Saltar al contenido.
Tendencias: Fenómenos caóticosOrdenadores y métodosConductaOpiniónTao

Planes de continuidad: por dónde empezar

4 comentarios

En un post anterior trataba los planes de continuidad en su aspecto conceptual, presentando el conjunto de elementos del conocimiento del negocio que es preciso dominar para establecer un plan de continuidad efectivo. Hoy vamos a ver cómo se llega a ese conocimiento.

El camino lógico es empezar por una declaración de la Dirección de la empresa o entidad, llamada política de continuidad donde se expresa el compromiso de establecer los mecanismos y recursos necesarios que permitan a la entidad enfrentarse, con conocimiento y sin improvisación, a cualquiera de los escenarios de crisis que se hayan considerado; definiendo las personas que constituirán el Gabinete de Crisis, que tomará las decisiones más importantes; y los Equipos de Respuesta ante Incidentes (ERIs), responsables de reactivar cada parte del proceso en caso de crisis; así como la voluntad de continuar y mejorar permanentemente todo el dispositivo creado al efecto. Se pueden encontrar ejemplos sobre este tipo de declaración en internet, e incluso alguna ‘plantilla‘ para ayudar a redactarla.

gestiondepcn

El camino que viene luego pasa por desglosar el proceso o los procesos del negocio en partes lógicas o actividades y definir cuales son los suministros críticos para cada una de esas partes.

Al mismo tiempo debe determinarse cuánto tiempo puede permanecer sin actividad cada una de las partes en que hemos dividido los procesos, antes de que su parada repercuta produciendo un efecto negativo tangible en la organización y, conocido este dato, se debe fijar un Tiempo Objetivo de Recuperación o Recovery Time Objective (RTO), que será menor que ese tiempo que podemos permanecer sin actividad. Asímismo deberá establecerse el máximo de información sobre el proceso que puede perderse sin causar problemas, que es el Punto de Recuperación Objetivo o Recovery Point Objective (RPO).

Se deben determinar también con qué medios mínimos puede mantenerse el proceso (con cuánto personal y cuántos recursos mínimos se puede mantener la operación). Toda esta información, y la que sigue, se va recogiendo en las tablas de datos de las que se hablaba en el post anterior.

Se deben analizar los posibles riesgos a los que se enfrenta la entidad, valorándolos con dos criterios: grado de impacto y probabilidad de ocurrencia. La combinación de ambos factores dará como resultado un grado de criticidad. Sólo abordaremos en los planes de continuidad aquellos riesgos que tengan un alto grado de criticidad y que afecten a los procesos por encima del tiempo de interrupción que hemos estimado como aceptable. En la figura siguiente se muestra un ejemplo de cómo valorar los riesgos. Por supuesto pueden considerarse más matices, pero es contraproducente perderse en clasificaciones. La valoración del impacto puede ser económica, de imagen, legal, etc.

ApreciacionDeRiesgos1_cr

Los escenarios que consideramos después de este análisis de impacto de los distintos riesgos son un número limitado de posibilidades y requieren distintas actuaciones: no es lo mismo un incendio, que una inundación, que el fallo de un suministro esencial, que una huelga o el absentismo por una epidemia. En unos casos pueden requerir la continuación de las operaciones en otra instalación no afectada, o el servicio de un suministro por un proveedor alternativo. En otros casos puede resolverse la incidencia con la ayuda de otra entidad externa. Una vez decididas las distintas estrategias de actuación, pasaremos a redactar los procedimientos de actuación.

Los procedimientos han de hacer referencia concreta a cuando se pone en marcha todo el mecanismo de crisis, a personas que han de actuar, a medios que se han de emplear, a objetivos de tiempo y de limitación de daños a cumplir, a la forma de valorar cuándo se da por concluida la crisis, a cómo ha de ser la comunicación interna entre los responsables de las partes afectadas y el órgano que gestiona la crisis, y la externa de la compañía.

Para estar seguros de que hemos hecho un trabajo útil, hay que establecer pruebas o simulacros en los que se ‘juega’ a activar un plan ante una imaginaria emergencia, se avisa a las personas que han de actuar, se toma nota de los tiempos y de las actuaciones realizadas y se somete luego a examen todo el operativo para corregir lo que no se hubiera previsto bien. Cuando se hayan consolidado los procedimientos como correctos hay que realizar campañas de difusión entre todo el personal para que sepan cómo actuar en caso de crisis.

Por último, es conveniente acudir a una entidad de certificación, que audite nuestro plan y nos certifique, porque de cara a terceros nos da un elemento distintivo, que aporta confianza.

Continua en el post siguiente:

Planes de continuidad: el incidente y la activación

 

Gestión empresarial
, , , , , , ,

4 Comentarios »

  1. Pingback: Plan de continuidad de negocio como proyecto – 3palmeras . wordpress . com
  2. Pingback: Planes de Continuidad con SQLite – 3palmeras . wordpress . com
  3. Pingback: Planes de continuidad: el incidente y la activación. | 3palmeras
  4. Pingback: Planes de continuidad: la empresa frente al riesgo de catástrofe. | 3palmeras

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: