Saltar al contenido.

Planes de continuidad. La certificación.

La certificación es un proceso por el que una entidad autorizada reconoce la adaptación e idoneidad del sistema de gestión de continuidad respecto a lo que prescribe la norma UNE-EN ISO 22301 y comprueba su eficacia.

En España, AENOR es una de las entidades de certificación con la más amplia gama de certificaciones, documentación y cursos, entre ellos, los relativos a Planes de Continuidad.

20180726_100421

Textos de AENOR sobre Continuidad

El reconocimiento que hace explícito la certificación proporciona confianza a los clientes, pues disponer de un buen sistema de gestión de continuidad contribuye a mejorar la capacidad de la empresa certificada para mantener los suministros que realiza a sus clientes y le da una ventaja competitiva respecto de las empresas que no la poseen. Como todo conjunto de buenas prácticas, disponer de un sistema de gestión de continuidad acaba interiorizando en los responsables de la empresa una forma racional de actuación en caso de crisis, que hace de la empresa una organización más eficaz.

En efecto, un sistema de gestión de continuidad actualizado implica mantener siempre a punto la lista de los contactos de las personas que son críticas para el funcionamiento de sus procesos y servicios, así como los procedimientos escritos que explican la mejor forma de poner de nuevo en funcionamiento la empresa tras una interrupción forzosa.

Más importante que disponer de documentación y registros es la práctica y la actualidad de todas las medidas contempladas, pues se trata de un proceso de mejora continuo.

Antes de realizar la auditoría de certificación, la propia empresa ha de preparar una auditoría ‘interna’ en la que se determine el estado del sistema respecto de la norma. Con ello se descubren deficiencias y oportunidades de mejora, que se activan antes de la auditoría definitiva, con lo que en el momento de solicitar la certificación se examinará un sistema más maduro y efectivo.

20180726_095510

Portada de la norma UNE-EN ISO 22301

¿Qué es lo que examinarán los auditores en la auditoría de certificación?

Lo más importante que van a ver del sistema documental es una serie de registros y procedimientos que prueban que se han realizado los estudios de impacto y previsiones que indica la norma y que se mantienen al día y aprobados por la dirección de la empresa los procedimientos para la gestión de crisis, de recuperación, de pruebas y simulacros, de mantenimiento y formación. Entre ellos los más significativos son:

El BIA (Business Impact Analysis) o Análisis de Impacto en el Negocio: se trata de hacer el ejercicio de considerar que por alguna causa (sin entrar en detalle de cuál pueda ser) se para el proceso de producción de un servicio. Entonces se establece el grado de impacto que eso causa en el negocio y con cuánto tiempo se puede contar para restablecer el servicio y qué información del proceso se puede perder sin que se produzca un daño irreversible.

El grado de impacto se puede calcular en distintas dimensiones: típicamente reputacional, legal, contractual y operativo. Y la magnitud se puede determinar cualitativamente para cada dimensión como “baja”, “media” o “alta” o bien valorar económicamente.

Para recuperar el servicio se fija un tiempo que se toma como objetivo. Se suele conocer como RTO (Recovery Time Objective) o Tiempo de Recuperación Objetivo.

En cuanto a la información del proceso se determina cuál puede ser la cuantía que se puede perder sin que afecte de manera irreversible al servicio. Esta cuantía se llama RPO (Recovery Point Objective) o Punto de Recuperación Objetivo.

También verán si se han contemplado, los escenarios de crisis más importantes, basados en el análisis de riesgos, que determina cuales son los riesgos de mayor impacto y más probables, y qué medidas normalizadas preventivas y reactivas se ha previsto aplicar en cada caso.

  • Organización, incluidos Roles y Responsabilidades

Se ha de fijar cuál ha de ser la organización en caso de crisis, definiendo los roles que cada cual habrá de realizar, incluidas las responsabilidades del Gabinete de Crisis y cada grupo o Equipo de Respuesta ante Incidentes. Al final se obtienen listas de contactos. Estas listas han de estar siempre actualizadas, por lo que se ha de contemplar la forma de tener implantada una correcta gestión del cambio y un buen sistema de avisos, con medios propios o con alguna aplicación de los que existen en el sector, como por ejemplo F24.

20180726_084715

Documentación: algunos registros físicos

Se ha de definir en un procedimiento cómo se determina la gravedad de una crisis y en consecuencia quienes han de participar en cada una de las fases de desarrollo, durante la recuperación del servicio interrumpido.

La empresa ha de probar que mantiene el sistema a intervalos regulares, que los procedimientos son aprobados por las autoridades que en caso de crisis desempeñarán los papeles cruciales. Se ha de formar a todos los equipos y se ha de poner a prueba el sistema mediante simulacros lo más realistas posibles.

Los auditores examinarán cómo es la gestión de las correcciones y mejoras que se han de ir introduciendo en el sistema y sus registros, casi siempre como consecuencia de los simulacros. Estos tienen la ventaja que ponen en situación a quienes han de actuar sin el riesgo real de las crisis auténticas. La mayoría de la formación, mejoras introducidas y perfeccionamiento de los procedimientos del sistema se realiza en la preparación, la realización y el análisis de los simulacros

Si todo va bien, los auditores emitirán su informe con la recomendación de certificar. Casi siempre habrá observaciones o no conformidades para las que habrá que elaborar un plan de acción, de forma que se resuelvan las mismas antes de la siguiente auditoría de seguimiento.

Y recuerda: lo importante no es tener un sistema formalmente correcto, sino que la empresa o entidad, mediante sus responsables formados convenientemente y motivados, esté preparada para afrontar cualquier crisis que la ponga en serio peligro y se recupere de la mejor forma posible. Por eso hay que insistir en que lo esencial es la realización de simulacros, sacar enseñanzas de ellos y tener listo y al día el sistema de avisos de emergencia.

1 Comentario »

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: