lunes, 3 de febrero de 2014

Pruebas del SGCN, ¿Preparadas o no…?

Por Moises Lopez Soto

Hablemos de las pruebas en un Sistema de Gestión de Continuidad de Negocio, partiendo de la premisa que se trata de un elemento absolutamente trascendental, y no necesario sino OBLIGATORIO para poder considerar que realmente disponemos de un Sistema de Gestión de Continuidad de Negocio. No en vano, tienen dedicada una fase completa del ciclo de Deming (PDCA). Por ello, no vamos a profundizar en la necesidad de hacerlas, suponemos ese punto superado, y nos centramos en el ¿Cómo hacerlas o la “preparación” para hacerlas?
Cuando llega el momento de comprobar que lo planificado y hecho previamente cumple, realmente, su función y que la estrategia elegida va a cubrir y dar el soporte necesario a la compañía en materia de Continuidad de Negocio, suele entrar el nerviosismo a los responsables de haber llevado a cabo cada una de las planificaciones establecidas, además la parte operacional entra en un ciclo de preparación, normalmente, excesivo.

Queremos realizar una prueba, consultamos a los miembros de los diferentes comités existentes su disponibilidad ya que suele haber algún componente de la Alta dirección del cual su tiempo es oro, (hasta ahí se puede considerar una planificación normal) además se consulta/acuerda a nivel TI por los distintos responsables de los sistemas/aplicaciones que posiblemente se van a ver afectados por la prueba, nos dirigimos a los usuarios y sus responsables para comunicarles que van a participar en una prueba, etc. etc. Resultado: con suerte habremos preservado en secreto el día y la hora de la prueba.
Acabamos realizando un Plan – Do – Check – Act de la propia prueba, la cuestión es: ¿es realmente necesario?
Quizás la pregunta a responder cuando analizamos la realización de una prueba sea ¿Cuándo queremos ser despedidos (siendo muy exagerados), durante una contingencia real o tras la realización de una prueba fallida? Personalmente, si perteneciera a algún estamento de la alta dirección y se me garantiza la Continuidad alegando la realización de pruebas, y posteriormente, por las causas que sean, se debe activar el plan y no funciona debido a la lógica NO preparación de una contingencia, echaría a rodar alguna cabeza…

Con esto, no se quiere decir que no sea necesario, sobre todo en los inicios, realizar cierta preparación antes de lanzar una prueba, pero sí que un exceso de preparación invalida los resultados que obtengamos con la prueba.

En cambio, si pasamos al otro extremo y apostamos por realizar pruebas sin previo aviso también nos podemos encontrar con ciertos "problemillas" y riesgos como, por ejemplo, romper la máxima de: “Que la Continuidad de Negocio NO ponga en riesgo al negocio” y provocar nosotros mismos una contingencia de grandes proporciones. Además, tampoco es bueno que los grupos con funciones dentro de los planes de continuidad de negocio se acostumbren a recibir alertas de activación del plan sin previo aviso ya que pueden caer en la desidia y pensar “otra prueba más” cuando se esté tratando de una contingencia real.

Por ello, la propuesta más sensata es la alternancia, vista como la realización de pruebas preparadas con pruebas más improvisadas (conocimiento de la misma reducido al mínimo número de personas) de manera que se fomente el conocimiento y la cultura de Continuidad de Negocio en la compañía a la vez que se obtiene feedback mucho más objetivo.

En cualquier caso, y de un modo u otro, es importante que tengamos en mente siempre que vamos a realizar una prueba que lo que debemos buscar es el fallo, la vulnerabilidad de nuestros planes, el imprevisto, la obtención de lecciones aprendidas que mantengan la mejora continua, que, salvo inclemencias meteorológicas, las contingencias no llaman al timbre, derriban la puerta y, sobre todo, que la prueba lleve consigo la imperiosa necesidad de realizar más pruebas ya que la repetición es un método probado de aprendizaje y una manera perfecta de arraigar automatismos que serán absolutamente necesarios cuando el estrés atenace la capacidad de raciocinio. ¿De qué manera podemos conseguir esto?

“Una prueba de Continuidad de Negocio no debe hacer peligrar la compañía, pero debe llevarla al conocimiento certero de su Resiliencia”

2 comentarios:

Anónimo dijo...

La madurez de la implantación de la continuidad permite realizar mejores pruebas en cada ciclo.

saludos
A.M.

Beth Ojeda dijo...

Además de realizar el simulacro, es muy importante documentar su ejecución y corregir los fallos. Interesante artículo. Saludos,