Plan de continuidad de negocio

Los componentes y contenidos de un Plan de Continuidad de Negocio varían según la organización y presentan diferentes grados de detalle basados en la cultura en continuidad de negocio de la organización y de la complejidad técnica de las soluciones propuestas.

La redacción del Plan de Continuidad de Negocio (PCN) raramente será efectiva si no se han instaurado previamente los elementos clave de la estrategia de recuperación de actividades (o su planificación está muy avanzada).

El propósito de un PCN es ofrecer un marco de acción y procesos documentados para que la organización pueda reiniciar todos sus procesos de negocio dentro de sus Objetivos de Tiempos de Recuperación.

De forma similar a al enfoque del PGI, el PCN debe estar orientado a aspectos prácticos relacionados con acciones y, en consecuencia, debe ser rápido de consultar y no debe incluir documentación innecesaria en los momentos de gestión de un incidente.

El PCN debe contener y documentar los supuestos de gravedad máxima del incidente en términos de amplitud, duración o impacto sobre el personal.

Si en algún momento se sobrepasaran estos supuestos dentro de estos parámetros se debe transferir la responsabilidad al Equipo de Gestión de Incidentes, debido a que es prácticamente inevitable que la solución no esté relacionada con una decisión estratégica previa.

Entre los pasos clave para desarrollar un PCN se pueden identificar las siguientes consideraciones:

1. Asignación y nombramiento de un responsable del Plan de Continuidad de Negocio (o de cada plan en varias ubicaciones).
2. Establecer los objetivos y alcance del plan en referencia a la estrategia de la organización y la Política de GCN.
3. Establecer un proceso de desarrollo y programa del PCN.
4. Creación de un equipo de planificación para desarrollar el PCN.
5. Decidir la estructura, formato, componentes y contenido del PCN.
6. Determinar las estrategias que describirá el plan y qué es lo que se abordará en otros planes.
7. Determinar circunstancias que superan el alcance del PCN.
8. Recopilar información para elaborar el PCN.
9. Desarrollar y hacer circular un borrador del PCN para obtener mejoras y correcciones en base a las consultas y las revisiones.
10. Acordar y validar el PCN mediante un test más o menos práctico.
11. Acordar un programa constante de ejercicios para el mantenimiento y actualización del PCN.

Un Plan de Continuidad de Negocio debe diseñarse en módulos fácilmente distribuibles en sus diversas secciones a los equipos y en base a la información que necesiten saber. La impresión en papel y en distintos colores permite un acceso ágil, incluso la impresión de copias adicionales según necesidad cuando se mantiene en un formato, por ejemplo, anillado y no encuadernado.

El uso de apéndices para recoger aquella información más susceptible de cambiar regularmente (p. ej. detalles de contacto) permite aplicar correcciones para su mantenimiento de un modo más directa sin necesidad de revisar todo el contenido en cada ocasión.

Por esta razón es preferible que dentro del cuerpo principal del documento figuren las funciones y no los nombres específicos de quienes las desempeñan, referenciando estas asignaciones en la parte de los anexos precisamente.

Del mismo modo que en el caso de los PGI, existen muchos recursos de tipo informático o modelos en formato de plantillas personalizables para desarrollar y mantener un Plan de Continuidad de Negocio. Pueden servir de ayuda, pero no son esenciales utilizarlos y hay que prestar atención a que los modelos de referencian se adaptan a las necesidades localizadas de la organización y no a la inversa.

El uso de recursos ofimáticos habituales como procesadores de textos, hojas de cálculos, entre otros, tienen la ventaja de no requerir una formación específica en comparación a otras soluciones, aunque lógicamente podrían resultar insuficientes en alcances de aplicación amplios o muy dispersos geográficamente.

Especialmente, los sistemas de gestión de contenidos son una solución habitual por ser accesibles a todo tipo de presupuestos y disponen de la posibilidad de adaptación a las necesidades específicas para el mantenimiento e integridad del PCN, entre otras funcionalidades adicionales (programas de prueba, reuniones, registros con documentación relevantes, etc.)

En cualquier caso y forma de la solución definitiva adoptada, tiene que haber un proceso de gestión de control y cambios para la producción, actualización y distribución del Plan de Continuidad de Negocio y que debe contemplar formalmente al responsable designado (persona o grupo) para su documentación y mantenimiento adecuado.

El PCN debe especificar las funciones del equipo y personas específicas designadas para las actividades junto a los sustitutos identificados para cada una de las funciones.

Entre las responsabilidades del equipo y actividades de las personas designadas en el PCN más habituales se encuentran:

1. Servir de enlace con los servicios de emergencia.
2. Recibir o buscar la información de los equipos de respuesta.
3. Reportar la información al Equipo de Gestión de Incidentes.
4. Activar a posibles proveedores de servicios de rescate o recuperación.
5. Asignar los recursos disponibles a los equipos de recuperación.

Dentro de las cuestiones relevantes del PCN se tienen que especificar las circunstancias en las que el equipo se debe activar, así como, determinar quiénes son las personas con autoridad suficiente para la activación y prestando atención a la flexibilidad de acción según las circunstancias (p. ej. en situaciones de incomunicación total o parcial) animando a la toma de decisiones en caso de dudas y siempre que exista el riesgo de que la inacción provoque situaciones de descontrol difíciles de reconducir.

Se deben definir los canales de activación del equipo y de modo que la toma de decisiones se realice en el menor tiempo posible y el equipo debe haber acordado previamente varios posibles lugares de reunión con prioridad a los que contengan el mayor número de recursos necesarios. Nada más activado, el primer responsable informado deberá identificar el lugar más adecuado para las reuniones y un lugar alternativo.

Planes de acción

Dentro de los procedimientos destinados al equipo de gestión del PCN se deben detallar aspectos relacionados con el modo de:

1. Responder a la invocación.
2. Tomar de decisiones.
3. Movilizar recursos.
4. Iniciar la recuperación de actividad.
5. Recibir información de otros equipos.
6. Informar del estado al equipo Oro o EGI.

Algunos de los recursos necesarios que deben estar disponibles:

1. Personal.
2. Instalaciones.
3. Suministros.
4. Tecnología, comunicaciones y datos.
5. Seguridad.
6. Transporte y logística.
7. Necesidades básicas.
8. Dinero para pagos de emergencia.
9. Necesidades de recursos para recuperación de cada actividad.
10. Información de contacto para acceder a recursos.
11. Información de clientes y detalles de contacto.
12. Documentos legales (contratos y pólizas de seguro)
13. Acuerdos de servicio.
14. Formularios y anexos.
15. Listas de verificación de ayuda a la recuperación y otras tareas.

Los resultados del proceso de planificación de Gestión de Continuidad de Negocio deben estar ratificados por la dirección ejecutiva y ofrecer un marco en el que pueda operar cada unidad de negocio aplicando revisiones de la información contenida en el Plan de Continuidad de Negocio, como por ejemplo los detalles de contacto, y en periodos regulares establecidos según la rotación del personal y actividades consideradas.

En cualquier caso, la información contenida deberá revisarse al menos anuales y comprobada mediante un programa de pruebas, realizándose de manera anticipada en el caso de que se produzcan otros posibles desencadenantes como cambios significativos en la tecnología y/o telecomunicaciones, en los procesos, en el personal y/o en un proveedor clave de soluciones de GCN, entre los más habituales.