Cómo gestionar un proveedor de continuidad del negocio: mejores prácticas

Si su empresa necesita ayuda para crear una estrategia de BCDR, no será la única en contratar a un proveedor de continuidad del negocio. ElPrograma Nacional de Examen (NEP) de la SECconsidera una buena práctica recurrir a un proveedor de servicios externo para revisar anualmente su BCP y formular recomendaciones.

La confianza en los proveedores de continuidad empresarial sigue ganando terreno en el sector. Los objetivos de mejorar la eficiencia, estimular el crecimiento y permitir la transformación operativa inclinan la balanza en el proceso de toma de decisiones. ¿Su organización supervisa la resiliencia y la capacidad de recuperación de sus proveedores críticos? Si no es así, ¿corren las operaciones críticas el riesgo de verse obstaculizadas por una combinación de proveedores desprevenidos y una resiliencia interna y una planificación de contingencias insuficientes?

A menudo, las organizaciones adoptan un enfoque aislado con respecto a sus necesidades de resiliencia y recuperación en torno al riesgo de interrupción del negocio. Cuanto más compleja es la estructura del negocio y más evoluciona (por ejemplo, la gestión de TI y de la cadena de suministro), mayor es el número de procesos internos y externos y de interdependencias tecnológicas necesarios para reducir los impactos operativos y financieros asociados a las interrupciones del negocio.

Además, a menudo se pasan por alto todas las necesidades de resiliencia y capacidad de recuperación de una empresa, sin que existan estructuras o mecanismos que permitan realizar pruebas y verificaciones integradas. Como resultado,los directivos tienen muy poco conocimiento de las necesidadesy capacidadesreales de la organización en materia de interrupción del negocio.

Incluso cuando un proveedor comparte una descripción general de su plan de continuidad del negocio, las empresas tienen dificultades para comprender cómo el programa de continuidad del proveedor se alinea con su propia estrategia de resiliencia. Solo aquellas organizaciones que hayan desarrollado e implementado sus propios procesos de gestión de la continuidad del negocio podrán conocer las capacidades de recuperación del proveedor. Una interrupción real puede demostrar la posición que ocupa su empresa en la lista de prioridades del proveedor en comparación con otras empresas. No recibir la atención y el apoyo adecuados dañará su cuota de mercado, su marca y su reputación, como si el desastre hubiera afectado directamente a sus operaciones.

Evaluación del plan de continuidad del negocio de su proveedor

Para verificar que se hayan implementado todas las regulaciones adecuadas, revise las siguientes seis áreas del BCP de su proveedor:

1. Pérdida de personal y planificación
2. Estrategia de reubicación
3. Disponibilidad de acceso remoto
4. Contingencias por pérdida de instalaciones
5. Estrategia de comunicación en situaciones de crisis
6. Procedimientos de prueba que incluyen:
   1. Pruebas anuales
   2. Abordar los resultados de las pruebas que demuestran que hay margen de mejora.

Los planes de continuidad del negocio también deben detallarel análisis del impacto en el negocio (BIA) de su proveedor. Su organización debe asegurarse de que se realice un BIA anualmente o cuando se produzcan cambios o incidentes importantes.

Cuatro inconvenientes del BCP de un proveedor

Aquí hay cuatro aspectos a los que hay que prestar especial atención en el BCP de un proveedor: 

1. Los BCP que solo cubren la recuperación ante desastres informáticos. Algunos proveedores no distinguen entre la continuidad del negocio (por ejemplo, personas, procesos e instalaciones) y la recuperación ante desastres informáticos (por ejemplo, sistemas de información, datos y redes). 
2. Los planes de continuidad del negocio que no se hayan revisado o probado en los últimos 12 meses. Cualquier negocio es una entidad en constante evolución, por lo que un plan de continuidad del negocio debe reflejar fielmente esos cambios.  
3. Los BCP que no cubren productos/servicios que son pertinentes para su relación con el proveedor. Sisu proveedor ha desarrollado varios BCP, asegúrese de revisar solo el plan que se aplica a los servicios y productos por los que está pagando. 
4. Definición poco clara de los objetivos de tiempo de recuperación (RTO) y los objetivos de punto de recuperación (RPO). Silos RTO y los RPO no satisfacen sus necesidades, es posible que su empresa deba tomar medidas adicionales. Acordar un nivel de servicio y prioridad para su organización que pueda esperar después de una interrupción del negocio le garantizará que esté preparado para manejar cualquier interrupción. 

Nota: ElRTO es el tiempo necesario para recuperar un «nivel de servicio establecido» y no incluye la recuperación total hasta el pleno funcionamiento. 

Además, laNEP recomienda tener en cuenta los siguientes puntos al evaluar a un proveedor de continuidad del negocio:

1. Mantenga una lista actualizada de proveedores y otros contactos importantes. Si llega el momento de la comunicación de crisis, o de activar su plan de continuidad del negocio, querrá estar seguro de que su equipo de éxito de clientes asignado está allí en espera.
2. Prepare y pruebe sus procesoscomo si no pudiera confiar en los servidores de su edificio, y consulte con los proveedores sobre servidores externos en múltiples ubicaciones geográficas o en la nube para garantizar la redundancia.
3. En lo que respecta a la tecnología de su proveedor,revise la infraestructura informática de sus proveedores de serviciospara asegurarse de que almacenan sus documentos en un sistema basado en la nube con múltiples servidores de respaldo.
4. Dado que su proveedor debe conocer los requisitos empresariales de su empresa en materia de continuidad de las operaciones,debe estar preparado para recomendarle una reubicaciónsi no puede acceder a su edificio, ya sea para trabajar desde casa, en otra de las oficinas de su empresa o incluso reservando habitaciones con antelación en un hotel local.

Nota del editor: Este post fue publicado originalmente en Preparis Business Continuity Software. En octubre de 2024, Mitratech adquirió Preparis, un proveedor líder de soluciones de planificación de continuidad de negocios y respuesta a emergencias. El contenido ha sido actualizado para reflejar la oferta ampliada de productos de Mitratech, los avances de la industria y los desarrollos regulatorios.