Tira tu plan de continuidad AC a la basura, y haz un plan de continuidad DC.

La semana pasada escribimos sobre la necesidad de reflejar las nuevas incertidumbres en nuestras evaluaciones y mapas de riesgos para ayudar a tomar decisiones.

Aquí compartimos algunas reflexiones sobres planes de continuidad de negocio, y que debemos hacer con ellos a partir de ahora.

Desde que terminó la época AC (antes de Covid) muchas organizaciones habrán comprobado (cliquea uno):

  • La utilidad y la efectividad de su plan de contingencia.
  • Si, teníamos uno. Se había descargado del Rincón del Vago, y quizás servía para Vulcanizados Manolo S.L, pero para mi empresa no.
  • Cuando se desempolvó el documento, nadie sabía nada de sus roles o responsabilidades o como activar los planes de contingencia.
  • Faltaban licencias de VPN o ancho de banda para que toda la plantilla pudiera WFH.[1]
  • Ah, ¿Teams era para esto?
  • Ojalá hubiéramos tenido uno.

Con casi toda certeza, la opción primera es mayoritaria, pero con la misma certeza las otras cinco opciones son aplicables a más de una organización.

Nadie esperaba que el estado de contingencia duraría ya no solo diez semanas, sino las semanas que nos quedan hasta que volvamos a una nueva normalidad que aún desconocemos. (ver post de la semana pasada). No hay mejor momento para una revisión casi forense de como nuestra organización haya reaccionado a la crisis, y por lo tanto no hay mejor oportunidad para comenzar el ciclo de mejora de cara al futuro.

Evaluar la eficacia de los planes ejecutados.

Desde cualquiera de las líneas de defensa, es crítico llevar a cabo una evaluación del desempeño de la ejecución de los planes de continuidad y contingencia. Debemos evaluar al menos;

  • ¿Pudimos mantener un nivel óptimo de servicio?
  • ¿Cuánto tardamos en lograr ese óptimo nivel de servicio?
  • ¿Se registró un aumento en el nivel de incidencias con clientes?
  • ¿Las incidencias fueron atribuibles a la efectividad del plan de continuidad?
  • ¿Qué partes de mi plan fallaron y por qué?
    • Falta de detalle o actualización del plan.
    • Falta de formación interna.
    • falta de infraestructura alternativa.
    • Falta de recursos.
    • Fallo de un proveedor o un tercero.

Rehagamos el plan e implementemos mejoras.

Nuestra evaluación nos debe llevar a la implementación de mejoras (en algunos casos considerables) de nuestro plan de continuidad y contingencias. Tenemos con certeza un buen inventario de lecciones aprendidas.

  • Visualizar escenarios para la nueva normalidad. Vuestros procesos en toda la cadena de valor han cambiado, no hay duda.
  • Actualizar o desarrollar el BIA (Business Impact Analysis), en caso de no tenerlo. Dicho documento tiene como principal objetivo identificar las necesidades del negocio en términos de recuperación. Sobre todo, aquellas que se consideran indispensables o representan “servicios mínimos” necesarios para el funcionamiento de la organización.
  • Realizar pruebas periódicas del plan de continuidad para detectar fallos y mantenerlo actualizado.
  • Concienciar a toda la organización de las medidas.
  • Programar revisiones periódicas más frecuentes del plan por parte de auditoría interna.

La decepción de no habernos anticipado lo suficiente, que no nos deje sin hacer el trabajo para estar mejor preparados para la próxima.

 

Daniel Álvarez, CIA Senior Manager GRC

Luis Frias Senior Consultant IT GRC

[1] Acrónimo inglés para Work from Home (trabajar desde casa).