La gestión de riesgos es una actividad que permite: identificar, analizar, cuantificar la probabilidad de ocurrencia y el posible impacto producido, por efectos de eventos adversos, a que pueda estar sometido un ente, tal como puede ser: la humanidad, un país, una organización, una comunidad, un proyecto o una persona en particular, para buscar e implantar soluciones eficaces, que sirvan como: prevención, corrección, mitigación y/o recuperación, de los problemas derivados por cualquier situación sobrevenida fortuitamente.
Dentro del mundo de los
sistemas de información, podemos encontrar diversas divisiones tales como son:
la infraestructura tecnológica, las telecomunicaciones, el firmware y el
software, siendo que dentro de esta última división podemos distinguir entre
software: ambiental –sistemas operativos, manejadores de bases de datos,
antivirus, lenguajes de programación–; de productividad –Word, Excel, Power
Point– y las aplicaciones –que pueden ser entre otras: crédito, pedidos,
inventarios, despacho, facturación, cobranzas, cuentas por pagar, nómina,
contabilidad, etc– que dependen del tipo de servicio o de producto que genere
la institución empresarial y estas aplicaciones son quienes aportan la
inteligencia –reglas de la empresa– en forma de funcionalidades digitalizadas,
para efectuar las diversas operaciones del núcleo del negocio.
El ciclo de vida de un
sistema de información se puede dividir en 7 fases que son: definición,
análisis, diseño, construcción, pruebas, implantación y post implantación,
siendo que desde la primera fase de definición, es necesario comenzar la
actividad de gestión de riesgos, puesto que uno de los productos entregables para
cada sistema informático que se implante en una organización, es el plan de
contingencia, que le permitirá a la compañía mantener la continuidad del
negocio, ante la presencia de cualquier evento adverso que le pueda ocurrir
durante la operación normal y además recuperarse de la manera más rápida y
menos traumática posible.
Debido a las diversas
amenazas a las que puede estar sometido el funcionamiento de un sistema, para
poder: identificar, analizar, cuantificar y considerar las vulnerabilidades de
mayor importancia, con el propósito de crear planes de contingencia adecuados
–planes B–, es normal que el equipo del proyecto –compuesto por técnicos y
usuarios– haga preliminarmente una tormenta de ideas, donde en una matriz bidimensional,
en la primera columna de cada fila se indique una amenaza posible y a
continuación, en las siguientes columnas se coloque una calificación de la
vulnerabilidad a la que está expuesto el ente empresarial, mediante una probabilidad
de ocurrencia del evento adverso y su porcentaje de impacto sobre el negocio,
pero debido a que es posible que la lista de amenazas sea muy extensa y como
los recursos son siempre limitados, se deben priorizar las amenazas a
considerar, basados en los porcentajes de ocurrencia y en el impacto de la
vulnerabilidad sobre la empresa, para lograr obtener planes de contingencia
realistas, eficaces, eficientes y óptimos de ser posible, dependiendo de cada
situación particular.
Dentro de la lista de
vulnerabilidades encontradas por el equipo de proyecto, es normal que aparezcan
algunas debidas a fenómenos tales como: caídas de meteoritos, tormentas
solares, interferencias magnéticas, terremotos, tempestades, inundaciones,
tsunamis, derrumbes de estructuras, incendios, fallas de electricidad o
telecomunicaciones, fallas de servidores, daños en bases de datos, fallas del
control de calidad de nuevas versiones de software ambiental o de aplicaciones,
obsolescencia de infraestructura o de sistemas, guerras, sabotajes, falta de
personal adecuado, inconsistencia en el código fuente, falta de documentación
actualizada, etc.
Una vez determinada
con la alta gerencia, cuáles son las amenazas priorizadas para los que deben
prepararse los planes de contingencia, es necesario asignar los recursos
humanos, físicos y financieros adecuados, para poder continuar junto al
desarrollo del sistema, con las fases subsiguientes del plan B, donde es muy
importante que los protocolos de contingencia establecidos sean: probados,
documentados, conocidos por los usuarios, actualizados y que periódicamente se
hagan simulaciones con líderes responsables y capacitados, para garantizar que dichos
planes funcionan correctamente y no son solo letra muerta.
Dependiendo de los
recursos económicos asignados y del tipo de contingencia presentado, tales
planes de contingencia pudieran ser muy sofisticados e incluir instalaciones
redundantes en paralelo, ubicadas en sitios remotos geográficamente, con
servidores tipo espejo, donde se mantiene toda la información duplicada y
sincronizada en tiempo real, lo que puede garantizar un servicio cercano al
100%, para que las fallas sean incluso imperceptibles para los usuarios, pero
también es necesario considerar que para cuando toda la tecnología digital
falla –situación que puede ocurrir con más
frecuencia de lo que nos podemos imaginar– junto con los procesos
automatizados se deben tener procedimientos manuales redundantes, funcionales,
eficientes y confiables, que permitan mantener las operaciones del negocio,
bajo las condiciones más adversas y por largos períodos de ser necesario,
mientras se pueden solucionar las causas de las posibles fallas sobrevenidas y
regresar a la normalidad.
Aunque los planes de
contingencia son buenas prácticas profesionales en sistemas automatizados,
debido a los costos que representa la redundancia de sistemas y procesos
alternos, es difícil encontrar instituciones, donde estén implantados y
actualizados a conciencia dichos planes de contingencia, excepto quizás en las grandes
corporaciones de tecnología del tipo Microsoft o Google, quienes invierten gran
cantidad de sus recursos, para mantener su funcionamiento en niveles cercanos
al 100% o recuperar sus servicios en corto tiempo, teniendo interrupciones
mínimas, para evitar la posibilidad de “apocalipsis
informáticos” (metáfora), pero no es bueno despreciar u olvidar la
importancia de los sistemas analógicos y de los procesos manuales alternativos,
por si hay que echar mano de algunos de ellos en momentos de crisis.
Saludos cordiales,
Alejandro Uribe: Economía y Política
Ingeniero, Consultor de Empresas e Investigador
Publicación Inicial: domingo, 03 de octubre de 2021
en http://auribe-economia-y-politica.blogspot.com/
Nota: este artículo original de mi autoría, fue publicado en el prestigioso diario El Nacional, el 21 de septiembre del 2021 y está en el enlace: Plan de contingencia
