martes, 24 de mayo de 2016

IX Conferencia Internacional de Continuidad de Negocio

Por Jorge García Carnicero


Un año más, el BSI ha sido el promotor de la Conferencia anual de Continuidad de Negocio, que ya va por su IX edición. El lugar elegido esta vez fue el Hotel Gran Melia Fénix, en Madrid, donde acudimos a primera hora de la mañana para asistir a las conferencias en cuestión. En una sala prácticamente llena, con 50 o 60 personas, BSI demostró que su capacidad de convocatoria sigue contando con buena salud.

La primera ponencia corrió a cargo de Jose Luis Miguel, Country Manager de BSI, que expuso las capacidades del BSI, tanto en la faceta de generación de normas como en la de auditoría y formación en continuidad. Seguidamente presentó los resultados del informe Horizon Scan, del BCI, destacando aspectos como el top ten de amenazas de continuidad, que se pueden ver en la imagen o los porcentajes de empresas que pretenden incrementa su presupuesto de continuidad de negocio para los próximos meses/años.
La segunda ponencia corrió a cargo de Julio San Jose, de EY, junto con Cristina Pereira, responsable de seguridad de Abanca. Julio recalcó dos aspectos clave de la continuidad.

  • la necesidad de la pruebas y de los ejercicios de continuidad
  • la importancia de la comunicación de crisis. 
Comento aspectos como las diferentes estrategias de comunicación que existen (buenas o malas):  Silencio, Negación, Transferencia de Responsabilidades, Confesión y Discreción Controlada, proponiendo la Confesión como la mejor estrategia de comunicación (Yo lo habría llamado Transparencia)

Por su parte Cristina Pereira expuso el caso concreto de Abanca, comentando los diferentes problemas con los que se había encontrado a la hora de desplegar el plan de continuidad de negocio dentro de la organización. En línea con la exposición de Julio, también comentó la importancia de loss simulacros. 

Antes del descanso vino la tercera ponencia a cargo de Agustín Lopez, en calidad de representante del DRI en España. Agustín expuso diferentes escenarios de contingencia del datacenter enlazados en una presentación bastante original, utilizando para películas clásicas para mostrar los ejemplos de escenarios (regreso al futuro, atrapado en el tiempo, etc...) 

Una vez finalizdo el momento de Cofee Break y Networking, volvimos a la sala donde GMV hizo la cuarta ponencia de la mañana. Estaba basada en el sistema de gestión de continuidad que promueve la ISO 22301 y su posible integración con el resto de sistemas de gestión que pueda tener las compañías: seguridad (27000) gestión de IT (20000), calidad (9000), etc, con orientación principalmente a la certifiación.

La quinta ponencia corrió a cargo de Uxía Fernandez, del grupo Ozona. Uxia expuso el concepto de recogido en la norma 27031, conocida como IRBC (ICT Readiness for Business Continuity) . Uxia expuso el contenido de la norma, con los 5 pilares que define como elementos a proteger: Instalaciones, Tecnología, Personas, Datos, Proveedores y Procesos. Dado que normalmente se tienen en cuenta las contingencias de Datos y Tecnologías, quiso hacer enfasis en la importancia del resto de componentes del servicio. la ponencia se hizo un poco larga.

Por último, la sexta ponencia corrió a cargo de Ricardo Mesias, Director de Gestión del riesgo de EDP. Ricardo hizo su exposición indicando los principales problemas con los que se había encontrado a la hora de desplegar su sistema de continuidad de negocio. Habló del equipo, de lograr la complicidad de todos los departamentos de la empresa, de la importancia de los ejercicios, de las métricas de continuidad y del soporte de empresas externas que siempre es importante. 

Conclusion

Como conclusión, creo que la labor del BSI manteniendo este evento año tras año es encomiable y todos los profesionales de la continuidad de negocio deberíamos estar agradecidos por ello. El evento supone un punto de encuentro, a la vez que sirve como termómetro para ver en qué estado se encuentra esta disciplina. 

Sin embargo, creo que los mensajes que se trasladan en las ponencias son poco innovadores y muchos no reflejan la realidad de los clientes. Recientemente leía una cita de de Amy DeMartine, analista de Forrester para DevOps en un artículo de Computer World que creo que es de aplicabilidad. Decía: "Creo que la razón por la que muchas empresas se introducen en DevOps y se olvidan del personal de seguridad es que todavía existe una brecha cultural. El personal de seguridad habla un lenguaje totalmente distinto - infracciones, incidentes, vulnerabilidades y riesgos -, así que todo el mundo los coloca al final del ciclo de vida de desarrollo, si es que se acuerdan de ellos". Aplica igualmente en el caso de la Continuidad, que debería se ser un proceso imbricado en el resto de procesos de las compañías y, sin embargo, no lo está mucho, al menos en España. Si nos fijamos demasiado en el sistema de gestión y nos olvidamos de la practicidad de la continuidad nos lleva a que la Continuidad de Negocio se vea como un gasto, en vez de como una inversión. 

Recientemente ha sido la Business Continuity Awareness Week, promovida por el BCI con un objetivo principal: demostrar el ROI de la continuidad y creo que deberíamos aprender de ello. 
Aunque evidentemente el BSI, como promotor del evento, tiende a enfocar las ponencias hacia los sistemas de gestión, es urgente y imprescindible actualizar los mensajes hacia una realidad de mercado distinta, principalmente en el ámbito IT. No tiene sentido hablar de sacar una copia de las cintas fuera del CPD cuando la mayoría de las empresas están hablando de backup en nube pública como tercera copia, por ejemplo. 

sábado, 14 de noviembre de 2015

Evaluando el protocolo de medidas ante alta contaminación

La restricciones de tráfico en Madrid por la contaminación dan para muchos análisis desde el punto de vista de continuidad de negocio, desde las dificultades de los trabajadores por llegar a sus puestos de trabajo (tema ya abordado en los diferentes post de atascos, nieve, etc) hasta los problemas de suministro que pueden tener los comercios por las restricciones.
Sin embargo, me gustaría poner el foco en las medidas y la respuesta de la ciudadanía a las medidas propuestas por el ayuntamiento.

Por describir el problema, a lo largo de la última semana se ha implantado un anti-ciclón en la península ibérica que nos ha traído condiciones climatológicas muy estables, lo que ha conllevado altas concentraciones de dióxido de nitrógeno, NO2, un contaminante que proviene sobre todo de los tubos de escape de los vehículos diésel, y que causa graves problemas de salud.
El ayuntamiento de Madrid ha decidido tratar de rebajar los niveles de contaminación activando el protocolo de medidas a adoptar durante episodios de alta contaminación por dióxido de nitrógeno,

Más allá del análisis político, que probablemente sea opinable y subjetivo, creo que merece la pena analizar el mencionado protocolo y la respuesta que está teniendo la ciudadanía.

El protocolo se divide 4 apartados:

  1. Introducción, en el que se describe el problema de la contaminación y sus riesgos.
  2. Zonificación de la ciudad: para proponer las medidas oportunas, se definen 4 zonas: interior M-30, Sureste, Noreste, Noroeste y Suroeste.
  3. Definición de niveles de actuación. Se definen tres niveles de actuación, según la concentración de dióxido de nitrógeno: Preaviso, Aviso y Alerta. Para ello se utilizan los datos recolectados de las estaciones de medición. 
  4. Escenarios posibles: describen los diferentes escenarios en función del nivel de contaminación y lo que se haya prorrogado en el tiempo, empezando por el Escenario 0 (Informativo), pasando por los niveles 1, 2 y 3 (Aviso o Preaviso en días consecutivos) y llegando al Escenario Alerta, como escenario máximo, cuando se llega al nivel del mismo nombre.
  5. Descripción de las medidas: Define las medidas a aplicar en cada uno de los escenarios. 
  6. Activación y Desactivación de los niveles. expone los criterios de activación y desactivación.
  7. Descripción de la operativa: Identifica al grupo operativo responsable de la aplicación del Protocolo como grupo de coordinación para la puesta en marcha del protocolo. 
  8. Entrada en Vigor.  Fecha de entrada en vigor del protocolo (1 de marzo de 2015)

Como se observa, el protocolo tiene el esquema típico de un plan de continuidad de negocio, a excepción de un punto que considero de vital importancia: Las Pruebas. Quizás si estas hubieran estado definidas y se hubieran realizado se hubieran evitado gran parte de las faltas de comprensión y de errores que se han producido durante el día de hoy. 

Aun así, la activación del protocolo puede considerarse en sí misma una prueba de coordinación y respuesta ciudadana ante un escenario excepcional, ya que en este caso concrto el escenario es importante, pero no crítico. Puede servir de termómetro de la agilidad a la hora de trasladar información a los ciudadanos, establecer las medidas de respuesta y evaluar la respuesta en forma de cumplimiento de las acciones propuestas. 
El nivel de acceso a la información que tenemos los ciudadanos a día de hoy, ubicuo e inmediato, posibilita que se puedan definir escenarios y medidas de respuesta por parte de los ayuntamientos de las grandes urbes algo más ambiciosos de los que se han definido hasta ahora. Esto es algo que debería ser contemplado por los dirigentes de las grandes urbes para poder aumentar la resiliencia de las propias ciudades y de los servicios que presta a los ciudadanos y, por extensión, a las empresas en las que trabajan los ciudadanos. 

jueves, 8 de octubre de 2015

Problemas de transporte

Por Jorge García Carnicero

Esta semana han habido dos eventos que deben hacen planteare a los responsables de continuidad de negocio sus escenarios de continuidad. Se trata del monumental atasco de Madrid el lunes  y el problema por sabotaje en el AVE de hoy mismo en la línea Madrid-Barcelona. Ambos eventos han tenido la misma consecuencia: ausencia de determinados perfiles en sus puestos de trabajo, ya sea en su puesto de trabajo habitual o después del desplazamiento a otra ciudad.
Analizando cuales son las posibles soluciones a este problema, y dando por supuesto que ni son
previsibles ni son mitigables, la mejor opción es tratar de establecer los mecanismos necesarios para:
  1. Avisar a los empleados de que existe un problema relacionado con el transporte, para lo cual, lógicamente, la empresa tiene que se consciente de que el problema existe. 
  2. Establecer los mecanismos necesarios para que los empleados puedan trabajar en remoto, mediante teletrabajo.
Indudablemente, para que los empleados puedan ser avisados de que este problema puede existir, tiene que haber un mecanismo de supervisión por parte de la empresa, para lo cual sería necesario un servicio de alertas 7x24 bien sea propio o bien externalizado, evaluando como siempre si la relación coste-beneficio es asumible. También puede ser internaste incorporar estas funciones de alerta temprana en los SOCs de seguridad.

Desde el punto de vista de trabajo en remoto, siguen siendo válidas las soluciones que indicaba en mi post a propósito de los casos de legionela.

domingo, 30 de marzo de 2014

Peligros de una mala comunicación de crisis: ¿un avión en el agua?

Mucho se ha hablado en los foros de continuidad de negocio sobre la comunicación que se debe realizar en crisis, y de cómo utilizar las redes sociales para tener una mayor difusión en las comunicaciones que realizamos a nuestros grupos de interés (stakeholders), pero huelga decir que es necesario  siempre tener cierta mesura en el envío de estas comunicaciones y que las personas a las que debe responsabilizarse de estas actividades deben estar lo suficientemente capacitadas para dar la información justa para cubrir las necesidades y no pasarse ni por efecto ni por defecto. 



El caso que nos ha llevado a realizar esta reflexión en el blog es el de la falsa alarma que se produjo el pasado jueves 27 de marzo, cuando el servicio de emergencias 112 (@112canarias), publica este tuit: 
«Control Canarias confirma caída al mar de avión a 2 millas costa #GranCanaria a la altura de Jinamar. Se desconoce el número de pasajeros»

Hasta ese momento todas las actividades que se pueden considerar dentro de la normalidad, con la activación de un protocolo de intercambio de información entre las autorizades aeroportuarias y el servicio de emergencia, dando valided a las evidencias visuales que estaban recibiendose desde diferentes puntos, pasan a otra dimensión. Medios de comunicación de todo el mundo recogen la noticia y empiezan a difundirla, dando credibilidad a la que se supone es una fuente fiable.  De hecho, el 112 de Canarias tiene uno de los perfiles de emergencias con más seguidores -más de 53.000.

La anécdota no fue a mayores, ya que el propio servicio de 112 desmintió la noticia 9 minutos después:
 Respecto piosible accidente avión, SAR, Control Aéreo y helicóptero #GES confirman que se trata de remolcador tirando de una embarcación
Sin embargo, el tuit ya había sido difundido, obteniendo una amplia repercusión y abriendo el debate de si las redes sociales son un canal de comunicación adecuado para las notificaciones de crisis. En muchos casos, llegando a la demonización de las propias redes sociales.

Algunos enlaces a la noticia

domingo, 16 de marzo de 2014

Jazztel y la comunicación en crisis

Por Daniel Blanco Real

Este miércoles 12 de marzo Jazztel ha sufrido una interrupción de su red de voz y datos móviles desde las 13:30 hasta las 21:00 aproximadamente. El análisis que se puede realizar desde el punto de vista de continuidad puede ser muy variado, pero con la información que disponemos no creo que nos podamos aventurar a hablar sobre si el plan de continuidad de Jazztel funcionó bien o mal o si el servicio se activó en el tiempo objetivo de recuperación, o como afectó a empresas esta interrupción y que alternativas se activaron, pero si podemos analizar el plan de comunicación de crisis.
El plan de comunicación interno se quedará fuera de nuestro análisis. Aunque sería interesante saber cuál es la estrategia implementada por jazztel para este escenario de indisponibilidad. Siempre que hablamos de notificación de alerta, pensamos en llamar a los teléfonos móviles de las personas identificadas en el plan. Como la interrupción ocurrió en horario laboral es más fácil poder suponer que la comunicación se realizó por medios internos de comunicación como telefonía fija o por cualquier medio basado en IP. Pero sería interesante estudiar otras alternativas en el caso de operadoras de Telecomunicaciones:

  • Disponer de teléfonos Dual SIM con una SIM de otra operadora para poder realizar la comunicación de crisis (Sin embargo esto supone quitar a la gran mayoría de directivos de España de los comités de Crisis. No he visto ningún Iphone dual SIM).
  • Comunicar a teléfonos personales siempre y cuando estos no fueran móviles de jazztel y suponiendo que los directivos tienen dos teléfonos móviles (algo tan poco habitual como los iphone dual SIM).
  • Otro tipo de comunicaciones: Teléfono Fijo, Correo electrónico (poco fiable de saber si el receptor lo va a leer en breve), ¿Buscadores? 

En cuanto al plan de comunicaciones que realizó a los medios y a los usuarios, lo podemos analizar por lo que hemos leído en la prensa y en los medios sociales, así como por los propios clientes.
En adslzone hicieron un seguimiento de los comunicados de jazztel, así como por otro lado de los mensajes enviados por usuarios de Jazztel para lo cual crearon un foro.
El primer mensaje que se envía durante incidente de este tipo es fundamental y debe ser claro,  conciso y utilizar los canales  más eficientes para que aquellos a los que va dirigido el mensaje lo reciban de la forma más rápida posible.
Jazztel tardó tres horas desde el inicio del apagón para realizar el primer comunicado oficial a las 16:15 y utilizó su cuenta de Twitter y su blog oficial para enviar el  siguiente mensaje:
“Tenemos una incidencia en nuestro servicio móvil que afecta, no a todos, pero si a un número importante de nuestros clientes. La compañía está trabajando para restablecer el servicio lo antes posible. Os mantendremos informados.”
Si analizamos todo lo ocurrido hasta la comunicación oficial de Jazztel podemos ver:

El tiempo hasta el primer comunicado
Tres horas, conociendo desde las 13:30 los que se estaba empezando a generar en los medios sociales parece a lo mejor mucho tiempo para después dar un mensaje tan escueto y con tan poco información y siendo esta tan poco concreta.

El medio seleccionado es el twiter y el blog oficial de Jazztel. 
¿Es esta la mejor forma de dirigirse a los clientes?
Puede ser que no, pero sí es una buena forma de dirigirse a todos los medios de comunicación nacionales que están pendientes de las cuentas de los medios sociales de las empresas de grandes empresas españolas o empresas del IBEX35 y de esta forma avisar a los clientes.
Y es una forma de perder  tiempo en organizar salas de medios para hacer un comunicado oficial, además de evitar, obviamente, de esta manera preguntas no deseadas o difíciles de contestar en un momento en el que todavía pueden no tenerse todos los detalles claramente identificados de lo que está ocurriendo.

El servicio de atención telefónica
Además de este mensaje oficial, los clientes que llamarón al servicio atención telefónica fueron informados por un contestador automático en el que indicaba que existía una incidencia en la telefonía móvil en los servicios de voz y datos, que se estaba trabajando en subsanarlo y que se llamara más tarde para saber si se había solucionado.

El Mensaje
Tanto en el comunicado por las redes sociales como en el servicio de atención telefónica no se indica cuál es la avería que ha provocado el problema, el tiempo de resolución aproximada, ni cuál es el alcance de la avería y el número de clientes que se ven afectados.
Existen muchos factores que a lo mejor no se conocen y por eso es mejor no comunicar ciertos aspectos como por ejemplo el tiempo de resolución, pero el alcance de la avería sí lo podían y debían haber incluido. El comunicado se lanza tres horas después de la caída del servicio y se puede leer clientes de Jazztel en los medios sociales identificándose e indicando la localización dónde se encuentran y de esta manera se puede llegar a la conclusión de que la avería afecta a toda la red nacional de España.  Esto produce y produjo desconfianza sobre la capacidad de Jazztel para solucionar el problema, la gravedad del posible error que la produjo y por lo tanto del tiempo que los clientes van a permanecer sin servicio (al final lo que más preocupa).

Jazztel tardó casi cinco horas desde el primer comunicado oficial en realizar el siguiente comunicado a las 20:07 en el que informaba que recompensaría a los afectados por la incidencia.
“Seguimos trabajando para restablecer nuestro servicio móvil lo antes posible y solucionar la incidencia. Jazztel compensará de forma automática a todos clientes afectados por esta incidencia sin solicitud previa por parte de estos. Una vez restablecido el servicio, la compañía contactará inmediatamente con todos los clientes afectados para informarles de la resolución.
 Lamentamos enormemente las molestias que podamos estar causando a nuestros clientes”

El Mensaje
 Aunque el mensaje comienza con una clara declaración de intenciones de solucionar el problema lo antes posible, sigue sin informar sobre la avería que ha provocado el problema, el tiempo de resolución aproximada, ni cuál es el alcance de la avería y el número de clientes que se ven afectados. En esta ocasión el mensaje se centra en hablar de recompensas a los afectados, sin solicitudes y sin saber realmente el perjuicio o daño ocasionado y de esta forma intentar paliar en la medida de lo posible los daños de imagen y confianza que está provocando el incidente.

A las 22:00 horas se comienza a recuperar el servicio de telefonía móvil, pero no es hasta el día siguiente cuando los usuarios reciben un mensaje SMS sobre las 11:00 – 12:00 pidiendo disculpas por la avería y volviendo a informar sobre la próxima factura.

Un plan de comunicación bien preparado debe facilitar que dichas  comunicaciones se realicen de forma eficaz y en tiempo con informaciones veraces y concisas y que permitan sobretodo y ante todo que la situación se encuentra bajo control y que no genere más dudas de las que ya existen, produciendo una desconfianza y pérdida de imagen que pueda pasar factura inmediato, a corto y largo plazo.
Ahora que cada uno que juzgue si ¿Jazztel realizó adecuadamente las comunicaciones?.


domingo, 2 de marzo de 2014

Sobre Whatsapp y su disponibilidad

Por Jorge García Carnicero

Whatsapp ha sido una de las aplicaciones móviles que más se ha mimetizado con el entorno de movilidad de la práctica totalidad de los usuarios de mensajería, haciéndose imprescindible en muy poco tiempo. Y es que más allá de la propia funcionalidad de mensajería, enviar mensajes a grupos de usuarios se ha convertido en la forma más habitual de comunicarse, sobre todo cuando necesitamos un soporte telemático para coordinar nuestra actividad de la vida real.
El pasado sábado 22 de febrero Whatsapp sufrió una de las mayores caídas de servicio de su historia, o al menos la que mayor número de usuarios afecto. Para un gran número de usuarios, logaron darse cuenta de que el servicio no estaba disponible, alrededor de las 7:30 de la tarde, perdieron la comunicación con su entorno sin disponer de una alternativa. Por opciones no será: SMS, Line, Telegram o incluso Facebook o Google Hangouts, pero no todos los usuarios pensaron en la misma alternativa, y para establecer una comunicación se necesitan al menos dos personas. Al final la solución más sencilla es recurrir a la llamada de teléfono.

Más allá de los ataques de pánico y ansiedad que pudieran haber sufrido algunos usuarios, el análisis de la pérdida de servicio de Whatsapp desde una perspectiva de continuidad de negocio debería de hacerse en base a lo que realmente es: un proveedor de comunicaciones.

No son pocos los autónomos y las pequeñas y medianas empresas que han empezado a utilizar Whatsapp como canal de comunicación con sus clientes, haciendo publicidad de su contacto con el logotipo de la compañía de mensajería. Permite tener una imagen de modernidad y de cercanía hacia los clientes, ya que normalmente ese logo tiene connotaciones sentimentales positivas: es el símbolo del contacto con los nuestros en el móvil, con nuestros familiares y amigos. Sin duda puede ser una muy buena decisión englobada dentro de las estrategias de neuromárketing. No entro en si esta práctica está permitida o no por whatsapp, ya que en su Terms of Service indica claramente que sólo debe ser utilizado para su uso personal. Allá cada cual  con su valoración de riesgos y beneficios, pero ¿puede realmente considerarse una herramienta de comunicación corporativa?

Poco a poco aquellos que utilizan Whatsapp para comunicaciones relacionadas con su actividad profesional se hacen más dependientes de su servicio, pero nadie les asegura que el servicio vaya a seguir estando disponible. Es más, en su Terms of Service Whatsapp elude cualquier tipo de responsabilidad o daños que pueda ocasionar. Esto unido a los laxos requisitos legales que les aplican los organismos reguladores (CNMC en España), hace que el servicio deba ser considerado como poco fiable en términos de continuidad de negocio.

Para que esto cambiara, el servicio debería ser sometido, al menos, a los mismos requisitos regulatorios que el resto de operadores de telecomunicaciones, pero parece que no estará contemplado en la nueva ley general de telecomunicaciones que se está tramitando. Por lo tanto, la recomendación que deberíamos hacer desde el ámbito de la continuidad de negocio es la no utilización de Whatsapp (ni Line, ni Telegram, que estarían en la misma situación) o al menos no utilizarlo como canal principal de comunicación y siempre teniendo una alternativa accesible.

Como último punto del análisis, destacar la falta de agilidad de Whatsapp a la hora de comunicar sus problemas. Aunque el servicio se cayó a las 19:30 de la tarde no fue hasta las 21:16 cuando lo comunicaron por twitter, en su cuenta @wa_status. ¿seria porque su fundador estaba en el MWC de Barcelona?

lunes, 24 de febrero de 2014

Auditar a Proveedores, ¿Intromisión o necesidad?

Por Moises Lopez Soto

La prestación de servicios de cualquier tipo ha diversificado tremendamente el modo de entrega del mismo, llevando consigo un aumento significativo de intervinientes en la cadena de suministro y, por tanto, en la entrega del servicio con resultado final exitoso. Tendencias como antes el outsourcing y ahora el cloud son ejemplos claros.

Se nos presenta el reto de velar por la Continuidad de la compañía en base a unas dependencias externas, que en algunos casos, pueden ser absolutamente determinantes para el devenir de la compañía y por ello, debemos tomar medidas y actuar de forma proactiva para fortalecer los eslabones que forman la cadena, minimizando riesgos y amortiguando el impacto ante la ruptura de un posible eslabón débil. Siendo complicado, de por sí, con los eslabones controlados internamente cuanto más con aquellos otros que se organizan con plena libertad al tratarse de entes independientes.

Los ANS no sirven

El establecimiento de Acuerdos de Nivel de Servicio es totalmente válido y necesario en aspectos del servicio tales como la Capacidad y Disponibilidad pero cuando hablamos de continuidad se tornan insuficientes, entre otras cosas porque no nos referimos tanto a la capacidad del proveedor de darnos servicio sino a su capacidad de mantenerse dándolo habiendo sufrido, en sus propias carnes, una Contingencia.

La solución más socorrida es la diversificación, apostando por un modelo de “duplicidad” de proveedor-servicio en una relación de N a 1, con mínimo de dos, en modo balanceo de carga como si de una red de datos se tratara. En algunos casos no se trata de una solución sino del modo natural de entrega del servicio, en otras provoca un aumento en la necesidad de gestión del servicio con una mayor carga de trabajo para el personal encargado pero, además, NO es una solución válida para todos los servicios y, especialmente, en estos casos, es cuando se suele tratar de servicios críticos para el negocio (proveedores de servicios esenciales (electricidad, agua, etc.), soluciones demasiado complejas o excesivamente caras, existencia de posible monopolio o infraestructura única común en diferentes proveedores, etc.). En cualquiera de los casos, parece evidente que se debe ir hacia un modelo de relación que sea capaz de fortalecer los lazos entre cliente-proveedor de manera que se actúe de forma conjunta como si ambos fuesen la misma compañía, sobre todo en situación de Contingencia.

La auditoría, un arma más que interesante

Es posible que se llegue al momento en que se exija la certificación en la norma ISO 22301 (o similar) para poder prestar ciertos servicios de la misma manera que ya es muy común solicitar la ISO 28000, la ISO 9000 o, inclusive, la ISO 20000 como requisito en ciertos proyectos, pero hasta que ese día llegue, la auditoría se torna en un arma más que interesante ya que, por un lado permite estrechar de manera muy significativa el vínculo cliente-proveedor y por otro aumentar la concienciación, el trabajo y la mejora de la continuidad de negocio en ambas compañías.

Es  cierto que los proveedores pueden negarse (en el evento que llevó a cabo SIA el año pasado, se pudieron observar posturas a favor y en contra de este tema) pero también lo es que los clientes son libres de asignar cierto peso a las garantías de Continuidad de Negocio que ofrezca su proveedor a la hora de baremar las ofertas que recibe.

Los proveedores deberían de optar por entender estas auditorías como un punto de inflexión, para, si no lo han hecho antes, comenzar a trabajar en asegurar su propia Continuidad de Negocio, aprovechar la oportunidad para estrechar y fomentar la relación con sus clientes y, a su vez, obtener un rédito comercial-marketing sobre sus actuaciones en este campo. Por su lado, los clientes deben enfocarlas de modo constructivo, con enfoque de crecimiento y prestando soporte y consejo, en caso necesario, al proveedor auditado. En definitiva, Win-Win.

Hoy por hoy, y más allá de involucrar a los proveedores en la realización de las pruebas de Continuidad, la auditoría parece el elemento sobre el que poder hacer pivotar la obtención de garantías y el fortalecimiento de la cadena formada entorno al Sistema de Gestión de Continuidad de Negocio, por ello, más que una intromisión parece una necesidad…