¿Qué es el plan de continuidad del negocio y por qué debe ser la base de tu empresa?

La vida es incierta, de un momento a otro pueden ocurrir una catástrofe desde un fenómeno de la naturaleza como sismos, inundaciones o incendios, hasta enfermedades (pandemias) o actos delictivos que no solo pausan la vida de las personas, sino que las empresas también entran en fase crítica y que incluso puede condenarlas al cierre. Si a esto se suman las amenazas digitales como ciberataques, los riesgos a los que se enfrentan las empresas se incrementan.

Aunque nadie pueda predecir un catástrofe, es importante que todo negocio, sin importar tamaño y giro, tenga medidas de prevención ante los sucesos más comunes que pueden ocurrir. Para esto se requiere un plan de continuidad, el cual consiste en saber gestionar la recuperación de la empresa después de una interrupción no deseada o desastre en su organización, para así restaurar sus funciones críticas dentro de un tiempo predeterminado.

“Desafortunadamente algunas empresas deben cerrar cuando son afectadas por un desastre para el cual no estaban preparadas adecuadamente. Cualquier empresa de cualquier tamaño puede mejorar las posibilidades de superar un incidente que amenace con interrumpir su actividad y quedar en una pieza (con la marca intacta y sin merma en los ingresos) si sigue ciertas estrategias probadas y de confianza”, explica Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Detalla que este trabajo forma parte del estándar internacional para la continuidad del negocio, ISO 22301, donde se explica la “capacidad [que debe tener una organización] de continuar la prestación de productos o servicios en los niveles predefinidos aceptables tras incidentes de interrupción de la actividad”.

Para llevarlo a cabo, hay cuatro pasos que se deben seguir, los cuales son:

Identificar y ordenar las amenazas

Hay que comenzar identificando los productos, servicios o funciones clave para una organización y realizar un perfil de riesgo a través de una autoevaluación utilizando el marco de cuatro elementos: personas, procesos, beneficios y asociaciones.

Posteriormente se debe crear una lista de los incidentes de interrupción de la actividad que constituyan las amenazas más probables para la empresa sin olvidar usar la lista de otro, porque las amenazas varían según la ubicación. Por ejemplo, puede que una zona sea más propensa a terremotos que otra y esto es importante para establecer el orden y prioridad de las acciones.

Asimismo, hay que responderse las siguientes preguntas:

1. “¿Qué ocurre donde se encuentra la empresa?”
2. “¿Y qué pasa con la fuga de datos o la interrupción de la infraestructura de TI, que pueden ocurrir en cualquier parte?”
3. “¿Estás ubicado cerca de una vía ferroviaria? ¿De una autopista importante? ¿Cuánto depende la empresa de proveedores extranjeros?”

"En esta etapa, una buena técnica es reunir personas de todos los departamentos en una sesión de intercambio de ideas. El objetivo de la reunión es crear una lista de escenarios ordenados por probabilidad de ocurrencia y por potencial de causar un impacto negativo”, indica Gutiérrez.

Realizar un análisis del impacto en la empresa

Se necesitará determinar qué partes de la empresa son las más críticas para que sobreviva. Siguiendo esta línea, es importante poder evaluar el potencial impacto de las interrupciones para la empresa y sus trabajadores. Se puede comenzar detallando las funciones, los procesos, los empleados, los lugares y los sistemas que son críticos para el funcionamiento de la organización.

De estas tareas se ocupa generalmente el líder del proyecto y, para ello, deberá entrevistar a los empleados de cada departamento y luego elaborar una tabla de resultados que liste las funciones, las personas principales y las secundarias.

De esta manera se podrán determinar la cantidad de “días de supervivencia” de la empresa para cada función, es decir, si ocurre un siniestro, ¿cuánto se podrá resistir?

Crear un plan de respuesta y recuperación

“En esta etapa se deberán catalogar datos clave sobre los bienes involucrados en la realización de las funciones críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Se deberán incluir números de serie de los equipos, acuerdos de licencia, alquileres, garantías, detalles de contactos, entre otros”.

Para esto, hay que nombrar a un encargado en cada área para saber a quién llamar en caso de siniestros y así, crear un árbol de números telefónicos para que se hagan las llamadas correctas en el orden correcto. Toda persona debe estar a cargo de la interacción con los medios durante un incidente. Aquí se puede considerar quedarse con una estrategia que involucre únicamente al CEO si se trata de un incidente delicado.

Para tener un mejor control de estos procesos, se deberá documentar cada acuerdo realizado y de notificaciones realizadas.

"Los pasos para recuperar las operaciones principales deberían ordenarse en una secuencia donde queden explícitas las interdependencias funcionales. Cuando el plan esté listo, asegurarse de capacitar a los gerentes sobre los detalles relevantes para cada departamento, así como la importancia del plan general para sobrevivir a un incidente.”

Probar el plan y refinar el análisis

Lo ideal es probar el plan implementado una vez al año, por lo menos, a través de ejercicios, simulacros, análisis y medición de resultados. De esta manera se declaran las áreas de oportunidad y las fortalezas. No hay que olvidar irlo modificando dependiendo las circunstancias que vayan surgiendo.

“Estos cuatro pasos significan un enorme trabajo, pero es una tarea que las empresas ignoran bajo su propio riesgo. Si el proyecto parece demasiado desalentador para aplicar a la empresa completa, considera comenzar por unos pocos departamentos o una sola oficina, si hay varias. Evita a toda costa pensar que las cosas malas no suceden, porque sí lo hacen. Sólo tienes que estar preparado y no pretendas que cuando ocurra algo no será tan malo, porque podría serlo”, finaliza Gutierrez.