El Plan de Continuidad del Negocio es un documento vivo, testado y comprendido de forma transversal por todos los stakeholders de una empresa. De forma sintética, podemos establecer los siguientes pasos a seguir para implantar el Plan de Continuidad del Negocio según ISO 22301:
1. Definir los elementos protegidos
El primero que hay que plantear al implantar el Plan de continuidad del negocio su los elementos imprescindibles para que funcione el negocio. Estos elementos su los «elementos protegidos de la compañía» y el foco donde el «Plan de Continuidad» tiene que establecer una alternativa o acción concreta, en el supuesto de que algo vaya mal.
2. Revisar los niveles de protección
Hay que establecer en qué nivel de servicio mínimo hay que llegar cuando un elemento protegido madriguera, con el fin de mantener la continuidad del negocio.
Por ejemplo al implantar el Plan de continuidad del negocio, donde el elemento protegido es la sede central de la empresa, que ha dejado de estar operativa a causa de una inundación. Para conseguir que el personal pueda continuar trabajando es imprescindible una localización alternativa totalmente preparada, o simplemente una solución de trabajo remoto por que el staff pueda retomar sus tareas a distancia.
Tenemos que detectar qué necesitamos exactamente para que los sistemas sigan activos: un backup a la nube desde donde restaurar los archivos clave y bases de datos, o una replica cumplida de toda a infraestructura.
Además, siguiendo con los sistemas, hay que definir un «Punto de Recuperación Objetivo» (RTO en inglés), es decir, qué cantidad de datos perdidos se consideran tolerables; y un «tiempo de recuperación objetivo» o RTO, el tiempo máximo que el desastre puede mantener inoperante el negocio.
3. Identificar los requisitos de protección
Una vez establecida qué hay que proteger y con qué alcance, hay que definir exactamente qué es necesario para conseguir estos niveles de protección, y qué implicación tienen en esto las personas, las sedes y los sistemas relacionados.
Siguiendo con el ejemplo de implantar el Plan de continuidad del negocio de la oficina principal inundada. Si, por ejemplo, la necesidad es una segunda oficina, tendrá que establecer puntos como por ejemplo: a qué distancia máxima tendría que estar ubicada la segunda localización? Tendrá que desplazarse allá donde el staff, o solo una parte? A qué sistemas internshaurien de tener acceso.
4. Escenarios de fallos y acciones
Para determinar los requisitos de protección, hay que definir los posibles fallos a cada elemento protegido. Cualquier fallo implica la activación del «Plan de Continuidad del Negocio». Tiene que contemplar acciones a poner en marcha para recuperar el nivel de protección necesario.
Volviendo al ejemplo de la oficina, cualquier cosa que comprometa la usabilidad del edificio – un fuego o una inundación– tendría que contemplarse como escenario de fallo. En estos escenarios, hay que definir una serie de acciones que se pondrán en marcha para recuperar el nivel de protección necesario (como por ejemplo, disponer de una segunda oficina totalmente preparada), que pueden ser tanto básicas como trucar al arrendatario de la segunda ubicación para comunicarle la activación del «Plan de Continuidad del Negocio».
5. Roles y responsabilidades
Al planificar las acciones por cada escenario de fallo, es crucial especificar no solo los pasos que hay que seguir, sino también los roles y las responsabilidades de las personas que tendrían que ejecutar estos pasos. Puede estar integrado con las descripciones de puesto de trabajo del certificado ISO 9001.
Al caso del ejemplo que hemos usado, estos roles pueden ser:
- Responsable de instalaciones: informa a la propiedad de la oficina secundaría que se activa el Plan de Continuidad de Negocio.
- Equipo de TI. transporta y configura los equipos y sistemas a la ubicación secundaría por que el staff pueda trabajar.
- Recursos Humanos. Coordinando las comunicaciones internas. Asegura que todos los trabajadores saben qué está pasando y pueden volver al trabajo el más bien posible.
6. Rollback
Después de producirse un escenario de fallo, el objetivo es devolver el negocio a la operatividad cumplida. La necesidad de volver tanto rápido como sea posible a un nivel mínimo de operación a menudo es crítico por las compañías.
Para conseguirlo, hay que tener un sistema de rollback que permite vuelto a todos los sistemas y procesos al último punto funcional y recuperar la operatividad. Este planteamiento a menudo es más eficiente en costes que mantener una réplica cumplida del modelo operativo principal preparado para ponerse en marcha en caso de fallar, aunque esta última se, evidentemente, la opción cono mayores garantías.
7. Testing
Es el elemento más crítico de cualquier «Plan de Continuidad de Negocio». Se aquí donde hay que demostrar que el plan es comprensible, fiable y efectivo. Normalmente se hace un simulacro bianual del «Plan de Continuidad de Negocio». De todas formas, es recomendable hacer tests sobre cada elemento protegido como mínimo un golpe en el año.