La continuidad de negocio no es un plan de continuidad de negocio

Que conste que este artículo es una pataleta por lo que estamos viendo últimamente en relación a la continuidad de negocio. Me explico:

Desde hace unos 4-5 años estoy viendo en muchas grandes organizaciones (cogiendo el discurso de su consultora de turno) cómo son sus sistemas de gestión de continuidad de negocio. Para los profanos en la materia, un sistema de gestión de continuidad de negocio (SGCN o BCMS en inglés) tiene como estándar internacional de referencia la norma ISO 22301, donde se establecen, a lo largo de 34 páginas, todo lo que debe contener un SGCN.  Hay una fase inicial de planificación y análisis, definición de objetivos, responsabilidades, análisis de riesgos, análisis de impacto en el negocio, definición de escenarios de desastre, definición de planes de continuidad y recuperación, planes de prueba, sistemas de métricas y validación, auditorías, etc.

Pues bien, ¿qué estamos viendo?, que su continuidad de negocio se reduce a ¡¡¡un documento!!!, un simple plan de continuidad…eso si, muy muy largo (y muy poco mantenible), en magnífico Word y a veces Excel y por supuesto, lleno de información obsoleta (personas, sedes, teléfonos, sistemas de información, etc.). Por no hablar de la utilidad que eso tiene si algún día ocurre un desastre de verdad y hay que usar el plan…de risa, vamos.

Sinceramente no sé de quién es la culpa, probablemente de las consultoras que se prestan a hacer esos trabajos vendiéndolos como SGCN, pero desde luego espero no ver cómo ISO 22301 se degrada a los niveles de la 9001, la 14001, etc.