En general, las compañías deben establecer un Tiempo Objetivo de Recuperación (RTO) para poder reanudar sus ciclos de negocio y ciclos de soporte a niveles mínimos específicos (objetivo de tiempo de recuperación u objetivo de continuidad de negocio mínimo).
Cada una debe de fijar sus prioridades por los niveles de desastres que se puedan presentar en sus latitudes. Para esto, deben particularizar y enfocar sus esfuerzos en la priorización de los ciclos de negocio y de soporte que estén desarrollando en su operación, tomando en suma consideración la afectación de zonas y regiones aledañas, contemplando lo siguiente:
- Aprobación o modificación del alcance del programa de plan de continuidad de negocio.
- Identificación de requisitos legales, regulatorios y contractuales (obligaciones).
- Evaluación de los impactos en el tiempo en lo que se refiere a la falla en la entrega de productos / servicios, que sirve como justificación para los requisitos de continuidad del negocio (tiempo, capacidad, calidad, etc.).
- Confirmación de los requisitos de entrega de los ciclos de negocio y ciclos de soporte (que pueden incluir tiempo, calidad, cantidad, niveles de servicio y especificaciones de capacidad) luego de un incidente disruptivo que posteriormente establece las prioridades para los procedimientos y recursos.
- Identificación de procedimientos (que entregan los ciclos de negocio y ciclos de soporte).
- Nominación del personal principal para ayudar en la tarea de verificación del procedimiento.
- Análisis de los objetivos estratégicos, ciclos de negocio y ciclos de soporte de la organización, clientes, partes interesadas y requisitos de tiempo de inactividad.
- Listado de ciclos de negocio y de soporte.
- Localidad donde se encuentran.
Además de los puntos anteriores las compañías pueden verificar e inventariar su información relacionada con la ubicación geográfica que tengan, entre esa información se encuentra la siguiente:
- Zonas de riesgo
- Personas, habilidades y roles.
- Instalaciones.
- Equipo.
- Registros.
- Financiamiento.
- Tecnologías de la Información y Comunicaciones (ICT, por sus siglas en inglés), incluidas aplicaciones, datos, telefonía y redes.
- Proveedores, terceros y socios externos.
- Dependencias de otros procedimientos.
- Herramientas especiales, piezas de repuesto y consumibles.
- Limitaciones impuestas a los recursos por logística o regulaciones.
La forma de ubicar tu zona de riesgo, es a través de un análisis de escenarios como a continuación se muestra:
| Desastres naturales y ambientales | Enfermedades infecciosas | Ataques cibernéticos o a la actividad informática |
| – Terremoto. – Inundaciones. – Hundimiento. – Incendio. – Tormentas. – Tornados. – Huracanes. – Erupción volcánica. – Contaminación ambiental. – Calor o frío extremo. – Fuga de gas. – Multitud en pánico | – Pandemia. – Infección masiva de la población. – Posible aplicación de protocolos de emergencia sanitaria por parte del Gobierno Federal. – Cerco sanitario impuesto. – Limitación o restricción de acceso a las oficinas. | – Intrusión agresiva en plataforma operativa. – Robo de información. – Borrado intencional de información. – Afectación de bases de datos. – Alteración de información confidencial. – Suplantación de identidad. – Robo de claves de acceso. – Ataques de virus y malware. |
| Sabotajes | Terremotos | Interrupciones en el suministro de energía |
| – Ataque a la infraestructura de comunicaciones o servidores en centro de datos. – Ataque a la infraestructura de telecomunicaciones, internet o equipos de cómputo. – Alteración de información física. – Borrado o pérdida de información física. – Bloqueo de acceso a las instalaciones. – Destrucción de mobiliario en la Institución. | – Amenaza de bomba. – Amenazas biológicas. – Amenazas químicas. – Dispersión de material radioactivo. – Atentado de bomba. – Secuestro masivo de personal y/o directivos. – Incendios provocados. – Ataque a personal y/o directivos. – Fuga de gas provocada. – Multitud en pánico provocado por algún otro escenario de contingencia. | – Ausencia o indisponibilidad de los responsables de procedimientos o ejecutores de sistemas críticos. – Indisponibilidad de los sistemas y/o aplicativos críticos. – Desplome de conexiones y enlaces. – Los equipos de comunicaciones presentan fallas. – El suministro de energía presenta fallas. – Pérdida de información física de la Institución. |
Como lo hemos mantenido diciendo a través de los diferentes artículos de esta revista, la planeación y la prevención es un factor que nos podrá dar la victoria en situaciones de contingencia, por lo que invertir en la seguridad de nuestra empresa debería de ser una costumbre tan grande como la de hacer fiestas de fin de año; y pensémoslo, si algo llegase a pasar en esos días de festejo, poco disfrutaremos de ellos al estar involucrados en la resolución de problemas y servicios.
Procura la continuidad de tu empresa, propón estrategias que aumenten la certidumbre a través de la mejora de estándares de seguridad que mejoren la disponibilidad de su operación, mitigando en la medida de lo posible riesgos innecesarios.
