• A la sola luz de los desastres naturales que están impactando en todo el mundo (Japón, Chile, Haití, Indonesia), sumado a las lamentables experiencias sobre exposicion a los riesgos de ataques ciberneticos (Wikileaks), los riesgos financieros sistémicos (crisis subprime, España, Grecia, Irlanda), los eventos de descontento social (Egipto, Tunez, Siria) o eventos bélicos (Libia), el asegurar la continuidad de negocios luce como un objetivo prioritario de toda organización. El esfuerzo de toda una vida empresarial puede diluirse en apenas minutos.
  • De allí que, minimamente, el gobierno corporativo de las instituciones en general y el de las entidades financieras en particular, deberían seriamente considerar el contar con un Plan de Continuidad de Negocios (PCN), que no es más que un esquema de respuesta ordenada ante la ocurrencia de un evento mayor que eventualmente tuviera la capacidad de interrumpir e impactar significativamente sus negocios por un lapso considerable.
  • Según nuestra experiencia, y a ojo de buen cubero (el viejo método de los “dígitos oscilantes”), en el caso de las entidades financieras de Centroamérica y de la Zona Andina, por lo menos el 60%  de aquellas no dispone de un PCN, o si dispone de uno, éste no está adecuadamente actualizado o no incorpora los elementos necesarios como para que sea realmente ejecutable en la práctica.
  • Varias instituciones financieras suponen que la sola tenencia de un Plan de Contingencia de TI las inmuniza contra la discontinuidad; nada más errado. Si bien los procesos TI son obviamente estratégicos (quién acaso podría dudarlo), lo verdaderamente imprescindible para tener alguna oportunidad de asegurar la continuidad son los procesos del gobierno de respuesta. Por más búnker bajo tierra en el que estuviera ubicado el sitio de respaldo, o la multiplicidad de servidores espejo de que se dispusiera, si no existe el grupo de personas entrenado que va a coordenar y tomar decisiones de una forma previsible, racional y razonable para dar respuesta ante un evento interruptor, no se lograrán los objetivos. You bet !
  • En relacion a los específicos planes de contingencia de TI, uno de los problemas más frecuentes que hemos observado en la Región es que una importante proporción de planes de continuidad no es lo eficaz que se supone debería serlo. Lo que falla en general, luego de realizados los testeos de eficacia, es la dinámica de conectividad entre sitio primario-sitio alterno, para nombrar sólo uno de esos problemas.
  • Sobre el tema TI, la firma de especialistas Enterprise Strategy indica que en pruebas de testeo en entidades de mercados desarrollados, el 30 por ciento de los fallos ante un evento fue generado en los procesos de recuperacion de copias de seguridad y un 50 por ciento en los de restauración de archivos, agregandose que muchos departamentos de TI reconocían no estar seguros de ser capaces de recuperar todos los datos críticos de negocio, y si ésto se podría realizar en un período de tiempo aceptable.
  • Por otra parte, un estudio realizado por Symantec, señala que un 67% de las firmas encuestadas mencionaron los fallos de los sistemas y, un 57%  las provenientes del exterior como aquellasamenazas para las Tecnologías de la Información.
  • Sin ir mas lejos, y antes de llegar al mundo de procesos TI: haga la prueba más simple y obvia;  revise si la gasolina de la planta eléctrica de su empresa tien un nivel suficiente como para mantenerla funcionando en caso de corte de fluido electrico las horas que promete el proveedor (es muy raro encontrar una empresa que haya efectuado en la practica una prueba de duración de planta por al menos unas 72 horas continuas).
  • Dos aspectos finales. Uno es la importancia de que los PCN sean diseñados por terceros, con la colaboración e involucramiento de los directamente interesados. Es más frecuente que lo que se supone que cuando un PCN es desarrollado con recursos propios, las debilidades de TI, en especial, sean consciente o inconscientemente “encubiertas, no advertidas  u olvidadas”, de manera de no exponerse en el papel y de quedar en evidencia una serie de vulnerabilidades que se esperaba ya estuvieran resueltas o no existieran, y que en el evento de una emergencia se interpondrían en el logro de los objetivos de restauración; total el big one no ocurrirá jamás, por lo menos en nuestra oficina.
  • El otro aspecto. Recuérdese que NO DISPONER DE UN PLAN DE CONTINUIDAD YA NO SERIA UNA FALLA POR OMISION, SINO UN CLARO ERROR DE GOBIERNO POR COMISION. Y ello conlleva responsabilidades fuertes. Ya no se podrá alegar demasiado colesterol, olvido o desconocimiento.