Desde el primer post de este blog he dicho que el objetivo de SeguriTalk es que Hablemos de Seguridad sin dejar a un lado ninguno de los diversos campos que se pueden relacionar a la Seguridad. Muchas son las áreas de conocimiento que convergen, tales como la Seguridad de Información, Seguridad Física y la Gestión Medio Ambiental. Sin embargo, la mayoría de las publicaciones ha sido sobre Seguridad y Salud en el Trabajo, con publicaciones sobre riesgos, relación entre Salud & Trabajo, entre otros temas. Es por eso que, en esta ocasión, quisiera que hablemos de un tema del que no suele hablarse mucho:

Continuidad de Negocio.

Ya sea que al igual que la mayoría de mis amigos al contarles que trabajo en Continuidad de Negocios, no tengas claro el concepto o que seas un experto con la certificación ISO 22301:2012, debajo dejo algunos fundamentos básicos de la Continuidad de Negocio. ¿Qué es? ¿O con qué “se come eso”? Son las preguntas que pretendo cubrir en esta entrada.

En la imagen de esta semana vemos un barco en el mar, con un poco de niebla, pero al parecer relativamente quieto. Ahora bien, cómo te sentirías estando en el mismo barco, pero en un escenario como el siguiente.

beach-high-angle-shot-motion-1095965
Fuente: Pexels

Es casi seguro que el pobre barquito se haga pedazos y lo poco que quede, perezca. Esto mismo pasa con las empresas (y con todo en general, pero usualmente se nos complica ser igual de estratégicos con la vida personal como con la laboral). Digamos que las empresas son embarcaciones y que el mar es el contexto en que nos encontramos y digamos que es algo así tipo Piratas del Caribe, todos luchando por el perla negro (competitividad, todos queriendo ser los líderes del mercado del océano en que navegan). Son varias las razones (internas y externas) que pueden interrumpir la operación normal de una embarcación, desde arrecifes que amenazan la integridad del armazón del barco hasta una terrible tormenta o quizás la traición de un marinero interno o la infiltración de un marinero externo. Todas las causas con potencial para detener el barco son las que analiza la Continuidad de Negocio.

Siguiendo con el ejemplo del barco, si una tripulación desea aplicar la Continuidad de Negocio, deberá evaluar todos los riesgos a los que está expuesto el barco, el nivel de exposición y/o el nivel de protección actual, la probabilidad de ocurrencia de algunas de las amenazas mencionadas, todo esto para poder priorizar y enfocar los esfuerzos en las amenazas más críticas. Luego tendrá que ver cómo hacer frente para seguir operando luego de la interrupción causada por la materialización de alguna de las amenazas evaluadas y por último tendrá que mantenerse revisando si las amenazas y recursos necesarios para hacerles frente son válidas al pasar el tiempo.

Con eso claro, la Continuidad de Negocio podría definirse de mil maneras, con varias palabras, por lo que les daré una definición tratando de incluir todas las partes claves de la CN, la elección de palabras para conectar las partes claves es la que varía, pero en esencia debe ser lo mismo. Entonces, ¿qué es la Continuidad de Negocio?

La Continuidad de Negocio es un proceso que identifica los riesgos, evalúa el impacto de los mismos en caso de que se materialice una amenaza y busca proveer una respuesta que asegure los intereses de los stakeholders.

Probablemente esta definición les suene genérica y aplicable a la definición de cualquier rama de la Seguridad y no les culpo, pues independientemente del campo de aplicación, la Seguridad requiere de un proceso similar al de la Continuidad de Negocio para darnos esa sensación de confianza o robustez que define a la Seguridad.

Según la ISO, la Continuidad de Negocio se define como la capacidad de una organización para continuar la entrega de productos o servicios a niveles predefinidos aceptables después de un incidente disruptivo.

En vista de que la definición es un poco genérica, la CN tiene sus propios términos que ayudan a sentar sus fundamentos. Esta terminología está muy ligada al concepto del tiempo, pues en medio de una situación de crisis, el tiempo es crucial. Ojo, el tema de CN suele ser muy confidencial en el ámbito laboral, razón por la que trato de dar las definiciones lo más genérico posible, sin asociarlo a una metodología en específico, la mayoría de las definiciones se basan en la norma ISO 22301 (Norma para Sistemas de Gestión de la Continuidad de Negocio) y la experiencia que he adquirido gracias a excelentes profesionales que me han acompañado y apoyado en mis funciones en el trabajo.

Usualmente la Continuidad de Negocio se suele ligar al área Tecnológica, muy de la mano con el concepto de Disaster Recovery (Recuperación ante Desastres), sin embargo, la Continuidad de Negocio es aplicable a cualquier activo que se quiera proteger, sea esta tecnología, infraestructura física, recursos humanos u otro. Además, cabe destacar que mientras buscaba imágenes para las definiciones vi que se utiliza a veces indistintamente la Continuidad de Negocio y el Plan de Continuidad de Negocio (PCN) como un mismo término. El PCN es la documentación de la CN, es decir, conjunto integral de procedimientos y recursos necesarios para continuar entregando productos y servicios a niveles predefinidos aceptables después de un evento que interrumpe la operativa normal de la empresa.

A continuación, veremos algunas definiciones necesarias para entender de manera más profunda el tema de continuidad de negocios.

seguritalk continuidad de negocio
Elaboración SeguriTalk.

Situación Normal: Operativa de la entidad en condiciones normales. Si la entidad es un barco que se dedica a llevar municiones de un punto A al punto B de 8:00 AM a 5:00PM, con un oleaje constante, un proveedor de municiones, unos clientes esperando las municiones, unos equipos tecnológicos para navegar y con una tripulación de 100 hombres, esta es su situación normal. En este momento es que debemos prepararnos ante cualquier evento, pues una vez llega el evento, el tiempo corre y los demás barcos que llevan municiones siguen operando o quizás lleguen nuevos barcos de otro sitio aprovechando que ya no andas en el mar.

Crisis: evento que causa alto grado de incertidumbre, urgente y que interrumpe la situación normal de la entidad. En el ejemplo del barco, un naufragio (total o parcial) sería una crisis, pues no sabemos cuándo puede ocurrir, pero puede ocurrir, interrumpe la situación normal, ya que se imposibilita llegar del punto A al B y es urgente, ya que de no atenderse en lo inmediato podría hacer que perdamos a toda la tripulación, los suministros, equipos, municiones y reputación en el mar, dejándonos sin capacidad para hacer negocio.

Para el período 2015-2016, un informe preguntaba: ¿Su organización ha experimentado un incidente o interrupción en el último año que hizo que activara cualquier plan de continuidad de negocio documentado, gestión de crisis ¿Planes o planes de recuperación ante desastres? Las respuestas positivas arrojan los siguientes resultados:

estudio bcp
Elaboración SeguriTalk. Fuente: 2016 Global Business Continuity Management Program Benchmarking Study – Continuity Insights/KPMG LLP.

Las estadísticas utilizadas en este informe se basan en respuestas de encuestas anónimas de 349 ejecutivos de empresas públicas y privadas, agencias y autoridades gubernamentales, instituciones educativas y entidades sin fines de lucro.

Como mencioné antes, el tema de CN se asocia más al sector Tecnológico pues estas amenazas son que presentan mayor ocurrencia. Definitivamente los desastres, los eventos y las crisis ocurren. Debemos estar preparados.

Respuesta Ante Emergencias: Acciones para detener peligro inminente. Aquí entran los brigadistas, los Kits de Emergencia, botiquín y demás. Estas acciones no solucionan el hecho de que el barco se está hundiendo, sino que tratan de disminuir las consecuencias del evento, asegurar la integridad física de las personas y salvar cualquier recurso disponible.

Gestión de Crisis: Proceso en el que se alerta, evalúa y se realiza una declaración oficial de la situación. En los mejores escenarios, con la respuesta a emergencias es suficiente, se alerta a los interesados y se declara que solo fue una pequeña emergencia, como un naufragio parcial. Sin embargo, se dan los casos en que la respuesta a la emergencia no es suficiente, como un naufragio total, en el que estamos a la deriva y si no nos preparamos cuando estábamos en situación normal, será muy difícil o quizás imposible, volver a transportar municiones. La gestión de la crisis en este caso consistiría en alertar el evento (para lo que se debe estar preparado, pues se debe tener equipos de comunicación, saber a quiénes se le debe avisar, quién debe hacerlo y cómo), evaluar la magnitud del evento (cuántos heridos, fallecidos, municiones perdidas, impacto, etc.) y luego basados en esa evaluación, las personas indicadas deben emitir una declaración oficial de la situación a las partes interesadas.

Son varios los términos que podríamos seguir definiendo, pero a manera de introducción creo que estos son suficientes. Continuidad de Negocios no es un montón de papeles, tampoco es un plan ante emergencias, es un proceso continuo que nos permite seguir ofreciendo productos y servicios luego de una interrupción. Requiere ser gestionada, auxiliándose de un Plan de Continuidad de Negocios que sea probado, actualizado pero sobretodo comprendido (con apoyo de la alta dirección y formación, sin eso no se llega a ningún lado). Espero que ya lo comprendan un poco mejor.

Si les interesa, para próximas entradas podemos revisar siglas que quizás has visto por ahí como RTO, RPO, DRP y más.

Déjame saber qué te pareció esta introducción al tema, ¡los comentarios son siempre bienvenidos!