La gestión de riesgos es una actividad que permite identificar, analizar, cuantificar la probabilidad de ocurrencia y el posible impacto producido, por efectos de eventos adversos, a que pueda estar sometido un ente, tal como puede ser: la humanidad, un país, una organización, una comunidad, un proyecto o una persona en particular, para buscar e implantar soluciones eficaces, que sirvan como prevención, corrección, mitigación o recuperación, de los problemas derivados por cualquier situación sobrevenida fortuitamente.
En principio, se podría considerar el riesgo como una función dependiente de dos variables: el tipo de amenaza y la vulnerabilidad que representa esa amenaza para el ente en cuestión. Por supuesto, dependiendo de la magnitud y de la complejidad del ente estudiado y sus procesos, pueden existir cientos de amenazas y por lo tanto, a los efectos de este artículo, me enfocaré solo en algunos, como son las organizaciones empresariales y dentro de ellas, específicamente analizaré solo el área de sistemas de información, que es la disciplina de mi especialidad.
Dentro del mundo de los sistemas de información podemos encontrar diversas divisiones tales como son: la infraestructura tecnológica, las telecomunicaciones, el firmware y el software, siendo que dentro de esta última división podemos distinguir entre software: ambiental –sistemas operativos, manejadores de bases de datos, antivirus, lenguajes de programación–; de productividad –Word, Excel, Power Point– y las aplicaciones –que pueden ser entre otras: crédito, pedidos, inventarios, despacho, facturación, cobranzas, cuentas por pagar, nómina, contabilidad, etc– que dependen del tipo de servicio o de producto que genere la institución empresarial y estas aplicaciones son quienes aportan la inteligencia –reglas de la empresa– en forma de funcionalidades digitalizadas, para efectuar las diversas operaciones del núcleo del negocio.
El ciclo de vida de un sistema de información se puede dividir en 7 fases que son: definición, análisis, diseño, construcción, pruebas, implantación y posimplantación, siendo que desde la primera fase de definición, es necesario comenzar la actividad de gestión de riesgos, puesto que uno de los productos entregables para cada sistema informático que se implante en una organización, es el plan de contingencia, que le permitirá a la compañía mantener la continuidad del negocio, ante la presencia de cualquier evento adverso que le pueda ocurrir durante la operación normal y además recuperarse de la manera más rápida y menos traumática posible.
Debido a las diversas amenazas a las que puede estar sometido el funcionamiento de un sistema, para poder: identificar, analizar, cuantificar y considerar las vulnerabilidades de mayor importancia, con el propósito de crear planes de contingencia adecuados –planes B–, es normal que el equipo del proyecto –compuesto por técnicos y usuarios– haga preliminarmente una tormenta de ideas, donde en una matriz bidimensional, en la primera columna de cada fila se indique una amenaza posible y a continuación, en las siguientes columnas se coloque una calificación de la vulnerabilidad a la que está expuesto el ente empresarial, mediante una probabilidad de ocurrencia del evento adverso y su porcentaje de impacto sobre el negocio, pero debido a que es posible que la lista de amenazas sea muy extensa y como los recursos son siempre limitados, se deben priorizar las amenazas a considerar, basados en los porcentajes de ocurrencia y en el impacto de la vulnerabilidad sobre la empresa, para lograr obtener planes de contingencia realistas, eficaces, eficientes y óptimos de ser posible, dependiendo de cada situación particular.
Dentro de la lista de vulnerabilidades encontradas por el equipo de proyecto, es normal que aparezcan algunas debidas a fenómenos tales como: caídas de meteoritos, tormentas solares, interferencias magnéticas, terremotos, tempestades, inundaciones, tsunamis, derrumbes de estructuras, incendios, fallas de electricidad o telecomunicaciones, fallas de servidores, daños en bases de datos, fallas del control de calidad de nuevas versiones de software ambiental o de aplicaciones, obsolescencia de infraestructura o de sistemas, guerras, sabotajes, falta de personal adecuado, inconsistencia en el código fuente, falta de documentación actualizada, etc.
Una vez determinada con la alta gerencia cuáles son las amenazas priorizadas para los que deben prepararse los planes de contingencia, es necesario asignar los recursos humanos, físicos y financieros adecuados, para poder continuar junto al desarrollo del sistema, con las fases subsiguientes del plan B, donde es muy importante que los protocolos de contingencia establecidos sean: probados, documentados, conocidos por los usuarios, actualizados y que periódicamente se hagan simulaciones con líderes responsables y capacitados, para garantizar que dichos planes funcionan correctamente y no son solo letra muerta.
Dependiendo de los recursos económicos asignados y del tipo de contingencia presentado, tales planes de contingencia pudieran ser muy sofisticados e incluir instalaciones redundantes en paralelo, ubicadas en sitios remotos geográficamente, con servidores tipo espejo, donde se mantiene toda la información duplicada y sincronizada en tiempo real, lo que puede garantizar un servicio cercano a 100%, para que las fallas sean incluso imperceptibles para los usuarios, pero también es necesario considerar que para cuando toda la tecnología digital falla –situación que puede ocurrir con más frecuencia de lo que nos podemos imaginar– junto con los procesos automatizados se deben tener procedimientos manuales redundantes, funcionales, eficientes y confiables, que permitan mantener las operaciones del negocio, bajo las condiciones más adversas y por largos períodos de ser necesario, mientras se pueden solucionar las causas de las posibles fallas sobrevenidas y regresar a la normalidad.
Aunque los planes de contingencia son buenas prácticas profesionales en sistemas automatizados, debido a los costos que representa la redundancia de sistemas y procesos alternos, es difícil encontrar instituciones, donde estén implantados y actualizados a conciencia dichos planes de contingencia, excepto quizás en las grandes corporaciones de tecnología del tipo Microsoft o Google, quienes invierten gran cantidad de sus recursos, para mantener su funcionamiento en niveles cercanos al 100% o recuperar sus servicios en corto tiempo, teniendo interrupciones mínimas, para evitar la posibilidad de “apocalipsis informáticos” (metáfora), pero no es bueno despreciar u olvidar la importancia de los sistemas analógicos y de los procesos manuales alternativos, por si hay que echar mano de algunos de ellos en momentos de crisis.
Noticias Relacionadas
El periodismo independiente necesita del apoyo de sus lectores para continuar y garantizar que las noticias incómodas que no quieren que leas, sigan estando a tu alcance. ¡Hoy, con tu apoyo, seguiremos trabajando arduamente por un periodismo libre de censuras!
Apoya a El Nacional