ISO 22301 Pla de continuïtat del negoci

Passos per implantar el Pla de Continuïtat del Negoci.

El Pla de Continuïtat del Negoci és un document viu, testejat i comprès de forma transversal per tots els stakeholders d’una empresa. De forma sintètica, podem establir els següents passos a seguir per implantar el Pla de Continuïtat del Negoci segons ISO 22301:

1. Definir els elements protegits

El primer que cal plantejar en implantar el Pla de continuïtat del negoci son els elements imprescindibles perquè funcioni el negoci. Aquests elements son els “elements protegits de la companyia” i el focus on el “Pla de Continuïtat” ha d’establir una alternativa o acció concreta, en el cas que alguna cosa vagi malament.

2. Revisar els nivells de protecció

Cal establir a quin nivell de servei mínim cal arribar quan un element protegit cau, amb la finalitat de mantenir la continuïtat del negoci.

Per exemple en implantar el Pla de continuïtat del negoci, on l’element protegit és la seu central de l’empresa, que ha deixat d’estar operativa a causa d’una inundació. Per aconseguir que el personal pugui continuar treballant és imprescindible una localització alternativa totalment preparada, o simplement una solució de treball remot per que l’staff pugui reprendre les seves tasques a distància.

Hem de detectar què necessitem exactament perquè els sistemes segueixin actius: un backup al núvol des d’on restaurar els arxius clau i bases de dades, o una replica complerta de tota a infraestructura.

A més, seguint amb els sistemes, cal definir un “Punt de Recuperació Objectiu” (RTO en anglès), és a dir, quina quantitat de dades perdudes es consideren tolerables; i un “temps de recuperació objectiu” o RTO, el temps màxim que el desastre pot mantenir inoperant el negoci.

3. Identificar els requisits de protecció

Un cop establert què cal protegir i amb quin abast, cal definir exactament què és necessari per aconseguir aquests nivells de protecció, i quina implicació tenen en això les persones, les seus  i els sistemes relacionats.

Seguint amb l’exemple d’implantar el Pla de continuïtat del negoci de l’oficina principal inundada. Si, per exemple, la necessitat és una segona oficina, haurà d’establir punts com ara: a quina distància màxima hauria d’estar ubicada la segona localització? Tindrà que desplaçar-se allà on l’staff, o sols una part? A quins sistemes internshaurien de tenir accés.

4. Escenaris de fallades i accions

Per determinar els requisits de protecció, cal definir les possibles fallades a cada element protegit. Qualsevol fallada implica l’activació del”Pla de Continuïtat del Negoci”. Ha de contemplar accions  a posar en marxa per recuperar el nivell de protecció necessari.

Tornant a l’exemple de l’oficina, qualsevol cosa que comprometi la usabilitat de l’edifici – un foc o una inundació– hauria de contemplar-se com escenari de fallada. En aquests escenaris, cal definir una sèrie d’accions que es posaran en marxa per recuperar el nivell de protecció necessari (com ara, disposar d’una segona oficina totalment preparada), que poden ser tant bàsiques com trucar a l’arrendatari de la segona ubicació per comunicar-li l’activació del “Pla de Continuïtat del Negoci”.

5. Rols i responsabilitats

En planificar les accions per cada escenari de fallada, és crucial especificar no sols els passos que cal seguir, sinó també els rols i les responsabilitats de les persones que haurien d’executar aquests passos. Pot estar integrat amb les descripcions de lloc de treball del certificat ISO 9001.

Al cas de l’exemple que hem fet servir, aquests rols poden ser:

  • Responsable d’instal·lacions: informa a la propietat de la oficina secundaria que se activa el Pla de Continuïtat de Negoci.
  • Equip de TI. transporta i configura els equips i sistemes a la ubicació secundaria per que el staff pugui treballar.
  • Recursos Humans. Coordinant les comunicacions internes. Assegura que tots els treballadors saben què està passant i poden tornar al treball el més aviat possible.

6. Rollback

Després de produir-se un escenari de fallada, l’objectiu és retornar el negoci a l’operativitat complerta. La necessitat de tornar tant ràpid com sigui possible a un nivell mínim d’operació sovint és crític per les companyies.

Per aconseguir-ho, cal tenir un sistema de rollback que permet tornat a tots els sistemes i processos a l’últim punt funcional i recuperar l’operativitat.  Aquest plantejament sovint és més eficient en costos que mantenir una rèplica complerta del model operatiu principal preparat per posar-se en marxa en cas de fallar, aunque esta última es, evidentemente, la opción con mayores garantías.

7. Testing

És l’element més crític de qualsevol “Pla de Continuïtat de Negoci”. Es aquí on cal demostrar que el pla és comprensible, fiable i efectiu. Normalment es fa un simulacre bianual del “Plan de Continuïtat de Negoci”. De totes formes, és recomanable fer tests sobre cada element protegit com a mínim un cop a l’any.