Fase de reacción del SGCN

En esta fase, serán objeto de definición los procedimientos necesarios para la gestión de una situación de crisis durante una contingencia grave que afecte a un determinado centro de los incluidos dentro del alcance inicialmente consensuado. Sin perjuicio de otra documentación de alcance, de esta fase deberá ser generado como entregable el denominado Manual de Gestión de Crisis. Otro documento importante será el que contenga el denominado Plan de Recuperación.

Manual de Gestión de Crisis

El objetivo del citado manual es proporcionar al equipo de la gestión de crisis de la organización una metodología que permita afrontar, de forma sistemática y homogénea, una situación de posible crisis que afecte a los escenarios contemplados en el Plan de Continuidad de Negocio.

Nos referimos a:

1. Indisponibilidad de las instalaciones.
2. Indisponibilidad masiva de TI.
3. Indisponibilidad del personal clave.

En este manual, se establecen, además, las responsabilidades y se visualizan los mecanismos de alerta, comunicación y decisión, y procedimientos de actuación en situaciones excepcionales de crisis.

Las actuaciones a llevar a cabo en la gestión de situaciones de crisis contemplan los siguientes procedimientos:

1. Procedimiento de alerta: procedimiento mediante el cual se pone en conocimiento y comunicación de la existencia de un incidente a los diferentes responsables en función de escenario afectado por la contingencia.
2. Procedimiento de evaluación: procedimiento en el cual se describen todas las actividades para la realización de una evaluación exhaustiva de la incidencia, una vez ampliada la información de la misma.
3. Procedimiento de declaración de desastre: procedimiento en el que se describe la convocatoria y reunión del Comité de Continuidad de Negocio u el órgano constituido al efecto para la decisión, aprobación y, si se considera necesario, la puesta en marcha de los Planes de Recuperación de las actividades afectadas.

En esta fase, será muy operativo tener definidos los diferentes órganos encargados de la gestión de la crisis, así como sus responsabilidades.

A modo de ejemplo, se deberá contar con:

1. Comité Permanente de Continuidad. Órgano responsable directo de la gestión de la situación de contingencia y de la dirección de la continuidad en general. Para el completo desarrollo de sus funciones, este comité se podrá apoyar, cuando lo considere necesario, en los miembros del Grupo de Apoyo a la Continuidad. El Comité Permanente deberá contar con un presidente, el responsable de Continuidad que haya sido designado y responsables de las distintas secciones.
2. Grupo de Apoyo a la Continuidad. Su misión será la de colaborar, a petición del Comité Permanente de Continuidad, y dentro de su ámbito de actuación, en la evaluación de la gravedad y consecuencias de la contingencia, la articulación de las medidas tendentes a solventar o paliar la crisis y la gestión de las comunicaciones pertinentes. Asimismo, son los responsables últimos de la recuperación de sus procesos críticos.
3. Equipo de Comunicación. Su función será la de lanzar los mensajes de comunicación que correspondan en función de la situación de desastre declarada. Será el encargado de lanzar los mensajes que, previamente definidos, deban ser enviados a trabajadores, clientes, proveedores, medios de comunicación, etc.

Plan de Recuperación

En este momento, será cuando se definan los procedimientos necesarios para la recuperación de aquellos procesos o servicios críticos que pudieran verse afectados por una contingencia grave.

Teniendo como premisa que cada incidente que se produzca es distinto, las acciones que se describan en los diferentes procedimientos no pretenden cubrir todas y cada una de las posibles eventualidades. Cualquier procedimiento puede requerir ser adaptado con flexibilidad e iniciativa por los responsables de poner en marcha el procedimiento de reactivación, de forma que se obtenga una repuesta efectiva a la contingencia específica que se presente. E

n el caso de que un procedimiento de reactivación de las estrategias no se ponga en práctica en su integridad o que haya algún aspecto del mismo que no esté definido, el Comité de Continuidad de Negocio u órgano designado al efecto deberá dar las pertinentes indicaciones.

Son acerca de:

1. Las acciones que se deben desarrollar
2. Los responsables de su ejecución
3. La secuencia en que se van a realizar
4. El tiempo de que se dispone para su puesta en práctica

Los procedimientos de recuperación a elaborar en esta fase podrían encuadrarse en tres grandes grupos:

1. Procedimiento de recuperación:
   1. Procedimiento de coordinación de empleados. El objetivo de este procedimiento será la convocatoria de los empleados críticos y facilitar información al resto de empleados de la organización. Este procedimiento deberá tener en cuenta si la contingencia se produce en horario laboral o no, si se requiere o no evacuación del centro de trabajo en el que se ha producido la contingencia, etc.
   2. Procedimiento de desplazamiento de empleados. En este procedimiento, la persona designada para ello incorpora las instrucciones para que se habiliten los espacios destinados al personal de contingencia y se les dé acceso al lugar donde se van a realizar los trabajos, ya sea en un CPD alternativo, en un Centro de Trabajo alternativo, etc.
   3. Procedimiento de comunicación externa e interna. Mediante este procedimiento, se regularán las diferentes acciones de comunicación a los responsables de cada área de la organización, así como los mensajes a dirigir a clientes, proveedores, familiares, etc.
2. Procedimiento de vuelta a la normalidad. Teniendo en cuenta las informaciones y valoraciones sobre la situación del edificio, así como sobre la disponibilidad de los servicios e instalaciones, el Comité de Continuidad de Negocio o el órgano designado al efecto decidirá el calendario de regreso al centro principal.

Asimismo, en función de cómo evolucione la situación de contingencia, el Comité de Continuidad de Negocio deberá prever la necesidad de incorporar a la actividad procesos cuya criticidad se pudiera haber definido como menor e, incluso, barajar la posibilidad de disponer de otra ubicación definitiva en el caso de que la situación de contingencia grave se prolongara durante un periodo de tiempo mayor al estimado.

3. Procedimientos de control y seguimiento. Con la periodicidad que se decida, por ejemplo, diariamente, los responsables de cada una de las áreas afectadas por la contingencia informarán sobre el estado de la situación del incidente en lo que respecta a su ámbito de actuación, entregándolo al Comité de Continuidad de Negocio para que sus miembros puedan conocer con detalle las circunstancias particulares que le permitan disponer de información a la hora de tomar decisiones.

Al finalizar la puesta en marcha del Plan de Recuperación, y cada día durante la primera semana, el Comité Permanente de Continuidad realizará un seguimiento del cumplimiento del plan y de los problemas e incidencias que pudieran surgir. Para realizar este seguimiento de la recuperación, el Comité Permanente de Continuidad podrá contar con el Grupo de Apoyo, si fuera necesario. Este seguimiento deberá quedar documentado brevemente y ser transmitido a los responsables de las distintas áreas.