¡Recuperamos la operación, pero perdimos los datos!  ¡Podíamos dejar de operar por dos horas, aunque nos detuvimos por 2 días! Si te suena familiar es porque tu plan de continuidad del negocio no es tan sólido como pensabas, así que para hacerle frente a las crisis vas a necesitar más que 1 back up semanal y un documento bien redactado. Sigue leyendo y entérate de qué está saliendo mal en tu BCP y cómo corregirlo.

1. Se desconocen los procesos del negocio: Un BCP describe cómo poner en marcha procesos esenciales de la organización cuando ocurre una interrupción. Si no hemos identificado esos procesos no hay una ruta que seguir y el fracaso está asegurado.

Cómo evitarlo: Toma nota de todas las actividades y procesos de la empresa, agrupa los que sean cruciales para que la compañía cumpla sus objetivos, añade los riesgos de interrupción a los que están expuestos cada proceso y cómo podría resolverse cada dificultad.

2. El plan solo cubre partes de la crisis: el plan está en tus manos, pero se omiten detalles muy importantes y cuando llega la crisis, la incertidumbre se apodera del momento. ¿Qué pasó? Probablemente no se incluyó a la alta dirección de la compañía; el plan solo se enfocó en tecnología de la información (TI) o no se tomaron en cuenta a los proveedores y demás partes interesadas.

Cómo evitarlo: Incluye a la alta dirección, el BCP es un asunto estratégico que requiere autoridad, preparación y recursos. Y no olvides que, aunque TI es clave para la continuidad, existen otros procesos y personas relevantes. Haz reuniones para que todos conozcan el plan y comprendan cuáles son las actividades que deben llevar a cabo. Pregúntales: si un proceso clave falla, ¿cómo se vería afectada tu área? ¿qué se necesita para que trabajes en modo emergencia? ¿cuáles son los posibles requisitos que puedes dejar de cumplir? Además, incluye cláusulas de continuidad en los contratos con proveedores, además de otras estrategias para asegurar la continuidad de los suministros clave de proveedores. 

3. Existe un BCP, pero nunca se somete a pruebas, no se actualiza y/o pocos en la organización lo conocen: No vale la pena contar con un BCP de eficacia desconocida, probar, probar, probar es la principal regla . La frecuencia es necesaria en las pruebas, por eso hay que hacerlas y documentar cómo resultó, qué salió mal, qué elementos fueron insuficientes o redundantes, para luego iniciar un ciclo de mejora continua. Además, los planes pierden vigencia y pueden caducar. Y si cambiaron las leyes, el contexto interno o externo de la organización, seguro habrá nuevos riesgos y hará falta revisar el plan. El negocio varía y tu plan también debe hacerlo para ajustarse y no quedar obsoleto. Finalmente, los participantes del plan deben conocer los resultados de las pruebas y las actualizaciones realizadas, e inclusive pueden aportar para mejorarlo.

Cómo evitarlo: Pon en práctica esta pequeña guía:

4. No se han definido los RTO y RPO: Recuerda que el RTO (tiempo de recuperación objetivo) es el tiempo máximo que puede estar inactivo un proceso o sistema crítico antes de que el impacto sea considerable para tu negocio, mientras que el RPO (objetivo de punto de recuperación) te ayudará a saber la cantidad máxima de datos que tu negocio puede permitirse perder si ocurre un desastre. Es importante saber cuánto tiempo puede durar una interrupción sin que el negocio  se enfrente a pérdidas económicas importantes, reputación disminuida, o problemas legales y contractuales, y qué tantos datos puedes perder mientras continúas operando sin arriesgar requisitos de clientes y partes interesadas.

Cómo evitarlo: Para calcular el RTO, después de identificar y clasificar los procesos de la organización, establece cuánto tiempo se pueden detener los procesos críticos sin que haya consecuencias graves. Por ejemplo, si en tu empresa fabrican zapatos, puntualiza: cuánto tiempo pueden pasar sin producir, cobrar, atender a los clientes, pagar la nómina o hacer pagos a los proveedores. En cuanto a los RPO, define cuántos datos y qué datos puedes perder sin que el negocio incumpla con requisitos clave. Estos son los límites que no puedes traspasar, como si fuera el contador de una bomba o el oxigeno en un tanque de buceo. Después de esos límites está el MTDP. 

5. Poca o nula capacitación del personal: Cuando no hay capacitaciones, se toman decisiones emocionales y se improvisa, y ambos le hacen daño a la organización. El BCP puede ser un éxito siempre y cuando cada colaborador sepa cuál es su lugar en el engranaje, qué procesos priorizar, a quiénes llamar, con qué proveedores contar. Y si pueden remitirse a los simulacros y pruebas, tanto mejor, pues dispondrán de un bagaje útil y de límites claros, como los RTO y RPO. 

Cómo evitarlo: Formar al personal en continuidad del negocio es una buena opción. Y si incluyes dinámicas y juegos de roles, lo harás entretenido. Es muy importante comunicar responsabilidades, roles, objetivos y resolver situaciones hipotéticas. Es ideal que cada área o departamento tenga un responsable de BCP.