viernes, 26 de febrero de 2010

Continuidad y Contingencia

Jose Daccach
Febrero 2002.

La velocidad a la que se mueven los negocios y su dependencia en la tecnología exigen planes de continuidad.

Mucho se ha avanzado desde las épocas en que los sistemas de información eran islas para atender cada requerimiento de un departamento en las empresas. En ese entonces el mayor problema era integrar la información para compartirla. Tanto se desarrolló este tema que ahora se tienen soluciones que no solo integran las aplicaciones de una empresa, sino que incorporan el concepto de empresa ampliada para entrar a formar parte de una cadena de valor.

Adicional a la integración, se tiene todo el proceso en línea y en su gran mayoría, en tiempo real. Es decir, las empresas dependen de sus sistemas de información para poder operar. También dependen de los sistemas de información de sus aliados para que las operaciones que hoy se efectúan en conjunto puedan fluir.

Estos cambios y avances también imponen un cambio necesario al interior de las empresas para garantizar la disponibilidad de sus servicios de información, no solo bajo planes de recuperación de desastres, lo que normalmente se efectúa bajo un plan de contingencia, sino bajo la premisa de "no parar" dentro del concepto de "continuidad del servicio".

En un plan de contingencia se presume que hay una para de un tiempo, tiempo sobre el cual se declara la emergencia, y entran a operar una serie de procedimientos que permiten que el servicio se restablezca en el menor tiempo posible. Una vez resuelta la emergencia, se disparan otra serie de procedimientos que vuelven la operación a su normalidad, procesos que pueden ser bastante engorrosos de ejecutar, en especial cuando de sincronizar la información se trata.

El enfoque del plan de contingencia se basa en la minimización del impacto financiero que pueda tener un desastre en la compañía, mientras que el plan de continuidad está orientado a asegurar la continuidad financiera, satisfacción del cliente y productividad a pesar de una catástrofe.

Mientras que el plan de contingencia se concentra en la recuperación de eventos únicos que producen una interrupción prolongada del servicio, el plan de continuidad se ejecuta permanentemente a través de la administración de riesgos tanto en la información como en la operación. Los riesgos que se enfrentaban en la planeación anterior eran desastres con baja frecuencia pero muy alto impacto. Hoy los riesgos son casi todos de muy ato impacto por las implicaciones que tienen en la empresa ampliada (socios de negocios) y de muy alta ocurrencia.

Ya todas las empresas están expuestas a ataques con virus, problemas de seguridad en la información, calidad del software, almacenamiento de datos inapropiado, arquitecturas tecnológicas complejas y hasta políticas poco efectivas de administración de recursos que pueden abrirle las puertas a una catástrofe con el mismo impacto en el negocio (y hasta mayor) que el impacto causado por una amenaza física como un incendio o un terremoto.

Un plan de continuidad tiene como objetivo tratar de alcanzar una disponibilidad de cinco nueves (99.999%) para la infraestructura crítica, lo que implica que el sistema siempre estará disponible. Hoy existe la tecnología para poder obtener estos resultados, sin embargo el costo de esta tecnología todavía no está al alcance de todas las empresas. El plan de contingencia tiene como beneficio para la empresa garantizar la recuperación de servicios que están desmejorados por la falla, en un período de entre 12 y 72 horas. Un plan de contingencia se refleja en un documento que especifican las tareas que hay que hacer antes, durante y después de la contingencia, además de los responsables de cada acción. Un plan de continuidad se finca sobre las tecnologías emergentes (como unidades de discos para redes, SAN, y cintas para copias de respaldo de altísima velocidad), y la excelencia operativa del centro de cómputo.

Debe quedar claro que un plan de continuidad no es excluyente de un plan de contingencia, sino más bien que el segundo está dentro del primero. Un plan de continuidad para el negocio debe incluir: un plan de recuperación de desastres, el cual especifica la estrategia de un negocio para implementar procedimientos después de una falla; un plan de reanudación que especifica los medios para mantener los servicios críticos en la ubicación de la crisis; un plan de recuperación que especifica los medios para recuperar las funciones del negocio en una ubicación alterna; y un plan de contingencia que especifica los medios para manejar eventos externos que puedan tener serio impacto en la organización.

El plan de continuidad es costoso y no es para todas las empresas, ni para todos los procesos de una gran empresa. Se requiere un adecuado estudio de riesgos y balancear el costo de la implementación de un plan de continuidad con el riesgo de no tenerlo. Sigue siendo el primer paso todavía determinar la criticidad de cada proceso dentro de la empresa ampliada. Para los de muy alta criticidad se deberá implementar un plan de continuidad, para otros, bastará con un plan de contingencia.

0 comentarios:

Publicar un comentario en la entrada

Emoticonos en blogger
:) :'( :( :P :D :$ ;) :-I :-X :o :O O :/