seguritecnia 419

82 SEGURITECNIA Mayo 2015 Seguridad en centros hospitalarios L os directores de Seguridad olvi- damos, en muchos casos, que la seguridad no es el objetivo prin- cipal de nuestras organizaciones, sino un medio para conseguir que los procesos generadores de valor puedan desarro- llarse adecuadamente. De la misma manera, hemos estado durante años desarrollando planes de autoprotección o de contingencia, cre- yendo que era una de las finalidades principales de nuestro departamento, cuando la realidad es que no dejan de ser un medio más para llegar a nuestra meta, que es la reducción de la vulnera- bilidad de nuestra organización. Para ello, nada mejor que promover la resiliencia, la capacidad de superar estas situaciones críticas y volver a la normalidad, y la herramienta más ade- cuada para ello es un Plan de Continui- dad de Negocio o BCP ( Business Conti- nuity Planning ). La diferencia principal entre un BCP y los planes de contingencia es que el primero va más allá que estos últi- mos. Mientras que los planes de actua- ción en emergencias completan su ci- clo vital una vez que la emergencia ha sido controlada, los planes de continui- dad del negocio toman el relevo, pla- nificando las actuaciones necesarias para volver a la normalidad e, incluso, revisando las acciones en emergencia, buscando las más eficientes, pero las que menos trastorno puedan causar a los procesos estratégicos. Como ejemplo más claro en el ámbito sanitario podemos contemplar la actua- ción de los equipos de intervención en un conato de incendio en una zona de hospitalización, donde los medios em- pleados para controlar el fuego y el resto de los elementos que han combustio- nado son un impedimento para el de- sarrollo normal de la actividad sanitaria, por lo que tenemos que buscar la fór- mula para intentar que se reduzcan a su mínima expresión y que, posteriormente, esté prevista su gestión para la vuelta a la normalidad en el menor plazo posible. Desarrollo del BCP En nuestro caso, el desarrollo de un BCP parecía la evolución más lógica después de tener unos planes de autoprotección y de contingencia de seguridad de la información maduros y sobradamente probados. De acuerdo con el responsable de la unidad de seguridad de la información, se propuso su desarrollo al Comité Es- tratégico de la Información del insti- tuto, el cual aprobó la propuesta y arti- culó los mecanismos correspondientes para que toda la organización se impli- case en la consecución del plan. Para diseñarlo se creó un equipo, con la par- ticipación de la dirección del instituto, al estar compuesto por el director mé- dico, Manuel Carrascosa, la directora de Enfermería, Herminia González, el res- ponsable de Seguridad de la Informa- ción, Francisco José Herraiz, y el respon- sable de Seguridad del instituto, San- tiago García San Martin. Este equipo se ha encargado de ha- cer de correa de transmisión entre los diferentes servicios y eslabones dentro de la organización, posibilitando la difu- sión de la información y la participación de todos los responsables de servicios implicados en el instituto. En nuestro caso, ha sido un trabajo que ha impli- cado a toda la organización. Quizá este sea el reto más importante a la hora de realizar un BCP, conseguir que respon- sables y departamentos con funciona- mientos, cultura de la seguridad y ob- jetivos muy diferentes hayan sido capa- ces de colaborar y alinearse para buscar un objetivo único. En el desarrollo del propio plan, su ini- cio fue una de las partes más compli- cadas, al carecer de una bibliografía bá- sica al respecto que nos pudiera orientar, ya que la mayoría de los BCP realizados en España son ajenos al ámbito sanita- Santiago García San Martín Responsable de Seguridad del Instituto Psiquiátrico José Germain Plan de continuidad de negocio en centros hospitalarios