En el pasado hemos hablado en diferentes ocasiones de Continuidad de Negocio. Concretamente, hemos tratado de los aspectos a tener en cuenta al abordar un proyecto de Continuidad de Negocio, de la valoración de tiempos en el Análisis de Impacto sobre el Negocio (I y II) y hemos comentado (y dejado a medias) por qué son necesarias las pruebas de continuidad de negocio. En general, siempre en el ámbito tecnológico, es decir en el marco de los Planes de Contingencia TIC.
Sin embargo, desde hace un tiempo, a medida que tomo parte en diferentes proyectos y accedo a foros “especializados”, empiezo a tener la sensación de que poca gente tiene una concepción clara de cómo es (o debe ser) un Plan de Continuidad de Negocio, un Plan de Recuperación ante Desastres, un Plan de Contingencia TIC o como quieran ustedes llamarlo. Por ello, entrar a tratar en cierta profundidad los factores que intervienen en los cálculos del BIA es como explicar métodos de optimización de código a alguien que apenas sabe cómo programar. Dicho esto, vamos a comenzar por el principio y a lo largo de una serie de entradas veremos si hemos aclarado algo.
La denominación es nuestro primer escollo. Plan de Continuidad de Negocio, Plan de Continuidad de Negocio TIC, Plan de Contingencias, Plan de Recuperación ante Desastres, y alguna denominación más que seguramente se me ha escapado. Aunque esto no es una ciencia exacta, podemos distinguir básicamente tres niveles, donde cada uno de ellos es una limitación del alcance del superior.
En el nivel superior tenemos el padre de todos ellos, el Plan de Continuidad de Negocio (PCN). Éste es el marco común para la continuidad de una organización desde múltiples perspectivas: infraestructura TIC, recursos humanos, mobiliario, sistemas de comunicación, logística, sistemas industriales, infraestructuras físicas, etc. A su vez, cada una de esas dimensiones de una organización tendrá su propio plan de continuidad, que se referenciarán desde el PCN. Si se hunde la zona de carga y descarga de la compañía, habrá que activar unos planes y no otros. Si se inunda el CPD, habrá que activar unos planes y otros sólo parcialmente. Y así, el resto. Nótese que un Plan de Continuidad de Negocio que abarque todas las posibles contingencias es un proyecto multidisciplinar en el que se evalúan no sólo sistemas, sino también infraestructuras físicas, transporte, ubicaciones físicas para el personal, etc. Por lo habitual, únicamente grandes multinacionales requieren disponer de este tipo de planes.
En el segundo nivel tenemos el Plan de Continuidad TIC o el Plan de Contingencia TIC (que llamaremos PCTIC), que no es otra cosa que el Plan de Continuidad de Negocio específico de los Sistemas de Información. Es decir, es sólo uno de los múltiples planes que veíamos anteriormente y con frecuencia el que se implementa, ya sea por la dependencia que existe en las empresas de los sistemas de información, por el coste, o por cualquiera otras razones. En este caso, mientras que un PCN evalúa todos los elementos implicados en una potencial contingencia desde múltiples perspectivas, un PCTIC se limita al ámbito tecnológico (a lo sumo, podría extenderse a la disponibilidad del personal técnico).
Sea por ejemplo una empresa cuyo negocio es la mensajería, y cuyo proceso crítico es la entrega de paquetes. Mientras que un PCN debe evaluar todos los aspectos que pueden afectar y garantizar la continuidad de dicho proceso ante una crisis, tales como infraestructura TIC, transporte, recursos humanos, proveedores, suministros o rutas de entrega, etc., un PCTIC sólo garantiza que los sistemas, aplicaciones, y dispositivos que dan soporte al proceso estarán disponibles dentro de los parámetros establecidos. Si luego hay un problema con los vehículos de reparto, eso es algo que no contempla el PCTIC.
Hay que tener en cuenta que aunque evidentemente el alcance de un PCN es por lo general superior al de un PCTIC (y más idéntico a medida que mayor presencia tiene la tecnología en los procesos), la profundidad del análisis vertical y las fases de su elaboración son básicamente las mismas. Tanto el PCN como el PCTIC presentan una fase de conocimiento de la organización, una fase de análisis, una fase de estrategias de recuperación, una fase de implementación y por último una fase de mantenimiento y prueba. Lo que cambia entre uno y otro principalmente son el tipo de procesos y recursos que se analizan, así como las soluciones ofrecidas.
Bien. Pasemos al tercer nivel. En este nos encontramos con una versión reducida del PCTIC, que suele denominarse Plan de Recuperación ante Desastres (que abreviaremos como PRD). Su principal diferencia con el PCTIC es que la fase de análisis suele ser menos profunda, limitando los interlocutores al personal técnico, y por tanto la elaboración, desarrollo e implementación de los aspectos más técnicos de la continuidad adquieren por comparación un mayor peso. Mientras que en el desarrollo de un PCTIC la fase de implementación va precedida de una fase de análisis importante en duración y relevancia, en un PRD esta fase es más liviana y por tanto los aspectos más prácticos entran en escena antes (nótese que en un PCTIC también se abordan).
Resumiendo, dentro del concepto de la continuidad de negocio podemos encontrar tres proyectos diferentes: (a) un Plan de Continuidad de Negocio, que abarca todas las perspectivas de la continuidad, (b) un Plan de Continuidad TIC, que se limita al ámbito TIC, y un (c) Plan de Recuperación ante Desastres, que se centra en los aspectos más relacionados con la implementación.
Evidentemente, el mundo en el que vivimos no es discreto sino continuo, por lo que en función de las necesidades de nuestra organización, podemos encontrarnos un PCTIC que contemple también la continuidad del personal, un PCTIC que se centre en la fase de análisis por haber sido ya definidas las estrategias de recuperación o un PRD con la documentación técnica en un estado muy avanzado de elaboración.
En el próximo post veremos las diferentes fases que se abordan en el desarrollo e implementación de un PCTIC y qué elementos contiene cada fase.
[Para más información, pueden contactar con mbenet [en] s2grupo.es. Sobre el autor]
Dos criticas. Eso de decir que el PCTIC es el que se implementa suele ser culpa de las consultoras, que no saben hacer planes para los departamentos de producción, logística, etc. Y que el PRD es como el PCTIC pero con analisis mas liviano no esta bien dicho. El PRD es un plan reactivo, de Recuperacion ante Desastres, mientras que el otro es general. sus finalidades son diferentes.
Hola Consultator, gracias por tu comentario y tus críticas.
Respecto al primer punto, que el PCTIC suele ser el que se implementa no era una crítica, quizá no me he expresado bien. A menudo los Planes de Continuidad de Negocio son proyectos promovidos por los departamentos de TI que buscan cubrir la continuidad de sus sistemas e infraestructura técnica ante una potencial contingencia; al mismo tiempo, no es raro que las áreas industriales, logística, producción, sean reticentes a que se metan en sus “asuntos”, especialmente si son “los informáticos”.
Lo que intentaba decir es que en general, cualquier PCN que surge de un área tecnológica acostumbra a ser un PCTIC ya que en otro caso el promotor del proyecto viene siendo Dirección y un PCN puede ser, dependiendo de la organización, varios órdenes de magnitud y complejidad superior al PCTIC.
Respecto al segundo comentario, tengo que darte la razón en que las finalidades son diferentes, o casi diría que la finalidad del PRD está incluida en la del PCTIC. El PRD se limita a la implementación de las medidas más técnicas dejando de lado consideraciones de procesos, RTOs, y otras variables que contempla el PCTIC. Lo que intentaba explicar es que la parte que en un PCTIC le correspondería al personal usuario (tiempos de recuperación, por ejemplo) en un PRD viene directamente definida por el personal técnico, de ahí que esa fase de análisis de riesgos, análisis de impacto sobre el negocio y conocimiento de la organización sea inexistente o, en general, mucho más breve.
Tampoco es raro encontrar proyectos en los que el PCTIC elaborado se limita a las fases más analíticas y deja fuera toda la parte de lo que sería el PRD, dado que a menudo implica un mayor conocimiento técnico y el trabajo mutuo de perfiles técnicos y de consultoría.