La caída en el servicio experimentada ayer en Facebook, WhatsApp, Twitter y Oculus provocó un impacto inmediato y global. Facebook se ha construido como una plataforma eje con mensajería, emisión en vivo, realidad virtual y muchos otros servicios digitales. Más de 3,500 millones de personas en todo el mundo emplean Facebook, Instagram, Messenger y WhatsApp para comunicarse con amigos y familiares, distribuir mensajes y hacer crecer sus operaciones de negocios a través de publicidad y promoción.
El impacto interno es considerable, la riqueza personal de Mark Zuckerberg (CEO de las cuatro compañías) se redujo en 7 mil millones de dólares en unas pocas horas, lo que lo derrumbó un escalón en la lista de las personas más ricas del mundo. Las acciones del gigante de las redes sociales Facebook, la quinta más valiosa del mercado bursátil estadunidense, se desplomaron 4.89% cerca del cierre de la sesión de este lunes, cotizando en 326.93 unidades por dólar. La compañía perdió 10 mil 207 millones de dólares en valor de mercado tras caída global.
La preguntas circundantes entre los especialistas son ¿Qué sucedió con el BCP (Business Continuity Plan) de las compañías?, ¿acaso corporaciones de ese tamaño e importancia carecen de él o simplemente están como un proceso documentado y no han sido probados?
¿Qué es un BCP y por qué es importante?
Con sus guardadas proporciones, la necesidad de contar con un plan de continuidad de negocio probado en las organizaciones de cualquier tamaño es vital. Cuando hablamos de continuidad del negocio nos referimos a la capacidad de sobrevivir a las “cosas malas” que pueden tener un impacto negativo en la empresa: desde un brote de virus informático hasta un brote de virus biológico, y todos los demás peligros entre ambos, como incendios, inundaciones, tornados, huracanes, terremotos y tsunamis. El estándar internacional para la continuidad del negocio, ISO 22301, la define como la “capacidad [de una organización] de continuar la prestación de productos o servicios en los niveles predefinidos aceptables tras incidentes de interrupción de la actividad”.
Un programa básico de BCP en 4 pasos
Desafortunadamente, algunas empresas deben cerrar cuando las alcanza un desastre para el cual no estaban preparadas adecuadamente. Es lamentable porque el camino para dicha preparación está bien documentado. Cualquier empresa de cualquier tamaño puede mejorar las posibilidades de superar un incidente de interrupción de la actividad y quedar en una pieza (con la marca intacta y sin merma en los ingresos) si sigue ciertas estrategias probadas y de confianza, más allá de que desee obtener la certificación ISO 22301 o no.
A continuación, un resumen de los cuatro pasos principales:
1. Identifica y ordena las amenazas
Crea una lista de los incidentes de interrupción de la actividad que constituyan las amenazas más probables para la empresa. No uses la lista de otro, porque las amenazas varían según la ubicación. Por ejemplo, en la Ciudad de México, hay un grado relativamente alto de sensibilización con respecto a los terremotos, por lo que muchas organizaciones han llevado a cabo un nivel básico de planificación para prepararse ante desastres teniendo esta amenaza en cuenta.
¿Pero qué ocurre donde se encuentra tu empresa? ¿Y qué pasa con la fuga de datos o la interrupción de la infraestructura de TI? ¿Qué pasa si un producto químico tóxico provoca que se cierren las instalaciones por varios días? ¿Estás ubicado cerca de una vía ferroviaria? ¿De una autopista importante? ¿Cuánto depende tu empresa de proveedores extranjeros?
En esta etapa, una buena técnica es reunir personas de todos los departamentos en una sesión de intercambio de ideas. El objetivo de la reunión es crear una lista de escenarios ordenados por probabilidad de ocurrencia y por potencial de causar un impacto negativo.
2. Realiza un análisis del impacto en la empresa
Necesitas determinar qué partes de tu empresa son las más críticas para que sobreviva. Una manera es comenzar detallando las funciones, los procesos, los empleados, los lugares y los sistemas que son críticos para el funcionamiento de la organización. De esto se puede ocupar el líder del proyecto de BCP; para ello, deberá entrevistar a los empleados de cada departamento y luego elaborar una tabla de resultados que liste las funciones y las personas principales y las secundarias.
A continuación determinarás la cantidad de “días de supervivencia” de la empresa para cada función. ¿Cuánto puede resistir la empresa sin que una función en particular provoque un impacto grave?
Luego, ordenarás el impacto de cada función en caso de que no esté disponible. Por ejemplo, Michael Miora, experto en recuperación ante desastres, sugiere utilizar una escala de 1 a 4, donde 1 = impacto crítico en las actividades operativas o pérdida fiscal, y 4 = sin impacto a corto plazo. Si luego se multiplica el Impacto por los “días de supervivencia”, se puede ver cuáles son las funciones más críticas. Al principio de la tabla quedarán las funciones con un impacto mayor y con sólo un día de supervivencia.
3. Crea un plan de respuesta y recuperación
En esta etapa deberás catalogar datos clave sobre los bienes involucrados en la realización de las funciones críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Deberás incluir números de serie de los equipos, acuerdos de licencia, alquileres, garantías, detalles de contactos, etc.
Necesitarás determinar “a quién llamar” en cada categoría de incidente y crear un árbol de números telefónicos para que se hagan las llamadas correctas en el orden correcto. También necesitas una lista de “quién puede decir qué cosa” para controlar la interacción con los medios durante un incidente (considera quedarte con una estrategia de “sólo el CEO” si se trata de un incidente delicado).
Deberán quedar documentados todos los acuerdos vigentes, activar la operación a través de infraestructura de nube o co ubicada en otro centro de datos, mudar las operaciones a ubicaciones e instalaciones temporales, de ser necesario. No te olvides de documentar el proceso de notificación para los miembros de la empresa en su totalidad y el procedimiento de asesoramiento para clientes.
Los pasos para recuperar las operaciones principales deberían ordenarse en una secuencia donde queden explícitas las interdependencias funcionales. Cuando el plan esté listo, asegúrate de capacitar a los gerentes sobre los detalles relevantes para cada departamento, así como la importancia del plan general para sobrevivir a un incidente.
4. Prueba el plan y refina el análisis
La mayoría de los expertos en BCP recomiendan probar el plan al menos una vez al año, con ejercicios, análisis paso a paso o simulaciones. La prueba te permite sacar el mayor provecho a lo que invertiste en la creación del plan, y no sólo te permite encontrar fallas y dar cuenta de los cambios corporativos con el transcurso del tiempo, sino que también causa una buena impresión en la gerencia.
No cabe duda de que estos cuatro pasos significan un enorme trabajo, pero es una tarea que las empresas ignoran bajo su propio riesgo. Si el proyecto parece demasiado desalentador para aplicar a la empresa completa, considera comenzar por unos pocos departamentos o una sola oficina, si hay varias. Todo lo que vayas aprendiendo en el proceso se podrá aplicar en mayor escala a medida que progreses. Evita a toda costa pensar que las cosas malas no suceden, porque sí lo hacen. Sólo tienes que estar preparado. Y no pretendas que cuando ocurra algo no será tan malo, porque podría serlo.
En Nekt podemos evaluar la resiliencia de tu organización respecto a situaciones inesperadas así como ayudarte a conformar, poner en prueba y práctica un exitoso plan de continuidad de negocio, contáctanos.
Fuente: Stephen Cobb (Senior Security Researcher)