Hoy comparto un interesante post de Manel Herrer, miembro del equipo de Seguridad de la Información de Necsia. Se trata de una invitación a reflexionar acerca de la importancia de realizar pruebas del Plan de Continuidad de Negocio.

Actualmente, muchas de las grandes empresas cuentan con planes de Continuidad de Negocio. Estos planes no dejan de ser documentos en papel que, teóricamente, deben proporcionar las pautas de comportamiento en caso de que se produzca un desastre.

Todos sabemos que una cosa es la teoría y otra muy distinta la práctica. Lo mismo ocurre con la Continuidad de Negocio. Es por ello que, para probar la eficacia de los documentos teóricos desarrollados, resulta imprescindible realizar ejercicios prácticos para probarlos, que serian las pruebas de los Planes de Continuidad.

Las pruebas se pueden diferenciar en diferentes tipos. Así, tendríamos pruebas a pequeña escala, o pruebas de mesa, que servirían para concienciar a los diferentes responsables sobre cómo deberían actuar ante determinadas situaciones. También tendríamos las pruebas reales, que tendrían un alcance mayor, en las que se probaría todo el dispositivo preparado para un escenario determinado. Estas pruebas deberían calendarizarse y procedimentarse siguiendo un Plan de Pruebas de Continuidad de Negocio, de tal manera que fueran recurrentes en la ejecución de procesos de la organización.

Independientemente del tipo de pruebas, los pasos a seguir para la realización de las mismas son siempre los siguientes:

  1. Preparación de la Prueba: En esta fase, se debe preparar el material, convocar a los asistentes, reservar el espacio, etc.
  2. Ejecución de la Prueba.
  3. Documentación de los resultados.
  4. Análisis de los resultados: Se recoge el tiempo que se tarda en realizar la prueba, la cantidad de recursos empleados, la exactitud en la realización de la misma (en función de los requerimientos del Plan de Continuidad, etc.)
  5. Mantenimiento del Plan de Pruebas: Se actualiza la periodicidad de las pruebas y se extraen conclusiones que pueden servir para la mejora de todo el Plan de Continuidad.

¿Cuál es la importancia de que estas pruebas se desarrollen correctamente? Veamos un ejemplo de lo que podría pasar ante dos situaciones distintas: si un Plan de Continuidad se ejecuta habiendo realizlado las pruebas, o si éstas no se efectúan.

Imaginemos en un primer caso que una gran empresa del sector de la distribución de productos perecederos ha desarrollado un Plan de Continuidad, pero no se ha preocupado de ejecutar las pruebas pertinentes.

Un día, debido a una fuerte tormenta, el almacén principal donde se guardan los productos se hunde con todo el stock dentro, por lo que se decide activar el Plan de Continuidad.

Dicho plan contempla el escenario de indisponibilidad del edificio, y las estrategias a seguir. En este caso, se contemplaba la contratación de un nuevo edificio y la reasignación de los envíos a dichas instalaciones. Plan Continuidad de Negocio

El problema aparece cuando se tiene que llevar a la práctica el Plan. El personal clave, aun conociendo la teoría y los pasos a seguir en el caso específico, nunca lo habría puesto en práctica. Esto conduciría a una situación un tanto caótica, en la que el personal recibiría instrucciones de manera descoordinada (al no haber realizado pruebas del plan de comunicación) y resultando en una desorientación generalizada que provocaría que las pérdidas asociadas al incidente fuesen mucho mayores que las contempladas dentro del plan.

En el otro lado de la balanza tendríamos el caso de una empresa de las mismas  características que en este caso sí que realiza periódicamente sus pruebas. En esta empresa se realizan pruebas de mesa trimestralmente, pruebas de recolocación parcial semestralmente y pruebas de recolocación general anualmente. Todo el personal clave está involucrado en las mismas y, a base de repetir acciones, conocen cómo actuar en caso de que haya una crisis.

En este caso, y ante el escenario anterior, los empleados ya conocen los pasos a seguir, se siguen flujos de comunicación establecidos que contemplan acciones ya probadas con anterioridad, y que reducen las perdidas de la interrupción al mínimo.Plan de Continuidad de Negocio

Así pues, la conclusión sería que, por muy bien desarrollado que se tenga un Plan de Continuidad de Negocio, es imprescindible efectuar las pruebas el mismo. Ya lo exige la nueva normativa de Continuidad de Negocio ISO 22301, y debería ser un proceso recurrente incorporado en todas las empresas que presuman de tener un Plan eficiente y eficaz.