No seas malo, no todo es malo en la gestión de la continuidad
Reconozcámoslo, cada vez que hablamos de gestión de la continuidad siempre pensamos en lo malo, en desastres, en graves interrupciones de servicio, en caídas generalizadas que causan indisponibilidades mayúsculas. Si tú eres de los que piensan así, permíteme ofrecerte una visión muy distinta (y más positiva) de la gestión de la continuidad...
Cierto es que una parte muy importante de la gestión de la continuidad (ITSCM) es la elaboración de los planes de continuidad, planes de contingencia, planes de recuperación, o como prefieras llamarlos. Los DRPs (yo los llamo así) son uno de los entregables “más vistosos” de los procesos, pero también son la parte más triste, porque son la parte negativa, el qué hacer cuando las cosas han ido mal.
El problema es que ITSCM no solo se encarga de qué hacer cuando las cosas han ido mal, sino que también tiene una parte proactiva y preventiva (muy olvidada), que se encarga de analizar los riesgos y amenazas que acechan a nuestros servicios, y tomar medidas (ayudándose en otros procesos) para que la tan temida indisponibilidad no se produzca. Estas tareas preventivas que ayudan a mejorar la disponibilidad de los servicios, también son responsabilidad del proceso de la gestión de la continuidad.
Antes de tirarnos de cabeza a la elaboración de planes de recuperación, se debería analizar con detalle el análisis de impacto en el negocio de una caida del servicio (BIA), y en función de esa valoración, determinar si es necesario realizar una gestión de riesgos preventiva que se encargue de:
- Determinar cuáles son los riesgos que podrían afectar a cada servicio
- Para cada riesgo, determinar el impacto real sobre cada servicio (no todos los riesgos impactarán por igual a todos los servicios)
- Descubrir cuáles son las amenazas que pueden hacer que el riesgo en cuestión se materialice
- Para cada amenaza, analizar cuál es la probabilidad real de que la amenaza se materialice (y haga realidad el riesgo que impactará en el servicio)
Toda esta “prevención” también es responsabilidad de la gestión de la continuidad del servicio, que se ocupa del “antes” (de que el servicio no se caiga), para evitar que llegue el “después” (ya se ha caído el servicio).
Además, todas estas actividades preventivas guardan mucha relación con otros procesos, ya que si lo pensamos bien…
- … estamos realizando tareas de mejora continua (CSI)
- … estamos detectando dificultades latentes en la infraestructura (¿Gestión de Problemas proactiva? ¿Detección de Errores Conocidos?)
- … estamos ejecutando acciones mitigadoras para disminuir el impacto de los riesgos y/o la probabilidad de las amenazas (¿Gestión de Cambios?)
Siempre se pone el ejemplo de que la Gestión de la Continuidad es como un seguro que se contrata por si las cosas van mal o por si nos ponemos enfermos, pero creo que es un símil equivocado (o al menos incompleto), ya que realmente es un seguro médico que nos ayuda a no ponernos enfermos haciéndonos chequeos preventivos, y que aún así, si finalmente nos ponemos malos, nos ayuda a curarnos (pero no pensemos solo en esta segunda parte del seguro, realmente es mucho más importante la primera).
Espero que lo disfruten
Jandro Castro