Una precisa definición y puesta en marcha de las respuestas para la GCN son claves para garantizar el éxito de un programa de GCN.
Entre los requisitos fundamentales para garantizar una respuesta efectiva se encuentran:
- Un procedimiento claro para la escalada y control de un incidente.
- La comunicación puntual con proveedores, clientes y otras partes interesadas.
- Planes para reiniciar las actividades interrumpidas.
Para cumplir con estos requisitos existen diversas soluciones en función del tamaño, tipo de las operaciones de negocio, actividades críticas localizadas previamente y alcance del personal afectado, entre otras consideraciones. En cualquier caso, independientemente de la estructura que se adopte es importante que la estrategia corresponda y esté integrada en la cultura de la organización.
Las acciones descritas en los siguientes apartados no pretenden cubrir todas y cada uno de los posibles eventos relacionados con posibles incidentes, por tanto, se debe disponer de la información relevante aportada en las fases previas y para cada caso en particular, de modo que los procedimiento predefinidos pueden ser adaptados convenientemente y en base a la flexibilidad necesaria en función de las necesidades y la iniciativa por los responsables de poner en marcha el plan en cada situación específica que pueda producirse y en base a los posibles eventos contemplados.
Estructura de las respuestas a incidentes
Existen diversos modos de enfrentarse a un incidente de manera coordinada. Un modelo de respuesta a incidentes, tomado de los servicios de emergencia de Reino Unido, muestra tres tipos de respuesta generalmente clasificados como Oro (Gold), Plata (Silver) y Bronce (Bronze).
Esta estructura de tres niveles fue creada en el Reino Unido por los servicios de la policía metropolitana en 1985 tras unos graves disturbios producidos en el norte de Londres en la noche del 6 de octubre, en los que un agente de policía resultó asesinado.
Scotland Yard se dio cuenta de lo inapropiado de la habitual clasificación utilizada para el sistema de mando para gestionar situaciones en las que se producen acontecimientos de forma repentina.
Por ejemplo, nunca quedó claro quién estaba realmente al mando operativo de la policía esa noche. En consecuencia y en vez de diversos niveles, se determinaron tres roles esenciales que realmente eran los más importantes a cubrir en estas situaciones y se estableció y promulgó una nueva estructura en todas las fuerzas de la policía del Reino Unido y que se ha convertido en un estándar actualmente que se aplica más allá de las emergencias en situaciones como eventos deportivos o las operaciones con armas de fuego, entre otros.
Se comenta a continuación las responsabilidades de cada nivel y en relación a escenarios de respuesta a incidentes:
- Nivel estratégico: El Plan de Gestión de Incidentes (PGI) determina cómo la dirección ejecutiva gestiona aquellas cuestiones estratégicas relacionadas con una crisis que se haya producido y que afecte o que potencialmente pueda afectar a la organización. En ocasiones el incidente no justifica la activación del Plan de Continuidad de Negocio (PCN) ya que inicialmente no se producen interrupciones (p.ej. una OPA hostil, una atención excesiva de los medios de comunicación, una emergencia local/regional/nacional). Según la organización, el PGI también se llama en ocasiones Plan de Gestión de Crisis, aunque esta nomenclatura introduce, en ocasiones, un problema de comunicación ante los medios de difusión ya que, al indicar que la organización ha puesto en marcha su “Plan de gestión de Crisis” puede hacer creer al público en general que efectivamente la organización ya está siendo afectada por una crisis. Por tanto, la palabra “incidente” suele ser la preferida a utilizar de cara a los medios generalistas cuando se quiere aliviar de cierta gravedad el lenguaje utilizado para las comunicaciones.
- Nivel táctico: El Plan de Continuidad de Negocio (PCN) tiene como punto principal de interés trastornos, interrupciones o pérdidas en el negocio desde su respuesta inicial hasta que las operaciones se han restaurado a la normalidad. El PCN incorpora las estrategias de continuidad de negocio acordadas y ofrece procedimientos y procesos a utilizar por los equipos de Recuperación de Desastres. Concretamente, el PCN asigna funciones y responsabilidades con diversos grados de autoridad necesarios. También debe detallar los modos y principios a aplicar durante la respuesta y contando con posibles factores externos, como proveedores de servicios de recuperación o servicios de emergencia. Cuando una situación sobrepasa el alcance inicialmente contemplado en el PGC se debe transferir su gestión a los responsables de poner en marcha el Plan de Gestión de Incidentes (PGI).
- Nivel operacional: Los planes que se deben desarrollar en el nivel de las operaciones se ocupan principalmente del reinicio de las funciones del negocio a su nivel normal. Para aquellos departamentos que gestionan infraestructura (p. ej. instalaciones o TI) los planes ofrecerán una estructura para restaurar los servicios existentes o disponer de instalaciones alternativas.
Esta propuesta de estrategia en tres niveles distintos podría ser excesivamente ambiciosa como modelo a seguir, especialmente si consideramos a aquellas organizaciones más pequeñas.
En este caso, se pueden aplicar variantes como la disposición de un único grupo de gestión que se haga cargo de las responsabilidades tácticas y estratégicas simultáneamente. En cualquier caso, es importante entender la prioridad que este grupo debe aplicar en relación a gestionar en primer lugar los problemas estratégicos sobre posibles problemas inmediatos que requieran de respuesta táctica.
Por el contrario, en el caso de organizaciones con más de una instalación se pueden aplicar diversos modelos y con variantes como, por ejemplo:
- Un equipo de respuesta en cada instalación con un equipo para la continuidad de negocio que haga de volante para todas las instalaciones.
- Un equipo de continuidad de negocio en cada instalación con un equipo de gestión de incidentes centralizados.
Una GCN y un PGI a escala regional/nacional con poca intervención de la dirección internacional salvo en casos críticos de amenaza a la reputación global.