Las claves de la implantación de un BCP y DRP (Business Continuity Plan – Disaster Recovery Plan)

En los últimos tiempos, la preocupación de las organizaciones ante la aparición de incidentes que puedan poner en peligro su negocio ha ido en aumento. Eventos tan impactantes como atentados, ciberataques a gran escala o pandemias, han dejado de considerarse escenarios inverosímiles, abriendo paso a nuevas estrategias y modelos de negocio.

En el ámbito de la Continuidad de Negocio, podemos definir estos escenarios de contingencia como eventos que podrían conducir a una interrupción prolongada de las actividades, creando una situación de pérdida de negocio, de emergencia y/o de crisis.

Es aquí donde una serie de procesos, acciones y procedimientos deberán ejecutarse de forma sincronizada y con máxima prioridad, con el fin de garantizar la entrega de productos y la prestación de servicios, salvaguardando la integridad de nuestra organización. Nos referimos, naturalmente, a los planes y procedimientos de Continuidad de Negocio (BCP o DRP).

Existen varios planes y documentos que guían a las organizaciones frente a los escenarios de contingencia; en la priorización, comunicación y actuación frente a estos acontecimientos, donde es preferible tener una estrategia de actuación previamente definida a recurrir a la improvisación.

A continuación, citaremos algunos de los más importantes:

• Business Continuity Plan (BCP): consiste en la información y el conjunto de planes y procedimientos necesarios para responder ante un incidente disruptivo, con el fin de reanudar las actividades críticas de la empresa. El BCP de una organización está conformado por una serie de planes específicos que, al activarse, ofrecen una respuesta conjunta y coordinada por parte de diferentes áreas de la entidad.

A modo de ejemplo, ante una avería severa en una línea de producción crítica en nuestras instalaciones, puede ser necesaria la activación de nuestro BCP, iniciándose una serie de procesos, acciones y comunicaciones que nos permitan volver a la actividad en el menor tiempo posible.

En función de la gravedad de la avería y la naturaleza del incidente, puede ser necesaria la activación de otros planes específicos, como los mencionados a continuación.

• Planes específicos de Continuidad de Negocio: con estos planes, nos referimos a las acciones destinadas a recuperar una o varias actividades, en función de un escenario de contingencia específico.

Siguiendo con el ejemplo anterior, ante una avería de nuestra línea de producción, podemos activar un plan específico previamente concebido, que nos guíe en la reanudación de la producción. Algunas cuestiones que podrían contener este plan son:

1. Criterios para el uso de un stock de seguridad: si el tiempo de resolución estimado puede poner en peligro la entrega a cliente en tiempo y forma o incluso, incumplimientos legales o contractuales.
2. Método de producción alternativo: uso línea secundaria, externalización temporal, etc.
3. Contacto con personal y proveedores de mantenimiento.
4. Requisitos de reporte de información: para escalar periódicamente el estado de la contingencia y de las acciones, actualización de la estimación del tiempo de resolución, etc.
5. Activación de otros planes, procedimientos y convocatoria de comités de decisión.

• Disaster Recovery Plan (DRP): un Plan de Recuperación ante Desastres describe las acciones para la recuperación de los sistemas de información, la infraestructura informática y las plataformas y aplicaciones de la empresa. Su carácter es fundamentalmente tecnológico.
• Plan de Gestión de Crisis: define los criterios de activación de una crisis, así como las estructuras organizativas y escalado de información, necesarios para la toma de decisiones durante una crisis corporativa. Habitualmente, es el primer plan que se activa nada más detectar la ocurrencia del incidente.
• Planes de Comunicación: establece las comunicaciones necesarias con las diferentes partes interesadas tanto internas como externas, ante eventos relevantes para la compañía, incluyendo los escenarios de Continuidad de Negocio y Crisis.
• Planes de vuelta a la normalidad: acciones destinadas a recuperar el nivel de actividad anterior al incidente, una vez que se ha salvado la contingencia y la organización está prestando sus servicios con un nivel mínimo aceptable. La desescalada por fases que se está dando en España a raíz de la pandemia de COVID-19, sería un ejemplo de este tipo de planes.

• Planes de emergencia: procedimiento de actuación a seguir en caso de que se presenten eventos de riesgo, minimizando los efectos sobre las personas y describiendo los pasos para una evacuación segura, si fuese necesaria.

Cabe destacar que no todos los planes tienen por qué activarse de forma simultánea ante una contingencia. Dependerá sobre todo de la naturaleza del problema y de la magnitud del evento.

Por ejemplo, ante una incidencia relacionada con un fallo en un software crítico de la compañía, puede ser necesaria la activación de nuestro DRP, pero evidentemente no será necesaria la activación del plan de emergencias y, en función del tiempo de resolución, pueden no darse los criterios suficientes para la activación de la crisis o el plan de comunicación.

Desde GlobalSuite Solutions, podemos ayudarles en la implementación, mantenimiento y mejora de sus Planes de Continuidad de Negocio, mediante nuestra consultoría especializada y gracias a nuestro software de gestión, GlobalSuite®.