Cuando en las empresas hablamos sobre continuidad de negocio, lo primero que debemos tener presente es que después de enfrentar una crisis sólo hay cabida para dos tipos de compañías: las que salen adelante y, en consecuencia, fortalecidas y las que no pueden recuperarse rápidamente e incluso cesan sus operaciones.
Seguramente, el primer grupo de organizaciones cuenta con procesos claros, debidamente documentados, y se ha preparado para el manejo de incidentes, de diverso origen y consecuencias, establecidos en lineamientos de continuidad del negocio. Estas guías están lideradas desde la gerencia sénior y han sido definidas como de alta prioridad.
Un plan de continuidad de negocio efectivo puede inclinar las probabilidades a favor de la empresa, ya que permite tener la capacidad de ser resilientes ante los efectos de un incidente e incluso prevenir o evitar escenarios negativos originados en una situación de crisis.
Plan de continuidad de negocio
El plan de continuidad de negocio se define como el conjunto de procedimientos para actuar antes, durante y después de un evento de interrupción de la operación mediante la aplicación de una metodología interdisciplinaria que permite crear y validar planes logísticos para que la organización, de forma práctica, pueda recuperar sus funciones críticas –parcial o totalmente– después de una interrupción o desastre. En términos sencillos, me refiero a los siguientes puntos:
- Prepararse proactivamente para el caso en que suceda un incidente.
- Saber cómo responder si ocurriese un incidente.
- Retomar procesos operativos, tan pronto como sea posible, en un esfuerzo por minimizar el impacto negativo en la empresa.
Estas actividades se vinculan a tres componentes que operan de manera continua: respuesta al incidente, gestión de crisis y gestión de continuidad del negocio.
Y es preciso contar con un plan de continuidad de negocio porque:
- Identifica los diversos eventos que pueden impactar sobre la continuidad de las operaciones y, en consecuencia, sobre el negocio.
- Obliga a conocer los tiempos críticos de recuperación para volver al estado inicial de la compañía.
- Proporciona la capacidad real para gestionar una interrupción del negocio (incidente) y proteger la continuidad y reputación de la empresa.
- Entrega un método comprobado que permite a la organización restaurar su capacidad para proporcionar sus productos y servicios críticos a un determinado nivel.
- Brinda seguridad y confianza a las partes interesadas.
- Genera un plan logístico de rápida actuación y respuesta en caso de sufrir un incidente.
- Crea capacidad comprobada para manejar incidentes del negocio minimizando el impacto.
- Controla el impacto financiero y operacional causado por la interrupción de la operación normal del negocio.
Ciclo de vida
El proceso, aunque es cíclico y debe ser revisado y actualizado continuamente, se inicia con un programa de implementación de continuidad de negocio que forma parte de la cultura de la empresa y en el que se involucra a la alta dirección, garante del respaldo adecuado como parte de la cultura de la organización. De vital importancia es la asignación de los roles y responsabilidades de cada una de los miembros que formarán parte del equipo.
Una vez que los roles y las responsabilidades han sido asignados, se debe identificar lo que hace el negocio, definiendo qué es críticamente importante y causaría una interrupción significativa de la operación. Esta definición de actividades críticas se realiza a través del BIA (Business Impact Analysis), el cual tiene dos objetivos principales: proveer una base para identificar los procesos críticos en la operación y la priorización de los mismos siguiendo el criterio de cuanto mayor sea el impacto, mayor será la prioridad.
Un plan de continuidad de negocio efectivo permite ser resiliente ante los efectos de un incidente e incluso prevenir o evitar escenarios negativos originados en una situación de crisis
El desarrollo del BIA posibilita estimar los recursos necesarios para los procesos identificados, de manera especial para aquellos que representen mayor sensibilidad con relación al tiempo y el impacto. De igual forma, se define el Tiempo Objetivo de Recuperación (RTO, por sus siglas en inglés), o período permitido para la recuperación de una función o recurso del negocio –a un nivel aceptable–, después de una interrupción o desastre. En esta misma fase se establece el Objetivo de Recuperación (RPO, por sus siglas en inglés), que describe la antigüedad máxima de los datos para su restauración, es decir, la tolerancia que el negocio puede permitir para operar con datos de respaldo. El RPO estará en función de las actividades primordiales de una organización.
Las evaluaciones de riesgo también pueden ser realizadas en esta etapa del proceso en donde exista una amenaza identificada. Una vez que esto ha sido ejecutado, se establece la estrategia para la continuidad del negocio considerando las opciones y medidas de mitigación para tratar con la naturaleza de la interrupción. Se hace indispensable el registro por escrito en los respectivos planes.
La elaboración de estos planes es producto de la ejecución de los BIA o de un proceso de análisis de riesgos. Cuando nos referimos a las opciones de mitigación de las amenazas identificadas, a través de los análisis de riesgos, debemos manejarlas mediante acciones basadas en evitar el riesgo, reducirlo, transferirlo o asumirlo.
No siempre es posible planificarse para cada eventualidad, por lo que es necesario establecer un proceso de gestión de crisis que consiste en la forma en que la empresa da respuesta a una emergencia para manejar eventos impredecibles e imprevistos.
Estos planes, además de quedar registrados, han de ser ejercitados y probados; y los equipos participantes, entrenados en el desempeño de sus roles. Es sumamente importante suministrar una plantilla modelo a cada una de las personas responsables de elaborar los diferentes planes.
Cada empresa establece la forma de probar y actualizar los planes a través de ejercicios de escritorios, simulaciones parciales o totales o ejercicios en los que se incluyan a todos los responsables. Desde estos ejercicios deben identificarse oportunidades de mejora que se incorporarán a los respectivos planes.
El proceso de continuidad de negocio es cíclico y será revisado periódicamente para asegurar que permanece ajustado en el tiempo. Los BIA han de ser actualizados y los riesgos reevaluados. Y los planes probados y los equipos necesitan recibir entrenamiento posterior tanto como sea necesario.
Hoy en día, la mayoría de las grandes empresas han adoptado este modelo de continuidad de negocio, ya que reconocen la importancia de estar preparadas ante cualquier evento, incidente o crisis. Esto puede ser el punto de partida para la supervivencia o no de una organización.