7 Razones por las que su Plan de Desastre es un Desastre


                    (NOTE: See here this article in English)

La mayor parte de ‘expertos’ en la Gestión de Riesgos y Continuidad de Negocio centran su actividad en generar documentación y no de la implementación real de los planes.

Durante mis años de ejercicio como profesional, he podido constatar una tendencia general que ha viciado esta práctica orientándola hacia el objetivos secundarios como complacer auditores, con muchas casillas marcadas, mucho papeleo y esfuerzo en la actualización de una documentación con poca aplicación práctica, y que a menudo resulta tan abstracta, que termina aniquilando el entusiasmo del personal a cargo de su ejecución. De ahí, que se produzca una especie de entropía en el entendimiento general del contenido de los planes, que a la postre limita la capacidad de respuesta del personal ante situaciones reales de desastre.

Este fenómeno afecta a organizaciones enteras, donde el personal directivo superior adquiere una falsa sensación de seguridad. Pues teóricamente todas las brechas están cubiertas, el riesgo está bajo control y el personal está preparado para asegurar la continuidad del negocio llegado el momento. Pero en la realidad, sólo unos pocos individuos (por ejemplo, los Gerentes de Riesgo, Coordinadores de BCP) se mantienen familiarizados con el contenido de los planes y procedimientos, o lo que es peor, son el único personal que no ignora la existencia de un plan anti desastres.

Así las cosas, el resto de la plantilla permanece demasiado ocupada en hacer funcionar el negocio y a menos que tenga lugar un acontecimiento desastroso verdadero, ni siquiera pensará en todas las cosas que podrían salir mal. A menudo, la Gestión de Riesgos y los Planes de Continuidad de Negocio (BCP), sólo se tocan o actualizan antes de una auditoría o inspección. Así mismo, si el personal puede evitar verse involucrado, por lo general lo hará. No se presentándose a los simulacros o tomando vacaciones por ejemplo.

Pero el problema en realidad comienza mucho antes. Los Gerentes de Riesgo y Consultores de BCP tienden a trabajar en solitario o con equipos de organizaciones relacionadas con la gestión de riesgos aunque eventualmente podrán sostener algún contacto con la alta dirección para visibilizarse pero no mucho más.

Por otro lado, muy a menudo ocurre que es difícil conseguir la aceptación, el tiempo y la atención de los mandos medios y el resto de una plantilla que está muy ocupada realizando su trabajo. Lo cual constituye un gran obstáculo en muchos proyectos de gestión de riesgos e implementación de planes de continuidad.

De lo que resultan montañas de documentación, que incluyen engorrosos y voluminosos análisis de impacto, evaluaciones de riesgo y planes de continuidad, que caen en la obsolescencia en plazos muy cortos. Por tanto, durante un incidente real, la mayoría del personal estará desinformado o dispondrá de una información imprecisa o desactualizada, ignorando qué hacer, qué actividades priorizar, cómo serán contactados o con quien deberán ponerse en contacto, quien tiene la autoridad para darles instrucciones y así un largo etc. Que les hace ver a menudo bastante tarde, que no están preparados para enfrentar un desastre.

Estos problemas se derivan de los siete errores siguientes:

  1. El personal directivo superior, aunque consciente de los riesgos y la necesidad de cumplir con los requisitos reglamentarios pertinentes, no dedica tiempo suficiente para dirigir de manera más activa los mandos medios y el personal en general, y no compromete recursos suficientes para crear un BCP a la medida de la organización.
  2. Existe un sólo Gestor de Riesgo o Administrador del Plan de Continuidad (BCP), esta persona será el único elemento plenamente consciente del plan y por tanto en proporción insuficiente con relación al resto de la plantilla para ejecutar el plan llegado el momento en que se produce el incidente. Pues el plan se realiza precisamente para coordinar previamente los procedimientos. No para impartirlos y/u organizarlos en medio de una emergencia.
  3. El Gerente de Riesgo o BC desarrolla complicadas plantillas de BCP / Administración de Riesgos / BIA, que envía a las divisiones de negocio, para su realización sin la debida orientación. Esto resulta en un deficiente entendimiento de los propósitos de estos documentos, una pobre asimilación de la información contenida en ellos y por último una resistencia ingente a la actualización y mantenimiento de la misma por parte del personal a cargo de la tarea.
  4. El BCP está concebido como un documento de gran tamaño, que es gestionado de forma centralizada por el Gestor de Riesgos / BCP, si no se actualiza con regularidad, y suele ser muy poco práctico en incidentes reales, porque el contenido relevante es difícil de encontrar. El control de versiones (si lo hay) se ve limitado por el hecho de que solo una persona puede editar la versión más reciente. Y en caso de producirse una caída de los sistemas internos, el documento no se podrá recuperar. Ya que solo está disponible en un sector del sistema que no está operativo.
  5. La sensibilización del personal es baja o inexistente, especialmente entre aquellos que no tienen un papel definido en el Plan de Continuidad (BCP). Cuando lo acertado sería pensar en ellos para cubrir espacio en lugares alternativos.
  6. Las pruebas y simulacros de desastre son evaluados en base a criterios rígidos de “aprobado / suspendido”. Lo cual lejos de motivar a los participantes en la búsqueda de las áreas del plan susceptibles a mejora, genera en estos una necesidad contraproducente a efectos del Plan, que es tratar de quedar bien frente a la dirección.
  7. La participación en el plan de continuidad de negocio es percibida como una adición de tercer o cuarto orden al conjunto de funciones a realizar, por lo que los implicados en el mismo terminan priorizando su trabajo diario, a expensas de las tareas de continuidad del negocio.

Y de esta manera he visto a clientes gastar cientos de miles de dólares en consultores, para incurrir en los mismos errores. Los problemas resultantes se repiten cada pocos años, cuando los documentos se desactualizan o peor, cuando se produce un incidente real y el BCP, los controles y procedimientos establecidos no funcionan o se desconocen.

De ahí que no podemos aspirar a mejorar siguiendo las mismas pautas. Si cuenta con un BCP breve, agudo y fiable, su negocio será capaz de responder de manera efectiva a un suceso perturbador, garantizando la protección y reputación de su marca, el cumplimiento de sus responsabilidades sociales corporativas, así como las necesidades de su personal, clientes y partes interesadas. Pero para lograr estos objetivos, ha de existir un elevado compromiso de la directiva con el BCP y el alcance de sus fines.

Vea aquí un artículo de seguimiento que escribí sobre las siete formas de asegurarse de que su plan de desastre realmente funciona.

Nosotros quedamos a tu disposición desde www.businessasusual.net.au para asistirle en su Plan de Continuidad de Negocio y también para informarle acerca de nuestros cursos (ISO22301, ISO31000, ISO27001& ISO28000)

 

NOTE: See here this article in English / Vea aquí este artículo en inglés.

 

Browse our upcoming Training & Events

Signup for our Newsletter