Auditar a Proveedores, ¿Intromisión o necesidad?

Por Moises Lopez Soto

La prestación de servicios de cualquier tipo ha diversificado tremendamente el modo de entrega del mismo, llevando consigo un aumento significativo de intervinientes en la cadena de suministro y, por tanto, en la entrega del servicio con resultado final exitoso. Tendencias como antes el outsourcing y ahora el cloud son ejemplos claros.

Se nos presenta el reto de velar por la Continuidad de la compañía en base a unas dependencias externas, que en algunos casos, pueden ser absolutamente determinantes para el devenir de la compañía y por ello, debemos tomar medidas y actuar de forma proactiva para fortalecer los eslabones que forman la cadena, minimizando riesgos y amortiguando el impacto ante la ruptura de un posible eslabón débil. Siendo complicado, de por sí, con los eslabones controlados internamente cuanto más con aquellos otros que se organizan con plena libertad al tratarse de entes independientes.

Los ANS no sirven

El establecimiento de Acuerdos de Nivel de Servicio es totalmente válido y necesario en aspectos del servicio tales como la Capacidad y Disponibilidad pero cuando hablamos de continuidad se tornan insuficientes, entre otras cosas porque no nos referimos tanto a la capacidad del proveedor de darnos servicio sino a su capacidad de mantenerse dándolo habiendo sufrido, en sus propias carnes, una Contingencia.

La solución más socorrida es la diversificación, apostando por un modelo de “duplicidad” de proveedor-servicio en una relación de N a 1, con mínimo de dos, en modo balanceo de carga como si de una red de datos se tratara. En algunos casos no se trata de una solución sino del modo natural de entrega del servicio, en otras provoca un aumento en la necesidad de gestión del servicio con una mayor carga de trabajo para el personal encargado pero, además, NO es una solución válida para todos los servicios y, especialmente, en estos casos, es cuando se suele tratar de servicios críticos para el negocio (proveedores de servicios esenciales (electricidad, agua, etc.), soluciones demasiado complejas o excesivamente caras, existencia de posible monopolio o infraestructura única común en diferentes proveedores, etc.). En cualquiera de los casos, parece evidente que se debe ir hacia un modelo de relación que sea capaz de fortalecer los lazos entre cliente-proveedor de manera que se actúe de forma conjunta como si ambos fuesen la misma compañía, sobre todo en situación de Contingencia.

La auditoría, un arma más que interesante

Es posible que se llegue al momento en que se exija la certificación en la norma ISO 22301 (o similar) para poder prestar ciertos servicios de la misma manera que ya es muy común solicitar la ISO 28000, la ISO 9000 o, inclusive, la ISO 20000 como requisito en ciertos proyectos, pero hasta que ese día llegue, la auditoría se torna en un arma más que interesante ya que, por un lado permite estrechar de manera muy significativa el vínculo cliente-proveedor y por otro aumentar la concienciación, el trabajo y la mejora de la continuidad de negocio en ambas compañías.

Es  cierto que los proveedores pueden negarse (en el evento que llevó a cabo SIA el año pasado, se pudieron observar posturas a favor y en contra de este tema) pero también lo es que los clientes son libres de asignar cierto peso a las garantías de Continuidad de Negocio que ofrezca su proveedor a la hora de baremar las ofertas que recibe.

Los proveedores deberían de optar por entender estas auditorías como un punto de inflexión, para, si no lo han hecho antes, comenzar a trabajar en asegurar su propia Continuidad de Negocio, aprovechar la oportunidad para estrechar y fomentar la relación con sus clientes y, a su vez, obtener un rédito comercial-marketing sobre sus actuaciones en este campo. Por su lado, los clientes deben enfocarlas de modo constructivo, con enfoque de crecimiento y prestando soporte y consejo, en caso necesario, al proveedor auditado. En definitiva, Win-Win.

Hoy por hoy, y más allá de involucrar a los proveedores en la realización de las pruebas de Continuidad, la auditoría parece el elemento sobre el que poder hacer pivotar la obtención de garantías y el fortalecimiento de la cadena formada entorno al Sistema de Gestión de Continuidad de Negocio, por ello, más que una intromisión parece una necesidad…

Pruebas del SGCN, ¿Preparadas o no…?

Por Moises Lopez Soto

Hablemos de las pruebas en un Sistema de Gestión de Continuidad de Negocio, partiendo de la premisa que se trata de un elemento absolutamente trascendental, y no necesario sino OBLIGATORIO para poder considerar que realmente disponemos de un Sistema de Gestión de Continuidad de Negocio. No en vano, tienen dedicada una fase completa del ciclo de Deming (PDCA). Por ello, no vamos a profundizar en la necesidad de hacerlas, suponemos ese punto superado, y nos centramos en el ¿Cómo hacerlas o la “preparación” para hacerlas?

Cuando llega el momento de comprobar que lo planificado y hecho previamente cumple, realmente, su función y que la estrategia elegida va a cubrir y dar el soporte necesario a la compañía en materia de Continuidad de Negocio, suele entrar el nerviosismo a los responsables de haber llevado a cabo cada una de las planificaciones establecidas, además la parte operacional entra en un ciclo de preparación, normalmente, excesivo.

Queremos realizar una prueba, consultamos a los miembros de los diferentes comités existentes su disponibilidad ya que suele haber algún componente de la Alta dirección del cual su tiempo es oro, (hasta ahí se puede considerar una planificación normal) además se consulta/acuerda a nivel TI por los distintos responsables de los sistemas/aplicaciones que posiblemente se van a ver afectados por la prueba, nos dirigimos a los usuarios y sus responsables para comunicarles que van a participar en una prueba, etc. etc. Resultado: con suerte habremos preservado en secreto el día y la hora de la prueba.

Acabamos realizando un Plan – Do – Check – Act de la propia prueba, la cuestión es: ¿es realmente necesario?

Quizás la pregunta a responder cuando analizamos la realización de una prueba sea ¿Cuándo queremos ser despedidos (siendo muy exagerados), durante una contingencia real o tras la realización de una prueba fallida? Personalmente, si perteneciera a algún estamento de la alta dirección y se me garantiza la Continuidad alegando la realización de pruebas, y posteriormente, por las causas que sean, se debe activar el plan y no funciona debido a la lógica NO preparación de una contingencia, echaría a rodar alguna cabeza…

Con esto, no se quiere decir que no sea necesario, sobre todo en los inicios, realizar cierta preparación antes de lanzar una prueba, pero sí que un exceso de preparación invalida los resultados que obtengamos con la prueba.

En cambio, si pasamos al otro extremo y apostamos por realizar pruebas sin previo aviso también nos podemos encontrar con ciertos "problemillas" y riesgos como, por ejemplo, romper la máxima de: “Que la Continuidad de Negocio NO ponga en riesgo al negocio” y provocar nosotros mismos una contingencia de grandes proporciones. Además, tampoco es bueno que los grupos con funciones dentro de los planes de continuidad de negocio se acostumbren a recibir alertas de activación del plan sin previo aviso ya que pueden caer en la desidia y pensar “otra prueba más” cuando se esté tratando de una contingencia real.

Por ello, la propuesta más sensata es la alternancia, vista como la realización de pruebas preparadas con pruebas más improvisadas (conocimiento de la misma reducido al mínimo número de personas) de manera que se fomente el conocimiento y la cultura de Continuidad de Negocio en la compañía a la vez que se obtiene feedback mucho más objetivo.

En cualquier caso, y de un modo u otro, es importante que tengamos en mente siempre que vamos a realizar una prueba que lo que debemos buscar es el fallo, la vulnerabilidad de nuestros planes, el imprevisto, la obtención de lecciones aprendidas que mantengan la mejora continua, que, salvo inclemencias meteorológicas, las contingencias no llaman al timbre, derriban la puerta y, sobre todo, que la prueba lleve consigo la imperiosa necesidad de realizar más pruebas ya que la repetición es un método probado de aprendizaje y una manera perfecta de arraigar automatismos que serán absolutamente necesarios cuando el estrés atenace la capacidad de raciocinio. ¿De qué manera podemos conseguir esto?

“Una prueba de Continuidad de Negocio no debe hacer peligrar la compañía, pero debe llevarla al conocimiento certero de su Resiliencia”