El COVID-19 ha puesto en evidencia el grado de madurez de la resiliencia de las organizaciones empresariales ligado al tiempo máximo tolerable de caída de un proceso o actividad antes de que se produzcan efectos desastrosos en la compañía y repercuta en el negocio (Maximum Tolerable Period of Disruption, o MTPD). Las consecuencias del coronavirus han supuesto que productos, servicios o datos se encuentren en un mínimo histórico, y las características de recuperación que antes se consideraban “deseables” ahora son obligatorias.
El impacto del COVID-19 nos ha enseñado que las distintas unidades de negocio o departamentos tenían interiorizados y automatizados mecanismos verticales o jerarquizados de contingencia técnico-operativos específicos de respuesta respecto a la afectación en las áreas de producción. Sin embargo, lo que no estaba al mismo nivel de desarrollo era la configuración de comités de gestión y procedimientos de respuesta interdisciplinares en los que estuviesen integrados o implicados de manera colaborativa representantes de otros servicios corporativos o transversales de soporte a los procesos de negocio. Por ejemplo, servicios médicos, prevención de riesgos laborales, servicios jurídicos, relaciones institucionales, áreas de riesgos empresariales operacionales y seguros corporativos, etc.
Otro de los gaps observados fue que en los planes de contingencia implantados era más bien escaso o superfluo el análisis del impacto que podría producir una situación crítica desde el punto de vista de su “real o auténtico C-Suite”, que es su capital humano (empleados, contratistas, proveedores y sociedad en general). Esta es básicamente la única referencia de amenaza e impactos previstos al respecto, la relativa a la cobertura de los servicios mínimos.
Lo anterior provocó inicialmente un retraso significativo en la configuración de equipos de expertos, toma de decisiones y homogeneización de las respuestas, así como la identificación de canales oficiales de divulgación de estas ante el COVID-19. Además, el calibre de los escenarios disruptivos hizo saltar por los aires los tradicionales cálculos de probabilidades de ocurrencia de los análisis de riesgos, grado de exposición a los mismos y consecuencias de su manifestación.
Errores
Los hechos han demostrado que un plan de continuidad tecnológica no es lo mismo que un plan de continuidad de negocio, y este no es lo mismo que un plan de gestión de crisis. Tampoco son lo mismo un equipo de respuesta ante una contingencia técnico-operativa específica que un equipo de respuesta ante una interrupción o perturbación severa de uno o varios procesos de negocio. O que un equipo de respuesta ante sucesos o situaciones que ponen en peligro de supervivencia a la empresa con motivo de una afectación crítica o catastrófica sobre activos tangibles o intangibles de la misma. Aunque no necesariamente dicha afectación tiene que venir derivada de una escalada del impacto o consecuencia de la continuidad de negocio (BCP, o Business Continuity Plan).
Así pues, un error muy común en muchas organizaciones, puesto de manifiesto ante la amplitud y magnitud del COVID-19, fue sin duda creer que la tenencia de un plan de contingencia en tecnología de la información (PCTI) o un plan de continuidad tecnológica (PCT) es asimilable a la disponibilidad de un plan de continuidad de negocio. La continuidad de negocio va mucho más allá que la contingencia o continuidad tecnológica en cuanto a objetivos, alcances y técnicas.
Pero primero hay que comprender que el objetivo principal de la planificación de la continuidad de los negocios en una organización, tras un evento que la interrumpe, es precisamente −y valga la redundancia− reanudar los negocios. La finalidad de las acciones de continuidad no es la restauración de los procesos de TI; es volver a hacer negocios. Más aún, la continuidad de negocios asume que los procesos TI son recuperables. La restauración tecnológica es necesaria, aunque no suficiente para garantizar la continuidad.
Asimismo, en el diseño de un plan de continuidad de negocio (PCN),a diferencia de lo que sucede con el PCTI o PCT, intervienen activamente todos los órganos y funciones de una institución. Desde el gobierno corporativo hasta las áreas de seguridad y atención al público, pasando por las funciones de recursos humanos, legal, finanzas, comunicación, servicios generales, operaciones, etc.
El diseño de un PCN es integral, solidario y realizado bajo una unidad de concepción y unidad de mando ante un evento interruptor. Es decir, establece la continuidad de una organización desde múltiples perspectivas: infraestructura TIC, recursos humanos, inmuebles, sistemas de comunicación, logística, sistemas industriales, etc. Cada uno de estos ámbitos tendrá, a su vez, un plan de contingencia o respuesta más específica, ya que no es lo mismo la inundación de un almacén de logística que el corte del suministro eléctrico en una sala de servidores.
Otro error observado durante el COVID-19 en las organizaciones fue no tener un plan de gestión de crisis (PGC) con diseño propio y diferenciado del PCN y PCT. Su objetivo es evitar que tomemos decisiones improvisadas que puedan empeorar la crisis, entendiendo esta como una situación con un alto nivel de incertidumbre que afecta las actividades básicas y/o la credibilidad de la organización y que requiere medidas urgentes. O entendida como condición inestable que implica un cambio abrupto o significativo que impide la atención y la acción urgentes para proteger la vida, los bienes, la propiedad o el medio ambiente (ISO 22300).
Quizá uno de los aspectos más distintivos de los PGC es la constitución, preparación y concienciación de los comités de gestión de crisis (CGC). Estos están compuestos de antemano por personas con autoridad suficiente para, en última instancia, tomar las decisiones pertinentes y desplegar los recursos necesarios (humanos, económicos, materiales y tecnológicos) para gestionar una crisis. O, de otra manera, está compuesto por un grupo de personas funcionalmente responsables de dirigir el desarrollo y la ejecución de la respuesta y los planes de continuidad del negocio (en este caso tendremos en cuenta especialmente los maximum tolerable downtime y recovery time objective de los procesos críticos), declarar una interrupción operativa o una situación de emergencia/crisis y proporcionar orientación durante el proceso de recuperación, tanto antes como después de un incidente disruptivo.
¡Sigue Leyendo!
Aquí te hemos mostrado tan sólo una parte de este artículo.
¿Quieres leer el contenido completo?