Ezequiel Matias Fagetti
El software de continuidad de negocio no es nada nuevo, talvez usted ya ha tenido experiencia con estas soluciones, pero las pregunta son: ¿Es tiempo de utilizarlas? ¿Estas herramientas nos ayudan con los cambios, con nuestras necesidades y con el rol expandido de los profesionales de continuidad de negocio? Como todo lo relacionado con continuidad de negocio, la respuesta a estas preguntas no es tan simple.
Algunas de sus resistencias.
Desde que se comenzaron a utilizar, una de las quejas más repetidas en relación con el software de continuidad de negocio era que no son muy fáciles de utilizar, sin importar las campañas de marketing que indicaban lo contrario. Inclusive, los productos de mayor facilidad en su manejo, en comparación con el resto eran multi capa y muy complejos, especialmente para los administradores y usuarios con altos privilegios.
Pero en defensa los proveedores de este tipo de software, han puesto énfasis en facilitar su uso en estos años recientes, y actualmente su uso no es tan tedioso e incomprensible como solía ser.
Por otro lado, hemos visto un número de paquetes de software que simplemente automatiza el problema e inclusive lo puede hacer más grande. Algunas aplicaciones están más focalizadas en la documentación en vez de los datos, otros fueron construidos sin el entendimiento de que la continuidad de negocio es parte de la gestión de riesgos.
No obstante, todavía hay gente que se pregunta ¿Por qué molestarse? ¿Por qué no continuar utilizando Word, Excel and sharepoint? ¿No sigue siendo más fácil? , en este artículo más adelante incluyo algunas reflexiones para ayudar a responder estas preguntas.
¿El software me soluciona todos mis problemas de continuidad?
Como usted podrá suponer, la respuesta a esta pregunta es un simple “no”, cualquier software de continuidad, aún sea de los mejores del mercado, solo nos servirá de soporte (muy importante por cierto), pero representa solo una parte de la planificación e implementación de una estrategia de continuidad.
A menudo, muchas organizaciones compran un software y construyen el programa de continuidad alrededor del software, en vez de utilizar esta software como una herramienta de apoyo; por ninguna razón, el software debería gobernar el enfoque de continuidad de negocio.
En mi experiencia, he observado frecuentemente la tendencia a iniciar un programa de continuidad de negocio que está focalizado más en el tener el propio plan en vez de focalizarse en el proceso y el beneficio de tener una estrategia clara de continuidad, inclusive, muchas veces los planes son desarrollados simplemente para cumplir con normativas externas o internas de la organización.
Evidentemente que si en la organización no creamos un plan estratégico de continuidad de negocio donde se analicen diferentes variables, como la planeación y análisis de la situación, control de daños/riesgos, recuperación y continuidad de las operaciones, mantenimiento del plan, y evidentemente el software de continuidad a ser utilizado, puede ser que se cumpla con la formalidad, pero esto no agregara valor para la organización.
Software desde un perspectiva más amplia que la continuidad de negocio – GRC
Creo que es momento de comenzar a ver las tradicionales soluciones de continuidad con una visión mucho más amplia, cambiando de una visión de software de planificación a una visión en favor de Gobierno, Riesgos y Cumplimiento (GRC, Governance, Risk, and Compliance). En mi opinión, existen muchas empresa de software que proveen herramientas que son realmente muy buenas y que mejoran la situación general de la continuidad. He observado que se han realizado implementaciones exitosas de estos paquetes de software que ayudan a la gente en sus esfuerzos de planificación de continuidad, sin embargo, observo también que existe un quiebre cuando los desarrolladores de estos sistemas empiezan a entender que el programa empieza necesita contar con capacidades más amplias. En este sentido las herramientas con capacidades GRC adquieren mayor importancia.
Mi opinión es que las herramientas basadas en GRC están en mejores condiciones de ayudar a los profesionales de Continuidad de Negocio y a las organizaciones a los que ellos sirven para lograr un mayor entendimiento y una mejor gestión de riesgos. Una solución GRC es una herramienta central desde el punto de vista de cumplimiento y están relacionadas con todos los dominios (incluyendo el de continuidad, por supuesto), si su compañía es una empresa globalizada, es crítico tener un entendimiento de los requerimientos regulatorios alrededor de sus actividades, como también de las actividades de gobierno para los productos a vender o servicios a ser entregados. Las herramientas GRC típicamente están construidas con un núcleo de auditoria y permiten calibrar los programas de continuidad de negocio.
En todos los niveles de la organización, un programa efectivo de continuidad asegurará la continuidad de las operaciones y servicios, y frecuentemente es un proceso vivo que incorpora un gran numero de diferentes elementos complementarios que trabajan en conjunto con las otras funciones de GRC
Estas oportunidades de integración entre Administración de la Continuidad del Negocio (BCM, Busines Continuity Management) y GRC proveen a la empresa un mecanismo de políticas y procedimientos mejorados, ampliando la visibilidad de los riesgos operacionales, reduciendo la duplicidad de esfuerzos, y fomentando el uso de datos compartidos. El resultado final es una mejor y más ajustada ejecución de procesos para los eventos normales y extraordinarios.
¿Automatizar el proceso de continuidad o no?
En mi opinión las principales ventajas de un software bien diseñado son: servir como guía en la planificación a través de procesos, estandarizar el plan en diseños y evidentemente facilitar el mantenimiento de toda la documentación involucrada en el proceso. Adicionalmente, muchos de los paquetes de software también incluyen la habilidad de generar reportes, soporte a otras tareas con comandos de incidentes y funciones de notificación, por nombrar algunas de ellas.
Como desventaja principal mencionaría principalmente el costo; y en algunos casos, las limitaciones en flexibilidad para adaptarse a necesidades específicas de las empresas.
He escuchado decir que es más simple gestionar la continuidad con documentos Word y guardarlos en diferentes carpetas. Sin embargo, desde mi punto de vista el verdadero problema con este enfoque es que al necesitar acceder a estos documentos para realizar un análisis, siempre es demasiado complicado, igualmente también el mantener los planes actualizados; lo cual implica recorrer toda la información relacionada con los diferentes planes guardados en diferentes instalaciones de la organización. Esto por supuesto, crea una mayor probabilidad de que estos planes o la información relacionada, esté desactualizada, y por lo tanto, el plan sea inefectivo en caso de una contingencia, por lo cual mi planteamiento es ¿por qué seguir este complicado proceso de gestión con documentos Word?
La respuesta depende de lo que la organizaicón quiere hacer, del volumen de datos a analizar, de la importancia que tiene la actualización de la gran cantidad de planes y de como seguir mostrando la interdependencia entre ellos. En algunos casos probablemente no se necesite una herramienta, pero con eso se va tener menos capacidad para realizar los procesos de actualización, comunicación y ejecución. Por el contrario, utilizando una herramienta será más fácil madurar el programa de continuidad de manera más rápida y efectiva, teniendo acceso a mayor cantidad de información dentro de la organización.
Ezequiel Matias Fagetti, MBA, CISA , CISM, CGEIT, LA 27001 – Ezequiel tiene más de 17 años de experiencia en el área de Administración de Riesgos, Gobierno Corporativo y la Gestión de Servicios, como asesor y como practicante. Ha vivido y trabajado en diferentes países como: Argentina, Reino Unido, EE.UU., España y Chile. También ha participado en grandes proyectos relacionados con las áreas de: Auditoría Interna, Auditoría TI, Cumplimiento, Servicios Financieros y SOX. Ezequiel es un miembro de ISACA y posee las certificaciones CISA, CISM y CGEIT, tiene una licenciatura en Ciencias de la Computación y obtuvo un MBA en 2001 en Barcelona. Sus especialidades son: Auditoría Interna, Gestión de la Continuidad, Asesoría Financiera, Control Interno, Administración de Riesgos, Gobierno, Gestión de Proyectos, SOX y Cumplimiento. Ezequiel puede ser contactado en efagetti@deloitte.com