jueves, 3 de septiembre de 2009

Gripe A y continuidad de negocio

Ya se acabaron las vacaciones y toca de nuevo salir a la palestra a comentar las cosas del día a día. Como podéis ver, este verano he podido tener un hueco para mejorar la estética del Blog y poderlo hacer algo más agradable.

En relación a la saturación mediática referente a la gripe A, ya hablé antes de vacaciones de cómo una pandemia es una situación que puede poner a prueba un buen plan de continuidad de negocio. Como ya he comentado alguna vez, en el artículo "The Psychology of Security" Bruce Schneier explica que la seguridad es una realidad y una sensación.
Como realidad objetiva, la seguridad es matemáticamente mensurable: se puede estimar la probabilidad del acaecimiento de un riesgo y la efectividad de las posibles medidas de defensa.
Pero como sentimiento, la seguridad es subjetiva y se basa en nuestra reacción psicológica frente al peligro, el miedo y a los medios disponibles de protección. Ambas facetas son independientes: puedo estar objetivamente seguro aunque me sienta inseguro y viceversa. La mayoría de las veces cuando “la percepción de la seguridad” no se ajusta a “la realidad de la seguridad” es porque la percepción del riesgo no es pareja con la realidad del riesgo. Nos preocupamos por las cosas equivocadas prestando demasiada atención a riesgos menores y poca atención a los mayores riesgos. También profundiza en estas reflexiones Bruce Schneier en su libro "Beyond fear". En él se enumeran cinco situaciones donde el miedo influye en la estimación del riesgo:
  • La gente exagera los riesgos espectaculares y puntuales y minimiza los riesgos comunes

  • La gente tiene problemas estimando el riesgo de algo que se salga de su situación habitual.

  • Los riesgos personificados son percibidos como mayores que los anónimos.

  • La gente menos valora los riesgos que asumen voluntariamente y sobre valoran los riesgos de las situaciones que no controlan.
  • La gente sobre valora los riesgos de los que se habla y son expuestos públicamente.

Esto es lo que puede estar pasando con la gripe A. Sin embargo, toda adversidad es también una oportunidad para la mejora continua. Las organizaciones deben reflexionar sobre cómo están de preparadas frente a este tipo de contingencias. Cuando una amenaza se tiene identificada, se estiman las consecuencias y como de posible es que ocurra, en cierta forma se tiene algo más de control sobre la situación. Si además, existe un plan para poder reaccionar por si a pesar de todo las cosas suceden, ese riesgo está identificado, cuantificado y gestionado y por tanto, es dificil dejarse llevar por el miedo.

Quien no tiene claras las respuestas a las cinco preguntas básicas de todo plan de continuidad de negocio y no sabe cómo puede afectarle esta amenaza si puede tener suficientes motivos para estar asustado y por tanto, dejarse llevar por la psicosis que se pude estar generando en los medios con este tema.

Para quién quiera profundizar en este tema y enfrentarse a sus miedos, quiero recordar que ISMS Forum Spain ha traducido y editado por primera vez en castellano el Manual de Buenas Prácticas del Business Continuity Institute (BCI).

Se trata de una completa guía de gestión, actualizada en 2007, para instaurar Buenas Prácticas Globales en Gestión de Continuidad de Negocio (GCN) y entender sus principios de forma integral. Este manual ofrece una visión general del ciclo de vida de la Gestión de Continuidad de Negocio y está accesible en la sección de descargas de la Web de ISMS Forum Spain a la que llegáis a través de este enlace.

1 comentarios:

Fco Javier dijo...

¡Hola Javier!

Aunque hablamos mucho a título profesional, pocas veces lo hago en este tu blog.

Poco que objetar a tu enfoque de la contingencia de moda de la Gripe A. Siendo "purista", como gestor de continuidad de negocio, yo la encuadro como una amenaza mas a gestionar por "absentismo" (nos debe "dar igual" si es por gripe A u otra causa) si afecta a personal definido como crítico en el Plan de Continuidad de Negocio (PCN); ni siquiera como el más importante a prestar atención, tal como bien apuntas.

Eso que parece que tenemos que tener tan claro si gestionamos continuidad de negocio, no lo es tanto en mas de una organización que "vende" su gestión de la pandemia enmarcada dentro de C.N. Sino me remito a las distintos artículos de prensa que se han publicado "vendiendo" las medidas que van adoptar. ¿Dónde está la diferencia entre los que realmente Gestionan Continuidad de Negocio y los que sólo están haciendo marketing en los medios de comunicación? Pues en la respuesta al refrán (generalizando): "Dime de que presumes y te diré de que careces"... No quiero decir que no se deban contar las medidas preventivas adoptadas, sino que leyendo entre líneas se ve quién está en contexto de la amenaza y quien no (que va mas allá de las medidas preventivas sanitarias).

Para dar tranquilidad a una organización si se preocupan por la amenaza, sólo hay que introducir en nuestro modelo de riesgos las peores previsiones del Ministerio de Sanidad: puede afectar hasta el 40% del personal en 6 meses.... Si lo extrapolo a una organización con 2000 empleados, con 200 concentrados en edificios singulares o servicios centrales (SSCC) en esos 6 meses.... hablamos de valores máximos de 3-4 personas afectadas al día por dicho absentismo en dichos SSCC.... (contingencia "ordinaria" y gestionable de manera sencilla para el personal crítico).

Además, si tenemos una correcta gestión de continuidad de negocio, habremos dado formación a distintos niveles, incluida la dirección, por lo que la percepción de control de la amenaza se podrá trasmitir de manera eficaz y no llevará a la psicosis, o se podrá parar... En mi caso particular, quien se ha podido llevar por dicha "psicosis", ha sido, qué casualidad, quien se ha "saltado" la formación en la materia y no estaba en contexto.....

Javier Moreno

 
;