Comencemos por repasar el procedimiento para realizar un Plan de Continuidad de Negocio (BCP, por sus siglas en inglés) y centrándonos en la amenaza que representaría una pandemia del virus de la influenza A H1N1 que podría afectar a un porcentaje alto de la plantilla. El objetivo es tener la capacidad de reacción ante un contagio masivo de personal por influenza, estableciendo las medidas previas y de recuperación necesarias para minimizar el impacto de tal amenaza.
Antes de empezar
Antes de poner manos a la obra conviene que tener claras las definiciones de los siguientes conceptos:
Plan de Continuidad de Negocio (BCP): se trata de una serie de procedimientos alternativos a la forma habitual de proceder de la empresa, de tal forma que, en caso de una interrupción de la actividad por cualquier motivo, se garantice la continuidad de las operaciones.
Plan de Recuperación ante Desastres (DRP): es una parte del BCP compuesta por una serie de procedimientos y actividades que permiten a la organizaciónhacer frente a un desastre y reiniciar sus actividades críticas en unos niveles aceptables.
Plan de Contingencia: también forma parte del BCP y está orientado a establecer las acciones necesarias para garantizar el servicio en caso de que se interrumpan los sistemas de información.
Análisis de Impacto (BIA): es el estudio que permitirá conocer la influencia económica o el impacto de un desastre en determinado proceso o actividad. De esta forma se puede establecer prioridades a la hora de recuperar servicios.
Objetivo de Tiempo de Recuperación (RTO): es el máximo tiempo permitido para recuperar una actividad que ha sido interrumpida. Sobre el RTO han corrido ríos de tinta. Podemos entrar en consideraciones sobre si la actividad tiene un cierto nivel de degradación o no, sobre si necesitamos restaurarla al 100% o no. Consideramos que el RTO es el tiempo que se tiene para recuperar una actividad, no necesariamente realizada con los mismos medios, para no perder calidad de servicio al cliente, al usuario, etc. Con las premisas que hemos establecido podemos preguntarnos: ¿cuánto tiempo puedo estar con una determinada persona de baja?, ¿cuánto tiempo puedo estar con un sustituto para esa persona teniendo en cuenta la posible merma de calidad en el servicio?
Máximo tiempo de caída (MTD): periodo máximo de interrupción de un proceso sin que se entre en colapso. Si se supera este plazo, las pérdidas ya son excesivas.
Otras consideraciones que no se deben olvidar:
- El nivel de seguridad cuando ocurre un desastre y se activa el BCP debe ser el mismo que en condiciones de operativa normal.
-Cualquier legislación que aplique en caso de operativa habitual tiene que seguir aplicándose en cualquiera de las fases del BCP.
- El inventario de teléfonos fijos, móviles, direcciones de correo, direcciones postales, etc. debe estar completamente actualizado.
Fases de elaboración del BCP
La elaboración de un BCP puede resumirse en cuatro fases: análisis del negocio, estrategia de respaldo, desarrollo y divulgación; y pruebas y mantenimiento. A continuación vamos a verlas detalladamente, siempre teniendo en cuenta que la amenaza se llama Virus A H1N1 y que el activo afectado son trabajadores y por tanto su actividad, su capacidad de prestar servicio a clientes, etc.
1) Análisis del negocio
Para elaborar un análisis del negocio, lo primero es establecer un inventario de los procesos en función de la importancia. Así podremos decidir cuáles de esos procesos son críticos, analizando el impacto económico que tendría a lo largo del tiempo una suspensión de esos procesos.
También se debe asignar los procesos a las personas que los realizan, y analizar qué capacidad operativa pierde la empresa a medida que pasa el tiempo con el proceso detenido o muy deteriorado. ¿Cual es el RTO?
En este caso, podríamos elaborar un cuadro con la siguiente información:
-Nombre del proceso o actividad.
-Nombre del responsable del proceso (no necesariamente quien lo realiza).
-Nombre de la persona que realiza el proceso.
-Nivel de degradación aceptable, el RTO y el MTD.
-Impacto económico.
-Consecuencias operativas. ¿Qué ocurre si no se hace?
-¿Quién puede realizar ese proceso en sustitución de la persona afectada?
2) Estrategia de respaldo
Como primera estrategia de tipo preventivo, hay que implantar las medidas recomendadas por las autoridades sanitarias: evitar besarse al saludar, lavarse las manos a menudo, etc.
Si las medidas preventivas no han funcionado y tenemos personal con el virus, se podrían plantear las siguientes estrategias:
-La persona afectada realiza su trabajo desde su domicilio particular.
-La actividad de la persona afectada es realizada por otro trabajador del mismo departamento.
-La actividad de la persona afectada puede subcontratarse de forma temporal.
En el primer caso, ya se han establecido previamente los medios técnicos que permitan tal actividad considerando que:
- Existen mecanismos que garantizan la no suplantación de identidad.
-Existen sistemas que garantizan la confidencialidad de las comunicaciones.
-El trabajador tiene los medios técnicos adecuados, y estos no representan una amenaza de seguridad para la empresa por negligencia, mal uso, falta de actualizaciones, etc.
En el segundo y tercer caso, es necesario que previamente se hayan tomado las siguientes medidas:
-Cada persona debe elaborar una lista de sus actividades habituales y periódicas.
-Documentar procedimientos breves y claros de cómo se realiza esa actividad.
-El sustituto debe saber cómo contactar con el sustituido de forma rápida.
-Relación de personas que pueden resolver dudas sobre tal actividad dentro de la organización.
-Especial atención si el proceso o actividad está sometida a cierto cumplimiento normativo o regulatorio.
- Inventario de recursos utilizados, rutas de acceso a archivos, páginas web, etc.
-Procedimientos claros y ágiles para solicitar permisos de acceso (y posterior revocación) a los recursos utilizados por el sustituido. Evidentemente la política de “utiliza su usuario” no es la más adecuada. En este sentido es conveniente limitar el tiempo de acceso de forma automática.
-El personal subcontratado debe ser informado de la política de seguridad y si es necesario, firmar los acuerdos de confidencialidad necesarios.
Se puede incluir una medida adicional que más que estrategia de recuperación se puede considerar como medida preventiva. Se trata de promover el uso del trabajo a distancia entre gente sana que ha estado en algún departamento donde se ha reportado algún caso de gripe tipo A. De esta forma, en el caso de que una persona sana hubiera quedado afectada, se evitaría la propagación del virus en la oficina.
3) Desarrollo y divulgación del BCP
Una vez que ya sabemos qué procesos son críticos y tenemos valorado el impacto que la ausencia de una persona puede causar en la actividad de la organización, pasamos a desarrollar el BCP. Para ello debemos tener en cuenta los siguientes aspectos:
-Hay que definir un Comité de Crisis y los equipos necesarios para desarrollar el plan. El Comité de Crisis debe coordinar todas las acciones de todos los equipos.
-Deben quedar claras las responsabilidades individuales.
-Debe quedar claro cómo se activa un procedimiento de emergencia y quién es la persona autorizada para hacerlo (suele ser el Comité de Crisis).
-Hay que prever la vuelta a la normalidad, es decir, revocar permisos dados a terceras personas de forma temporal, actualizar los sistemas de información con datos o documentos producidos y almacenados en equipos personales etc.
-En función del tamaño de la entidad, se puede plantear la necesidad de crear equipos dedicados exclusivamente a la recuperación, equipos de atención logística etc.
-Debemos tener procedimientos claros para comunicar la situación de activación del BCP a nuestros clientes, proveedores, empresas subcontratadas, etc. Informarles en qué les afecta así como de las medidas tomadas para evitar pérdida de calidad en el servicio.
Hay que seguir un principio muy importante durante la ejecución del BCP y hasta que se vuelve a la normalidad. Se trata de dejar CONSTANCIA ESCRITA de todas las decisiones tomadas, efectos producidos, actas de reuniones, evaluaciones del comité, etc.
Esta medida va a ser la mejor forma de aprender de nuestros propios errores y poder corregirlos para reforzar la consistencia de nuestro BCP.
La divulgación del BCP es un punto crítico. Para ello es necesario definir objetivos de concienciación y entrenamiento; desarrollar e implementar los programas de entrenamiento; establecer los mecanismos físicos de divulgación (circulares, charlas, servidor web intranet, etc); y definir métricas para medir el grado de divulgación y conocimiento del BCP.
Escrito por: Rafael González el jueves, 24 de septiembre de 2009
Aportación: Karina Elisea Gómez / Marketing Staff
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario