Conceptes bàsics

Tota organització pot reconèixer i identificar que existeixen importants amenaces a la possibilitat de l’ocurrència d’una incidència o catàstrofe que afecti a les activitats, així com la necessitat de recuperar-se en el menor temps possible, garantint la continuïtat de l’organització.

La gestió d’un Pla de Continuïtat de Negoci (PCN) o el seu acrònim en anglès BNP (Business Continuity Plan),  és la política que una organització implementa, per tal de respondre de manera organitzativa als esdeveniments que interrompen el normal funcionament dels seus processos i que poden generar impactes sensibles en la consecució dels objectius.

El PCN és una eina que mitiga el risc de la no disponibilitat dels recursos necessaris per al desenvolupament normal de les operacions i com a tal, forma part del sistema de gestió de riscos operatiu, oferint com a elements de control la Prevenció i atenció d’emergències, gestió de crisis, plans de contingència i capacitat normal de retorn a operació.

 

Objectiu general

Assegurar-se que l’organització estigui preparada per respondre a emergències, recuperar-se d’elles i mitigar els impactes causats, permetent la continuïtat de les operacions (productives i de serveis) crítics per a l’atenció al client i a altres parts interessades.

Pot concretar-se en:

  • Aconseguir un nivell de preparació davant d’incidents que permeti assegurar que es pot protegir la integritat de les persones i béns de l’organització d’una manera adequada, fent una bona administració de la crisi.
  • Minimitzar la periodicitat de les interrupcions de funcionament dels processos de negoci.
  • Assegurar la restauració immediata de les operacions afectades per l’esdeveniment.
  • Minimitzar les decisions a prendre en cas de contingència per evitar cometre errors.

Àmbit competent

La gestió del PCN és una disciplina que prepara a l’organització per poder continuar operant durant una incidència o desastre, a través de la implementació d’un pla de continuïtat, que contempla les directrius de Gestió de la continuïtat de l’organització, el desenvolupament de fases que componen el pla de continuïtat i les metodologies definides per l’organització per a la seva execució, així com el desenvolupament dels plans de contingència, que es duen a terme en funció de la les prioritats establertes per l’organització.

De la mateixa manera, el desenvolupament del PCN es basa també en les capacitats de l’organització per afrontar situacions que amenacen o afecten la integritat física dels seus col·laboradors i instal·lacions, com el pla de gestió d’emergències, els mecanismes de protecció i seguretat, i altres Polítiques de gestió que pugui tenir desplegades (Codi ètic, Compliance, Política de Sistema de Gestió, Política de comunicació i altres).

Definicions principals

 Gestió del pla de continuïtat de negoci: és un sistema integrat, transversal a tota l’organització, que permet mantenir alineats i en vigor totes les iniciatives, estratègies, plans de resposta i altres components i actors de la Continuïtat de negoci.

Es tracta de mantenir la viabilitat abans, durant i després d’una interrupció de qualsevol tipus. Cobreix les persones, els processos de negoci, la tecnologia i les infraestructures.

Incident de treball: és un esdeveniment que no forma part del funcionament estàndard d’un procés de producció o de servei i que pot causar interrupcions o reducció en la qualitat del producte, del servei i/o la productivitat.

Problema de continuïtat de negoci: és un esdeveniment intern o extern que interromp un o més dels processos de negoci. El temps de la interrupció determina que una situació és un incident o un desastre.

Plans de contingència: conjunt d’accions i recursos per donar resposta a les fallades i interrupcions d’un sistema o procés específic.

Pla de continuïtat negoci (PCN): un conjunt detallat d’accions que descriuen els procediments, sistemes i recursos necessaris per retornar i continuar l’operació, en cas d’interrupció.

Pla de recuperació tecnològica (DRP- Disaster Recovery Plan): és l’estratègia que se segueix per restaurar els serveis tecnològics (xarxa, servidors, maquinari i programari) després d’haver patit una incidència o catàstrofe de qualsevol tipus, que afecti tecnològicament la continuïtat de negoci.

Anàlisi d’impacte empresarial (BIA- Business Impact Analisys): és l’escenari que identifica la urgència de la recuperació de cada procés, determinant l’impacte en cas d’interrupció.

Disponibilitat: és la capacitat de disposar de la informació en el moment i en el format que es requereixi ara i en el futur, així com dels recursos necessaris per al seu ús.

Amenaça: persona, situació o esdeveniment natural de l’entorn (extern o intern) que es considera com a font de perill, catàstrofe o interrupció. Exemples: inundacions, incendis, robatoris de dades.

 Vulnerabilitat: és una debilitat que pot ocórrer accidentalment o intencionalment i pot ser causada per la manca de controls o causes alienes, el que permet l’amenaça de produir-se i afectar els interessos de l’organització. Exemples: deficient control d’accessos, poc control de versions de programari, entre d’altres.

 Risc: és la probabilitat de materialització d’una amenaça a causa de l’existència d’una o més vulnerabilitats amb impactes adversos resultants per a l’organització.

 Freqüència: estimació d’ocurrència d’un esdeveniment durant un període de temps determinat. Els factors a tenir en compte per a la seva estimació són la font de l’amenaça i la seva capacitat i la naturalesa de la vulnerabilitat.

Impacte: és l’efecte que provoca l’ocurrència d’un incident o sinistre. La implicació del risc es mesura en aspectes econòmics, imatge reputacional, disminució de la capacitat de resposta i competitivitat, interrupció de les operacions, conseqüències jurídiques i implicació física de les persones. Mesura el nivell de degradació d’un dels següents elements de continuïtat: fiabilitat, disponibilitat i recuperabilitat.

 Control: és el procés, política, dispositiu, pràctica, o qualsevol altra acció existent que actua per minimitzar el risc o augmentar les oportunitats positives.

 Risc inherent: és el càlcul dels danys probables a un actiu pel sols fet d’estar desprotegit, sense que s’hi apliquin controls.

 Risc residual: risc restant després de l’aplicació dels controls.

Fases de la gestió del PCN

 

Podem considerar tres fases:

 

  1. Recursos necessaris per activitats prioritàries

Identificació dels tipus de recursos en base a tres categories (Recursos interns, Serveis essencials i Parts interessades) com a base per a l’anàlisi de riscos (BIA)

  1. Prevenció

Anàlisi de l’impacte del negoci (BIA), Identificació dels riscos, Estratègies de continuïtat, Proves (simulacres) i Manteniment del PCN

  1. Pla de Gestió de crisis

Avaluació, Activació i Retorn a la normalitat

Per a més informació, contacteu aquí

Share This Story, Choose Your Platform!