Consultoría BCM

La gestión de la continuidad de la actividad empresarial (BCM) tiene por objeto analizar y reducir al mínimo los riesgos para la empresa y sus efectos y aplicar contramedidas eficaces antes de que se produzcan: tener un "Plan B".

BCM aumenta la resistencia de la compañía, mejora su imagen y asegura su existencia continua - de la manera más efectiva y eficiente posible.

Nuestro modelo de proceso de Continuidad de Negocio se basa en nuestros muchos años de experiencia en proyectos, los modelos de mejores prácticas en la industria, a saber, GPG (BCI) y las normas internacionales actuales.

 Iniciación a la BCM

La etapa de inicio de un proyecto de Gestión de Continuidad de Negocio (BCM) es un componente muy importante de la implementación del proyecto y el posterior establecimiento del proceso. En esta etapa se trata de definir claramente los objetivos y los presupuestos. Como resultado de esta etapa se genera una Política de Continuidad del Negocio (BC) y un Manual de Continuidad del Negocio (BC).

 Análisis y Concepto

La "Análisis y Concepto" trata sobre la definición de los objetivos y las opciones de soluciones para la planificación de la continuidad del negocio. Esto es necesario para desplegar los escasos recursos financieros y humanos para los procesos de negocio, las organizaciones y las infraestructuras adecuadas.

Análisis de Impacto en el Negocio / Análisis de Amenazas

La primera tarea del equipo del proyecto es realizar un Análisis de Impacto en el Negocio (BIA). La BIA ofrece como resultado una visión general de los procesos y sistemas que son críticos para la supervivencia de la empresa, y su objetivo de punto de recuperación (RPO) y su objetivo de tiempo de recuperación (RTO).
El Análisis de Amenazas - como un proceso siguiente - determina los riesgos y su probabilidad para los procesos y sistemas críticos.

Concepto de solución de continuidad del negocio

Los conocimientos obtenidos de la BIA permiten la definición de un concepto apropiado de continuidad del negocio, con una relación óptima entre la minimización del riesgo y el coste/beneficio de las opciones propuestas.

 Implementación

Una vez fijada la estrategia, la fase de implementación se ocupa de la estructura organizativa y de la ejecución de las medidas de prevención y respuesta.

Organización

Para situaciones de emergencia, debe establecerse una estructura organizativa independiente (organización en la sombra). El propósito de esta forma de organización es permitir una toma de decisiones rápida e inequívoca en situaciones críticas mediante la reducción de la jerarquía organizativa. Además, se define un procedimiento de escalamiento independiente para esta organización de respuesta a incidentes.

Procesos de BCM

Es necesario definir los procesos de gestión para poder pasar de las tareas cotidianas a operaciones controladas después de la conclusión del proyecto. Éstas contienen, por ejemplo, interfaces claramente definidas con la Gestión del Cambio o con el Departamento de Personal (Awareness).

Medidas de prevención y mitigación

Esta área conlleva la implementación de medidas de reducción de riesgos. Esto puede incluir los cambios organizativos necesarios, así como inversiones concretas en la infraestructura. Por un lado, los eventos que causan daños o pérdidas deben evitarse (prevención) con medidas preventivas de reducción de riesgos; por otro lado, las precauciones también deben aplicarse durante el tiempo posterior a una emergencia (por ejemplo, construcción de una ubicación satelital, acuerdos de entrega de emergencia....).

 Planificación

El desarrollo de planes de continuidad de negocio es una de las tareas más importantes del establecimiento de la Gestión de Continuidad de Negocio. Un propósito esencial de los procesos de BCM son los planes de funcionamiento que distinguimos a continuación:

  • Planes estratégicos

  • Planes tácticos

  • Planes operativos

Planes estratégicos

Los planes estratégicos proporcionan apoyo al equipo de gestión de crisis durante una crisis. Estos planes incluyen

  • Manual de Organización de Crisis

  • Plan de respuesta a las crisis

  • Plan de comunicación de crisis

Planes tácticos

Los planes tácticos coordinan las actividades de recuperación y otras actividades a nivel del Centro de Situación.

Planes operativos

Los Planes de Continuidad de Negocio (BCP) describen las medidas puente necesarias en caso de fallo de un proceso de negocio y las medidas necesarias para iniciar la operación de emergencia.

 Validación

La estrategia de prueba define la profundidad de prueba (clase de prueba), los componentes de prueba y la estructura de prueba. La planificación de la prueba define un calendario concreto para la ejecución de las pruebas. A partir de la clase de prueba "Functional Test" se crea un concepto de prueba.

La finalización satisfactoria de una clase de prueba inferior (por ejemplo, una prueba básica) es un requisito previo para realizar una prueba de una clase de prueba superior (por ejemplo, una prueba de aplicación). Distinguimos entre las siguientes clases de prueba:

  • Ejercicios de escritorio

  • Pruebas funcionales

  • Pruebas de la cadena de proceso

  • Ejercicios de simulación

  • Ejercicios de vida

Ejercicios de escritorio

Estas pruebas son las más simples y frecuentes. El autor y los equipos de emergencia nombrados en el plano comprueban el contenido y la actualidad de los contenidos en el "escritorio".

Pruebas funcionales

Esta clase de prueba comprueba los planes de continuidad individuales y/o los recursos de reserva. Durante dicha prueba, se comprobarán los procedimientos definidos para el reinicio y el funcionamiento de emergencia. Esto también incluye la comprobación de la infraestructura técnica en la ubicación alternativa y el cumplimiento de los tiempos de reinicio.

Pruebas de la cadena de proceso

Durante las pruebas de la cadena de proceso, las medidas de emergencia para un proceso empresarial se verifican de principio a fin. Las dependencias mutuas existentes entre las medidas de emergencia de los componentes de TI pertinentes y los requisitos para su secuencia cronológica dentro de la cadena de proceso también se tienen en cuenta y se revisan en consecuencia.

Ejercicios de simulación

Para esta clase de ejercicios, se escriben guiones de los que emergen la secuencia cronológica y la situación de crisis simulada. Dependiendo del evento simulado, estos ejercicios pueden durar algunas horas o días. Normalmente se realiza un ejercicio de simulación para los planes estratégicos y tácticos.

Ejercicios de vida

Los ejercicios en esta clase incluyen todos los equipos de emergencia, incluyendo los equipos de crisis y los centros de situación. Los ejercicios de vida tienen por objeto demostrar que los procesos de emergencia, tanto técnicos como organizativos, funcionan en condiciones realistas.

 Prueba inicial

Antes de poder transferir el proyecto BCM a las operaciones diarias, se debe realizar una primera "Prueba Inicial". La estrategia de pruebas definida (pruebas de escenario, pruebas de solución y pruebas de emplazamiento alternativo, pruebas de infraestructura, pruebas de comunicación...) determinan la escala de la prueba. Es importante para la prueba inicial que todas las actividades de planificación se lleven a cabo en coordinación con la prueba:

  • Se definen los objetivos de la prueba

  • Se planifican los preparativos de la prueba

  • La ejecución de la prueba está prevista

  • El análisis de la prueba y la evaluación de la prueba están planificados