¿Por qué debería tener un plan de continuidad de negocio?

Hace dos días los diarios se hacían eco de la noticia de la imagen, esto ocurría poco días después del que  el programa HCIS usado para la gestión de las Historias Clínicas en la Comunidad de Madrid sufriera un incidente similar. Estos incidentes ya se han producido con anterioridad, por ejemplo el 5 de junio según reportaban en twiter @amytsmedicos

Como se desprende del tweet arriba reflejado el servicio madrileño de salud carece de un plan de continuidad de negocio o Business Continuity Plan (BCP).  Dada la ausencia de dicho plan, la pérdida de este servicio informático causó un impacto directo dentro de la organización en diferentes niveles. A continuación vamos a proceder a exponer de manera generalizada los impactos, siendo este análisis general aplicable a  cualquier tipo de negocio en situaciones similares.

En primer lugar tenemos un impacto en los empleados y el personal que trabaja en la misma . Estos empleados desconocen:

• Cómo deben proceder.
   Al no saber cada uno de ellos, qué es lo que debe de hacer en caso de producirse incidentes en un elemento esencial de la cadena de producción, nos encontramos con improvisaciones que conducen a diferentes formas de abordar un mismo problema. Generándose tantas soluciones como personas  afectadas por la crisis. ( En nuestro caso se pasa a anotar información en papel, móviles, documentos de word, etc. Siendo esta situación muy grave en un servicio de salud ya que se ha perdido toda seguridad respecto a la gestión de los datos sanitoarios durante la crisis ).
  

•  Qué información concreta deben proporcionar a los usuarios/clientes/consumidores sobre la crisis.
  La ausencia de un plan o una formación pone a los trabajadores en una situación, en la que no pueden ofrecer respuestas concretas y las soluciones son vagas o genéricas, en el mejor de los casos. Esto genera una mala imagen de la compañía y puede conducir a la pérdida de clientes e inversores.
  

• Cuando finalizará la crisis.
  Al no existir un plan de continuidad, no se conocen las acciones para restablecer el negocio, no existen medidas de tiempos de resolución, ni expectativas de recuperación. Esto genera genera situaciones de estrés e implica riesgos psico-sociales, además de empeorar el rendimiento de la compañía.
  

En segundo lugar tenemos un impacto en nuestros clientes e inversores que:

• No pueden  usar nuestros servicios con normalidad.
  Esto puede hacer que perdamos clientes o que el valor de nuestra compañía descienda
  
  
• No tienen información suficiente, ni un canal donde obtenerla.
  Al no existir un canal definido de comunicación para este tipo de crisis, es difícil que nuestra empresa haya podido emitir un comunicado indicando cuando resolveremos el problema. Tampoco podremos haber puesto personas a emitir dicho comunicado, pues probablemente la mayoría de nuestros recursos estarán destinados al análisis, investigación y resolución de la crisis.

• Pueden estar sufriendo perjuicios directos o indirectos por la pérdida del servicio.
  Estos perjuicios podrían derivar en demandas por daños y perjuicios o incluso en responsabilidades penales dependiendo del tipo de servicios que estemos ofertando a nuestros clientes.

En tercer lugar tenemos un impacto reputacional:

Las redes sociales arden ante este tipo de situaciones y una mala noticia de nuestra compañía tendrá siempre más repercusión que el mayor de nuestros logros. Hacer olvidar un fracaso en la era digital, es especialmente complicado.

En cuarto lugar tenemos posibles responsabilidades legales de tipo civil, penal y administrativo:

• Responsabilidades civiles:
  Derivadas de cualquier incumplimiento de contrato derivado del incidente o daños causados a terceros.
  
  
• Responsabilidades penales:
  Las empresas desde la última reforma del Código Penal son punibles por diferentes delitos. De los delitos punibles entre los que podrían llegar a producirse en el caso de un pérdida en la continuidad de nuestro negocio o de un área crítica están: los de revelación de secretos, daños informáticos, delitos contra los recursos naturales y el medio ambiente y especialmente delitos contra los consumidores.

• Responsabilidades administrativas:
  La indisponibilidad de una parte esencial de nuestro negocio puede hacernos incumplir plazos de entregas con las administraciones públicas, procedimientos o contratos. Así como caer en vulneraciones de la LOPD o el RGPD, por ejemplo si pasamos a trabajar en papel y no efectuamos una adecuada gestión del mismo.

Por todo ello es crítico contar un Plan de Continuidad de Negocio que haya sido probado y divulgado, puesto que gracias a él:

1. Nuestros empleados sabrán:
   • Las acciones a de tomar en caso de crisis.
   • Información certera y eficaz con la que tranquilizar a nuestros clientes en caso de que lleguen a percibir la situación.
   • Los tiempos estimados de resolución en base a los simulacros realizados.
2. Nuestros clientes e inversores
   • Podrán seguir usando nuestros servicios críticos con normalidad.
   • Serán informados a través de los canales definidos en el Plan
   • No sufrirán perjuicios al tener disponibles nuestros servicios.
3. Nuestra reputación
   • No se verá impactada si los servicios siguen activos.
   • Sufrirá el menor impacto posible si nos anticipamos a las quejas dando información real.
4. Nuestras responsabilidades legales
   • Se verán atenuadas e incluso eliminadas. Si podemos probar que habíamos tomado previamente acciones necesarias para evitar la crisis y minimizar sus daños . Es importante para ello contar con evidencias para acreditar los resultados de nuestras acciones.

Por ello si aún no cuentas con un Plan de Continuidad de Negocio deberías empezar a plantearte diseñarlo y si necesitas ayuda, nosotros contamos con los mejores profesionales para ofrecértela.