Aunque en la versión 3 de ITIL® se citan los aspectos fundamentales del proceso de Gestión de Situaciones Críticas o Gestión de Crisis, por la particularidad, importancia, y por desgracia, frecuencia que muchas organizaciones deben operar en este modo, quizás merezca por sí mismo cierto protagonismo, un proceso separado, un apéndice, o por lo menos, este humilde artículo de ITILismo de investigación.
Damas y caballeros, con tod@s ustedes, el último proceso de ITIL®, Gestión de Situaciones Críticas.
Para documentar mínimamente nuestro proyecto de proceso ITIL®, vamos a hacer el ejercicio de encuadrarlo dentro de una de las fases del Ciclo de Vida de los Servicios para después definir el Goal, Scope, Activities, Inputs, Outputs y Roles asociados.
Pero antes, y para que el proceso esté alineado con nuestro marco de trabajo, vamos a hacer un repaso rápido a las referencias que se hacen a la Gestión de Situaciones Críticas en las cinco publicaciones de la versión 3 de ITIL®.
Así que, manos a la obra.
Paso 1: ¿Qué dice ITIL® sobre la Gestión de Situaciones Críticas?
En el libro de Estrategia del Servicio, empieza haciendo una reflexión interesante cuando habla de la gestión por objetivos. Estrategias, objetivos alineados y una gestión consistente hacia la consecución de los mismos, es la base de toda organización orientada a la gestión por objetivos. En este escenario, introduce un concepto a evitar, la gestión por crisis como la creencia de que una buena medida de la eficiencia de una organización es su habilidad para resolver problemas. Es el enfoque de dejar que sucedan las cosas para después gestionarlas reactivamente.
Es en Diseño del Servicio donde la versión 3 de ITIL® encaja, de manera muy frugal, el proceso de Gestión de Crisis, como subproceso de ITSCM. Lo define del siguiente modo:
Gestión de Crisis (IT Service Continuity Management): La Gestión de Crisis es el proceso responsable de la gestión de todas las implicaciones relacionadas con la Continuidad del Negocio. El equipo de Gestión de Crisis es responsable de cuestiones estratégicas tales como la gestión de relaciones con los medios de comunicación y la confianza de los accionistas, y decide cuando invocar los Planes de Continuidad de Negocio.
Como podéis observar, lo circunscribe únicamente a la gestión de las cuestiones estratégicas que aparecen alrededor de una crisis cuando se produce, con foco en temas de comunicación hacia el mundo exterior.
En tercer lugar, en uno de los apéndices de Operación del Servicio, se dan ciertas pinceladas de lo que en la publicación llaman “Comunicaciones Relacionadas con las Emergencias”. De hecho, el primer parágrafo nos apoya en el noble objetivo de crear nuestro proceso exclusivo para la Gestión de Situaciones Críticas. Dice algo así:
Aunque ITIL® especifica cómo lidiar con situaciones urgentes y de alto impacto tales como desastres (Continuidad del Servicio) e incidencias graves (Gestión de Incidencias), los responsables de Operación del Servicio van a tener que tratar con diversos tipos de emergencias no cubiertas por estos procesos. Es importante destacar que no estamos ante un proceso separado, sino ante varios procesos y situaciones desde una perspectiva de comunicación.
El volumen Transición del Servicio y bajo el esmerado título “Cuando la velocidad es más importante que la precisión” describe:
Comprender las particularidades de una crisis, puede ser muy útil, sobre todo para entender, que las normas para la Gestión de Crisis son diferentes a las que rigen la Operación del Servicio en su día a día.
Sólo siendo conscientes de las dos primeras leyes de la Gestión de Crisis podemos ayudar a tranquilizar a los implicados que la situación es superable:
· Regla 1: No entre en pánico
· Regla 2: Un buen Gestor de Crisis toma decisiones al instante y actúa sobre ella (sobre la crisis). Si más tarde resulta que las decisiones han sido correctas tanto mejor, pero en una situación de crisis, la velocidad es a menudo más importante que la eficiencia
Paso 2: ¿Dónde lo ubicaríamos?
Ciertamente no es más que un “modo” de Gestión de Incidencias, que debería poder invocar (si es necesario) el Plan de Continuidad (si existe) para las partes de infraestructura afectadas. Tiene mucho de Gestión de Riesgos, tiene mucho de Comunicación y podría asimilarse a un proceso de Gestión de Excepciones de alta prioridad.
Teniendo en cuenta todo esto, nos decantaríamos por encajarlo en el framework de Operación del Servicio.
Paso 3: El Proceso
Bueno, y para finalizar, vamos a aproximarnos a lo que podría ser perfectamente un nuevo proceso ITIL® en su versión 4, a través de subrayar las ideas clave relativas al Objetivo, Alcance, Actividades, Inputs, Outputs y Roles del proceso de Gestión de Situaciones Críticas.
Objetivo
Aún pecando de simplistas, como objetivo del proceso, sugeriría una adaptación del Goal de Incident Management.
“The first goal of the incident management process is to restore a normal service operation as quickly as possible and to minimize the impact on business operations, thus ensuring that the best possible levels of service quality and availability are maintained”
El propósito final es análogo, aún siendo el alcance, las actividades, y obviamente la prioridad de las situaciones, distinto/as.
Nótese también que ni todas las crisis son o provienen de incidencias, ni obviamente todas las incidencias son o se convierten en crisis.
Alcance
En la definición de cualquier nuevo proceso que se precie, uno de los primeros asuntos que debemos resolver es definir el ámbito del mismo. Es muy importante que cada organización defina lo que es, para ella, una crisis, su crisis.
El que una situación se considere o no una crisis, será el disparador del proceso, con lo que la definición de crisis en nuestra compañía se convierte en un factor clave. Consecuentemente, mientras que la receta para la definición de crisis no es uniforme en todas las organizaciones, los ingredientes que intervienen son sustancialmente los mismos: riesgo, impacto, probabilidad, daños, pérdidas,…
Para ayudar en este cometido, pongamos sobre la mesa una definición generalista de crisis:
El punto de tiempo cuando se trata de decidir si cualquier asunto o curso de acción debe continuar, modificarse o darse por terminado; el momento decisivo, el punto de inflexión.
Según la R.A.E:
Situación de un asunto o proceso cuando está en duda la continuación, modificación o cese. Momento decisivo de un negocio grave y de consecuencias importantes. Situación dificultosa o complicada.
Situación de un asunto o proceso cuando está en duda la continuación, modificación o cese. Momento decisivo de un negocio grave y de consecuencias importantes. Situación dificultosa o complicada.
¿Cómo podemos traducir el concepto de crisis en un entorno TI?
Por ejemplo, y entre otros:
- Incumplimiento de contrato
- Interrupción o degradación significativa y no planificada de servicios con alto impacto en el negocio
- Interrupción o degradación significativa y no planificada de servicios con alto impacto en el negocio
- Cualquier cuestión con impacto significativo a negocio
- Aumento de la probabilidad de ocurrencia de un riesgo controlado, etc.
Hagamos el mismo ejercicio con la definición de riesgo:
Académicamente:
La posibilidad de sufrir daño o pérdida; peligro. Un factor, cosa, elemento o campo con peligro incierto, un peligro.
En nuestro medio ambiente, por ejemplo, y entre otros:
En nuestro medio ambiente, por ejemplo, y entre otros:
- La probabilidad de dañar el negocio en forma de pérdidas económicas
- La probabilidad de dañar la imagen de la compañía o de sus clientes en cualquier aspecto relacionado con el negocio
- La probabilidad de incumplimiento de cualquier acuerdo contractual, etc
Actividades
Las siguientes pudieran ser candidatas a actividades de nuestro nuevo proceso ITIL®:
Identificación de la crisis
…pero ¿esto es una crisis?
Definición de la situación
…o a veces lo más importante de una crisis es saber exactamente qué es lo que está pasando
Respuesta a la crisis
…o plan de acción
Liderazgo de la crisis
…o selección de un individuo y el equipo para hacer frente a la crisis
…y creación y tracking del Comité de Crisis
Organización de los recursos
…pero eso ya lo hacíamos ¿no?...
Administrar el flujo de información
…o comunicar, comunicar, comunicar…
Inputs
…algunos
Crisis
Plan de Continuidad
Plan de Riesgos
Outputs
…algunos
Plan de Acción
Plan de Comunicación
Informes de gestión y resolución de la crisis
Roles
…los básicos
Propietario del Proceso
Responsable de la Crisis
Comité de Crisis
¿Y qué esperar de todo esto?
Que las organizaciones tomen conciencia de la importancia de procesar la Gestión de Crisis, para que el retorno a la normalidad sea lo más rápido y eficiente posible.
Y es que hay dos cosas que no podemos dejar en manos del azar, nuestro destino, y la Gestión de una buena Crisis.