Garantizar la continuidad de negocio ante el COVID-19

Garantizar la continuidad de negocio ante el COVID-19

La crisis derivada de la pandemia por el COVID-19 ha hecho real un concepto sobre el que existe mucha literatura pero que -afortunadamente- se ha sufrido en contadas ocasiones. El famoso Cisne Negro, un suceso casi imposible de prever pero con repercusiones catastróficas, ha puesto sobre la mesa la necesidad de las compañías de estar preparadas para todo tipo de contingencias. Incluso las que en un principio solo proceden de la teoría.

La conocida frase “Prepárate para lo peor, espera lo mejor, y acepta lo que venga” puede resumir cómo debería ser la postura de una empresa ante un incidente disruptivo del calibre del COVID-19. Es necesario prepararse ante todo tipo de riesgos, ya no solo ante las amenazas conocidas, sino ante las que puedan aparecer por primera vez. Por ello, a la hora de localizar los posibles Cisnes Negros en el mapa de calor de riesgos, estos quedarían dentro de los sucesos ante los que la compañía no está familiarizada.

COVID-19 artículos

Estamos acostumbrados a las zonas superiores, para las que la gestión del riesgo que compone la implantación de planes de mitigación, así como su posterior control y monitorización, las compañías tienen más que asimilados. Pero, ¿cómo se puede mitigar el riesgo ante la ocurrencia de un evento como el que estamos sufriendo ahora?

Es evidente que el término de la probabilidad está fuera de control (no es posible aplicar ninguna acción para disminuirlo). Lo único que se puede -y debe- hacer es, en caso de que se materialice este Cisne Negro, minimizar su impacto en la empresa.

mapa de riesgos

¿Y cómo se puede minimizar este impacto? La respuesta puede parecer trivial: evitando que los procesos de la compañía se vean afectados, y continúen su desempeño incluso en condiciones degradadas. Pero lo que no es trivial es materializarlo.

¿Qué es un Plan de Continuidad de Negocio?

Se podría definir como el documento maestro que proporcionará a la compañía la capacidad para aumentar la resiliencia de la organización, y afrontar con éxito la aparición de este evento disruptivo. De forma general, dicho plan se compone de:

  1. Los procesos de negocio críticos para la organización,
  2. los recursos necesarios para darles soporte,
  3. los procedimientos para reestablecer, implantar o mantener la operativa,
  4. los equipos de recuperación que ejecuten dichos procedimientos
  5. los medios necesarios para mantener la comunicación entre dichos equipos.

De la misma forma que un Plan de Emergencias se compone de las medidas de seguridad y los equipos de evacuación ante una emergencia que pueda afectar a la salud de los empleados, un Plan de Continuidad de Negocio se compondrá de las medidas a implantar y mantener, por parte de la Organización, ante un evento que afecte a la operativa normal. Siempre poniendo la salud y bienestar de los profesionales en el centro de la estrategia.

De este modo, el plan debe proporcionar a la organización los recursos necesarios para que los empleados puedan trabajar desde sus hogares (equipos portátiles, conexiones VPN, telefonía…) y para los que no puedan (ubicaciones alternativas, medidas de seguridad…), en este caso como consecuencia de la cuarentena provocada por el virus Coivd-19. Además de estos recursos, el plan dispondrá tanto de un comité que gestione esta situación de anormalidad como de los medios de comunicación para mantener informados a los empleados, a los equipos que ejecutan las tareas de recuperación, y a todos los grupos de interés.

La importancia de identificar los recursos necesarios

Para poder definir un plan de este tipo, el primer paso es identificar de forma previa qué recursos son necesarios para conseguir que los procesos de negocio puedan continuar operativos. Por recursos se entiende cualquier recurso que dé soporte a un proceso. El estándar internacional ISO22301 (Sistemas de Gestión de Continuidad de Negocio), en su punto 7, es muy genérico:

La organización debe determinar y proporcionar los recursos necesarios para el establecimiento, la implantación, el mantenimiento y la mejora continua del SGCN.

A pesar de que este estándar, en el momento de su creación allá por el 2012, tenía un enfoque eminentemente tecnológico (protección de infraestructuras tecnológicas como comunicaciones, CPDs…), el enfoque genérico adoptado permite que cualquier organización pueda implantar un plan considerando todos los recursos a su alcance (no solo tecnológicos).

Dicho estándar proporcionó una herramienta muy útil para definir los recursos mínimos para mantener la operativa. Esta herramienta es el Análisis de Impacto en el Negocio (BIA, por sus siglas en inglés), en la cual la organización analiza la forma en la que se ve afectada ante la aparición de un incidente (como puede ser la pandemia producida por el virus COVID-19) a lo largo del tiempo.

Por lo tanto, el Análisis de Impacto en el negocio permitirá disponer de la foto actual de los recursos necesarios frente a un incidente.

Todo el mundo tiene un plan, hasta que es golpeado (Mike Tyson)

Esta acertada frase del púgil Mike Tyson recuerda a las compañías cómo el plan debe ser lo suficientemente robusto para que sea efectivo. Por ello, antes de desarrollar un plan, es imprescindible disponer de una buena estrategia.

La estrategia de recuperación del negocio es fundamental de cara al diseño del plan, por lo que es aconsejable disponer del apoyo de un equipo con experiencia en la definición de planes de continuidad de negocio, bien en la elaboración, como en la ejecución de simulacros, o de escenarios reales como el que estamos viviendo actualmente.

De hecho, cuando el confinamiento derivado del virus COVID-19 al que nos estamos enfrentando cese, y todos volvamos a la normalidad, los planes de continuidad de la mayoría de las organizaciones serán actualizados considerando la pandemia como uno de los escenarios plausibles. El objetivo será disponer de una estrategia que recoja contingencias como la indisponibilidad de los empleados, no solo contemplando el teletrabajo como posibilidad ,sino incluso que plantee medidas ante un contagio y hospitalización de la mayoría de trabajadores.

Con esta estrategia ya definida, las compañías podrán poner en marcha planes de continuidad, plasmando las medidas en un diagrama de flujo de proceso. Junto con estas acciones, en dicho diagrama se mostrarán las personas o equipos responsables de su ejecución (Comités, Equipos de Recuperación…), y las organizaciones públicas (Bomberos, Policía, Sanidad…) que deberían intervenir o ser informadas de la evolución de la recuperación.

Si la compañía quiere dar un paso más e implantar un Sistema de Gestión de la Continuidad de Negocio, se deberían definir todos los medios para su gestión:

  1. Comités Ejecutivos y Operativos.
  2. Formación y concienciación de los miembros implicados.
  3. Mantenimiento de los Planes ante los cambios en la organización.
  4. Pruebas de Continuidad.
  5. Mejora continua.

Las improvisaciones son mejores cuando se preparan (William Shakespeare)

Esta frase resume a la perfección el objetivo primordial de un buen plan: evitar en la medida de lo posible las improvisaciones. Para ello, es indispensable que las compañías pongan a prueba su plan: el sistema de gestión deberá establecer pruebas de continuidad, cuyo alcance contenga a todos los miembros.

De este modo se evitarán situaciones complejas como las experimentadas con la crisis del coronavirus: compañías que no disponían de equipos portátiles para proporcionar teletrabajo a sus empleados o que, de poder proporcionarlos, no disponían de los niveles de servicio suficientes para la alta demanda del trabajo en remoto al que nos enfrentamos en esta cuarentena.

Una prueba del plan de continuidad nos proporcionará la información necesaria para conocer si la estrategia es válida, y si nuestros recursos son efectivos.

Es en estos momentos difíciles es imprescindible tener en cuenta que un buen Plan de Continuidad de Negocio facilita que la organización se vea mínimamente afectada, y uno incompleto puede provocar una interrupción en sus procesos de forma que la vuelta a la normalidad no se alcance. Incluso, en el peor de los escenarios, puede provocar la desaparición de la compañía.

¿Podemos ayudarte? Escríbenos

Deja un comentario

Álvaro Méndez Tejeda

Manager en Ciberseguridad de KPMG España. Álvaro cuenta con años de experiencia en consultoría de seguridad de la información, y en concreto, en Continuidad de Negocio y Resiliencia Tecnológica para clientes de diferentes sectores como banca, seguros, Retail e industria.
Accede a contenido exclusivo. o regístrate
Cerrar menú