Diploma de Especialización en Sistemas de Gestión de Seguridad de Información
Business Continuity Plan: La Continuidad en las
Operaciones de la Empresa
Alberto G. Alexander Servat, Ph.D.
Imaginemos una interrupción en las operaciones de la empresa.
Simplemente no se puede operar. Los procesos vitales han sido
afectados. No es posible entregar el producto en los acuerdos
convenidos con los clientes y por un tiempo no se puede continuar
siendo proveedor confiable. Las estadísticas plantean que una empresa
que deja de operar por espacio de diez días consecutivos, jamás se
recupera.
No sirven de mucho los planes estratégicos, ni los modelos de
investigación de mercados , ni los sistemas de aseguramiento de
calidad, si no se tiene una metodología implantada que asegure a la
cadena de suministros continuidad en el funcionamiento si un desastre
se presentara.
El estándar BS 7799-2:2002 “Sistema de Gestión de Seguridad de
Información” en el anexo A.11 lo exige. Después de la tragedia del 11
de Septiembre se ha popularizado y se ha convertido en una exigencia
mundial que las empresas tengan implantado un business continuity
plan que permita asegurar a terceros que son proveedores confiables.
1
�Módulo 5: Elaboración de un Business Continuity Plan
Introducción
Desde la tragedia de las Torres Gemelas del 11 de Septiembre, los mercados
internacionales empiezan a exigir a las cadenas de suministros, que muestren poseer un
plan, que asegure, que frente a un desastre, las operaciones vitales de la organización no
se interrumpen. Después del 11 de Septiembre, una de las pocas firmas, en el sector
financiero que pudo continuar operando fue Merrill Lynch (Syed, 2004) El seguir
operando de manera permanente, se le atribuyó al hecho de poseer un business
continuity plan (BCP) el cual era mantenido y actualizado.
El estándar BS 7799-2:2002 “Sistema de Gestión de Seguridad de Información”, así como
el ISO 17799:2000 “Tecnología de Información-Código de Práctica para la Gestión de
Seguridad de Información”, plantean la exigencia a las empresas que deben tener
implantado un BCP para asegurarle a terceros que frente a un desastre la empresa pueda
continuar operando.
En él presente ensayo, se pormenorizaran una secuencia de pasos metodológicos para
diseñar el proceso del BCP, en una empresa determinada. Este es el primer ensayo de una
serie que se irán desarrollando en los cuales se detallarán los distintos componentes del
modelo.
Business Continuity Plan
Los desastres pueden aparecer en cualquier momento. La Real Academia Española define
un desastre como:
“desgracia grande, suceso infeliz y lamentable”
Inundaciones, sismos, incendios y atentados terroristas son ejemplos de eventos
calamitosos.
Las empresas son vulnerables al impacto de no sólo calamidades sino de pequeños
eventos que pueden interrumpir las actividades de la firma. Los factores tales como: a)
incremento en la dependencia tecnológica y b) las presiones de “velocidad al mercado”,
han hecho a las empresas sumamente sensibles a eventos menores que generan
2
�Módulo 5: Elaboración de un Business Continuity Plan
perturbación en sus operaciones. Así tenemos eventos sencillos pero con efecto
calamitoso en la empresa, tales como: cortes en el fluido eléctrico, fallas en el sistema de
tecnología de información, defectos en equipos de operaciones, materia prima
contaminada, errores en el sistema de comunicación y virus en computadoras.
En la última década, los riesgos de desastres naturales, fallas técnicas con carácter
accidental, y actividades maliciosas han incrementado las posibilidades de interrupciones
en las organizaciones. Con base en estadísticas ((Hiles, Barnes, 2002) “las empresas que
sufren una interrupción, por espacio de diez días consecutivos, nunca se recuperan y
desaparecen del mercado.” Lamentablemente, muy pocas son las empresas que invierten
en planificación de actividades para minimizar posibles desastres y asegurarse de
continuar operando después de una posible calamidad.
Las serias consecuencias de posibles interrupciones en las operaciones de la empresa
pueden evitarse al tener un BCP.
“El BCP es una disciplina que prepara a la organización a poder continuar operando
durante un desastre, a través de la implantación de un plan de BCP. Un BCP es un
documento que contiene procedimientos y lineamientos para ayudar a la recuperación y
reestablecimiento de procesos interrumpidos y recursos al estado de operación normal,
en un tiempo prudencial.”
El Business Continuity Plan y Otros Enfoques
Es importante mencionar algunos de los enfoques mas relevantes al tema del BCP que se
usan a nivel internacional y guardan cierta estrecha relación y a su vez diferencias.
• Disaster Recovery Planning (DRP)
El DRP se enfoca en la recuperación de los servicios de TI y los recursos, dado un
evento que ocasionara una interrupción mayor en su funcionamiento.
• Business Resumption Planning (BRP)
El BRP se centraliza en la reanudación de los procesos de negocios afectados por
una falla en las aplicaciones de TI. Se enfoca en la utilización de procedimientos
relacionados con el área de trabajo.
3
�Módulo 5: Elaboración de un Business Continuity Plan
• Continuity of Operations Planning (COOP)
El COOP busca la recuperación de las funciones estratégicas de una organización
que son desempeñadas en sus instalaciones corporativas.
• Contingency Planning (CP)
El CP se enfoca en la recuperación de los servicios y recursos de TI después de un
desastre de dimensiones mayores o de una interrupción menor. Especifica
procedimientos y lineamientos para la recuperación tanto en áreas de la empresa
como las alternas.
• Emergency Response Planning
El objetivo del emergency response planning es el de salvaguardar, a los empleados,
público, ambiente y a los activos de la empresa. Ultimadamente se busca llevar la
situación de crisis de manera inmediata a un estado de control.
Todos estos enfoques tienen un común denominador, el cual es su alcance tan estrecho.
Cada una de estas ópticas de planeación, se centran en la protección de aspectos
específicos de la organización, ignorando otras áreas críticas. Para atender esta
limitación, se requiere un enfoque de planeación integrado, que permita proteger todas
las áreas críticas de la organización. El BCP ha aparecido como un marco conceptual, que
integra el alcance y objetivos de todos estos enfoques.
El Proceso del Business Continuity Planning
El hacer un plan BCP, implica seguir un proceso (O´Hehir,1998) (Heath,1999)
(Hamilton,1999) (Hiles,1999) (Cornish,1999) (Howe,1999) (Craig, 2000) (Meredith,1999).
Los distintos autores especializados en el tema plantean un ciclo de vida para el
desarrollo y mantenimiento de un plan BCP.
En la figura N° 1 se presenta gráficamente el proceso con sus distintas fases y para
facilitar el método de gestión del proceso, se han pormenorizado sus respectivos
entregables en cada una de sus etapas. A continuación se hará una breve descripción de
cada una de ellas con sus respectivos denominados entregables.
4
�Módulo 5: Elaboración de un Business Continuity Plan
Fase 1 Gestión del Riesgo
Las actividades de la gestión del riesgo, evalúan las amenazas de un desastre,
pormenorizan las vulnerabilidades existentes, los potenciales impactos de un desastre e
identifican e implementan los controles necesarios para prevenir o reducir los riesgos de
un desastre.
El entregable de esta etapa es un Informe de Riesgos y Controles. Dicho documento
identifica las posibles amenazas potenciales de interrupciones del negocio y los
respectivos riesgos. Este informe puntualiza recomendaciones para el control de los
riesgos que pudiesen alterar el normal desempeño del negocio.
Fase 2 Business Impact Analysis
Esta fase , consiste en identificar aquellos procesos relacionados con apoyar la misión de
la empresa y analizar con mucho detalle los impactos a la gestión comercial del negocio
si esos procesos fuesen interrumpidos como resultado de un desastre.
El entregable consiste en un informe en el cual se identifican las áreas del negocio que
son críticas para el alcance de la misión de la firma, así como la magnitud potencial del
impacto operativo y financiero de una interrupción en el desempeño de la empresa y los
requerimientos para la recuperación de una interrupción del negocio.
Fase 3 Desarrollo de Estrategia BCP
Aquí se evalúan los requerimientos y se identifican las opciones para la recuperación de
procesos críticos y sus recursos, en el escenario que fuesen interrumpidos por un
desastre.
El entregable es un informe el cual pormenoriza la identificación de opciones viables para
la recuperación de recursos y servicios dada la posibilidad que fuesen impactados por
una interrupción del negocio.
Fase 4 Desarrollo del Plan BCP
La fase 4, desarrolla un plan para mantener la continuidad del desempeño del negocio,
basado en las fases previas, específicamente en la “gestión del riesgo” y en el “business
5
�Módulo 5: Elaboración de un Business Continuity Plan
impact analysis”, así como en los aspectos planteados en el desarrollo de la estrategia
BCP.
El entregable es un informe que contiene procedimientos y lineamientos concretos para
la recuperación y reestablecimiento de recursos dañados y procesos cuyo desempeño ha
sido interrumpido.
Fase 5 Ensayo del Plan BCP
En esta fase se efectúa el ensayo del plan, con miras a poder determinar su grado de
precisión y actualización.
Aquí el entregable son simplemente los registros que deben llenarse para demostrar a
terceros que se realizan los ensayos.
Fase 6 Mantenimiento del BCP
Aquí se mantiene el plan BCP en un estado de preparación constante para dado un
desastre poder ejecutarlo minimizando las posibilidades de errores.
El entregable de esta fase son los registros y los procedimientos que aseguran que el BCP
está listo para hacer ejecutado, si se presentara una eventualidad.
6
�Módulo 5: Elaboración de un Business Continuity Plan
Fase 5 Fase 5
Business Continuity Plan Entregables
Validado Fase 1
Desarrollo
plan BC
Gestión
Fase 4 del riesgo
Entregables Evaluar Monitorear
resultados de cambios y Fase 1
ensayo reevaluar riesgos
Entregables
Business Continuity Plan
Documentado Fase 6
Riesgo y controles
Amenazas, exposiciones,
Mante-
niveles de riesgo y sus
nimiento
Fase 4 Plan BC controles
Actualizar Plan
Desarrollo
plan BC
Monitorear Monitorear Fase 2
Gestión
cambios y cambios y
del riesgo
reevaluar reevaluar
estrategia impactos
Desarrollo
Fase 3 Estrategia de Continuidad: Business Impacts
estrategia
Entregables Recursos críticos, alternos, BC Procesos críticos, operacionales y
servicios y métodos de financieros
recuperación Requerimientos de recuperación
Fase 3
Fase 2
Entregables
Figura No 1: El Proceso BCP y los entregables
7
�Diploma de Especialización en Sistemas de Gestión de Seguridad de Información
Conclusiones
Las empresas, dadas las nuevas exigencias de los mercados, donde la rapidez y
confiabilidad son muy importantes, y donde la dependencia en la tecnología de
información es cada día mayor, no pueden funcionar dejando al azar la presencia de un
desastre que afecte las operaciones de la firma. Si una empresa en la cadena de
suministros deja de ser un proveedor confiable, simplemente desaparece.
El Business Continuity Plan, es un proceso estructurado que permite a la empresa en
primera instancia, hacer un análisis del riesgo identificando las amenazas y sus
vulnerabilidades a posibles desastres que interrumpan el normal desempeño de sus
actividades. Seguidamente se ubican los procesos vitales que inciden en la misión de la
firma para determinar los impactos que tendría una interrupción en los procesos vitales.
El resultado de todas estas actividades es el diseño de un plan que permite a la empresa
haber identificado las posibles amenazas, conocer sus vulnerabilidades y poder proteger
aquellos procesos vitales, del impacto de un desastre. El resultado final de un BCP es
asegurar a terceros que si se presenta un desastre de cualquier índole, la empresa ha
minimizado las posibilidades de dejar de operar. Se asegura la continuidad en la gestión
comercial del negocio.
