Tras la reciente pandemia de Covid-19, conceptos tales como planes de contingencia o de continuidad del negocio, se han popularizado bastante en el mundo empresarial. Aunque el concepto en sí mismo es algo más antiguo, la verdad es que las circunstancias excepcionales que se han vivido en los últimos años, son lo que los han hecho tan populares últimamente.
Ya en el año 2012 se publicó la primera versión de la ISO 22301, considerada como la primera norma internacional específica para la gestión de la continuidad del negocio. En esta norma ya se especificaban los principios fundamentales para planificar, desarrollar, implantar, controlar y mejorar un Sistema de Gestión, que permitiera la respuesta y la rápida recuperación de las operaciones en caso de interrupción. Se trataba en esencia de los fundamentos de la continuidad del negocio.
Una forma simple de definir la continuidad del negocio sería: la capacidad o el grado de preparación que tiene una organización, para mantener su funcionamiento, tras producirse algún tipo de evento que interrumpa la totalidad o al menos un parte de su actividad. En esencia, se trata de garantizar la continuidad de las operaciones del negocio, aunque se produzca algún tipo de incidente que las ponga en riesgo. Estos incidentes, por cierto, son extremadamente variados, puede ser un desastre natural, un robo, el secuestro de información, un corte de suministro energético, la salida de una persona clave para la empresa, una rotura de las redes de abastecimiento o de distribución, etc.
Desde este punto de vista, la mejor forma de garantizar la continuidad del negocio, es que la organización desarrolle un Plan de Continuidad del Negocio, desde el punto de vista de la mejora continua. En este plan hay que describir las actividades y operaciones que hay que llevar a cabo para que la empresa pueda continuar con su actividad sin interrupciones.
Razones para desarrollar un Plan de Continuidad del Negocio
Cada año miles de organizaciones sufren todo tipo de incidencias que provocan interrupciones en su actividad diaria. Cada año queda demostrado, que aquellas organizaciones que han realizado un trabajo previo de planificación y anticipación, tienen mayores posibilidades de recuperarse del incidente o incluso de evitarlo.
Desarrollar una estrategia corporativa materializada en un Plan de Continuidad del Negocio, supone contar con un apoyo esencial para la estrategia de la organización. Esto es así, porque estos planes incrementan la protección de la actividad esencial del negocio. Por otra parte, hacer el plan supone adoptar una perspectiva preventiva del riesgo, la ideal para gestionar mejor las situaciones de adversidad. Contar con un plan de este tipo, también minimiza las pérdidas ocasionadas por un incidente. Esto conlleva que también se está en mejores condiciones para una vuelta a la normalidad, rápida y controlada.
El incumplimiento legal también puede considerarse un incidente que puede afectar negativamente al negocio. Las sanciones derivadas, que pueden incluir la paralización de la actividad, pueden llegar a suponer un enorme quebranto para la empresa. En este aspecto, los planes ayudan a reducir las sanciones que puedan venir por parte de los organismos reguladores. Estos planes son también la base sobre la que construir la resiliencia de la empresa (entendida esta como la capacidad de adaptación al cambio). Mantener el negocio en funcionamiento pese a las adversidades, es un elemento de refuerzo para la imagen y la reputación de la empresa. Los clientes, los proveedores y los inversores, confían más en empresas que son capaces de continuar con su actividad en cualquier tipo de circunstancia. Esto nos lleva inevitablemente a una mejora competitiva frente a otras organizaciones del mismo sector.
Fase 1: Determinación del alcance del Plan de contingencia y continuidad
Cuando se aborda el desarrollo de un Plan de contingencia y continuidad del negocio, la organización se incorpora a un proceso continuo de identificación de personas, activos y recursos, imprescindibles para la fabricación de sus productos, ya sean estos bienes o servicios. El Plan en definitiva permite mantener el nivel de servicio en los límites definidos por la organización y establecer un período de recuperación mínimo. El desarrollo de un plan de este tipo se basa en un proceso articulado a través de varias fases, siendo la primera la determinación del alcance. (El Instituto Nacional de Ciberseguridad, el INCIBE, dispone de un modelo secuencial excelente para el desarrollo de estos planes).
La determinación del alcance es la fase que menos recursos necesita y que menos tiempo conlleva; sin embargo, es imprescindible ejecutarla correctamente. Para empezar hay que valorar la complejidad organizativa de la empresa y ver si el proceso se extiende a su totalidad o solo a determinadas áreas con mayor importancia. Se trata de determinar cuáles van a ser los focos o elementos para los que hay que mantener la continuidad. Normalmente, hay una serie de sistemas o procesos que tienen una criticidad muy marcada para la organización, en detrimento de otros.
Esta identificación se puede hacer de dos formas, la primera es por enfoque activo. En este caso, nos focalizamos en la mejora de la continuidad de un conjunto de activos, y de ellos sacamos la información de los procesos en los que participan. El segundo sería el enfoque por proceso, que se centra en la continuidad de un proceso, independientemente de los activos que lo soportan.
Fase 2: Análisis de la organización
La segunda fase se centra en obtener, elaborar y comprender cuál es el contexto (interno y externo), los procesos y los recursos de la organización, en resumen: se trata de analizar la organización. Esta información debe ser lo más cercana a la realidad, y eso significa contar con la participación y la ayuda de mucha gente. Reunirse con los usuarios finales del proceso que hemos elegido es imprescindible para obtener el máximo posible de información acerca de lo que se considera imprescindible para realizar el proceso. Cuando sepamos que elementos son imprescindibles para llevar a cabo el proceso, debemos obtener detalles del funcionamiento de estos elementos.
Llevar a cabo un Análisis de Impacto sobre el Negocio, a partir de la información recogida, es el siguiente paso. En este documento se detallan los requisitos de tiempo y de recursos de los procesos que vamos a mejorar. Es decir para cada proceso analizado, debemos averiguar su tiempo de recuperación (el tiempo que estará detenido antes de su recuperación). También debemos precisar los recursos humanos y materiales que el proceso emplea para su funcionamiento. Pero sobre todo debemos averiguar cuál es el máximo tolerable de caída, es decir, el tiempo en el que puede dejar de funcionar un proceso antes de que se produzcan consecuencias negativas para la empresa.
Definiremos también el nivel mínimo de recuperación del servicio. Este es el nivel mínimo de recuperación que debe tener una actividad para que, aunque no sea a un nivel óptimo, si se pueda considerar como recuperada. Por supuesto, también hay que valorar la dependencia de otros procesos (internos o externos a la organización). Las fase se culmina con un Análisis de Riesgos, en donde se estudiará la probabilidad de que las amenazas puedan materializarse, así como sus consecuencias.
Fase 3: Determinar la estrategia de continuidad
Si las fases anteriores se han ejecutado bien, a estas alturas debemos tener una serie de informaciones básicas como el listado de procesos críticos del negocio. También dispondremos de los recursos implicados en cada uno de esos procesos y de los tiempos de recuperación de ambos. En general sabremos a que tipo de riesgos se encuentra sometida la organización. Con estos datos debemos abordar la siguiente fase: determinar la estrategia de continuidad en cada caso.
Empezaremos determinando la diferencia entre las necesidades de los procesos y las capacidades de los recursos. Una vez hecho esto, se determinarían las estrategias de continuidad a seguir con cada uno de los elementos que pudieran llegar a ser afectados. Entre estos elementos estaría el personal crítico para el negocio o los propios locales y centros de trabajo. También se diseñarían estrategias de continuidad para las tecnologías utilizadas, para la información crítica e incluso para proveedores y abastecimientos esenciales.
Fase 4: Respuesta a la contingencia
Una vez diseñadas las estrategias de recuperación, es hora de proceder a su implementación. La siguiente fase sería la de respuesta a la contingencia, que se inicia con la ejecución de las iniciativas detectadas en la fase anterior. Por su puesto hay que clasificar las medidas de respuesta y priorizar las medidas de contingencia. Esto se hace en función de lo crítico que sea el proceso afectado para el sistema general y para el funcionamiento normal de la organización.
La respuestas a la contingencia se articular a través de elementos tales como el Plan de Crisis o de Incidentes. Aquí encontraremos los supuestos que dan lugar a la activación de la crisis, así como el diagrama de flujo de las decisiones a adoptar. En este plan se encontrarían también los medios asignados para la crisis y el personal encargado de la activación y gestión de la misma. Pero sobre todo encontraríamos los Planes Operativos para la superación de la crisis y el personal encargado de la misma.
El siguiente conjunto de documentos serían los Planes Operativos de Recuperación. Superada la crisis mediante la aplicación de las respuestas a la contingencia, llega el momento de activar el proceso de recuperación de los activos afectados. Se activaran por tanto los procedimientos técnicos de trabajo. Estos procedimientos se componen del conjunto de actividades de gestión y recuperación de los activos y de los procesos afectados.
Fase 5: Prueba de mantenimiento y revisión
La siguiente cuestión a abordar es la necesidad de mantenimiento de los planes. Estos debe permanecer actualizados en todo momento y además hay que comprobar periódicamente que esto es así, es decir hay que realizar pruebas. Básicamente se trataría de hacer simulacros anuales, para cada una de las amenazas consideradas como críticas para la organización. Tras el simulacro el pertinente informe del mismo recogerá los resultados y las posibles incidencias acaecidas. La actualización de la documentación del plan de continuidad, incluye también la redacción de un Plan de Mantenimiento así como de un Plan de Pruebas.
Fase 6: Concienciación
La última fase, y posiblemente la más importante, se basa en las acciones de concienciación del personal ante situaciones que requieran la activación del Plan de Continuidad. Lo ideal es que todo el personal que esté implicado en los procesos afectados por el Plan de Continuidad sea informado y formado en la materia.
Hay que informarles de los elementos que hemos ido comentando hasta ahora, como el plan de crisis o los mecanismos de recuperación. Por supuesto, deben ser conscientes de las medidas preventivas a adoptar, así como de su papel y su actuación durante los momentos de crisis.
Categorizado en:
Gestión Integrada
