Gestión de cambios en la planificación de la recuperación de desastres y la continuidad del negocio

La gestión de cambios es un proceso formal que asegura los cambios en un producto, proceso o sistema y que se introduce e implementa de forma controlada y cooDRinada. Reduce la posibilidad de que se introduzcan cambios innecesarios sin planificación ni análisis, lo que puede tener como resultado fallos en el sistema o en los procesos. Los objetivos de la gestión de cambios en la planificación de la recuperación ante un desastre (DR) y de la continuidad del negocio (BC) incluyen la interrupción mínima en las operaciones, la reducción de las actividades para el retorno al estado anterior (back-out) y la utilización rentable de los recursos para implementar los cambios.

La gestión de cambios es un proceso importante para la continuidad del negocio y la recuperación ante un desastre por varios motivos. La gestión de cambios puede ofrecer beneficios mejorando los planes de recuperación ante un desastre y actualizando la información crítica. También ayuda a evitar problemas potenciales como fallos a la hora de responder adecuadamente a un incidente porque el plan no estaba actualizado. Mantener los planes de continuidad del negocio/recuperación ante un desastre como parte de un programa existente de gestión de cambios puede aumentar la probabilidad de que los planes de BC/DR recibirán la atención que merecen.

Actividades de la gestión de cambios

El proceso de gestión de cambios está formado por seis actividades principales: 1) identificar los cambios potenciales; 2) analizar la solicitud de cambios; 3) evaluar cambios; 4) planificar cambios; 5) implementar cambios; y 6) revisar y finalizar el proceso de cambios. Los responsables de llevar a cabo estas actividades son cuatro: el cliente, el gestor del proyecto, el comité de cambios y el diseñador de los cambios (consulte la Tabla 1: Responsables del proceso de gestión de cambios). Las actividades de la gestión de cambios se describen en la Tabla 2.

Tabla 1: Responsables del proceso de gestión de cambios
Responsable  Descripción
Cliente  El cliente solicita un cambio debido a problemas encontrados o a nuevos requisitos; puede ser una persona o una organización y puede ser interno o externo a la compañía.
Gestor de proyecto  Se asigna un gestor de proyecto a la solicitud de cambio. También puede haber un gestor de cambios, que es responsable de la gestión de cambios.
Comité de cambios  El comité de cambios decide si se va a implementar o no la solicitud de cambios.
Diseñador de cambios  El diseñador de cambios planifica e implementa el cambio; también lo puede hacer el gestor del proyecto.

Tabla 2: Actividades de gestión de cambios

Actividad  Subactividad  Descripción

Cambio potencial identificado  Problema o fallo experimentado  Un cliente experimenta un problema u otro fallo en un plan de continuidad del negocio/recuperación ante un desastre o actividad relacionada; esto genera un informe del problema.

Se requiere nueva actividad  Según el problema encontrado, el cliente desea una modificación al plan del BC/DR.

Solicitud de cambio  El cliente prepara y distribuye una solicitud de cambio.

Analizar la solicitud de cambio  Determinar la viabilidad técnica  El gestor del proyecto revisa la solicitud y determina la viabilidad técnica.

Determinar los costos y beneficios  El gestor del proyecto determina los costos, beneficios y marcos de tiempo de la solicitud del cambio propuesto.

Evaluación de cambio     Dependiendo de la solicitud, sus beneficios y los costos asociados, el comité de cambios toma una decisión de seguir adelante o no.

Desarrollar el plan de cambios  Analizar el impacto del cambio propuesto  Realizar un análisis del impacto potencial del cambio propuesto del programa BC/DR.

Desarrollar el plan de cambios  Desarrollar un plan para implementar los cambios propuestos; asegurar las aprobaciones necesarias.

Implementar los cambios propuestos  Programar y desplegar los cambios  Establecer un plan del proyecto, fijar un marco de tiempo e implementar los cambios propuestos.

Validar los cambios  Realizar una prueba o una auditoría para asegurar que los cambios implementados funcionan según se han diseñado.

Actualizar la documentación  Asegurar que toda la documentación del plan de continuidad del negocio/recuperación ante un desastre está actualizada con los cambios.

Informar de los cambios  Informar de los detalles de los cambios a todos los empleados y terceros interesados, como clientes claves y suministradores.

Revisar y cerrar los cambios  Verificar los cambios  Determinar si se necesitan más acciones relacionadas con los cambios, cerrar la solicitud y programar una revisión de seguimiento a los seis meses.

Mientras que muchas compañías disponen de un proceso formal de gestión de cambios, la continuidad del negocio y la recuperación ante un desastre se tienen en cuenta pocas veces. Con el fin de asegurar que se mantienen actualizados los planes de continuidad del negocio y de recuperación ante un desastre y sus bases de datos asociadas, es una buena idea incluirlos como parte del proceso global de gestión de cambios.

Aunque estamos examinando el proceso de gestión de cambios, es importante tener en cuenta que tanto los estándares como las normas del sector sobre la continuidad del negocio/recuperación ante un desastre abogan por un plan de mantenimiento. La siguiente sección explica cómo los estándares de continuidad del negocio y recuperación ante un desastre se ocupan del mantenimiento. La incorporación de las siguientes pautas en un proceso existente de gestión de cambios puede ayudar a mejorar la probabilidad de que los planes de continuidad del negocio/recuperación ante un desastre se mantendrán adecuadamente.

Gestión de cambios según los estándares de continuidad del negocio/recuperación ante un desastre

La siguiente sección incluye referencias a la gestión de cambios según se definen en el British StandaDR (BS 25999), el American National StandaDR for business continuity (NFPA 1600) y los DRI/DRJ Generally Accepted Principles. Mientras que el término gestión de cambios no se establece específicamente en los códigos, el término mantenimiento sí que aparece y, en general, se supone que incluye el proceso de gestión de cambios.

Código de práctica BS 25999-1:2006
Sección 9.4 Mantenimiento de las disposiciones de BCM

Se debe establecer un programa de mantenimiento de la gestión de continuidad del negocio (BCM) muy bien definido y documentado. Este programa debería asegurar que cualquier cambio (interno o externo) que impacte en la empresa se revisará según la BCM. También debería identificar cualquier producto y servicio nuevo y sus actividades dependientes que necesiten ser incluidas en el programa de mantenimiento de la BCM. Como resultado del programa de mantenimiento de la BCM, la empresa debería:

Revisar y cuestionar cualquier suposición hecha sobre cualquier componente de la BCM en toda la compañía.

Distribuir la política, las estrategias, las soluciones, los procesos y los planes de la BCM actualizados, modificados o cambiados a los empleados clave de acueDRo con un proceso formal del control de cambios.

NOTA: Si se realizan cambios de negocio importantes, entonces se debe llevar a cabo un análisis de impactos en el negocio (BIA). El resto de componentes del programa de la BCM se pueden modificar para tener en cuenta estos cambios.

Los resultados del proceso de mantenimiento de la gestión de continuidad del negocio deberían incluir:

-Evidencia documentada de la gestión y administración proactivas del programa de continuidad del negocio de la empresa.

-Verificación de que los empleados claves que van a implementar los planes y estrategias de la gestión de continuidad del negocio son competentes y que han recibido la formación adecuada.

Especificación BS 25999-2:2007
6.0 Mantenimiento y mejoras del BCMS
El objetivo es mantener y mejorar la eficacia y eficiencia del Sistema de gestión de continuidad del negocio (BCMS) llevando a cabo acciones preventivas y correctivas, según se determine en la revisión de la gestión.

6.2 Mejora constante
La empresa mejorará de forma continuada la eficacia del BCMS mediante la revisión de los objetivos y de la política de continuidad del negocio, de los resultados de las auditorías, del análisis de los eventos supervisados, de las acciones preventivas y correctivas y de la revisión de la gestión.

NFPA 1600
Capítulo 8 Mejora del programa
8.1 Revisiones del programa
8.1.1 La entidad mejorará la eficacia del programa a través de la revisión de la gestión de las políticas, objetivos de rendimiento, evaluación de la implementación del programa y los cambios resultantes de las acciones preventivas y correctivas.
8.1.2 Las revisiones se realizarán regularmente según la planificación y, cuando la situación cambie, se evaluará la eficacia del programa existente.
8.1.3 El programa también se volverá a evaluar cuando se produzca uno de los siguientes casos:
(1) Cambios regulatorios
(2) Cambios en los riesgos y en el impacto potencial
(3) Cambios en la disponibilidad de recursos o en la capacidad
(4) Cambios en la organización
(5) Cambios en la financiación
(6) Cambios en la infraestructura, económicos y geopolíticos
8.1.4 Se deben realizar revisiones según el análisis posterior al incidente, lecciones aprendidas y rendimiento operativo.
8.1.5 La entidad mantendrá registros de sus revisiones y evaluaciones, de acueDRo con las prácticas de gestión de registros desarrolladas bajo la Sección 4.8.
8.1.6 Se proporcionará la documentación, los registros y los informes al grupo de gestión para llevar a cabo la revisión y el seguimiento.
8.2 Acción correctiva
8.2.1 La entidad establecerá un proceso de acciones correctivas.
8.2.2 La entidad emprenderá las acciones correctivas oportunas según las deficiencias identificadas.

Principios generalmente aceptados de la gestión de cambios y planificación de DR/BC

El siguiente cuadro se puede utilizar como guía para las mejores técnicas y procedimientos con el fin de implementar la planificación de la gestión de cambios de continuidad del negocio/recuperación ante un desastre.

Mantenimiento: Establecer un programa de revisión de calidad

Requisito  Acción recomendada
1. Cumplir los requisitos mínimos de los estándares corporativos  Entender cuáles son sus estándares corporativos.
2. Revisión de autoevaluación del emplazamiento de la información de contacto  Solicitar que cada emplazamiento revise y actualice trimestralmente los datos de contacto.
3. Revisión de autoevaluación del emplazamiento de los requisitos del BC/DR  Solicitar que cada emplazamiento revise y actualice cada seis meses los requisitos del plan.
4. Revisión de autoevaluación del emplazamiento de los procedimientos del BC/DR  Solicitar que cada emplazamiento revise y actualice trimestralmente el procedimiento del BC/DR.
5. Programar y realizar revisiones cuando se estipule en los cambios organizativos  Incorporar los principales cambios organizativos en el plan.
6. Desarrollar las pautas de contenido del plan  Determinar la necesidad de revisar y actualizar las pautas para las acciones del BC/DR.
7. Gestión de los informes  Notificar los resultados a los directores senior designados, al comité de dirección, etc.
8. Basar cualquier requisito de calidad en las normas existentes (p. ej., auditorías, legal, ISO, ley Sarbanes-Oxley (SOX), HIPAA)  Considerar todas las normas que administran la organización y desarrollar el contenido de calidad de las mismas.
9. Programar auditorías anuales completas de la oficina de un porcentaje de los planes existentes  Desarrollar un plan para que la oficina corporativa inspeccione un porcentaje de los planes del BC/DR.

Puesto que el mantenimiento del plan es una actividad crítica, se debería llevar a cabo al menos una vez al año y, preferiblemente, cada trimestre. Las personas que trabajan en equipos pueden haber cambiado de puesto o haber dejado la compañía. Lo mismo ocurre con los suministradores, lo que significa que estas listas se deben actualizar con regularidad. La gestión de cambios es una estrategia clave junto con el proceso de mantenimiento de la continuidad del negocio/recuperación ante un desastre. Incluyendo los planes de continuidad del negocio y recuperación ante un desastre como parte del proceso de la gestión de cambios de su compañía, usted puede asegurar que siempre estarán actualizados y preparados para su uso cuando se produzca un desastre.

Sobre este autor: Paul F. Kirvan, FBCI, CBCP, CISSP, tiene más de 20 años de experiencia en la gestión de la continuidad del negocio como consultor, autor y profesor. También es secretario del Business Continuity Institute USA Chapter.