El Plan de Manejo de Crisis PMC y el Plan de Continuidad de Negocio BCP, puntos clave para una recuperación exitosa.

El Plan de Manejo de Crisis PMC

[vc_row][vc_column][vc_column_text]

Las organizaciones independientemente de su tamaño y giro deben estar preparadas, protegidas y saber qué hacer ante posibles eventos disruptivos que puedan afectar la capacidad productiva, operacional, o de imagen, poniendo en riesgo la continuidad de sus operaciones principales y en ese mismo efecto dañar la imagen de la empresa.

Para lograr el objetivo de minimizar estos riesgos se necesita desarrollar un Plan de Continuidad del Negocio (BCP por sus siglas en inglés) que contemple los peligros posibles y con ello un Plan de Manejo de Crisis (PMC) para una efectiva comunicación y así minimizar los efectos colaterales hacia la imagen de la organización.

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

La definición de crisis: “Una crisis es un evento crítico que puede afectar la rentabilidad, la reputación o la capacidad de operación de una organización” (Fuente: Business Continuity Management Institute – BCM Institute), en esta definición general, queda en evidencia que existen las posibilidades que una crisis provoque una afectación en un proceso y por lo mismo afectar la rentabilidad y que estos puedan detonar una amenaza empresarial desde desastres naturales, movimientos del mercado, rumores del personal, la inconformidad de un cliente, un escándalo personal o privado, errores de proveedores, declaraciones desafortunadas, la salida de un directivo, el hackeo tecnológico y hasta el avance repentino de la competencia podría dañar la imagen, competitividad y reputación de la empresa, afectando su rentabilidad.

Un Plan de Continuidad del Negocio (BCP) es un documento donde se indica las acciones que una empresa debe ejecutar en respuesta a un incidente, no siendo el objetivo principal evitar los riesgos inherentes, sino minimizar el impacto que estos incidentes podrían afectar en la organización, así como un Plan de Manejo de Crisis (PMC) indica los pasos para manejar las comunicaciones y minimizar el impacto en la imagen.

Cabe destacar que existen dos tipos de crisis que se puede enfrentar, aquellas que se dan internamente dentro de su operación, las cuales no son de importancia pública y se pueden solucionar rápidamente y aquellas que afectan de forma directa la imagen de la empresa así como sus partes interesadas generando un efecto negativo en los clientes y afectando la imagen.

Por lo tanto si la empresa está preparada con una efectiva planificación de continuidad y en un manejo de crisis, esto aumentará las posibilidades exitosas de manejar cualquier eventualidad, evitando la improvisación por ejemplo: En la organización puede presentarse desde la falla de un producto o servicio, un cortocircuito que deje sin energía a los equipos con pérdida de datos, hasta un incendio o movimiento telúrico, que deje inoperables las instalaciones.

Las organizaciones que trabajan en el diseño y puesta en práctica de un Plan de Continuidad de Negocio (BCP) y el Plan de Manejo de Crisis (PMC), regulan los mecanismos de respuesta en un incidente logrando el objetivo de mantener el nivel de servicio en un mínimo requerido establecido previamente, indicando en simultaneo un periodo de recuperación para retomar la operación inicial y analizar los resultados y los motivos del conflicto y así evitar la interrupción de otros procesos importantes.

El diseño de un BCP puede variar de una organización a otra al estar basado en los procesos de negocio en específico, sin embargo debe incluir sin excepción una lista de posibles escenarios así como sus procedimientos en donde indican los pasos a ejecutar en cada uno de ellos, además debe incluir el personal de respuesta indicando los datos principales para su localización y notificación al equipo critico ya sea manual o en forma automática y durante una contingencia tanto directivos como empleados los cuales son ejecutores responsables de llevar a cabo estos procedimientos.

Las organizaciones que desarrollan su BCP y PCM así como realizar su práctica en simulaciones tienen ventajas notorias ya que les permite responder de manera inmediata y de forma práctica, al tener un control del pánico y el estrés evitando el efecto de paralizarse por los sucesos que puedan llegar a surgir, lo que hace potencialmente a las organizaciones  ahorrar dinero, tiempo y recursos técnicos y/o humanos.

Si la decisión de la empresa es tener un BCP y PCM, este debe considerar cubrir los diferentes escenarios tales como eventos que no permitan el acceso a las instalaciones u oficinas, eventos que afecten a la plataforma tecnológica, o evento que combinen estas contingencias y por último un escenario donde el personal no asista por diferente razones, entre las cuales se debe contar con Gestión de Crisis (PMC), Planes de Continuidad del Negocio, tiempos objetivos de recuperación, entre otros, de acuerdo a la norma ISO 22301:2012 también se deberá tomar en cuenta estos 4 pasos iniciales básicos:

  1. Identificar amenazas.

Crear un listado de incidentes y factores que han afectado la operación de tal forma que sean los más críticos. En sesión con las personas de todos los departamentos con intercambio de ideas con el objetivo de crear una lista de incidentes ordenados por los escenarios de afectación y su probabilidad de ocurrencia y su nivel de impacto.

  1. Realizar un análisis de impacto al negocio.

Identificar los procesos más críticos para la organización los cuales, le puedan permitir seguir la operación para entregar el producto y servicios aún en un nivel más bajo pero sin afectación considerable, identificar los recursos necesarios y al mismo tiempo determinar los periodos máximos en los cuales la empresa puede continuar si ese proceso se detiene por una afectación grave y dar un nivel de impacto por cada proceso con estos datos se pueden analizar y conocer las operaciones y/o procesos más críticos y los tiempos de recuperación para la empresa.

  1. Desarrollar un plan de respuesta y recuperación a incidentes.

En esta etapa determinar los recursos necesarios en la realización de esos procesos críticos identificados anteriormente, en cuestión de equipo de cómputo incluir software y hardware, proveedores e información sensible que se utilice. Crear tu árbol de llamadas, documentado y más importante mantenerlo actualizado, para que en el momento del incidente sean notificados de alguna forma ya sea manual o automática (a través de algún sistema automatizado de notificación) para que este grupo inicie las actividades de respuesta y determinar el inicio de las actividades del vocero oficial para la interacción con los medios, clientes y partes interesadas durante el incidente para que dependiendo de su nivel de evento y escenario de contingencias pueda continuar sus operaciones de forma aceptable en los tiempos requeridos, o en su caso puedan continuar operando en un sitio alterno.

Durante el proceso de respuesta y después de la continuidad, y una vez que se determine que la contingencia se superó, se deberá incluir los procedimientos ahora para un regreso a la operación normal para un retorno a casa sin problemas.

  1. Pruebas de los planes de continuidad y manejo de crisis.

De forma general y por normatividad se debe probar el plan de continuidad y plan de manejo de crisis al menos una vez al año, con diferentes tipos de ejercicios o simulaciones y llegar al punto óptimo de una prueba general y sin aviso, esto te permitirá sacar el mayor provecho frente a diferentes escenarios posibles, dándoles a los involucrados un pleno conocimiento de los pasos a seguir en una contingencia así como los recursos a utilizar.

Por lo tanto el invertir recursos en esta planificación de continuidad incluyendo el manejo de crisis produce los resultados en términos generales que un desastre inesperado afecte en el menor grado posible. De tal forma que en promedio las empresas con Sistemas de Gestión de Continuidad de Negocio (ISO 22301:2012) son las que buscan fortalecer su negocio con el fin de aumentar la solidez frente a las amenazas que puedan enfrentar.

[/vc_column_text][/vc_column][/vc_row]

Seguir leyendo

Piezas clave para tu estrategia de protección de aplicaciones

Por: Emanuel Valle Conocer los elementos claves que requieres para proteger tus aplicaciones te ayudará a evitar los impactos negativos de ser expuesto a una brecha de ciberseguridad. De acuerdo con el...

Akira continúa ejecutando sus ataques con éxito

El nombre Akira resonó por primera vez apenas un año atrás y muy rápidamente se convirtió en uno de los principales grupos cibercriminales. Poco conocimiento se tenía de ellos entonces; sin embargo,...

Las 7 razones definitivas para invertir en proteger sus aplicaciones

Autor: Emanuel Valle. Las aplicaciones empresariales son necesarias para nuestra operación de negocio, pero al mismo tiempo pueden convertirse en un vector importante de ataque y dejar espacio para que los cibercriminales...

¿Deseas reducir las noticias más recientes? 

Subscríbete