Documentación de la gestión de continuidad de negocio: cuando menos es más

La continuidad de negocio sigue siendo una de las prioridades de muchas organizaciones desde distintos ámbitos que, desde KPMG, hemos denominado plano estratégico, táctico y operativo.

El primero se corresponde al diseño que se orienta hacia lograr los objetivos de la organización, en materia de continuidad, y establecer los planes de acción para alcanzarlos. Se basa en decidir los objetivos de la organización, definir los recursos que se usarán y las políticas para obtener y gestionar dichos recursos.

El segundo, el táctico, desarrolla detalladamente la implementación del funcionamiento de cada una de las áreas de la organización, a partir del marco de referencia elaborado en el nivel estratégico. Elabora los planes y programas para emplear los recursos asignados de la forma más efectiva posible para alcanzar los objetivos de continuidad establecidos.

Finalmente, el plano operativo corresponde a la asignación de los planes y procedimientos de un grado de especialización mayor. Se desarrolla a partir del diseño e implementación proporcionados por los planos estratégico y táctico.

Estableciendo prioridades

Establecer un Sistema de Gestión de la Continuidad de Negocio, abarcando los tres planos, estratégico, táctico y operativo, lleva tiempo y recursos, por lo que es importante determinar de manera adecuada las prioridades en cuanto al diseño, implementación y operación.

Es por ello que es muy relevante identificar de manera adecuada los escenarios con mayor impacto en el negocio, así como las estrategias ante ellos que, en la práctica, deben implementarse a través de unos procedimientos específicos.

Desde KPMG, aconsejamos que esos procedimientos sean ágiles y operativos, a la par que estén formalizados de manera adecuada, considerando la relevancia de esos escenarios. Una estructura idónea para la formalización de los mismos es a través de la creación de Planes de actuación (Playbooks) y Manuales de Respuesta a Incidentes (MRI), que permitan dar respuestas especializadas ante eventos disruptivos de diferente naturaleza, adecuando las actividades que se han de llevar a cabo a cada caso concreto.

Los Playbooks y MRI para la actuación ante eventos de alto riesgo

Los Playbooks y MRIs son documentos operativos dentro de la gestión de la continuidad y la respuesta a incidentes, para actuar ante eventos de alto riesgo, identificando acciones detalladas y concretas sobre qué se debe hacer ante la aparición de alguno de estos eventos.

Su diseño se fundamenta en la presunción de la necesidad de adaptar los equipos y acciones ante una contingencia, variando así quiénes y cómo han de actuar, para dar una respuesta mejor orientada y más efectiva ante un evento específico. Y es que no tiene nada que ver cómo se ha de actuar ante un Ransomware o frente a una Pandemia, así como ni los integrantes de los equipos de recuperación o las personas responsables de coordinar las acciones ante uno u otro evento serán las mismas.

Es por ello que antes de la definición de cualquier Playbook o MRI es necesario llevar a cabo un estudio pormenorizado de los escenarios de alto riesgo, información y procesos que podrían verse impactados, roles y stakeholders de los mismos, etc., permitiendo así establecer una visión completa de la situación y facilitar la evaluación de todos y cada uno de los aspectos relevantes para contar con una gestión de incidentes robusta y eficaz.

El trabajo se desarrollará contemplando diferentes enfoques. En una organización se debe aplicar una combinación de la experiencia general del negocio de sus profesionales, su conocimiento de la organización y sus capacidades de gestión de crisis, para encontrar la estructura de respuesta más adecuada. Los comentarios de los responsables de las diferentes unidades, los planes de gestión de crisis existentes, y el análisis de los resultados de pruebas y ejercicios también pueden ayudar a mejorar la estructura de respuesta como parte del Marco de Gestión de Continuidad y Respuesta a Incidentes.

Los Playbooks y MRIs han de cubrir todas las fases, desde la preparación, detección y análisis, contención, erradicación y recuperación y la actividad post-incidente. Los Playbooks se centrarán, sobre todo, en los flujos de comunicación, escalados, tratamiento de información, determinación de responsables, terceras partes y stakeholders, y acciones concretas desde un punto de vista global, interviniendo en ellos las personas identificadas con responsabilidades de continuidad (ya sea en el plano estratégico, táctico u operativo). Los MRIs serán necesarios cuando haya que dar una especificidad aún mayor sobre las acciones de los equipos de recuperación, a partir de las acciones más generales determinadas en los playbooks.

En cualquiera de los casos, al igual que ocurre con los planes de continuidad, es preciso dar formación y realizar pruebas para validar los Playbooks y MRIs desarrollados, y certificar la capacidad real de reaccionar ante un evento de alto riesgo.

Resumiendo

Los Sistemas de Gestión de Continuidad de Negocio están ahora mismo en el punto de mira de todas las organizaciones. Es importante revisar estos sistemas de gestión e identificar las áreas de especial atención en cada organización, así como asegurar que la documentación o protocolos de actuación en cada caso están actualizados, son conocidos por la organización y son “operativos”. En muchos casos, se acumulan manuales que cumplen a la perfección con estándares de referencia como la ISO 22301, pero que en la práctica no se utilizan porque son poco ágiles.

Desde KPMG, recomendamos aplicar un enfoque práctico que responda a estos eventos de alto riesgo que pueden impactar en la continuidad de negocio de manera efectiva. Esto pasa muchas veces por revisar estos planes de contingencia y manuales de respuesta y ver su adecuación al contexto actual y replantear su operatividad para asegurar una respuesta adecuada a cada crisis.