“La Gestión de la Continuidad del Negocio consiste en una mejora proactiva de la resistencia de la organización frente a contingencias, proporciona mecanismos para restaurar los productos y servicios clave dentro de un marco temporal limitado y protege la reputación corporativa.”
Introducción a la norma de continuidad de negocio
La BS 25999/ ISO 22301 ofrecen prácticas y soluciones para la Gestión de la Continuidad de Negocio, consiguiendo reducir los impactos ante una interrupción inesperada que afecte a la organización y ayudando a detectar las posibles contingencias que puedan parar la actividad de la empresa. Proporciona a las empresas un marco para el desarrollo e implementación de un Sistema de Gestión de Continuidad de Negocio (SGCN) en las organizaciones y que puede ser adaptado a las circunstancias particulares e independientemente del tamaño, el alcance o la complejidad de los productos o servicios que prestan.
Aquellas organizaciones que desean introducir un SGCN en su organización deben partir de elementos que, en mayor o menor medida, ya existen como por ejemplo planes de contingencia en departamentos TI, planes de recuperación de desastres, gestión de riesgos y/o planificación de la sustitución del personal.
La implantación de un SGCN permite reducir y eliminar errores ya conocidos entre los que se encuentran:
- Incongruencias entre los requisitos de negocio y los planes de recuperación.
- Necesidades insuficientes de espacios para usuarios.
- Prioridades inapropiadas y/o no definidas.
- “Olvido” de funciones de negocio fundamentales.
- Interdependencias confusas.
- Subestimar la importancia de herramientas (email, celulares, alojamientos web, etc.)
- Capacidad insuficiente de recuperación y/o recursos.
- Planes insuficientemente verificados o mantenidos.
- Falta de documentación.
- Falta de formación.
- Documentación obsoleta para gestión de sistemas/configuraciones/teléfonos de contacto/acciones de recuperación.
- Ignorar la posibilidad de emergencias regionales.
- Escenarios de pérdida total de la capacidad de las operaciones del negocio.
- Indisponibilidad de los espacios habituales/alternativos.
- Protección inadecuada de registros vitales.
- Alta dependencia del personal clave.
- Pérdida, desplazamiento, indisponibilidad.
- Dificultades de transporte que impidan la movilización del personal implicado en la recuperación.
- Bajo rendimiento del personal por la situación de estrés.
- Comunicación imprecisa de los procesos.
- Carencias de los planes de respuesta.
- Medios alternativos no conocidos/poco claros.
- Incidentes de coordinación entre partes críticas (empleados, vendedores, servicios, responsables de recursos de emergencia)
La Gestión de la Continuidad de Negocio es un proceso de colaboración en el que el personal involucrado es clave para garantizar la continuidad de las actividades en la gestión de organización no solo en el día a día sino también en las situaciones más adversas.
Una situación de crisis o desastre bien gestionada no solo permite superar situaciones adversas garantizando el menor de los impactos posibles, sino que puede mejorar la imagen de la organización e incluso abrir nuevas oportunidades de negocio.
¿Qué es un desastre?
La respuesta a esta pregunta parece obvia para cualquier persona que alguna vez haya leído noticias sobre incendios, tornados o inundaciones. Seguramente, al enfrentarse con hechos de este tipo uno puede fácilmente calificarlos como desastres.
El primer criterio para definir un desastre es el poder catalogarlo como una interrupción no planificada.
Además, en la mayoría de estos casos, la duración de la interrupción provocada es desconocida.
Por ejemplo, ¿cuánto puede durar un corte de energía? Para muchas organizaciones una interrupción en el servicio eléctrico de veinte horas puede ocasionarle grandes pérdidas; sin embargo, en otros casos, la organización puede soportar tres o cuatro días sin energía sin que esto provoque un impacto severo en el negocio.
Aun cuando la naturaleza no planificada de un desastre es universal, el plazo de tiempo que convierte una interrupción en un desastre varía en función de la organización. Incluso en la misma empresa dicho plazo puede variar dependiendo del momento en el que se produzca el incidente. Por ejemplo, si se produce en días muy específicos para las funciones del negocio, momentos claves del mes, etc., el impacto será mucho mayor que si se produjera en otro momento.
El segundo criterio para definir un desastre es considerar cuánto se prolonga la interrupción en el tiempo. Siguiendo con nuestro ejemplo, la falta de suministro eléctrico, si se prolonga en el tiempo, provocará un impacto negativo en el manejo del negocio si no se toman medidas provisorias para restablecer las funciones afectadas.
Además, los eventos enunciados en la lista inicial tienen una característica en común: las organizaciones que no desarrollan acciones preventivas referidas a estos hechos, no han planificado aún la posibilidad de ocurrencia de estos eventos que pueden llevar a la compañía a un desastre.
El tercer criterio indica que un desastre implica una interrupción no cubierta por los procedimientos “normales” pensados por la organización para resolver problemas cotidianos, ya sea por su duración, o por la cantidad de servicios que fueron afectados.
Resumiendo, los criterios que nos permiten definir una situación como desastre son:
- Una interrupción no planificada.
- Una interrupción prolongada.
- Una interrupción que no puede ser manejada o corregida a través de los procedimientos “normales” pensados por la administración para resolver problemas.
¿Qué hacer cuando ocurre un desastre?
Un desastre es un hecho fortuito, por lo tanto, tenemos que pensar que puede ocurrir, es más, debemos estimar seriamente que ocurrirá.
Nuestra única tarea posible después del desastre es recuperarnos. Para recuperarnos con éxito del evento debemos ejecutar los procedimientos y acciones planificadas y probadas frente a los problemas que se presentan derivados del desastre. De esta necesidad, nacen los SGCN.
Continuación...