TECNOLOGÍA

Prueba de la GNC

De manera más específica las pruebas pueden diferenciarse en tres grupos fundamentales:

  1. Test: someten a examen un proceso tecnológico o de negocio, generalmente con respecto al cumplimiento de ciertos plazos. Como resultado de su desarrollo se obtiene un “Ok” o “Fallo” asociado al proceso objetivo del test. En el caso de un “Fallo” porque el personal no haya sido capaz de desarrollar sus labores habrá que analizar si la causa origen parte de una falta de recursos, formación, disponibilidad para atender a labores de GCN, entre los más habituales. Un ejemplo clásico de este tipo de test es el proceso de recuperación de la información desde el dispositivo de almacenamiento de la copia de seguridad a un servidor alternativo.
  2. Simulacro: Se pone en práctica un conjunto específico de procedimientos en base a un guión y escenario preestablecido y que pretende desarrollar conocimientos teóricos y asociarlos a aspectos y acciones concretas prácticas. Un ejemplo típico sería un simulacro de incendio y/o de evacuación.
  3. Ejercicio: Suelen realizarse para un evento basado en un escenario en el que se ponen a prueba la capacidad para tomar decisiones. Un ejemplo es un ejercicio de escritorio para gestionar un incidente grave.

Independientemente del tipo de prueba a desarrollar hay que explicar claramente a los participantes los propósitos de los ensayos entre los que se encuentran:

  1. Evaluar las actuales competencias de la organización en GCN.
  2. Identificar áreas con carencias o susceptibles de mejora.
  3. Ratificar suposiciones teóricas y que deben ser cuestionadas.
  4. Ofrecer información relevante a los participantes.
  5. Aumentar las capacidades y confianza de los responsables.
  6. Incentivar el trabajo en equipo.
  7. Mejorar el nivel de conciencia de toda la organización.
  8. Demostrar confianza en la continuidad de negocio a las partes interesadas (p. ej. dando publicidad al ejercicio).
  9. Comprobar la efectividad y cumplimiento de plazos de los procedimientos de restauración al final de los ejercicios.

Lograr afrontar las pruebas con una actitud positiva permite reconocer mejor tanto las fortalezas como las oportunidades para mejora evitando, en cualquier caso, aspectos críticos dirigidos al trabajo de los participantes y/o responsables involucrados en el desarrollo y puesta en escena de los planes.

En el caso de pruebas específicas para actividades individuales se deben programar en conjunto con actividades de formación correspondientes. En ocasiones, existen dificultades para reconocer por parte de la organización la posible utilidad de algunas pruebas.

Dentro de los criterios a cumplir por las pruebas la organización debe identificar que sean:

  1. Rigurosas: las pruebas deben realizarse contemplando los mismos procedimientos y métodos a utilizar en los incidentes reales. La rigurosidad es complicada de aplicar en ciertas pruebas, especialmente en pruebas técnicas y en las que se afectaría a las actividades de la organización.
  2. Realistas: La utilidad de una prueba reside en desarrollarse en un escenario lo más realista posible. Por ejemplo, los servicios de emergencia organizan escenarios controlados pero reales de impactos de vehículos o accidentes en carretera con mercancías peligrosas para demostrar la viabilidad de los planes y viabilidad de los procedimientos y recursos en tales circunstancias. Aplicar escenarios de negocio realistas garantiza que la audiencia se involucre más fácilmente y aprenda más en el desarrollo de los ejercicios.
  3. Exposición mínima: La posible afectación de las pruebas al negocio debe ser controlada por el responsable de diseñar la prueba mediante una comprobación del riesgo e impacto del desarrollo de la prueba y, en todo caso, con la aceptación final por la dirección previa a su puesta en práctica.

Posiblemente no sea posible cumplir de forma óptima estos tres criterios al mismo tiempo. Se necesitará por tanto llegar a un equilibrio razonable que permita la aceptación de las pruebas necesarias, incluyendo hitos o situaciones previamente establecidos con el objetivo de detener la prueba en los casos de mayor exposición o de complejidad técnica y que tengan que discurrir sin posibilidad de variantes.

Las pruebas deben considerar en cualquier caso el establecimiento de un estado controlado desde el que obtener copias de respaldo y al que poder regresar en el caso de que la prueba pudiera afectar al negocio.

Incluso si la prueba no implicase durante su desarrollo un riesgo, el responsable del desarrollo de las pruebas podría interrumpir las actividades si el grupo de personas se desvía excesivamente del escenario y objetivos planteados inicialmente.

Proceso de prueba

En el caso de las pruebas técnicas se deben contemplar los siguientes aspectos:

  1. Acordar el alcance y objetivos de la prueba.
  2. Acordar el presupuesto necesario.
  3. Asignar el personal adecuado a la prueba.
  4. Plantear un escenario sencillo y las explicaciones adicionales del contexto de la prueba.
  5. Realizar una evaluación de riesgos de la prueba.
  6. Aceptar la prueba por parte de la dirección.
  7. Avisar (según sea pertinente) al personal de la planificación de la prueba.
  8. Desarrollar la prueba y registrar los resultados.
  9. Evaluar e informar de los resultados.
  10. Solucionar cualquier problema detectado y obtener conclusiones relevantes.

Los ejercicios sobre un escenario necesitarán alguna consideración adicional:

  1. Acordar el alcance y objetivos del ejercicio con la alta dirección.
  2. Acordar el presupuesto necesario.
  3. Acordar con los responsables y proveedores adecuados la logística y servicios necesarios para desarrollar el ejercicio.
  4. Preparar un escenario realista y detallado.
  5. Incluir aspectos como fecha, hora, carga de trabajo, condiciones políticas y económicas y problemas temporales o estacionales.
  6. Asegurar la disponibilidad de los participantes.
  7. Realizar una evaluación de riesgos del ejercicio.
  8. Informar a observadores y preparar cuestionarios que se utilizarán durante el ejercicio para plasmar las lecciones aprendidas por jugadores y observadores.
  9. Aportar información previa al ejercicio a los participantes.
  10. Desarrollar el ejercicio.
  11. Comunicar los resultados a los participantes inmediatamente después del ejercicio.
  12. Realizar y presentar un informe formal a los participantes en una fecha posterior.
  13. Evaluar los resultados del ejercicio y los resultados del informe y preparar un informe con recomendaciones.
  14. Preparar un informe de las cuestiones problemáticas durante y justo después de la prueba.
  15. Comunicar el informe a los participantes y alta dirección.
  16. Crear un plan de acción que se pondrá en marcha después del ejercicio y en base a las recomendaciones del informe.

Tras el desarrollo de las pruebas y ejercicios se debe proceder a una revisión del calendario programado para garantizar que existe tiempo suficiente a aplicar con eficacia los cambios necesarios según se demuestre oportuno.

En los ejercicios con un escenario los participantes se pueden contemplar en ocasiones participantes adicionales al personal convocado y entre los que se encuentran:

  1. El facilitador.
  2. Proveedores de recursos y servicios para la GCN.
  3. Representantes de las compañías de seguros.
  4. Servicios de emergencia.
  5. Responsables de seguridad.
  6. Autoridades locales dedicadas a planificación de emergencias.
  7. Responsables de comunicación.
  8. Relaciones públicas.
  9. Expertos.
  10. Proveedores de productos y servicios para el negocio.
  11. Proveedores de actividades subcontratadas.

Dentro de los resultados esperados, el proceso de prueba de la GCN debe aportar:

  1. Una comprobación de la eficacia de las estrategias en continuidad de negocio.
  2. Acercamiento del personal a las funciones y responsabilidades asignadas para la respuesta efectiva a un incidente.
  3. Garantías de los aspectos técnicos, logísticos y administrativos del Plan de Continuidad de Negocio en su globalidad.
  4. Garantías de la infraestructura de recuperación (p. ej. centros de control de operaciones, áreas de trabajo, tecnología o telecomunicaciones).
  5. El grado de disponibilidad y reubicación de la plantilla.
  6. Documentación y resolución de todas las cuestiones que surjan en el ejercicio para identificar las deficiencias y posibilidades de mejora en la preparación de la GCN.
  7. Mejoras en el grado de concienciación sobre la importancia de los procedimientos de emergencia y significado de la GCN.

La frecuencia del programa de ejercicios de GCN dependerá de la naturaleza, tamaño y complejidad de la organización, además de posibles aspectos legales según su sector de actividad.

Programa de pruebas

La capacidad adecuada para la GCN se obtiene mediante el desarrollo de un programa estructurado de pruebas. Un programa de pruebas de GCN se puede iniciar mediante un primer ejercicio diseñado que permite evidenciar las deficiencias actuales de capacidad. Otra de las recomendaciones es que el programa de pruebas parta inicialmente de actividades sencillas complicando de manera gradual el programa según se van desarrollando las habilidades y la cultura de GCN en la organización.

Los ejercicios programados han de considerar, en cualquier caso, no solo al personal interno sino también, a aquellas empresas y personal subcontratado y de los que se espera una respuesta adecuada y acorde a los compromisos de la organización y que debe cumplir respecto a la entrega de los productos o servicios.

La incorporación de estos proveedores en el programa de pruebas o la aportación de garantías en su capacidad de recuperación de las actividades relacionadas a los productos y servicios esenciales para la cadena de suministro es un aspecto relevante que no ha de dejarse de lado ya que una interrupción podría causar un trastorno importante para la organización.

En aquellos casos en los que no exista la posibilidad de incorporar al proveedor de servicio o producto habrá que aplicar medidas para la reducción del impacto, entre las más habituales, redundancia de los servicios (p. ej. una segunda línea de telecomunicaciones independiente con un proveedor alternativo) o abrir contratos de suministro con un segundo proveedor aunque sean residuales de un 5%-10% del volumen total pero que puedan permitir aumentar los pedidos rápidamente en caso de necesidad y en caso del fallo del proveedor principal.

Precisamente en la propia política de GCN, aprobada por la dirección y comunicada a todas las partes relevantes tanto internas como externas, se debería contemplar el calendario y responsabilidades para el programa de ejercicios como muestra del compromiso en las garantías que la organización pretende mantener a lo largo de un tiempo.

Respecto a:

  1. La verificación de toda la información contenida en los planes.
  2. Los ensayos regulares de los planes.
  3. La preparación de todo el personal en GCN.

La comunicación de la política en un paso inicial de implantación de la GCN en la organización debe dar paso posteriormente a que las pruebas (coordinadas o independientes) para las actividades subcontratadas figuren como obligatorias en el contrato y contempladas dentro de los acuerdos formales de servicio.

Proceso de programas de prueba

Entre los pasos a seguir para el desarrollo del programa de pruebas se deben contemplar:

  1. La confección de un listado con todos los procesos de recuperación (por ejemplo, el proceso de reubicación en las instalaciones alternativas).
  2. La identificación de todo el personal o grupos de personas involucrados en cada proceso.
  3. Determinar el tipo de prueba más adecuada para cada proceso.
  4. Establecer un calendario con las pruebas para asegurarse de que, a lo largo de un tiempo concreto (p.ej. 12-18 meses), todo el personal determinante se verá involucrado en las pruebas.

El programa de pruebas debe incluir actividades que permitan ensayar diversas facetas de las estrategias de GCN que hayan sido adoptadas y del tipo:

  1. Técnico: p. ej. ¿funcionan los equipos?
  2. Procedimientos: ¿son correctos/claros/completos/concisos?
  3. Logístico: ¿la relación de las actividades se desarrolla de forma lógica y eficiente?
  4. Tiempos: ¿se cumplen con los OTR previstos en cada actividad?
  5. Administrativo: ¿se gestionan los procedimientos fácilmente?
  6. Personal: ¿están involucradas las personas correctas? ¿Poseen las habilidades, autoridad y experiencia adecuadas?

La frecuencia de un Programa de Pruebas de GCN dependerá de la naturaleza, magnitud y complejidad de la organización, aunque es recomendable ensayos de la capacidad para la GCN de la organización en su conjunto al menos una vez cada 12 meses y en línea con la revisión y los cambios que se introducen en las propias actividades del negocio.

Adicionalmente al periodo establecido es posible que tengan lugar acontecimientos extraordinarios y no planificados que obliguen a adelantar o a introducir nuevas pruebas como, por ejemplo, cambios significativos en los procesos, la plantilla, en la tecnología o en el entorno del negocio.