El modelo CMMI establece un área de proceso en RSKM para considerar las prácticas que se requieren, adicionalmente a ciertos elementos contemplados en otras áreas como PP y PMC. Desde esta perspectiva se parte del establecimiento de una estrategia general para la gestión de riesgos, que permite periódicamente identificar y analizar los riesgos para establecer planes específicos para controlarlos y evitar que afecten los resultados del proyecto.
Finn Orfano publicó en Bright Hub el artículo "Sample IT Risk Management Plan" donde muestra la estructura general del plan de gestión de riesgos, en particular para el manejo de contingencias, del que tomo algunos elementos para presentarlos aquí.
Plan de contingencias
Durante la ejecución y ofrecimiento de un servicio se presentan situaciones que pueden afectar o interrumpir el mismo. Para ello es fundamental considerar una serie de acciones y medidas que ayuden a enfrentar o controlar estas situaciones.
Para establecer un plan de contingencias es necesario establecer los objetivos, roles y responsabilidades en la gestión de riesgos como parte de las políticas y lineamientos de operación. Es importante realizar un análisis de impacto para el negocio con el propósito de identificar las vulnerabilidades a las que está expuesto y las implicaciones o afectaciones que pueda tener. Con base en esta información se deben identificar las necesidades, requisitos y prioridades de la operación y considerarlo como entrada para la estrategia de riesgos y las acciones de control preventivo que se deben establecer.
Del análisis de los posibles riesgos para el negocio se establece un plan de recuperación con el fin de que si se presenta uno de los posibles problemas identificados, rápidamente la organización pueda recuperarse y mantener la operación. Es importante considerar cuando implementar la estrategia, el costo que se requiere, el tiempo de recuperación, cuestiones de seguridad y relación con otros planes existentes. La estrategia puede considerar la aplicación de planes de rescate contratados con proveedores, la activación de instalaciones alternas o apoyo de otras áreas u organizaciones.
Posteriormente se establece un plan de contingencias que establece los roles, responsabilidades, participantes y acciones asociadas en caso de afectación en los servicios. El plan debe proporcionar guías para apoyar la toma de decisiones en caso de requerirse implementar algún tipo de acción, las acciones iniciales que se deben desencadenar en caso de que se afecten los servicios, detecten emergencias o aparezcan indicios de vulnerabilidad, y finalmente el proceso para recuperar la operación en caso de afectación y lo que se debe hacer para restaurar o remplazar los servicios afectados.
Los planes y acciones definidas deben ser probados, comunicados e informados al personal y deben ser practicados. Como parte de estas actividades debe ser claro el propósito del plan, las dependencias, responsabilidades, relaciones y necesidades de coordinación/comunicación, requerimientos de seguridad, procedimientos a utilizar y alternativas existentes.
Finalmente el plan debe tener un mantenimiento periódico, mínimo una vez al año, para garantizar que esté alineado con las necesidades de operación, los cambios tecnológicos o políticas existentes y que las acciones sean afectivas para atender las vulnerabilidades actuales del servicio.
La gestión de riesgos es una actividad continua, variable y que puede requerirse en el momento menos insospechado. Estar preparado para ello es vital para lograr la vitalidad de la organización. Ignorarlo es garantizar, tarde o temprano, un desastre con consecuencias fatales para la operación.
No hay comentarios:
Publicar un comentario