Pruebas, revisión y mantenimiento del Programa de Continuidad del Negocio

En esta fase se especifican los ejercicios que mejor nos ayuden a verificar la efectividad del Programa de Continuidad del Negocio, esto dependerá del nivel de madurez que llevemos en la organización en términos de Continuidad del Negocio, tiempo de experiencia

Un Programa de Administración de la Continuidad del Negocio (BCM) es considerado de madurez hasta que ha sido probado. Por tal motivo se debe implementar una Guía para ejercicios de BCM.

Las pruebas pueden ejecutarse por diversos métodos:

a. Pruebas. Utilizados cuando el procedimiento está siendo probado continuamente.

b. Ensayos. Son la práctica de un procedimiento específico el cual requiere el seguimiento de un script para impartir conocimiento.

c. Ejercicios. Está basado en un escenario, es decir eventos que desean ser analizados y sus consecuencias.

Sin importar el tipo de prueba, la repetición y conjunto de actividades que la fundamentan permiten identificar detalles o situaciones que requieren atención.

Es necesario demostrar la efectividad del BCM probando mediante ejercicios: los roles del personal clave, capacidad de recuperación, conocimiento y toma de decisiones en situaciones de crisis.

La siguiente gráfica representa el incremento de complejidad de las Pruebas, comenzando por ejercicios sencillos, e ir creciendo en base al conocimiento obtenido con las pruebas. El objetivo final es ejecutar un ejercicio a gran escala.

Fig. No.36 Complejidad de ejercicios y Pruebas para BCM Fuente: Elaboración propia

El tiempo y los recursos necesarios para las pruebas y ejercicios de BCM son parte fundamental del proceso así como infundir confianza y conocimiento necesario a los participantes.

Se debe probar la eficiencia de las pruebas en términos de severidad, realismo y mínima exposición, términos que se describen a continuación:

d. Complejidad. Las pruebas pueden llevarse a cabo con los mismos procedimientos y métodos que son ejecutados a diario e irlos incrementando a fin de llegar a eventos lo más cercano a la realidad. Por lo tanto la complejidad de una prueba demostrará que el negocio está preparado para responder a cualquier riesgo.

e. Realismo. La utilidad de una prueba radica en seleccionar escenarios reales. La simulación de un evento demuestra la viabilidad del BCM en cualquier circunstancia.

f. Exposición. Las pruebas pueden desarrollarse en el lugar del negocio o en instalaciones alternas, dependiendo la complejidad de la prueba y el número de participantes en ella, el diseño de la prueba demostrará:

i. Una prueba simple de mínimo riesgo de la interrupción de las operaciones.

ii. Una prueba compleja expondrá el riesgo de la interrupción de las operaciones.

Las Pruebas y ejercicios se llevan a cabo con la finalidad de cumplir los siguientes objetivos:

Garantizar que la documentación prevista para ser usada durante eventos o situaciones de crisis sea validada por la práctica y la evaluación.

Mantener vigente la documentación de Administración de la Continuidad del Negocio creada en las etapas del ciclo de vida del proceso de BCM.

Asegurar que los planes se alineen a los objetivos del negocio, mediante prácticas, auditorias y procesos de auto-evaluación.

Cumplir con los requerimientos de los procesos clave del negocio (RTO&RPO).

Familiarizar a los equipos con el proceso de Pruebas de BCM.

Satisfacer los requerimientos legales y de auditoria interna.

En las diferentes Pruebas que se pueden realizar, tenemos las siguientes:

Prueba de escritorio. Esta prueba permite evaluar un plan sin necesidad de realizar la prueba fuera del edificio. Este tipo de ejercicio debe realizarse a manera de verificar la consistencia del plan con respecto a algún escenario de interrupción. Este tipo de prueba permite validar los datos de los planes.

Prueba funcional. En esta prueba se evalúa la efectividad de los planes que integran el BCM, recreando los procesos de negocio y la participación de los usuarios desde un sitio alterno.

Ejercicio Completo. Permite evaluar la continuidad de las operaciones para un escenario de desastre mayor en el cual se simularía un procesamiento desde el sitio alterno definido en la estrategia de recuperación. Este tipo de prueba permite validar todos los planes de contingencia de manera integrada.

A continuación se muestra más detalle sobre cada una de estas:

Tipo de

prueba Elementos Actividades Participantes Frecuencia Complejidad

Prueba de escritorio

_Auditoria Validación Verificación

Revisar y validar el contenido del plan

Dueño del plan Autor del plan

Auditor del plan

Funcional

_Escenario Lugar alterno _Controles

_{Tiempo de} duración

Activación del plan

Componentes individuales

Componentes integrados

Mover de lugar y recrear los procesos de negocio y las funciones de los participantes desde un site alterno

Empleados en un área de negocio especifica Instalaciones Coordinadores Observadores Reguladores BCM

Ejercicio Completo

Escenario Lugar alterno Controles

Tiempo de duración

Activación del plan

Componentes individuales

Componentes integrados

Cerrar totalmente la empresa y cambiar la localización de los procesos del negocio

Todos los empleados Instalaciones Coordinadores Observadores Reguladores BCM _Etc.

Tabla 10. Tipos de ejercicios y pruebas para el Programa de BCM Fuente: Elaboración propia

Una vez realizado el ejercicio o prueba, se deben documentar los resultados con base en los cuestionarios de revisión y bitácoras de los participantes. Para este proceso es necesario ordenar todas las evidencias recolectadas después de la prueba o ejercicio, definir planes de acción para administrar los problemas surgidos durante la prueba o ejercicio.

High Low

High Low

Se sugiere elaborar una reunión con los participantes de la prueba, en la que sea de fácil visualización a través de gráficas comparativas entre resultados anteriores contra los actuales, o en su caso, un análisis entre los requerimientos y los resultados de la prueba. Estos servirán para identificar áreas de oportunidad.