<B>Planes de contingencia</B>

Fernando Aparicio. Profesor del Instituto de Empresa

23 Octubre 2003

Las empresas no suelen conceder prioridad al tratamiento de situaciones eventuales hasta que llega el momento de enfrentarse ellas. Sin embargo, la experiencia demuestra que es mucho mejor prever estos casos y desarrollar un plan de contingencias, antes de que sucedan.

¿Qué es un plan de contingencias?

Bajo este concepto se agrupan varios términos que tratan de la recuperación de las operaciones de negocio ante un desastre: incendios, inundaciones, huracanes, terremotos, cortes eléctricos, actos terroristas, etc.

Con el nombre de Plan de Recuperación de Desastres se conoce el procedimiento que se ocupa de la restauración de operaciones habituales después de un incidente no planificado (desastre); trataría el lado tecnológico de la recuperación, es decir, la capacidad de revertir los sistemas de información a la situación existente antes del desastre. Por el contrario, un Plan de Continuidad de Negocio se ocuparía solamente de las operaciones de negocio críticas necesarias, para continuar el funcionamiento de la empresa después de un incidente no planificado. La diferencia entre ambos conceptos, íntimamente relacionados, es que la continuidad de negocio incorpora un carácter de mayor urgencia, en tanto en cuanto se ocupa de restablecer en el menor plazo de tiempo posible los mínimos requerimientos operativos para proporcionar los servicios a clientes y usuarios.

¿Qué implicaciones tiene para la empresa?

Como todo evento que afecta a la situación de la empresa, requiere del liderazgo y la definición de la Dirección General. No obstante, como es habitual en todo lo relacionado con la inversión en seguridad, los Consejos de Administración no suelen otorgar prioridad especial al tratamiento de una situación eventual, de incierta probabilidad de ocurrencia y de escasa percepción en cuanto al retorno de la inversión, hasta que sangran por la herida. La situación tectónica de California, los huracanes de Florida o acontecimientos como el 11-S convierten a los americanos en la referencia mundial a la hora de tomar en consideración la importancia de disponer de un plan de contingencia en condiciones. Y en España, que le pregunten a Iberia, tras su reciente incendio en el suministro eléctrico, si es más útil valorar estas cuestiones antes o después de que hayan ocurrido.

Un estudio de la Universidad de Minnesota realizaba una división por sectores teniendo en cuenta el período máximo en el que una empresa puede estar parada sin poner en peligro su supervivencia: entre el sector seguros (5,6 días) y el financiero (2 días) se encontraban el resto de los sectores objeto del estudio (fabricación, industrial y distribución). Una conclusión obvia es que si un acontecimiento me puede llevar a la quiebra en un par de días más me vale tener planificada una buena respuesta ante la crisis. Y el objetivo principal de cualquier plan de continuidad de negocio es la mera supervivencia ante este tipo de situaciones.

Cómo en cualquier plan que abarca todos los departamentos de la empresa, se requiere una participación exhaustiva del usuario final, que se encontrará organizado en equipos que se repartirán las funciones de emergencia en caso de incidente. Todos los departamentos de la empresa deben participar en la confección del plan, tanto en el análisis previo sobre el impacto que puede tener un desastre sobre el negocio, como a la hora de participar en las pruebas del plan.

Las cuestiones a determinar en este análisis del impacto sobre el negocio incluyen la clasificación de recursos y procesos críticos, y el período de tiempo en el que se debe efectuar la recuperación de los mismos antes de que las pérdidas sean significativas o inaceptables. Evidentemente, todo este análisis tiene una repercusión en los costes del plan, por cuanto un menor tiempo de recuperación va a requerir de una mayor inversión para su restablecimiento efectivo.

El análisis del impacto de un desastre sobre el negocio requerirá, para su adecuada priorización, la clasificación de los activos de información: las categorías usadas suelen ir desde críticas (aquellas funciones que no pueden realizarse a menos que sean reemplazadas por capacidades idénticas) hasta las no críticas (pueden ser interrumpidas por un período prolongado de tiempo con un costo pequeño o nulo) pasando por estados intermedios como vitales o sensitivas, donde se permite la realización manual de funciones durante un breve período de tiempo y con costes tolerables.

En las organizaciones actuales, las interrupciones más prolongadas y costosas suelen requerir alternativas de recuperación en un sitio distinto a la ubicación inicial, de manera que los procesos críticos habituales puedan continuarse, idealmente, sin siquiera conocimiento del desastre por parte de los clientes. En la elección de estas alternativas de procesamiento existen diversas opciones, con importantes variaciones de costes entre ellas: sitios calientes (hot sites), templados (warm sites) o fríos (cold sites), según la mayor o menor existencia de equipos compatibles de hardware y software, instalaciones y conexiones redundantes de telecomunicaciones, etc, para soportar la continuidad de las operaciones críticas de negocio. Los tiempos de recuperación, según la opción elegida, pueden oscilar entre varias horas y varias semanas.

Otras alternativas, más factibles sobre el papel que en la realidad, incluyen la posibilidad de establecer un acuerdo recíproco entre empresas similares para la provisión de ayuda mutua de procesamiento en caso de emergencia. Si bien es la alternativa de menor coste, en la práctica las diferencias en las configuraciones de los equipos suelen plantear graves problemas de compatibilidad.

¿Ciencia-ficción? ¿Sobreprotección de la información a coste excesivo? Como bien saben los sectores de finanzas y telecomunicaciones, sufridores habituales y puntas de lanza en la planificación de los planes de contingencia, es más barato prevenir que curar, y un plan de contingencia bien diseñado y probado puede ser la única garantía de supervivencia. O, pregúntense Uds. ¿Cuánto tiempo de gracia le darían a su banco si no les garantiza un inmediato restablecimiento del servicio?

Último vídeo

Martha Thorne valora el fallo del Premio Pritzker 2017

See video
Síguenos en
IE Focus Newsletter
Agenda IE
Most read
IE Business School | María de Molina 11, 28006 Madrid | Tel. +34 91 568 96 00 | e-mail: info@ie.edu

Contacto

IE Business School

María de Molina, 11. 28006 Madrid

Tel. +34 915 689 600

info@ie.edu