Cuando hablamos de continuidad de negocio nos referimos a la capacidad de una organización de poder sobrevivir a las “cosas malas” o “amenazas” que pudieran tener un impacto negativo en la empresa, tales como incendios, inundaciones, tornados, falla en servicios públicos, huracanes, terremotos, tsunamis, ataques cibernéticos, contaminación ambiental, pandemias, brotes de virus biológicos, entre otros.
Desafortunadamente, algunas empresas deben cerrar o cesar su actividad ya que no están prepraradas para encarar o mitigar mencionados desastres. Es lamentable porque el camino a esta preparación está bien documentado, no sólo desde el punto de vista de la gestión de riesgos, sino además desde las acciones a seguir luego de que ocurre un incidente de gran magnitud que pueda poner en riesgo la continuidad del negocio.
Cualquier empresa de cualquier tamaño puede mejorar las posibilidades de superar un incidente de interrupción de la actividad y quedar en una pieza (con la marca intacta y sin merma en los ingresos) si sigue ciertas estrategias probadas y de confianza, más allá de que desee obtener la certificación ISO 22301 o no.
Todos estos riesgos, como es bien sabido, pueden generar un efecto negativo sobre el funcionamiento normal del negocio, que haría que éste se detuviera por completo. Pero no hay necesidad de esperar lo peor si en la actualidad existe un estándar internacional que sirve como guía para crear una gestión sobre la continuidad del negocio, como lo es la norma ISO 22301, mediante la cual se plantea la solución a la pregunta: ¿cómo responder ante una contingencia? Simple, a través de un programa básico de BCM:
1. Identificar y ordenar las amenazas. Crea una lista de los incidentes de interrupción de la actividad que constituyan las amenazas más probables para la empresa.
En esta etapa, una buena técnica es reunir personas de todos los departamentos en una sesión de intercambio de ideas. El objetivo de la reunión es crear una lista de escenarios ordenados por probabilidad de ocurrencia y por su potencial de causar un impacto negativo en la organización. De esta manera se da un primer paso hacia el mantenimiento en la continuidad del negocio.
2. Realizar un análisis del impacto en la empresa. Necesitas determinar qué partes de tu empresa son las más críticas para que sobreviva. Una manera es comenzar detallando las funciones, los procesos, los empleados, los lugares y los sistemas que son críticos para el funcionamiento de la organización. Posteriormente se determinará la cantidad de “días de supervivencia” de la empresa para cada función. ¿Cuánto puede resistir la empresa sin que una función en particular provoque un impacto grave? Es una interrogante base de cuya respuesta dependerá la continuidad del negocio.
3. Crear un plan de respuesta y recuperación. En esta etapa deberás definir datos claves sobre los bienes involucrados en la realización de las funciones críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Deberás incluir números de serie de los equipos, acuerdos de licencia, alquileres, garantías, detalles de contactos, etc.
Necesitarás determinar “a quién llamar” en cada categoría de incidente y crear un árbol de números telefónicos para que se hagan las llamadas correctas en el orden correcto. También necesitas una lista de “quién puede decir qué cosa” para controlar la interacción con los medios durante un incidente (considera quedarte con una estrategia de “sólo el CEO” si se trata de un incidente delicado).
Los pasos para recuperar las operaciones principales deberían ordenarse en una secuencia donde queden explícitas las interdependencias funcionales. Cuando el plan esté listo, asegúrate de capacitar a los gerentes sobre los detalles relevantes para cada departamento, así como la importancia del plan general para sobrevivir a un incidente.
4. Probar el plan y refinar el análisis. Se recomienda probar el plan al menos una vez al año, con ejercicios, análisis paso a paso o simulaciones. La prueba te permite sacar el mayor provecho a los recursos que invertiste en la creación del plan, y no sólo te permite encontrar fallas y mejora continua, sino que también causa una buena impresión en la gerencia.