Riesgos Tecnológicos (TIPS #2): Plan de Contingencias

Publicado el por Javier Klus

Estamos en un contexto de cambio, estamos en un contexto de riesgos emergentes que no estaban en los planes de los Departamentos de Auditoría más experimentados, y dentro de estos riesgos emergentes nos encontramos con el COVIT-19.  Si estuviéramos en un área de evaluación de riesgos podríamos estar ponderando este riesgo como un riesgo de probabilidad de ocurrencia baja (y esperemos que siga siendo así) pero con un impacto catastrófico.  El impacto catastrófico lo podemos ver en las empresas que ya han cerrado y en las empresas que actualmente están tratando de sobrevivir.  Pero no sólo eso, también hemos visto que en estas épocas los riesgos de intrusiones en nuestros sistemas de información, ciberataques, etc. también se han incrementado exponencialmente. Por lo tanto, tenemos  dos riesgos que se han visto potenciado en estos últimos tiempos los cuales pueden comprometer la disponibilidad de la información que manejamos. 

En estos tiempos la información es un activo estratégico de las organizaciones, si a esto le sumamos que las empresas actualmente dependen de sus sistemas de información dado que gran parte de sus procesos de negocios está soportados por los mismo, por lo tanto, una interrupción prolongada de los mismos puede causar riegos financieros, problemas de reputación o bien en una situación de máxima el cierre de la empresa.

Dado entonces que las empresas necesitan seguir manteniendo sus sistemas porque los mismos están directamente ligados a los procesos claves que desempeñan, la pregunta es ¿Qué podemos hacer?. Aquí surgen dos conceptos que no son los mismo pero que contribuyen precisamente a evitar esta situación.

¿Qué es el DRP?

El Disaster Recovery Planning o Plan de Recuperación de Desastre en español se refiera a todas las acciones tendientes precisamente a recuperar todos los aspectos tecnológicos que tiene una empresa.

Lo que persigue es tener definido un conjunto de procedimientos que mitiguen el riesgo que existe si alguna contingencia afecta el funcionamiento de los recursos tecnológicos.

Por lo tanto, en este esquema debemos definir entro otras cosas lo siguiente:

  • Disponer de un árbol de llamadas para notificar en función a una lista de contactos con sus respectivos números telefónicos al personal clave, aquellos que tendrán una función asignada en el plan de recuperación,
  • Copias de Seguridad: Realizar copias de seguridad de la información clave, softwares claves e información relevante de la organización, esta información debería estar en instalaciones externas a la empresa,
  • Centro de Cómputos alternativo: Disponer de un centro de cómputos de contingencia que permita restaurar las operaciones mínimas que la organización ha definido.
  • Disponer de planes escritos que establezcan las acciones a tomar, forma en que se debe recuperar la información, forma en que las aplicaciones deben volver a ser levantadas para que funcionen nuevamente.

¿Qué es un BCP?

Por otro lado, tenemos el Business Continuity Plan, Plan de Continuidad de Negocio el cual son las acciones destinadas a mantener a la empresa en funcionamiento.

A diferencia del DRP que lo que trata es de recuperar los recursos tecnológicos, en BCP intenta que la empresa siga en marcha, por lo tanto, se definirán procedimientos de como actuar en cada uno de los procesos ante una contingencia, ¿debemos emitir facturas manuales?, ¿Debemos destinar vigilancia manual en depósito versus molinetes o dispositivos biométricos?

Si lo vemos como un todo, y como hemos dicho, la mayoría de los procesos de negocios están soportados por sistemas, por lo tanto, cuando hablamos de mantener la continuidad del negocio y sus operaciones a través del BCP estamos también incluyendo en DRP, dado que gran parte de estos procesos están soportados por tecnología.

Lo importante en este análisis de riesgo que hemos hecho es que un Plan de Contingencias es más que relevante en estos tiempos, estamos cada vez más expuestos a riesgos emergentes que pueden comprometer las operaciones de nuestra organización tener un DRP y principalmente un BCP puede ser la diferencia entre poder seguir operando o no.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Publicado por Javier Klus

Soy Máster en Administración de Empresas por la Universidad Politécnica de Madrid y Licenciado en Administración de Empresas (UADE). Durante más de 12 años me he desempeñado en uno de los principales estudio de Auditoría y Consultoría a nivel mundial, en donde ha tenido la oportunidad, dentro del Departamento de Advisory, de interactuar con una gran cantidad de empresas nacionales e internacionales analizando el funcionamiento operativo de las mismas y proponiendo oportunidades de mejora. Mi campo de acción también ha abarcado la realización de Auditorías Internas en numerosas empresas, siendo adicionalmente Auditor Interno Certificado (CIA). Fui profesor de la Universidad del Salvador en el postgrado de Auditoría de Sistemas, así como miembro del comité de publicaciones del Instituto Argentino de Auditores Internos. También soy Co-Director de la Diplomatura en Management de Centro de Servicios Compartidos en la UCEMA. He publicado trabajos relacionados con mis especialidades tanto en Argentina como en España. Adicionalemnte soy Conferencista internacional, habiendo dictado cursos y conferencias en Perú, Colombia y Argentina, entre otros países. En mis ratos libres disfruto de la lectura de libros de todo tipo y de mi familia. Mi próximo libro seguramente será sobre Auditoría Interna, en donde intentaré transmitir todos mis conocimientos en esa temática.