779 |
 | Este mes | 160624 |
 | Ultimo mes | 238584 |
 | Todos los días | 8392173 |
Hoy: May 23, 2012