¿Qué es continuidad de negocio? La aplicación de la norma UNE EN ISO 22301 para gestionar los riesgos generales a los que esté expuesta la continuidad del negocio de una organización, como nos dice AENOR.
Esta norma tiene su origen en la necesidad de las empresas de servicios informáticos de mantener los servicios continuos que prestaban a sus clientes, de ahí ciertos términos que huelen a SW/HW, de hecho, muchas personas la consideran una norma de “informáticos” y no la ven en otros campos.
Resaltemos que la continuidad de negocio (creo que sería más correcto llamarla “continuidad de los procesos” puesto que no siempre tienen porque haber negocio implicado, piensen en los servicios públicos) es una parte de la gestión de riesgos y dentro de este campo cobra su sentido más amplio.
Garantizar, no perdón, reducir el riesgo de que no prestemos un determinado servicio o entreguemos un producto es un objetivo endogámico y exogámico a un mismo tiempo (permítanme el retorcimiento de los términos)
Por un lado, debemos de plantearnos las consecuencias de que nosotros mismos incumplamos con nuestros clientes, pero también las consecuencias de que nuestros proveedores y socios incumplan.
Y creo que estos análisis se deben de hacer en todas las empresas y servicios públicos. No es descartable que el resultado de ese análisis sea no hacer nada, es decir, asumir el riesgo, bien por el balance de costes, bien por lo improbable de los sucesos o bien por lo inevitable de los mismos. Pero en muchos casos descubriéremos que estamos en riesgo que no reduciremos hasta que no analicemos y actuemos. Estos análisis se denominan en la norma “BIA” (análisis sobre el impacto en el negocio)
Si cree que no necesita hacer, siquiera someramente un BIA, solo le recuerdo: confinamiento-COVID, nevada Filomena, volcán de La Palma, Brexit, falta de mano de obra, huida de capital intelectual al extranjero, falta de semiconductores, etc., ¿No me diga que como poco le han afectado 3 eventos de esta reducida lista? ¿Recuerda el incendio de la Torre Windsor y los informes de las auditoras volando por la Castellana de Madrid? Seguramente nadie, o muy pocos (conozco un caso real, eso sí) pensó a las cinco de la tarde que en pocas horas todos los archivos, ordenadores, contratos y maquinas de café serian ceniza. Pero ocurrió.
El BIA debe de identificar aquellos sucesos disruptivos (entendiendo aquellos que va a parar o ralentizar mis operaciones) que van a poner en riesgo mis procesos, que efectos van a tener y, sobre todo, cómo puedo neutralizarlos y, aun mas importante, cómo puedo recuperarme lo antes y mejor posible, es decir, estamos hablando de resiliencia.
Estos sucesos pueden ser catástrofes naturales, daños por fuego o por agua, ataques maliciosos, perdida de energía o de comunicaciones, perdida de servicios de información (SW o HW), falta de personas, falta de suministros, huelgas (propias o ajenas), pandemias, problemas de liquidez y un largo etcétera que cada empresa debe de investigar y analizar, insistiendo que si bien existen sectores críticos (los servicios públicos por ejemplo), sectores atractivos para el mal (comercio y banca electrónica), toda empresa tiene su propio nivel de riesgo que en un momento dado puede hacerse letal.
Veamos algunos ejemplos simples:
| Sector | Preguntas |
| Comercio al por menor | ¿Tiene un solo banco digital? ¿Tiene un stock de seguridad de sus productos clave? |
| Transporte de viajeros | ¿Tiene una alianza con un competidor para ceder vehículos en caso de emergencia? ¿Dispone de información actualizada del estado del tráfico para cambiar rutas? |
| Despacho de abogados | ¿Tiene la información segura en nube? ¿Tiene un equipo de procuradores alternativo? |
| Clínica | ¿Tienen un sistema de electricidad alternativa? ¿Tiene un stock de seguridad de medicamentos y productos sanitarios clave? ¿Tiene varios proveedores para estos productos? ¿Tiene acuerdos con otras clínicas para derivar pacientes en un momento dado? |
| Restaurante | ¿Tiene agua de reserva para poder servir en caso de corte del suministro? ¿Tiene un stock de platos/cubiertos de un solo uso? ¿Tiene iluminación alternativa? |
| Compañías de seguros | ¿Tiene la información segura en nube? ¿Trabaja con mas de un banco? ¿Tiene planes de contingencia de teletrabajo por catástrofe (pandemia, nevada, etc.)? ¿Tiene equipos de comunicación de refuerzo (por ejemplo un call center alternativo)? |
¿Cuáles son los pasos básicos? Vamos a dar un repaso rápido que trata de serles de utilidad
- Lo primero: consciencia del riesgo y de la posibilidad de que un fallo de los procesos clave se convierta en letal
- Cree un equipo de CN en donde se recojan todas las voces de su negocio (solo la internas, se puede y se debe interactuar en este sentido con clientes y autoridades, pero no tiene mucho sentido integrarlos en los equipos de continuidad) Este equipo puede nutrir al futuro equipo de gestión de crisis.
- Seleccionar los posibles incidentes disruptivos (pandemia, huelga, nevada, etc.) y sus impactos previsibles
- Asignar una cierta probabilidad a esos incidentes, en alguno es relativamente fácil en otros va a ser más complicado.
- Hay sucesos que ya han ocurrido (caída del servidor), a esos es más fácil asignarles una probabilidad
- Hay sucesos que le han sucedido a otros, es un poco más difícil la asignación
- Hay sucesos improbables, pero posibles y de alto impacto, no los desprecie. Eso no quiere decir que se compre un quitanieves en Las Palmas (¿O tal vez sí, por si acaso sirve para cenizas volcánicas…?)
- Quizás en CN tenga más peso el impacto que la probabilidad, téngalo en cuenta
- Selecciones los incidentes significativos aplicando una matriz clásica de decisión
- Desarrolle las acciones preventivas necesarias para reducir, si es posible, la probabilidad y las consecuencias
- Desarrolle los planes de acción tendentes a recuperar la normalidad en caso de incidente:
- Somos humanos, haga lo que pueda, no busque la perfección (no existe)
- Considere el horizonte temporal probable del evento (¿Cuántos días puede durar una nevada en Madrid?)
- Planifique las acciones con detalle: personas, recursos sobre añadidos, elementos de comunicación redundantes, equipos de actuación, etc.
- Disponga los recursos, obviamente antes del incidente, no tiene sentido buscar generadores de gasoil el día que se va la luz, hay que tenerlo antes; eso incluye el mantenimiento, a todos nos ha pasado en casa ir a usar una linterna…, con las pilas agotadas.
- Póngase objetivos de recuperación ¿Cuánto puede aguantar el negocio parado? ¿Cuánto puede aguantar el cliente sin recibir el servicio/producto?
- Prepare, concienzudamente la comunicación, interna y externa, confié para ello en profesionales y sobre todo: ¡No mienta. Diga la verdad a sus clientes, socios y empleados, la mentira tiene un efecto demoledor sobre la confianza y la economía solo es confianza.
- Cierre los incidentes de la mejora manera: aprendiendo
- Sea consciente de que habrá riesgos que no le quedará mas remedio de tener que aceptar, ante la imposibilidad de prevención o reacción.
- Haga ensayos, simulacros, que el papel lo aguanta todo
- Esté atento a su alrededor para actualizar sus análisis y sus planes
Con estos pequeños consejos no se va usted a certificar en ISO 22320, pero estará en buen camino y sobre todo reducirá su riesgo de forma notable, por supuesto le recomiendo seguir todos los requisitos de la norma y certificarse, pero si no les es posible, recuerde la frase atribuida al sabio chino: Es mejor encender una vela que maldecir la oscuridad. La vela no acaba con la oscuridad, pero la hace menos impactante.
Serafín Carballo es el director de la división de consultoría de prysma y experto en gestión de riesgos.
