Continuidad de negocio. Lecciones aprendidas
Introducción
No existe la seguridad al 100%, es solo una percepción errónea.
En un entorno competitivo, de continuos cambios, donde el riesgo cero es una falacia, la gestión de los riesgos y de la incertidumbre es inevitable, entendidos éstos no solo como amenazas si no también como oportunidades.
Las organizaciones deben estar preparadas para protegerse y reaccionar ante posibles incidentes que pudieran dañar su capacidad operativa o hacer peligrar la continuidad de negocio.
Las organizaciones tienen que ser capaces para dar una respuesta rápida y eficaz ante cualquier contingencia grave, de manera que puedan recuperar su actividad normal en un plazo de tiempo tal que no se vea comprometido su negocio.
Lecciones aprendidas
En base a nuestra experiencia en proyectos de continuidad de negocio podemos extraer las siguientes conclusiones o lecciones aprendidas:
- Entender la organización. Entender su misión, visión, valores y cultura es fundamental para definir un enfoque correcto.
- Liderazgo. La alta dirección debe estar comprometida y liderar el cambio.
- Enfoque en las consecuencias, no en las causas. Un innumerable número eventos pueden derivar en un escenario de contingencia por lo que es más adecuado enfocarse en las principales consecuencias. Los escenarios de contingencia tipo pueden ser los siguientes:
- Indisponibilidad de las instalaciones.
- Indisponibilidad de las personas.
- Indisponibilidad de los proveedores.
- Indisponibilidad de la infraestructura o recursos.
- Evitar aspectos formales:
- No dar tanto peso al análisis de riesgos ya que a veces prepara a la organización para amenazas que no se materializan, y no identifica amenazas que sí acaban sucediendo.
- En relación al análisis de impacto de negocio (BIA) no es necesario hacerlo tan formal ya que la alta dirección es plenamente consciente de qué servicios son los más críticos, los más estratégicos y los más urgentes de recuperar, y que su tolerancia de la interrupción es ninguna, es cero.
- Crear únicamente documentos que sean útiles a las personas, en términos de qué hacer, quién debe hacerlo, cuándo y cómo, si es posible breves e intuitivos (p.e. Con gráficos, esquemas, diagramas de flujo, …).
- Medir y comparar. La medición del nivel de preparación será la respuesta efectiva y la recuperación real de un sistema o servicio en un escenario de desastre. Las mediciones indican dónde debe invertir una organización para mejorar sus capacidades de recuperación. La comparación demuestra que tales inversiones han logrado alcanzar los objetivos esperados.
- Probar para mejorar. Usar las pruebas para apoyar la mejora continua de las capacidades de recuperación, no solo para verificar la capacidad de recuperación, ni para evaluar la documentación del plan de continuidad de negocio.
ISO 22301
El sistema de gestión de la continuidad de negocio o plan de continuidad de negocio (conforme a la ISO 22301) proporciona un marco que garantiza el funcionamiento de las organizaciones durante y después de las interrupciones.
La certificación del plan de continuidad de negocio ISO 22301 contribuye a reforzar estas garantías, mejorando la imagen de la organización y generando confianza ante las partes interesadas.
Haga click, si desea información de servicios de continuidad de negocio.