Blog - Metodologías y Legislación

Usar puntuación: / 5
MaloBueno 

Por Ing. Esp. Jorge Mario Rodríguez F., CISSP, CISM, NewNet S.A.- Bogotá Colombia

¿Qué hacemos si nos enfermamos todos y no podemos operar ninguna de las facilidades o procesos de negocio?... Estaríamos en una encrucijada que podría estar poniendo en riesgo la supervivencia de nuestro negocio, sin embargo, la continuidad del negocio sería una de las alternativas para evitar dejar de operar, pero… ¿Hasta qué punto la continuidad del negocio nos puede apoyar y en qué escenarios?

Es evidente que si todo el mundo se enferma y la pandemia tiende a acabar con toda la población, no habrá quien use los servicios que deseamos mantener disponibles al menos al final de todo el proceso pandémico, no obstante, al inicio de la pandemia es importante que se cuente con los servicios esenciales de comunicaciones, agua, energía, financieros, entre muchos otros. Para ello las empresas deberán garantizar que las operaciones estén disponibles y que los recursos se pueden usar en un escenario de pandemia.

Pero ahora bien ¿Qué es una pandemia? Una pandemia es una enfermedad altamente contagiosa de tipo viral o bacteriana que pone en peligro la vida humana y que hace entrar en pánico cualquier país afectando su economía, educación, socialización, etc.

Es evidente que dada la gran cantidad de seres humanos y la gran posibilidad de que uno de estos seres se contagie a través de la ingesta de alimentos no sanos, sumados a la morbosidad existente en una parte de la humanidad; las pandemias continuarán siendo una amenaza constante para la sociedad moderna. Estamos viendo el caso de las pandemias más recientes que pasaron a formar parte de las más famosas de la historia como la gripe porcina, la gripe española  la gripe asiática, la gripe de Hong Kong , la epidemia de neumonía atípica y la gripe aviar… ¿En realidad estaremos preparados para mantener la continuidad del negocio en un escenario hostil de pandemia?, ¿nos importará hacerlo? o ¿será más prioritario correr por nuestras vidas dejando al azar la vida de aquellos que dependen de la continuidad en la prestación de un servicio?

Uno de los escenarios que siempre se conciben  en continuidad del negocio es el del centro alternativo de operaciones tecnológicas, pero ¿cómo debería operar un centro alternativo en una crisis de pandemia?

Es muy diferente la concepción que hay hoy en día de centros alternativos de procesamiento con respecto al tema de pandemia, pues en su gran mayoría solo se suponen escenarios de interrupciones en el centro principal por imposibilidad de acceso o fallas en los sistemas. Si quisiéramos  operar en un centro alternativo en una pandemia, tendríamos que evitar que las personas que lo operan se contagien o  enfermen, para ello el centro de contingencia debería contar con las facilidades necesarias para evitar una detención de la operaciones, esto incluye opciones como el  auto-confinamiento o cuarentena, contratos especializados con el personal que opera el centro mencionado, reglas especiales de acceso y salida con respecto a controles virológicos que se sumarían a las existentes, elementos de protección como tapabocas, guantes, desinfectantes , es decir, todo un botiquín especializado anti-contagio.

Los operadores del centro alternativo de procesamiento, deberían contar con la suficiente cantidad de agua y alimento enlatado en las instalaciones y tener un perfil único tipo “soldado de operaciones especiales” en los cuales la familia que tengan sea poca, que puedan sacrificarse en pro de la continuidad y que estén dispuestos a garantizarla, para beneficio  de los demás. Se debe considerar la posible locura de este personal debido al confinamiento permanente, por lo que las evaluaciones sicológicas en la selección de este personal deberán considerar la reacción de estos ante situaciones de alta tensión.

Para la estimación de un plan de continuidad más completo se requiere que se tengan en cuenta los conceptos médicos que permiten establecer cuanto tiempo tomaría erradicar, controlar o minimizar los riesgos de una pandemia, con este dato podríamos planear por ejemplo; el tiempo de aislamiento de los operadores, la rotación, así como la cantidad de recursos con los que se debe contar a disposición para el tiempo de aislamiento.

Me estoy centrando en los operadores pero, ¿qué hay de las actividades propias del negocio que no están relacionadas con el centro alternativo de operaciones?  Para temas de ausencia de personal por enfermedades en los planes clásicos de continuidad del negocio administramos lo que se denomina  “entrenamiento cruzado” el cual opera incluso en el caso de fallecimiento de una persona, pero ante una pandemia tendríamos que tener preparado otro tipo de alternativas, porque se supondrá que todos estarán enfermos o que nadie saldrá a relevar a alguien que acaba de morir por contagio o tal vez nadie salga a contagiarse.

Ante la situación planteada debe recurrirse al trabajo desde casa vía Internet,  considerando lógicamente todos los controles de seguridad como conexión por VPN con protocolos fuertes de encripción y el uso de otro tipo de controles como tokens, que apoyen la autenticación, sin embargo, también se debe considerar quién será mi proveedor de comunicaciones o el de mis empleados y si este  proveedor ante un evento pandémico seguirá operando. Otra alternativa es que implante mi propia red de datos para la contingencia, pero sería muy costoso, eso dependerá de mi BIA (Business Impact Analysis), es decir, de lo que pierda por no operar mientras estoy en contingencia (Pandemia). No puede descartarse la posibilidad de que las personas (empleados) se enfermen en sus casas; otra alternativa es la de poder examinarlos de manera individual, seleccionarlos y disponerlos a trabajar en un sitio desinfectado (libre de contaminación) en condiciones de cuarentena, bajo medidas similares a las de los operadores del centro de contingencia.

Algunos de los puntos importantes que se deben tener en cuenta para un plan de continuidad del negocio que contemple la amenaza de pandemia son los siguientes:

• Determine el impacto que puede causar una amenaza de pandemia en su organización. Defina los equipos de respuesta a incidentes que harán parte de la estrategia de mitigación ante este impacto, puede ser el equipo de continuidad del negocio.
• Involucre a la alta dirección en el manejo de la continuidad del negocio por pandemia ya que tiende a dejar de ser un problema de IT y se refleja directamente en el negocio.
• Defina los servicios que debe prestar la compañía durante una pandemia, es claro que puede que algunos servicios durante la misma no sean utilizados o no será necesario que se presten de manera normal.
• Considere en el plan de continuidad la ausencia de un 50% del personal por ocupaciones varias con sus familias o por la afectación de la salud.
• Mantenga informados a los empleados tratando de evitar falsos rumores o pánico.
• Trate de que el programa de continuidad transcienda más allá de los empleados e involucre a su núcleo familiar con la expectativa de bienestar “cuide al empleado”, ya que el empleado estará enfocado de manera secundaria en los temas laborales y de manera principal en su familia.
• Considere los mecanismos legales que pueden ser utilizados por los empleados y que puedan afectar su plan de continuidad.
• Enseñe a los empleados a identificar y comunicar la presentación de síntomas de la pandemia en la empresa, de manera confidencial y respetando el derecho a la intimidad de cada uno de ellos.
• Establezca conexiones y procedimientos seguros para el trabajo de los empleados desde la casa.
• Considere la carga de red generada por las aplicaciones corporativas que serán accedidas remotamente (gráficos, archivos, etc.) y la carga de red que será utilizada por cada empleado, en conjunto con el ancho de banda hacia el exterior que le brinda su ISP y si este es Upstream  o Downstream. Considere si hay rehúso o es 1:1; si no está seguro de su capacidad de comunicaciones, realice pruebas.
• Tenga en cuenta el entrenamiento cruzado entre empleados y mantenga informado claramente a los anteriores de las diferentes líneas de sucesión del mando.
• Verifique o indague acerca de las contingencias de comunicaciones de los proveedores correspondientes para casos de pandemia.
• Revise sus políticas de retiro por tiempo prolongado y comuníquela a los empleados, considerando el pago de salarios por ausencia laboral de acuerdo a la legislación actual.
• Defina un plan de asistencia a los empleados con los recursos necesarios para el manejo de stress y problemas emocionales causados por la pandemia así como la preparación para afrontar la misma.
• Si es necesario el soporte presencial, identifique el personal especializado para atención en sitio y evalúe cuáles estarían dispuestos a operar en condiciones de aislamiento y bajo medidas de seguridad biológicas.
• Defina los criterios de administración remota y protocolos seguros a ser utilizados, así como el principio del mínimo privilegio para la administración out-site.
• Manténgase alineado con los planes del gobierno para la pandemia y no desestime la posibilidad de evacuación  o cuarentena de ciudades o edificios. 
• Actualice su lista de teléfonos de emergencia y de árbol de llamadas (call tree) incluyendo incluso a quienes trabajarán remotamente, realice pruebas de llamadas para constatar la veracidad de los datos.
• Verifique las autorizaciones de acceso a centros de cómputos y considere el posible desplazamiento de empleados entre áreas geografías distantes.

De existir en su empresa un plan de continuidad del negocio, le recomendamos actualizar o mantenerlo alineado con los puntos expuestos anteriormente con el fin de que sea integral y pueda responder a las necesidades actuales del mundo moderno.