Me llama la atención el observar que muchas empresas están realizando con su personal interno el BCP.
La verdad, considero bastante inútil e ineficaz el resultado que se pueda llegar a obtener, si tenemos en cuenta, que un BCP requiere de información de calidad sobre las amenazas (Risk Assessment) que pongan en peligro la supervivencia de la empresa, lo cual es muy diferente al ejercicio obtenido con el ERM (Enterprise Risk Management) que está enfocado a los riesgos operacionales y administrativos. También muy importante, pues es parte de las base del análisis, es el descubrimiento de los impactos negativos (BIA) que la empresa estaría sometida en caso de hacerse real la amenaza.
Si tenemos en cuenta que para recolectar la información a la que nos referimos, necesariamente tenemos que hacer una o varias de las siguientes actividades: encuestas, talleres y/o entrevistas. Imaginemos en la realidad a un subalterno entrevistando a personal de alta jerarquía, ¿como cree que se sienten o mejor, se resienten estos altos directivos, gerentes, vicepresidentes y el mismo presidente, al ser interrogado por un subalterno?. Peor aún, ¿como creen que se siente el subalterno, haciendo las entrevistas? No nos digamos mentiras, a nadie nos gusta que un subalterno por destacado que sea dentro de la organización nos haga preguntas y menos aún que pueda llegar a encontrar nuestras deficiencias operacionales. Para no extenderme mucho en el tema los invito a que solo se imaginen la situación referida y deduzcan que tan eficiente y eficaz puede llegar a ser la información obtenida por el subordinado. A los altos directivos que han pasado por el proceso a que me refiero les pregunto ¿con que sinceridad y calidad han respondido al RA y BIA?. ¿Serán útiles (de calidad), las respuestas que sirvieron para elaborar un buen BCP?
Cuando me refiero a un buen BCP, quiero decir un Plan de Continuidad del Negocio ajustado a las necesidades reales del mismo, que sea práctico y funcional.
Estoy de acuerdo que un DRP, debe hacerse con personal interno a la organización, ya que al conocerse las amenazas para supervivencia, sus impactos, sus RTO, RPO, etc., es factible diseñar los DRP. Pero hacer un DRP sin conocer los resultados reales del RA y BIA, es un desperdicio de tiempo y dinero ya que existe la tendencia a creer que un buen DRP consiste en duplicar la infraestructura operacional, lo cual es lo más alejado de la realidad, pues no solamente es ineficiente la solución sino que su alto costo versus la probabilidad del desastre, se convierte en un desangre económico y permanente para la organización. Esto de la duplicación de infraestructura tuvo sus orígenes en lo que inicialmente fueron los centros de cómputo, los cuales se basaban en un gran computador central o mainframe que funcionaba mediante la creación de largos y extensos listados de código interno propio de la organizaciones y este software único y costoso tenia que ser protegido de manera especial mediante redundancias apropiadas, pero en la actualidad, esta amenaza se ha minimizado sustancialmente, gracias a los mismos avances tecnológicos, pero aún persiste en la mentalidad del personal de IT que es necesario disponer de hot-sites y que el DRP equivale solamente a tener redundancia IT, como si todas las empresas tuviesen como objetivo del negocio, el tema IT. De ahí, que actualmente muchos directivos consideran que le BCP es algo que tiene que hacer el departamento de IT, lo cual no es cierto ni conveniente, ya que el resultado tendría un sesgo importante que le restaría la eficacia ante un desastre que impacte al negocio.
Entiendo que hay empresas celosas de compartir con extraños sus vulnerabilidades y deficiencias y por eso prefieren hacer con su recurso humano interno su BCP. Lo que tienen que hacer es conseguir un consultor de su mayor confianza que garantice que él y solamente él, tendrá el manejo y responsabilidad sobre esta información y cualquier uso inadecuado y por lo tanto evitar que la firma consultora disponga del servicio de varios consultores o personal con acceso a esta sensible información, ya que de este modo en la practica es imposible garantizar la confidencialidad y por ende la responsabilidad asociada si varios personajes externos tienen acceso a la información (consultor, auxiliares, secretarias, impresión de reportes, etc.)
La verdad, considero bastante inútil e ineficaz el resultado que se pueda llegar a obtener, si tenemos en cuenta, que un BCP requiere de información de calidad sobre las amenazas (Risk Assessment) que pongan en peligro la supervivencia de la empresa, lo cual es muy diferente al ejercicio obtenido con el ERM (Enterprise Risk Management) que está enfocado a los riesgos operacionales y administrativos. También muy importante, pues es parte de las base del análisis, es el descubrimiento de los impactos negativos (BIA) que la empresa estaría sometida en caso de hacerse real la amenaza.
Si tenemos en cuenta que para recolectar la información a la que nos referimos, necesariamente tenemos que hacer una o varias de las siguientes actividades: encuestas, talleres y/o entrevistas. Imaginemos en la realidad a un subalterno entrevistando a personal de alta jerarquía, ¿como cree que se sienten o mejor, se resienten estos altos directivos, gerentes, vicepresidentes y el mismo presidente, al ser interrogado por un subalterno?. Peor aún, ¿como creen que se siente el subalterno, haciendo las entrevistas? No nos digamos mentiras, a nadie nos gusta que un subalterno por destacado que sea dentro de la organización nos haga preguntas y menos aún que pueda llegar a encontrar nuestras deficiencias operacionales. Para no extenderme mucho en el tema los invito a que solo se imaginen la situación referida y deduzcan que tan eficiente y eficaz puede llegar a ser la información obtenida por el subordinado. A los altos directivos que han pasado por el proceso a que me refiero les pregunto ¿con que sinceridad y calidad han respondido al RA y BIA?. ¿Serán útiles (de calidad), las respuestas que sirvieron para elaborar un buen BCP?
Cuando me refiero a un buen BCP, quiero decir un Plan de Continuidad del Negocio ajustado a las necesidades reales del mismo, que sea práctico y funcional.
Estoy de acuerdo que un DRP, debe hacerse con personal interno a la organización, ya que al conocerse las amenazas para supervivencia, sus impactos, sus RTO, RPO, etc., es factible diseñar los DRP. Pero hacer un DRP sin conocer los resultados reales del RA y BIA, es un desperdicio de tiempo y dinero ya que existe la tendencia a creer que un buen DRP consiste en duplicar la infraestructura operacional, lo cual es lo más alejado de la realidad, pues no solamente es ineficiente la solución sino que su alto costo versus la probabilidad del desastre, se convierte en un desangre económico y permanente para la organización. Esto de la duplicación de infraestructura tuvo sus orígenes en lo que inicialmente fueron los centros de cómputo, los cuales se basaban en un gran computador central o mainframe que funcionaba mediante la creación de largos y extensos listados de código interno propio de la organizaciones y este software único y costoso tenia que ser protegido de manera especial mediante redundancias apropiadas, pero en la actualidad, esta amenaza se ha minimizado sustancialmente, gracias a los mismos avances tecnológicos, pero aún persiste en la mentalidad del personal de IT que es necesario disponer de hot-sites y que el DRP equivale solamente a tener redundancia IT, como si todas las empresas tuviesen como objetivo del negocio, el tema IT. De ahí, que actualmente muchos directivos consideran que le BCP es algo que tiene que hacer el departamento de IT, lo cual no es cierto ni conveniente, ya que el resultado tendría un sesgo importante que le restaría la eficacia ante un desastre que impacte al negocio.
Entiendo que hay empresas celosas de compartir con extraños sus vulnerabilidades y deficiencias y por eso prefieren hacer con su recurso humano interno su BCP. Lo que tienen que hacer es conseguir un consultor de su mayor confianza que garantice que él y solamente él, tendrá el manejo y responsabilidad sobre esta información y cualquier uso inadecuado y por lo tanto evitar que la firma consultora disponga del servicio de varios consultores o personal con acceso a esta sensible información, ya que de este modo en la practica es imposible garantizar la confidencialidad y por ende la responsabilidad asociada si varios personajes externos tienen acceso a la información (consultor, auxiliares, secretarias, impresión de reportes, etc.)
No hay comentarios.:
Publicar un comentario