A principios de los años 90, la continuidad de negocio se consideraba principalmente como recuperación de los sistemas de información frente a desastres, a través de un centro de respaldo, en un tiempo aproximado de 72 horas. Actualmente, existen empresas que para ciertos procesos de negocio requieren niveles de disponibilidad del 99,999 por ciento, y otras en las que una parada no controlada de más de 8 horas causaría un daño irreversible al negocio. Lo que tradicionalmente se consideraba ‘Recuperación ante desastres’, (con la característica de que dicha recuperación no es instantánea), se ha convertido en ‘Gestión de la Continuidad del Negocio’ que conlleva un plan de continuidad y una infraestructura en funcionamiento, que garantizan la continuidad de los procesos que hayan sido considerados críticos para el negocio.
La siguiente cuestión es cuánto puede y debe gastarse una empresa en la gestión de la continuidad de su negocio. Esta cifra estará determinada principalmente por el coste de parada de los procesos de negocio críticos. Este coste de parada es muy diferente dependiendo de la actividad de cada empresa. El coste aproximado por hora de parada de las operaciones de los agentes de bolsa en una entidad financiera podría ascender a 8.000.000 euros; mientras que una hora de parada de un sistema de reservas en una compañía aérea podría tener un coste aproximado de 200.000 euros. Además del coste financiero, habría que tener en cuenta posibles multas, penalizaciones por incumplimiento de acuerdos de nivel de servicio, pérdida de productividad o el impacto en la imagen corporativa de la empresa.
Aunque desde el punto de vista de negocio, se justifica la gestión de un plan de continuidad teniendo en cuenta que aproximadamente el 75 por ciento de los negocios tienen al menos una interrupción no controlada al año; la realidad es que sólo el 45 por ciento de las empresas (Fortune 500) tiene desarrollado un plan de continuidad. Dicha proporción disminuye al 12 por ciento, si realmente dicho plan se considera efectivo, es decir, si está actualizado, operativo y verificado de manera periódica.
Es cierto que actualmente muchas empresas están trabajando en adecuar la gestión de la continuidad de su negocio. Desastres como los ataques terroristas del 11 de septiembre del 2001 han aumentado el nivel de concienciación de las empresas en cuanto a la necesidad de mantener un plan de continuidad. Sirva como dato que 150 de las 350 compañías que operaban en el World Trade Center han dejado de operar. Estadísticamente, está demostrado que el 50 por ciento de los negocios que no recuperan su actividad en menos de 10 días, finalmente desaparecen.
HP ofrece un portafolio completo de soluciones de continuidad que ayudan a la empresa actual en todo el proceso de gestión de la continuidad de su negocio. Desde las fases iniciales de análisis de los procesos críticos, pasando por la evaluación de las posibles estrategias, definición, implantación y verificación del plan de continuidad hasta la propia operación externalizada de determinados servicios dentro de dicho plan.
En un momento en el que la seguridad es la clave de la supervivencia de los negocios, arbitrar una política proactiva se ha convertido en un imperativo. Según Jordi Gascón, director técnico de Computer Associates, “las políticas de seguridad deben establecerse en un estadio temprano del plan de seguridad de la empresa porque determinan qué recursos e información requieren protección, qué individuos y en qué condiciones pueden acceder a ellos, y todas las acciones automatizadas que acompañan a estos procesos”, algo fundamental “para devolver la operatividad plena a una organización en caso de tener que poner en marcha el plan de contingencia que permita la recuperación y la continuidad del negocio” . Gascón indica que “cualquier plan de contingencia deberá inventariar los distintos procesos de negocio y determinar la dependencia e importancia que supone para la empresa en términos de disponibilidad. Para los procesos críticos se deberá destinar la máxima atención y recursos, con centros o equipos de respaldo, mientras que para el resto de procesos puede ser suficiente con la definición de unas correctas políticas de backup y evaluar coste de reposición versus coste de mantenimiento”.
Centrándose en España, Víctor Mojarrieta, director del área de Seguridad para el Sur de Europa BMC Software, indica que “nos encontramos en un momento muy parecido al de otros países europeos, donde las grandes organizaciones han tenido tiempo de elaborar un plan de seguridad lógica; los responsables de la seguridad tienen un papel de importancia creciente, aunque todavía su lugar en el organigrama sea un tanto aleatorio, y, finalmente, se están realizando implantaciones con visión corporativa”. El directivo explica que “acciones como el 11-s han despertado la sensibilidad de todos, y ha despejado dudas sobre la conveniencia de la prevención. Si antes seguridad era un concepto implícito en otras palabras menos rotundas como disponibilidad, control, backup, contingencia, ahora el componente preventivo de la seguridad pasa el filtro de las prioridades presupuestarias más fácilmente” .
La visión de Jesús Moreno, presidente de Unisys, es que “la falta de seguridad, o simplemente la vulnerabilidad no conocida, no son buenos aliados para el negocio. Y, por encima de una política exhaustiva de seguridad reactiva, lo cierto es que son cada vez más las empresas que han optado por acometer planes de contingencia proactivos que incluyen un verdadero “escenario de caos”, y la forma de reactivar automáticamente las operaciones del negocio en caso de desastre” . Moreno interpreta que “la política de seguridad en los planes de contingencia es algo tan crítico que cualquier empresa puede perder su negocio, sus clientes, su prestigio o sus profesionales por desatender este aspecto clave de su organización”. Sin embargo, los datos de la consultora Taylor Nelson muestran que un 35 por ciento de los directores de informática en Europa reconocen disponer de un plan de recuperación contra desastres con cobertura parcial, y casi un 20 por ciento declara no disponer de plan alguno en este sentido”. Parece ser que, en España, la situación es algo mejor. “Más de un 40 por ciento de los DSIs consultados señalan tener un plan de recuperación de desastres total o parcial, mientras que sólo un 12 por ciento asegura que no lo tiene” , comenta Moreno.
Paloma Romera, consultora especialista de BCa y Portugal, comenta que “dada la dependencia de los sistemas de información, cualquier empresa debe contar con su propio plan de continuidad de negocio porque el acceso inmediato a la información es un ingrediente fundamental para mantener una empresa competitiva. Se trata de personalizar el plan a los riesgos y a los requerimientos tanto de negocio como técnicos de cada empresa. En función del sector en el que opera la empresa y de su tamaño, hay que evaluar en qué casos es oportuno contar con unos sistemas u otros” . La directiva destaca también la importancia de que “el plan cubra tres recursos clave de la empresa: los recursos humanos, los físicos y los tecnológicos”.
Isidro Cano, gerente de Producto de Sistemas Críticos en HP, comenta que “la alta disponibilidad es un amplio abanico de soluciones y dispositivos que van desde el servidor perro guardián hasta los sistemas tolerantes a fallos que incorporan redundancia incluso en el software, como los servidores NonStop capaces de garantizar el servicio informativo casi al 100 por cien”. Cano indica que “es importante elegir hardware con elementos de alto valor MTBF, es decir, con tiempo medio entre fallos muy elevado; hardware que incorpore el máximo de capacidades redundantes, y elementos firmware y software de gestión que detecten y corrijan fallos, como los códigos ECC, RAID y sofisticadas herramientas de última generación”.
