Autor: David Crevillén - CEO
Year 5 - Week 25
ISSN 2603 - 9931
Cuando hablamos de la continuidad de la empresa, nos referimos a la capacidad de sobrevivir a las "cosas malas" que pueden afectar negativamente a la empresa: desde un brote de virus informático hasta un brote de virus biológico, y todos los demás peligros intermedios, como incendios, inundaciones, tornados, huracanes, terremotos y tsunamis. La norma internacional para la continuidad de las actividades comerciales, ISO 22301, la define como la "capacidad [de una organización] de seguir suministrando productos o servicios a niveles aceptables predefinidos después de incidentes de interrupción de las actividades comerciales".
La gestión de la continuidad de las actividades (también llamada BCM) es el proceso de lograr y mantener esta capacidad, y es una parte vital de la gestión de la seguridad de los sistemas de información, que ahora se denomina más comúnmente seguridad cibernética.
Pero, ¿cómo se responde a una contingencia? Este artículo describe los fundamentos de una BCM y proporciona una lista de recursos que usted y su organización pueden utilizar para mejorar su capacidad de sobrevivir a cualquier cambio impredecible y no deseado.
La continuidad del negocio no es sólo para la IT
La mayoría de las organizaciones dependen hoy en día en gran medida de la tecnología de la información (desde las computadoras portátiles hasta los servidores, desde las computadoras de escritorio hasta las tabletas y los teléfonos inteligentes), pero es evidente que esta tecnología puede verse afectada por una amplia gama de incidentes potencialmente desastrosos. Estos van desde los cortes de energía causados por tormentas hasta las pérdidas de datos causadas por errores de los empleados o por delincuentes informáticos.
Desde los albores de la IT, estaba claro que las organizaciones necesitarían estrategias para prepararse, responder y recuperarse de tales incidentes. Por esa razón, gran parte del trabajo inicial para manejar los incidentes de interrupción del negocio provino de la comunidad de IT.
Con el tiempo, sin embargo, la disciplina de la "recuperación en caso de desastre" evolucionó hasta convertirse en "un proceso de gestión holístico" que "identifica las posibles amenazas a la organización y el impacto que su realización podría tener en las operaciones corporativas, y proporciona un marco para crear una capacidad de recuperación corporativa de modo que pueda responder eficazmente para proteger los intereses de sus partes interesadas, su reputación, sus marcas y sus actividades básicas de creación de valor".
De nuevo, terminología ISO 22301. Tenga en cuenta que, aunque su empresa no necesita estar certificada por la ISO 22301 para sobrevivir a un desastre, algunas corporaciones quieren certificarse para mejorar su programa de BCM y ganar más cuota de mercado al mismo tiempo. Por ejemplo, es evidente que ciertas empresas que son esenciales para la cadena de suministro en algunas industrias reciben más solicitudes de seguro de continuidad de la actividad en las negociaciones de contratos, y su adhesión a la norma ISO 22301 contribuye ciertamente a esta cuestión.
Un programa básico de gestión de la continuidad del negocio en cuatro etapas
Lamentablemente, algunas empresas deben cerrar cuando se ven afectadas por un desastre para el que no estaban adecuadamente preparadas. Esto es desafortunado porque el camino hacia tal preparación está bien documentado. Cualquier empresa, sea cual sea su tamaño, puede mejorar sus posibilidades de superar un incidente de interrupción de negocios y permanecer en una sola pieza (con la marca intacta y sin pérdida de ingresos) siguiendo ciertas estrategias probadas y confiables, quiera o no obtener la certificación ISO 22301.
Aquí hay un resumen de los cuatro pasos principales:
1. Identificar y priorizar las amenazas
Crea una lista de incidentes de interrupción de negocios que son las amenazas más probables para el negocio. No utilice la lista de otra persona, ya que las amenazas varían según el lugar. Por ejemplo, aquí en San Diego, donde vivo, hay un grado relativamente alto de conciencia de los terremotos e incendios forestales, por lo que muchas organizaciones llevaron a cabo un nivel básico de planificación de preparación para desastres teniendo en cuenta esos eventos.
¿Pero qué hay de dónde está ubicado su negocio? ¿Qué hay de la fuga de datos o la interrupción de la infraestructura de TI, que puede ocurrir en cualquier lugar? ¿Qué pasa si un producto químico tóxico hace que una instalación se cierre durante varios días? ¿Está ubicada cerca de una vía de ferrocarril? ¿Una autopista principal? ¿Cuánta dependencia tiene su empresa de los proveedores extranjeros?
En esta etapa, una buena técnica es reunir a personas de todos los departamentos en una sesión de lluvia de ideas. El objetivo de la reunión es crear una lista de escenarios ordenados por probabilidad de ocurrencia y por potencial de impacto negativo.
2. Realizar un análisis del impacto en la empresa
Necesitas determinar qué partes de tu negocio son más críticas para su supervivencia. Una manera es empezar detallando las funciones, procesos, empleados, ubicaciones y sistemas que son críticos para el funcionamiento de la organización. Esto puede hacerlo el líder del proyecto de BCM entrevistando a los empleados de cada departamento y luego desarrollando una tabla de resultados que enumere las funciones y personas primarias y secundarias.
Luego determinará el número de "días de supervivencia" de la empresa para cada función. ¿Cuánto tiempo puede sobrevivir la empresa sin que una función en particular tenga un impacto grave?
Luego clasificará el impacto de cada función en caso de que no esté disponible. Por ejemplo, Michael Miora, un experto en recuperación de desastres, sugiere usar una escala de 1 a 4, donde 1= impacto crítico en las actividades operacionales o pérdida fiscal, y 4= ningún impacto a corto plazo. Si luego se multiplica el impacto por los "días de supervivencia", se puede ver qué funciones son más críticas. En la parte superior de la tabla estarán las funciones de mayor impacto y con sólo un día de supervivencia.
3. Crear un plan de respuesta y recuperación
En esta etapa se deben catalogar los datos clave sobre los activos que intervienen en la realización de las funciones críticas, incluidos los sistemas informáticos, el personal, las instalaciones, los proveedores y los clientes. Debe incluir los números de serie de los equipos, los acuerdos de licencia, los alquileres, las garantías, los datos de contacto, etc.
Tendrá que determinar "a quién llamar" en cada categoría de incidente y crear un árbol de números de teléfono para que las llamadas correctas se hagan en el orden correcto. También necesitas una lista de "quién puede decir qué" para controlar la interacción con los medios durante un incidente (considera apegarte a la estrategia de "sólo el CEO" si es un incidente sensible).
Todos los acuerdos existentes para trasladar las operaciones a lugares e instalaciones temporales de TI, si es necesario, deben ser documentados. No olvide documentar el proceso de notificación para los miembros de la empresa en su conjunto y el procedimiento de asesoramiento para los clientes.
Los pasos para recuperar las operaciones principales deben ordenarse en una secuencia que haga explícitas las interdependencias funcionales. Cuando el plan esté listo, asegúrese de capacitar a los gerentes sobre los detalles relevantes para cada departamento, así como la importancia del plan general para sobrevivir a un incidente.
4. Pruebe el plan y perfeccione el análisis
La mayoría de los expertos en MBC recomiendan probar el plan al menos una vez al año, con ejercicios, análisis paso a paso o simulaciones. Las pruebas le permiten sacar el máximo provecho de lo que ha invertido en la creación del plan, y no sólo le permiten encontrar defectos y tener en cuenta los cambios corporativos a lo largo del tiempo, sino que también da una buena impresión a la dirección.
No hay duda de que estos cuatro pasos significan mucho trabajo, pero es una tarea que las empresas ignoran por su cuenta y riesgo. Si el proyecto parece demasiado desalentador para aplicarlo a toda la empresa, considere la posibilidad de empezar con unos pocos departamentos o una sola oficina, si hay varias. Todo lo que se aprende en el proceso puede aplicarse a mayor escala a medida que se avanza. Evita a toda costa pensar que las cosas malas no suceden, porque sí suceden. Sólo tienes que estar preparado. Y no pretendas que cuando algo suceda no sea tan malo, porque podría serlo.