jueves, 28 de julio de 2011

Por donde empezar en BCM

Existen muchos tipos de organizaciones: de ámbito público y de ámbito privado, grandes y pequeñas, todas con sus propios objetivos. Y esta heterogeneidad de organizaciones es la que hace que cada una tenga su propia motivación a la hora de establecer un programa de Continuidad de Negocio. Normalmente el principal dinamizador suelen ser las noticias: cuando ocurre una catástrofe, un desastre natural o algún evento inesperado puede que a algún director se le despierte la conciencia y llegue a decir ¿y si me pasara a mi?.
A partir de ese momento se suele identificar internamente al responsable de continuidad para llevar a cabo el programa y/o se solicita ayuda externa a consultoras.
El siguiente paso, buscar una referencia que nos marque el camino a seguir. Tanto las principales guías y estándares de Continuidad de Negocio (GPG del BCI, BS-25999, etc) como la metodología de las consultoras lo primero que llevan a cabo es identificar procesos de negocio, inventario de recursos, análisis de riesgos, análisis de impactos, etc,

Sin embargo voy a proponer una manera distinta de iniciación en Continuidad de Negocio que, por experiencia personal, creo que es lo más adecuado. Lo principal de cualquier iniciativa de este tipo es la concienciación y es lo que primero debemos trabajar, lo que nos garantizará que el resto de fases serán exitosas. Y el mejor método de concienciación, según mi experiencia, es mediante las PRUEBAS. Por lo tanto, mi recomendación: llevar a cabo un simulacro sin mucha preparación, por supuesto siempre con la complicidad de la Alta Dirección. 

El principal ejemplo que yo he vivido en ese sentido fue en una organismo europeo al que llegó un nuevo director, con pasado militar, que decidió nada más llegar llevar a cabo un simulacro de atentado. Sorprendentemente, salió mejor de lo previsto, seguramente por las capacidades de mando de este director, pero se extrajeron muchas lecciones aprendidas y líneas de acción sobre las que trabajar.

Pero cuidado que esta fórmula no sirve con alguno de los alcances. Si, por ejemplo, nuestro alcance se restringe a la Continuidad del Servicio IT no podemos empezar con un simulacro. Provocaríamos justo lo contrario de lo que buscamos...

2 comentarios:

Anónimo dijo...

Es arriesgado lo que propones. Al fin y al cabo, para definir las pruebas habrá que hacer algún mínimo análisis de impacto para no "romper" nada con todo lo que ello conlleva, ¿no? No obstante me parece interesantísimo. Excelente POST.

Jorge Gª Carnicero dijo...

Gracias por tu comentario. Lógicamente, no se puede hacer una prueba sin planificarla, pero tampoco es necesario realizar un inventario exhaustivo para llevarla a cabo. Normalmente las pruebas se plantean al final del programa, cuando todo está más que atado, y lo que yo propongo es que no hace falta un estudio exhaustivo para empezar a ver algo tangible. Al fin y al cabo, los incidentes ocurren todos los días y tenemos cada uno nustra propia forma de abordarlos, sin planificación.