Continuidad de negocio. What the "FAQ"?


Llamémoslo "continuidad de negocio", "recuperación de desastres", "gestión de continuidad operacional", "preparación de emergencias", "disaster recovery", "business continuity", "resiliency planning", "business recovery", "emergency management", "continuity programs", ... y, por supuesto, todas las combinaciones intermedias. Todo ello aderezado con un buen número de acrónimos del tipo: BCP, BCM, DRP, CM, BIA, IR, ...

Entre el material que uso para dar formación sobre BCP tengo una "slide" muy bonita (está mal que yo lo diga) para resumir la respuesta de una organización ante un desastre. Así que he pensado colgar aquí una versión resumida (más gráfica) de la mencionada slide y comentar una serie de cuestiones recurrentes (FAQ) que aparecen siempre que presentamos un plan de continuidad (BCP o "business continuity plan").

Mi FAQ particular sobre BCP es el siguiente decálogo de 10 puntos (casualmente):
  • Los desastres son, por definición, imprevistos y difícilmente repetibles. Es difícil preparar un desastre concreto porque no se suelen anunciar y no se repiten frecuentemente. "No podemos quemar un rascacielos todos los sábados por la tarde para garantizar que la organización está entrenada ante esta situación".
  • El comité de crisis debe tomar el control de la situación lo antes posible. Toda la información sobre el incidente debe llegar al "puesto de mando" (o "torre de control"), todas las decisiones sobre el incidente deben salir del "puesto de mando" y todas las comunicaciones hacia el exterior deben ser supervisadas por el comité de crisis. "En resumen, el comité de crisis se come el marrón del desastre".
  • El objetivo principal del comité de crisis es recuperar la actividad de la empresa lo antes posible. Estrictamente hablando, el objetivo es recuperar el nivel de servicio de la organización. 
  • Son objetivos secundarios del comité de crisis: evitar crisis de reputación, aminorar el impacto en clientes y proveedores, controlar los costes económicos y organizativos de la crisis. Importante tener en cuenta que estos objetivos secundarios son, eso, menos importantes que el objetivo principal.
  • Durante el funcionamiento en contingencia la actividad debe ser percibida como "normal" desde el exterior (clientes, proveedores, etc.). El cliente debe percibir que recibe la atención habitual, aunque "es normal que los empleados estén jodidos durante la contingencia: cambio de ubicación, falta de comodidades, limitación de espacio, recursos, etc".
  • La vuelta a la normalidad no significa, necesariamente, volver a la situación anterior al desastre. No siempre, pero es habitual que durante la recuperación de la actividad se aproveche para optimizar procesos, actualizar plataformas tecnológicas, etc. "No es realista construir otra torre igual de grande, igual de obsoleta e igual de insegura en el mismo sitio para poder afirmar que se ha vuelto a la normalidad". 
  • "Wait and see" (esperar y ver) es siempre una opción. Todos los procesos imprevistos que requieren tomar una decisión admiten, de alguna manera, aplazar la decisión. Lo correcto, sin embargo, suele ser empezar a hacer lo que haya que hacer lo antes posible. "A nadie le dieron nunca una medalla por no hacer nada. En general, no hacer nada significa que si aciertas nadie te lo agradece y si fallas te vas a comer el marrón tú solo".
  • Todas las acciones del comité de crisis deben ser comunicadas. No sirve para nada tomar decisiones si no se comunican. "Los miembros del comité no suelen caracterizarse por ejecutar sus propias decisiones directamente, así que, al menos, necesitan comunicar sus decisiones para que alguien las ejecute".
  • El comité de crisis debe estar activo 24x7 hasta que se restablezca el funcionamiento normal de la organización. Siempre es posible utilizar algún mecanismo de turnos, atención "on call", ampliar el comité con nuevos miembros, etc. "En última instancia, este requisito es un incentivo para resolver la crisis lo antes posible".
  • La respuesta al desastre termina cuando, una vez restablecida la operación normal, se presenta un informe "post mortem" del incidente. El informe debe incluir: auditoria de los gastos incurridos durante el desastre y la recuperación, impacto en los clientes, valoración de la comunicación interna y externa durante la crisis, etc. "Es muy habitual incurrir en gastos no justificados o injustificables durante una crisis. También es, de alguna manera, inevitable".
Y éste es mi decálogo. medio irónico medio serio.

<Continuidad de negocio. What the FAQ? />

No hay comentarios:

Publicar un comentario