Mejora continua GNC

La organización debe mejorar continuamente la eficacia de un Sistema de Gestión de la Continuidad de Negocio (SGCN) mediante la revisión de la política de continuidad de negocio y los objetivos, resultados de la auditoria, eventos analizados, acciones correctivas y preventivas y la revisión por la dirección de la organización.

De manera similar a otros sistemas de gestión con el modelo Deming para la mejora continua (modelo Plan-Do-Check-Act), la organización debe incorporar un proceso de auditorías internas del SGCN a intervalos programados para determinar que el SGCN cumple efectivamente con las previsiones planificadas para la GCN y en atención a la política y objetivos establecidos por la dirección de la organización.

En este sentido, el programa de auditoría debe planificarse, establecerse, implementarse y mantenerse teniendo en cuenta la evaluación de riesgos, el AIN, las medidas de control y mitigación y los resultados de auditorías anteriores.

Para la gestión adecuada de las auditorías se ha de disponer de un procedimiento de auditoría establecido en el que se indiquen las diversas responsabilidades y competencias, junto a los requisitos de planificación y realización de auditorías en base a la determinación de los criterios, alcance, frecuencia y métodos de auditoría que necesitan ser aplicados.

La auditoría es un proceso que se debe desarrollar garantizando la objetividad e imparcialidad de los auditores designados en cada momento de modo que, la discusión y mantenimiento de los registros de los diferentes informes permita obtener información relevante para poder aplicar las mejores acciones de mejora del sistema de cara al futuro.

Precisamente, los resultados de las auditorías son uno de los datos relevantes que ha de considerar la dirección de la organización en sus revisiones periódicas junto a otra información relevante como:

1. Revisiones del SGCN incluyendo proveedores y subcontratas esenciales.
2. Comentarios de las partes interesadas, incluyendo observaciones independientes.
3. Técnicas, productos o procedimientos que mejoren la eficacia del SGCN.
4. El estado de las acciones preventivas y correctivas y recomendaciones de mejora.
5. El nivel de los riesgos residuales y el riesgo aceptable.
6. Las vulnerabilidades o amenazas no abordadas adecuadamente en el análisis de riesgos previos.
7. Las acciones de seguimiento de las revisiones anteriores acometidas por la dirección.
8. Cambios internos o externos que pudieran afectar al SGCN.
9. Resultados de los ejercicios realizados, lecciones aprendidas de posibles incidentes y programas de formación en educación y concienciación.

Como resultado de la revisión por la dirección se deben acometer decisiones y acciones relativas a posibles cambios en el alcance y mejoras en el SGCN en base a cambios en la estrategia y procedimientos del GCN para responder del mejor modo a posibles modificaciones producidas interna o externamente.

Lógicamente estas decisiones suelen ir acompañadas de la aprobación de la disposición de los requisitos económicos y presupuestarios en consonancia con las necesidades de recursos detectadas por la propia organización.

Indicadores clave

Se indican a continuación los elementos clave que debe desarrollar una organización con una GCN implantada y en correcto funcionamiento:

1. El programa de pruebas cubre todas las operaciones del alcance del GCN.
2. Todos los planes se han probado y de modo realista.
3. Todo el personal ha participado de forma activa en los ejercicios.
4. Todas las ubicaciones para la recuperación de actividades y centros de mando se han probado.
5. Todos los sistemas críticos de recuperación se han probado.
6. Toda la recuperación crítica de telecomunicaciones se ha probado.
7. Toda la recopilación, recuperación y restauración de información se han probado.
8. Todos los proveedores y empresas de servicio subcontratadas críticos se han probado.
9. Todos los proveedores de servicios de recuperación se han probado.
10. Se ha ensayado la reubicación de toda la plantilla.
11. Los diversos planes se corresponden entre sí y se han probado juntos para garantizar su cohesión.
12. El programa de ejercicios de GCN de la organización:
    1. Es coherente con el alcance de todos los planes y estrategias.
    2. Garantiza que cada componente de las capacidades para la continuidad de negocio de la organización se revisa y ensaya de forma regular y es actualizado según un calendario determinado.
    3. Ofrece una certeza objetiva de que todos los planes y estrategias funcionarán según lo previsto.
    4. Garantiza que siempre que sea posible se utilizan escenarios realistas para las pruebas.
    5. Garantiza que se han comprobado todos los elementos y dependencias que existen en el plan y que están relacionados entre sí.
    6. Garantiza que las pruebas reflejan una amplia gama de escenarios y posibles fallos.
13. Se evalúa cada prueba del programa para garantizar que no expone a la organización a niveles de riesgo inaceptablemente más altos.
14. Cada prueba posee una magnitud y complejidad adecuadas para los objetivos de recuperación, perfil de riesgo y nivel de madurez de la GCN en la organización.
15. Cada prueba es realista, se planifica de forma cuidadosa y está acordada con las partes interesadas.
16. Cada prueba posee objetivos y criterios de éxito claramente definidos que han sido autorizados por la alta dirección.
17. Cada prueba genera un informe resumido y análisis posterior.
18. Cada ejercicio genera un informe posterior que contiene medidas correctivas y un calendario para su puesta en marcha.
19. El programa de ejercicios incluye de forma específica:
    1. Revisiones sobre el papel del contenido del plan.
    2. Pruebas o revisiones completas de escenarios sobre el papel.
    3. Pruebas de aumento de la gravedad del incidente y de convocatoria del personal.
    4. Pruebas con escenarios limitados, como por ejemplo de recuperación de tecnología.
    5. Pruebas de recuperación de unidades de negocio.
    6. Pruebas integrales de recuperación que involucren el desplazamiento de toda la ubicación.
20. El programa de ejercicios se adecua de forma rigurosa a unos tiempos previamente fijados que estén acordes con la Política de GCN.
21. El programa de ejercicios es responsabilidad última de un miembro del equipo de alta dirección.
22. El programa de ejercicios posee un presupuesto aprobado propio y adecuado.
23. La documentación del programa de ejercicios describe de forma clara su relación con otros documentos importantes.
24. La organización lleva a cabo un programa de mantenimiento de GCN que engloba todos los aspectos de la GCN en todas las operaciones.
25. Todos los aspectos de la GCN en toda la organización están actualizados y reflejan los requisitos de la política.
26. El proceso de mantenimiento de GCN está claramente definido y documentado y ofrece un control de los cambios para todos los componentes.
27. El proceso de mantenimiento:
    1. Se adecua a los tiempos previamente fijados.
    2. Es responsabilidad última de un miembro del equipo de alta dirección.
    3. Posee un presupuesto aprobado propio y adecuado.
28. El proceso de mantenimiento de GCN está ratificado por la alta dirección.
29. El proceso de auditoría revisa de forma independiente y periódica la competencia para la GCN de la organización en nombre de la alta dirección para verificar su continua adecuación y efectividad.
30. La organización posee los procedimientos adecuados para subsanar las deficiencias relacionadas con la GCN identificadas en la auditoría.