Nuestras empresas funcionan pautadamente todo el tiempo, pero…
¿Qué pasa si algo sucede que corta el proceso normal de la operación?
¿Estamos preparados para volver a poner en línea nuestras operaciones rápidamente?
Para resolver este tema han surgido elementos como el Plan de Continuidad del Negocio o BCP por sus siglas en inglés (Business Continuity Plan) y la Gestión de la Continuidad del Negocio o BCM (Business Continuity Management).
La mayoría de las veces cuando uno piensa en el plan de continuidad de negocio, lo asocia con informática y con cosas como respaldo y recuperación de datos (Backup y Restore), provisión de energía ante cortes y un par más de temas técnicos.
Sin embargo, una buena planificación debiera tomar además otros temas ya que cada vez más los accidentes naturales, eventos sociales, enfermedades y acciones dirigidas afectan no solo la posibilidad del uso de tecnología, sino muchos otros aspectos.
Por ejemplo, hace no mucho, un temblor muy poco habitual, hizo evacuar algunas torres de Buenos Aires y eso provocó una interrupción en la continuidad de los negocios en varias empresas, por suerte sin consecuencias graves más allá de algunas horas de trabajo perdidas.
Otro riesgo son las pandemias que están cada vez más presentes y son elementos disruptivos de la continuidad de negocios.
Para peor tienen comienzo indefinido y final imprevisible, y como ejemplo, estas últimas que nos visitaron como el COVID, la gripe, o la neumonía con un alto impacto en varias organizaciones.
Y aunque parezca demasiado, también se deben tomar los posibles secuestros de personas claves de la organización, que pueden modificar o cortar las operaciones de nuestros negocios de alguna manera (en algunos países esto es moneda corriente).
En cuanto al alcance, hay que pensar que nuestro personal no es el único que hace a la continuidad de negocio.
Hay que pensar también en nuestros proveedores y clientes.
La cadena de valor es larga y compleja y, como toda cadena, se rompe por lo más delgado sin importar cuán fuerte sea el resto de los eslabones.
Hay que pasar de la visión de la operación directa y sesgada a mirar el todo, tener una visión integral, extendiéndola incluso a la familia de nuestro personal ya que un evento en su círculo íntimo, los inhabilita a veces a ir a trabajar, aún estando sanos o no ser los impactados directamente.
Por otro lado, hay que tomar en cuenta que los impactos ahora son más grandes porque hay más tecnología, mayor aglomeración, mayor distribución de áreas organizacionales a nivel planeta, etc., por lo cual, además de ser prolijos a la hora de hacer nuestro plan de continuidad, también tenemos que ver muchos más factores que exceden lo local y conocido y que abarcan de bienes a personas, pasando por intangibles como la marca o la confiabilidad empresaria.
No olvidar que, en estos casos, un impacto siempre es igual a perdida, en mayor o menor medida.
¿Por dónde empezar?
El primer paso para armar un buen plan comienza con un buen análisis de riesgo e impactos.
Esto nos da un menú de temas a atacar o resolver que deberán pasar por un proceso de priorización y con ello, un orden de trabajo y acción.
No necesariamente hay que analizar todos los riesgos antes de seguir con las próximas etapas donde planificaremos, construiremos, probaremos y ajustaremos el plan.
Con un grupo pequeño de riesgos se puede comenzar este proceso e iterar cuantas veces sea necesario.
Es aconsejable no querer terminar con cada etapa y todos los elementos para comenzar la siguiente, porque esto hace que los procesos sean muy largos.
Se debe particionar, y trabajar en forma iterativa y constante, revisando todo, todo el tiempo.
Usar alguna metodología ágil para esto, así como plantear objetivos SMART, son los elementos ideales y serán de mucha ayuda.
Es indispensable que nuestro plan de continuidad de negocio, esté plasmado en un documento porque nos da la posibilidad de compartir, revisar conjuntamente, accionar sin que haya transmisión oral, ser operativos, estar bajo normas y ser previsibles.
Por supuesto, este documento debe poder ser accedido por cualquier persona en la organización, teniendo los cuidados de seguridad necesarios sobre la información.
El análisis de impacto en el negocio o BIA (Business Impact Analysis) es otro punto fundamental y debe tener un buen instructivo de trabajo.
Un registro de BIA debiera contener por lo menos:
Funciones críticas
Tolerancias (cuanto tiempo pueden estar fuera de línea cada función)
Amenazas (toda cosa que pueda afectarme y no controle)
Tiempo objetivo de recuperación (cuanto tiempo debería pasar entre que comienza la recuperación y la función está activa de nuevo)
Procedimientos por estado operativo:
Emergencia (Cuáles son las primeras acciones a llevar a cabo ante el evento)
Recupero (Que acciones deben ser llevadas a cabo para efectuar la recuperación)
Pruebas (Qué pruebas deben hacerse para asegurar que todo volvió a la normalidad)
Se deben tener instructivos o plantillas para la redacción de procedimientos, confeccionar uno para cada amenaza, grupo o tipo de amenazas, y tener responsables ante los 3 estados operativos, conservando el registro de pruebas.
Estas pruebas, son el factor crítico de éxito de cualquier plan de continuidad.
Es necesario ser amplio en el alcance de las mismas y verificar entre otras cosas:
Pruebas de recorrido (hacer que el plan se ejecute)
Pruebas de recupero (ver cómo funcionan las cosas después de una recuperación)
Pruebas de notificación de alertas (Llamadas y mensajes)
Prueba integral de recupero (cómo funciona todo después de un recupero)
Por suerte, no debemos inventar la pólvora.
Existen cada vez más normas que debieran tomarse como un sistema integrado para hacer bien nuestro trabajo, muchas de ellas derivadas o con su origen en las British Standards, un clásico como fuente de metodologías.
También es cierto que solo se puede ser exitoso en esto, si llevamos el ciclo de vida de la continuidad en forma completa, es decir:
Planificar (mucho y todo el tiempo en especial yendo más allá de lo obvio y haciendo un buen análisis de riesgos)
Hacer (todo lo que se deba hacer en función del plan)
Chequear (la eficiencia y eficacia de las estrategias)
Accionar (sobre lo que no está bien definido o erróneo, volviendo a comenzar el ciclo).
Un punto importante a tener en cuenta, es que los planes deben ser elementos vivos y reflejar siempre la realidad.
Si esto no ocurre y estos planes duermen el sueño de los justos sin actualizarse, gran parte de nuestro esfuerzo habrá sido en vano, y quizás, cuando algo ocurra, no podamos continuar con el negocio.
La estrategia debe ser sólida y basarse en el liderazgo y la toma de decisiones, la educación, la comunicación, el análisis de riesgos incluyendo los legales, políticas y procedimientos, revisión de nuestras relaciones comerciales y personales y foco en los procesos claves de negocios sin descuidar ninguna parte de la cadena.
El éxito devendrá de tener en cuenta que, ante una interrupción en la continuidad del negocio… ¡No hacer nada es muy caro!
El resto es poner manos a la obra…
Preguntas a hacerse: ¿Cuenta su empresa con un plan de continuidad de negocio? ¿Tienen detectados los procesos críticos en su organización? ¿Están escritos los procedimientos de contingencia?
¿El personal sabe qué hacer ante interrupciones operativas?
¿Tienen un análisis de impacto de las posibles interrupciones?
Si hay una o más respuestas negativas, es hora de hacer algo y nosotros estamos para ayudarlo.
Nuestra solución se basa en el servicio Agile-ON Resilient