| Artículos | 01 JUL 2008

Planes de contingencia y de recuperación ante desastres

Tags: Histórico
Daniel Matey.
Según un estudio de una prestigiosa universidad estadounidense, seis de cada diez empresas que sufren un desastre y no tienen un plan de actuación cesan su actividad en los tres años posteriores al desastre. En este artículo repasaremos los elementos fundamentales a tener en cuenta para superar con éxito las situaciones más adversas.

Ejercicios de sensatez
Diseñar un plan de contingencia y de recuperación ante desastres (PCRD) es una actividad que tiene que ser desarrollada por un equipo multidisciplinar. Necesitaremos ante todo recursos que posean un amplio conocimiento de la empresa, los procedimientos que sustentan el negocio, los activos y los sistemas en general. Por otra parte, es fundamental disponer de un gran conocimiento técnico en las tecnologías informáticas sobre las que se sustenten los sistemas de la empresa y sobre aquellas tecnologías sobre las que desarrollar los artefactos que nos ayuden a mitigar los posibles riesgos. Es muy importante para el éxito de este tipo de proyectos el que sea apoyado por la alta dirección, especialmente por el CEO o por un comité de alto nivel. Un PRCD no solo atañe a las Tecnologías de la Información; aspectos como, por ejemplo, la telefonía o la ubicación de los empleados en caso de desastre son también elementos fundamentales para el correcto desempeño del negocio. Por lo tanto, será necesario para el éxito del proyecto que la alta dirección involucre a tantos departamentos o direcciones como sea necesario. Adicionalmente, como veremos a lo largo de este artículo, un PRCD puede requerir de partidas presupuestarias que según los requisitos de la empresa pueden suponer costosos desembolsos; por esta razón, es importante que la alta dirección comprenda la importancia y necesidad del proyecto. Muchos PRCD no han sido puestos en marcha, mantenidos o ejecutados con éxito debido a la falta de apoyo de las empresas. Como ya hemos dicho, un PRCD puede no ser barato y evidentemente los riesgos de desastre pueden ser cuando menos improbables. Por esta razón, el líder del proyecto tendrá que hacer un continuo ejercicio de sensatez a la hora de valorar los riesgos o ajustar las medidas mitigadoras a los requisitos reales de la empresa y los costes a las probabilidades y necesidades de la misma.

Agentes influyentes
A la hora de comenzar un proyecto de este tipo, al igual que con cualquier proyecto de cierto calado, es necesario entender que cada empresa es diferente y posee su propia cultura. La cultura o la “forma de ser” de la empresa será un elemento decisivo que afectará al planteamiento del PRCD. El tamaño, edad y sector de la empresa serán sin duda otros de los agentes influyentes más importantes en la concepción del PRCD. Una empresa grande suele disponer de más capacidad financiera y está habituada a realizar desembolsos importantes con el fin de mitigar riesgos, ya sea en forma de seguros o de reservas financieras. La edad de la empresa es otro aspecto importante. Las empresas con mucha tradición suelen tener una identidad muy marcada y una actitud de perdurabilidad que pueden ayudar a motivar el proyecto. Por otra parte, a lo largo de su historia pueden haber vivido desastres o contingencias, lo cual motivará aún más al responsable de la empresa para disponer de un PRCD. Por último, el sector de la empresa puede llegar a convertirse en el mecenas más importante del proyecto. Si la empresa pertenece al sector de la banca o los seguros, el PRCD no será una opción sino una obligación. En otros casos como, por ejemplo, las empresas en las que la informática tiene una importancia extrema, como puede ser el caso de las que venden a través de Internet o que tienen cadenas de producción plenamente informatizadas, calcular las pérdidas por minuto de caída es mucho más fácil que para otras, con lo cual el PRCD se convierte en una inquietud diaria cuyo coste es fácilmente justificable.

La cigarra y la hormiga
Existe también otro tipo de actitud ante los desastres y contingencias: la de aquellas empresas que apoyan la no existencia de un plan de este tipo basándose en dos premisas fundamentales; la primera de ellas es “eso no me va a pasar a mi” y, la segunda, “si nos pasa ya saldremos de ello como podamos”. Este tipo de empresa es sin duda la misma que en los aspectos relacionados con la seguridad en general tiende a pensar “¿quién va a querer atacarme a mi?”. Estoy seguro de que las empresas que tenían una sede en el edificio Windsor de Madrid nunca pensaron que podría arder, pero lo hizo. Cuando aquellas imágenes salieron en la televisión reconozco que no podía dejar de pensar en cuántos backups estarían ardiendo en ese momento o cuantos administradores estarían viendo esas mismas imágenes siendo conscientes, al igual que yo, del tremendo impacto que tendría ese hecho en su red. Me imagino dos responsables de TI viendo las imágenes del incendio en el telediario y cuyo CPD estuviera sito en el edificio Windsor, cuán diferente serían los sentimientos del CIO de la empresa “cigarra” que había disfrutado de las mieles de su negocio sin prever un desastre y que miraría las imágenes del incendio absorto en la incertidumbre, mientras que el CIO de la empresa “hormiga” que disponía de un PCRD y había invertido en estar preparado veía las imágenes sabiendo que disponía de un plan que, desde ese mismo momento, le ayudaría a conseguir que la empresa perdurara y sobreviviera a tal situación de crisis.

Criterio, equilibrio y objetivos
Tras conocer muchas empresas y vivir muchos proyectos, puedo decir que lo más importante a la hora de desarrollar un PCRD es conseguir criterio suficiente como para entender cuáles serán los objetivos y conseguir una forma equilibrada de alcanzarlos. Los elementos que estarán en la balanza a equilibrar son sin duda riesgo y coste, y el objetivo a entender será el de mitigar los riesgos y planificar la actuación ante aquellos que no sea posible mitigar del todo. Para poder conseguir nuestros objetivos de una forma equilibrada será necesario tener criterio suficiente. El presupuesto marcará y limitará el proyecto y, en mi opinión, en su justa medida esto es beneficioso: un buen CIO o un buen consultor deben defender un gasto eficiente y acotado a la probabilidad del riesgo y a las necesidades y responsabilidades legales reales.

Tener los deberes bien hechos
Para poder comenzar con el PCRD es necesario tener catalogados todos los servicios de TI así como sus dependencias. También necesitaremos disponer de los procedimientos y conocer la metodología de trabajo así como los responsables de cada servicio y guías de operación. Antes de empezar con el PCRD es necesario que exista una sólida estrategia de backup y recuperación que contemple a través de los procedimientos correspondientes todos los sistemas a cargo del departamento de TI. Es posible que como resultado del PCRD sea necesario reforzar dichos procedimientos y, por lo tanto, modificar en mayor o menor medida la estrategia de backup y recuperación. Pero, sin duda, si la empresa objeto del PCRD tenía sus sistemas documentados, procedimentados y sujetos a una correcta operativa de backup y recuperación, el proyecto será más solido y requerirá de menor tiempo para ejecutarse.

Riesgos
Para poder evaluar los riesgos es necesario conocerlos previamente: tendremos que evaluar

Compartir

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información