Por medio de sus resoluciones, la
Agencia Española de Protección de Datos viene manifestando que las copias de
seguridad constituyen uno de los cimientos de la disponibilidad de la
información, es decir: la capacidad de acceder a la información tras ocurrir un
hecho que provoque una interrupción no deliberada en los accesos a la
información, bien sea por causas naturales, bien por mal funcionamiento de los
sistemas o por otras causas.
Esa capacidad de recuperación de la
información frente a una incidencia requiere, en primer lugar, de la
disposición de una copia fiel de la información, que será factible en función
de los procedimientos de copia de respaldo que se hayan implantado.
Igualmente, la eficacia de la
reconstrucción requiere de la capacidad de volver a disponer de la estructura
que alberga dicha información, de la de poder volver a reubicar los datos
existentes, tarea que es asignada al procedimiento de recuperación de datos.
Se trata de dos procesos
interdependientes, necesitando el uno del otro, y ambos en conjunto son
imprescindibles para que sea real la capacidad de devolver el sistema al
momento anterior al fallo con un grado adecuado de fiabilidad.
Todo ello implica en la práctica que
los procedimientos sean definidos con un suficiente grado de detalle,
requiriendo incluso la realización de pruebas de los mismos una vez definidos
y configurados.
Muy relacionado con todo lo anterior
está el concepto de CONTINUIDAD DEL NEGOCIO, que si bien no encuentra mayor
desarrollo en la normativa sobre protección de datos, sí cuenta con un profundo
análisis en la ISO 27001, sobre establecimientos de sistemas de gestión de
seguridad de la información.
Una interrupción en las operaciones de
una empresa (por cualquier causa: terremotos, huracanes, incendios…) provoca
que no se pueda operar. Los procesos vitales se ven afectados. Por ello no es
posible entregar el producto final o prestar el servicio encomendado y por un
tiempo no se puede seguir siendo proveedor confiable. Las estadísticas plantean
que una empresa que deja de operar por espacio de diez días consecutivos, jamás
se recuperará.
No sirven de mucho los planes
estratégicos, ni los modelos de investigación de mercados, ni los sistemas de aseguramiento
de la calidad, si no se tiene una metodología implantada que asegure a la
cadena de suministros continuidad en el funcionamiento si ocurriera un
desastre.
Así, después de la tragedia del 11 de
septiembre de 2003, se ha popularizado y se ha convertido en una exigencia
mundial que las empresas tengan implantado un Plan de Continuidad del Negocio
(PCN) que le permita asegurar a terceros que son proveedores confiables.
Y no sólo los grandes desastres pueden
ser fatales para la continuidad del negocio en cualquier empresa, sino también
las pequeñas incidencias, como cortes del suministro eléctrico, fallos en
internet u otras comunicaciones, defectos en equipos, virus, etc…
Las serias consecuencias de posibles
interrupciones en las operaciones de la empresa pueden evitarse si se tiene un
PCN.
El PCN es un documento que contiene
procedimientos y lineamientos para ayudar a la recuperación y restablecimiento
de procesos interrumpidos y recursos al estado de operación normal, en un
tiempo prudencial. Se debe organizar en 6 fases:
-
FASE
1: BUSINNES IMPACT ANALYSIS: Consiste en identificar los procesos relacionados
con apoyar la misión de la empresa y analizar con detalle los impactos en la
gestión comercial del negocio si esos procesos fuesen interrumpidos como
resultado de un desastre. Se trata de identificar áreas del negocio que son
críticas, la magnitud del impacto de una interrupción y los requerimientos de
tiempo para la recuperación del negocio.
-
FASE
2: GESTIÓN DEL RIESGO: Se evalúan las amenazas de un desastre, se pormenorizan
las vulnerabilidades existentes, los potenciales impactos de un desastre, se
identifican e implementan controles y se identifican escenarios de amenazas
para los procesos esenciales de la empresa.
-
FASE
3: DESARROLLO DE ESTRATEGIAS: Se evalúan los requerimientos y se identifican
las opciones para la recuperación de procesos críticos y sus recursos, en el
escenario en que fuesen interrumpidos por un desastre.
-
FASE
4: DESARROLLO DEL PLAN DE REAUNUDACIÓN DE OPERACIONES: Se desarrolla un plan
para mantener la continuidad del negocio, basado en las fases previas, por
medio de procesos.
-
FASE
5: ENSAYO DEL PCN: Se efectúa el ensayo del plan, con miras a poder determinar
su grado de precisión y actualización.
-
FASE
6: MANTENIMIENTO DEL PCN: se mantiene el PCN en un estado de preparación
constante para que en caso de un desastre se pueda ejecutar minimizando las
posibilidades de errores.