Si realizamos un breve análisis sobre el grado de dependencia de las organizaciones sobre las Tecnologías de Información y Comunicaciones TIC, vemos que éstas están impregnan a todos los niveles incluso en aquellos niveles de toma de decisión de las mismas.
Si las TIC brindan soporte a la definición de acciones a nivel estratégico, la dependencia es muy alta, si únicamente están presentes en el nivel táctico, estamos entonces frente a una dependencia media, y finalmente si los sistemas proveen apoyo únicamente de apoyo a la gestión operativa, entonces podemos decir que la dependencia que presenta la organización es baja.
El grado del nivel de dependencia que tiene una organización de sus TIC, junto a posibles requerimientos legales ú operativos del sector en el cual opera, determinan de que manera disminuye su capacidad operativa de la misma tras haber sufrido un desastre catástrofe o incidente que imposibilite el uso de las TIC.
La principal razón por la que no se debemos correr riesgos está relacionada principalmente por el impacto de la pérdida que podría ocasionar un desastre, catástrofe e incidente sobre los datos con los que operan las organizaciones. Además de ésta razón, existen gran cantidad de otras buenas razones para desarrollar un plan para la continuidad de servicios y negocios.
Las organizaciones están empezando a tomar conciencia de que la información almacenada y que se procesa en sus Centros de Procesos de Datos, en los ordenadores personales de los directivos, en los dispositivos móviles (teléfonos inteligentes, tablests), el almacenamiento de información en dispositivos móviles, es uno de sus mayores activos, y por tanto, debe ser protegida adecuadamente.
Los Responsables de la Seguridad de la Información de las organizaciones reconocen hoy en día la necesidad de contar con un Plan de Contingencias y Recuperación de Desastres no solo para los Centros de Procesos de Datos sino también para los dispositivos móviles.
Las situaciones frente a un desastre, catástrofe o incidente que afectan a la operatividad normal de las organizaciones, mientras el resto de las demás organizaciones de nuestro entorno siguen operando, implican una pérdida de imagen, y de debilidad frente a sus competidores; ambas situaciones impactan negativamente para los intereses de cualquier organización en el actual marco de globalización altamente competitivo. Tras de un desastre catástrofe o incidente, si no se han realizado las consideraciones y planificaciones pertinentes, la organización mostrará debilidades y carencias en sus controles internos, lo que provocará un incremento en las probabilidades para cometer errores.
Si esta situación no es resuelta y el problema se prolonga con los días, además se creará una muy mala imagen con los clientes, proveedores, socios, y agentes internos y externos, debido a la ausencia de los servicios, ausencia de información, imposibilidad de operar, etc. Para paliar estos los riesgos, es menester desarrollar un plan de continuidad de servicios y negocios según el siguiente procedimiento metodológico:
1.-Establecer políticas básicas para una planificación que afronte los desastres, catástrofes e incidentes que permita la continuidad de las operaciones en tales casos.
2.-Crear las políticas y procedimientos específicos para alojar fuera del alcance del desastre, archivos de datos, software y documentación.
3.-Solicitar a todas las áreas de negocio y sus responsables su colaboración y participación para determinar las aplicaciones y procesos críticos con las que operan y así evaluar los impactos y riesgos debidos a la pérdida de datos, a la utilización de datos incorrectos ó inapropiados.
4.-Realizar un análisis detallado del tiempo posterior al desastre, catástrofe o incidente durante el cual la organización podrá mantener sus operaciones sin disponer de los servicios de procesamiento, establecido con las áreas usuarias.
5.-Establecer las responsabilidades para la revisión periódica, con la correspondiente evaluación y aprobación de la gerencia de vulnerabilidades de la organización e impacto de las interrupciones operativas interna de la organización.
Todo esto para hacer un plan estratégico de prevención y eliminar, en medida de lo posible, aquellos puntos que pudieran comprometer la operación de la organización.
Manuel Ballester
Socio Director Área de Consultoría Auren
Vicepresidente Academia Mexicana Ciencia Sistemas