TRIBUNA de Ana Peña Figuereo, gerente servicios ESI de Control Solutions y Paloma Hernández Sánchez, asociada sénior, Riesgo Tecnológico.
Hablar de políticas, procedimientos y planes de continuidad de negocio, eran términos prácticamente desconocidos en el ámbito de las ESI (Empresas de Servicios de Inversión), específicamente en Sociedades Gestores de Instituciones de Inversión Colectiva (SGIIC) y Sociedades de Inversión (sicav), medianas y pequeñas. Es la Comisión Nacional de Mercado de Valores (CNMV) quien introduce, a través de la regulación (Circular 6/2009), esta terminología, fija sus principios de actuación y la obligatoriedad de su formalización y ejecución.
Sin embargo, a tres años de la entrada en vigor de este requerimiento, estos conceptos aún no han sido bien entendidos ni ejecutados plenamente. Los principales inconvenientes, en este contexto corresponden a:
§ Insuficiente comprensión del término “continuidad del negocio”, con cierta dificultad para identificar cuáles son los procesos claves del negocio.
§ Insuficiencia de medios humanos y de metodología para abordar el proyecto de planificación e implementación del plan de continuidad.
§ Insuficiencia de recursos alternativos para ejecutar los procesos claves del negocio (instalaciones, equipos, etcétera.
§ Formalización deficiente de los aspectos relativos a la continuidad del negocio.
§ Dificultades para probar el plan de continuidad: Incluso en muchos casos en los que el plan está formalizado, no se ha puesto a prueba su funcionalidad.
Garantizar la continuidad de las actividades de una ESI, requiere trabajar en seis grandes áreas de actuación sobre las cuales se desarrolla y fundamenta un plan de continuidad y recuperación.
1. IDENTIFIQUE LOS RIESGOS DEL NEGOCIO
En este ámbito definiremos Riesgo como la posibilidad de incurrir en un cierto coste o pérdida, con consecuencias económicas o sociales muy negativas, tras permanecer un activo expuesto a un fenomeno adverso durante un tiempo prolongado.
Para identificar los riesgos deberán considerarse los siguientes aspectos:
§ Clientes /servicios críticos, que no se pueden ver interrumpidos por el alto impacto en costes, multas, etc., que ello implicaría.
§ Características y probabilidad de ocurrencia de las amenazas (ej.: desastres naturales, tecnologías poco probadas, disturbios sociales,…) que pueden afectar su entorno y a sus actividades críticas, con el fin de disponer de un ranking de gravedad de las mismas.
§ Medidas que minimicen la probabilidad de materialización de las amenazas.
2. IDENTIFIQUE LOS RECURSOS QUE SOPORTAN LOS PROCESOS CLAVE DEL NEGOCIO
Identifique los recursos que soportan los procesos de negocio para planificar su redundancia y evitar su indisponibilidad en caso de desastre en las instalaciones primarias. Esto debe incluir, al menos:
§ Instalaciones y equipamiento que soportan los servicios críticos a clientes, a redundar en emplazamientos alternativos al primario, para mantener los procesos críticos operando.
§ Recursos Materiales/Proveedores cuya carencia imposibilitaría ejecutar los procesos críticos (acceso a sistemas, redes, contratos, etc.).
§ Personal mínimo necesario para prestar los servicios críticos ante una eventual contingencia.
3. ANALICE LA EVOLUCIÓN DEL IMPACTO EN EL NEGOCIO CON EL PASO DEL TIEMPO
Las ESI (medianas y pequeñas) no pueden contemplar dentro de su presupuesto un inventario muy amplio de equipos, suministros, instalaciones secundarias, etc., destinados a hacer frente a una contingencia. Aún así, debe diseñarse una “estrategia de recuperación” que contemple las alternativas adecuadas para continuar operando cuando no se prevea una recuperación a corto plazo en las instalaciones primarias. La activación de la estrategia de recuperación implicará tareas como trasladar o coordinar el trabajo a distancia del personal propio y externo, conmutar líneas de comunicaciones, adquirir equipos de repuesto, etc. Todos estos aspectos pueden resultar muy costosos y complejos. Para tomar la decisión de hacerlo en el momento justo, debemos poder contestar la siguiente pregunta: ¿a partir de qué momento en el tiempo (ej.: 1 día, 3 días o 1 semana) tras una interrupción de las actividades en las instalaciones primarias, es preciso activar la estrategia de recuperación?
4. DISEÑE UNA ESTRATEGIA DE RECUPERACIÓN CON MEDIOS TECNOLÓGICOS, MATERIALES Y HUMANOS
Una vez determinado el plazo máximo para la recuperación, digamos por ejemplo 1 día, hay que pasar a analizar los pros/contras de las diferentes estrategias alternativas de recuperación.
En el plano tecnológico, algunas de las estrategias a analizar pueden ser, por ejemplo
§ Subcontratar servicios de proceso de datos de respaldo en la nube;
§ Contratar líneas de comunicaciones de backup con distintos proveedores;
§ Hacer que las transacciones se procesen simultáneamente en dos servidores redundados y distantes, o simplemente incrementar la frecuencia de los backups y almacenarlos en una ubicación distinta a la de las instalaciones primarias.
En el plano operativo, para decidir entre estrategias alternativas, se deben evaluar aspectos tales como:
§ Posibilidad de utilizar las instalaciones de un proveedor de servicios (de forma provisional);
§ Viabilidad de trabajar a distancia, hasta disponer de una nueva sede o hasta que esté disponible de nuevo la sede principal accidentada.
5. FORMALICE EL PLAN DE CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN FRENTE A DESASTRE
Una vez elegida la estrategia para afrontar la contingencia, debe formalizarse un plan de recuperación que cubra, al menos, los siguientes puntos:
§ Diseñe una política que establezca claramente las pautas admitidas por la entidad para gestionar el proceso de continuidad del negocio.
§ Documente la estrategia de recuperación elegida, contemplando TODOS los medios necesarios para actuar frente a una contingencia.
§ Defina los recursos a duplicar y los procedimientos para recuperar las instalaciones informáticas / físicas que hayan resultado dañadas o destruidas.
§ Establezca un equipo humano que soporte el plan de respuesta, incluyendo la asignación de roles y responsabilidades antes, durante y después de una contingencia.
§ Establezca las medidas preventivas para reducir el impacto negativo de la interrupción de los servicios informáticos y operativos.
6. PRUEBE EL PLAN DE RECUPERACIÓN
Probar el Plan de Recuperación nos permitirá asegurarnos de que todas las medidas adoptadas funcionan y son ejecutables, con la eficiencia y prontitud para las que fueron concebidas. Algunos aspectos a probar incluyen:
§ Sistema de notificación / alerta interna (simulacro):
o Convocar al Comité de Crisis.
o Evacuación / control de entrada de personas a las instalaciones.
§ Sistema de notificación externa (simulacro):
o Notificar a los organismos de socorro externo.
o Comunicar los hechos a los clientes y terceras partes interesadas (accionistas, etc.)
§ Operativa en la sede alternativa:
o Trasladar personal crítico, restaurar bases de datos, informar a las unidades de negocio de últimas transacciones que hubieran podido perderse al restaurar desde la copia de backup, etc.).
o Gestionar las operaciones básicas realizadas en un día ordinario.
Una vez concluídas las pruebas, documente los inconvenientes presentados y/o las situaciones no previstas. Y, por último, actualice y mejore el Plan de Continuidad a partir de los resultados de laspruebas.
Resumen
La determinación de las necesidades de continuidad debe basarse en un análisis preliminar de los riesgos a los que está expuesta cada entidad y del impacto que una interrupción de los procesos críticos tendría a nivel financiero, reputacional o normativo. Debemos centrarnos en escenarios de contingencia de duración media-larga, que afecten a las infraestructuras y servicios tecnológicos. Por ejemplo: incendio o inundación de instalaciones primarias, caída de líneas de comunicaciones, indisponibilidad de equipos críticos debido a un ataque de denegación de servicios web, etc. En todos estos casos, es vital disponer de un Plan de Respuesta, apoyándose en equipos humanos, preparados para operar en modo de “contingencia”, y en un mínimo de soluciones tecnológicas ubicadas en instalaciones o proveedores alternativos.