Jacob Vega Varo
Director de Consultoría en Cobser Consulting.
Tras hacer uso de la norma de referencia de Continuidad de Negocio ISO 22301, en numerosos clientes y proyectos de continuidad, siempre había echado de menos una mayor especificación de los requerimientos de las Estrategias de Continuidad. La actualización de esta norma de octubre de 2019, a mi modo de entender, acertadamente, incorpora varios nuevos requerimientos en este sentido. Además, agrega un nuevo enfoque hacia Soluciones de Continuidad o recursos necesarios que soportan las diferentes estrategias, entendiendo como posibles recursos todos aquellos edificios, centros de trabajo, instalaciones, sistemas de información, soluciones TIC, personal subcontratado, distribución geográfica, etc. necesarios para recuperar la actividad crítica.
Partir de un análisis de impacto de negocio formal y particularizado a la realidad de la actividad de la organización, donde se identifiquen los procesos y recursos críticos y se determinen sus necesidades de recuperación (MTPD, RTO, RPO) es un factor clave en el diseño de las estrategias de continuidad que garanticen el mantenimiento de la actividad crítica.
En muchas ocasiones este trabajo de análisis y valoración de los procesos críticos para la organización no se ha completado, o bien se ha realizado con muy buena voluntad, pero con poca estrategia metodológica, lo que deriva en una evaluación basada en criterios sin soporte formal. Sin duda alguna, los responsables de determinar los requisitos de tiempo e impacto son los propietarios del proceso de negocio y será el departamento de IT quién use estos valores para implantar soluciones de recuperación alineadas con las demandas del negocio.
En este sentido, la situación actual que estamos atravesando por causa del COVID-19 reclama una revisión de la apreciación del riesgo y el análisis BIA, y la necesidad de considerar la experiencia obtenida por el personal y las diferentes partes interesadas durante este proceso de continuidad una vez superada la crisis del coronavirus.
Salvado este punto, podemos afrontar con garantías el proceso de definición e implantación de la estrategia de continuidad de negocio global de la organización y las estrategias de recuperación específicas en cada una de las fases del proceso (prevención/detección, gestión de la crisis, recuperación y vuelta a la normalidad).
Empezaba el artículo haciendo alusión a uno de los apartados de la norma de referencia donde más cambios se han introducido, en particular al apartado 8.-Operación del Sistema de Gestión de Continuidad de Negocio y más concretamente el subapartado 8.3 Estrategias de Continuidad de Negocio que ha pasado a denominarse Estrategias y Soluciones de Continuidad de Negocio.
Diferencias de la Estrategias de continuidad según publicaciones de la norma:
Los cambios y nuevos requisitos que se introducen en este apartado se podrían resumir en un nuevo enfoque hacia “estrategias y soluciones”, donde las soluciones soportan las estrategias específicas de continuidad de negocio y el paso de medidas de protección y mitigación a la necesidad de precisar estrategias y soluciones antes, durante y después de una disrupción.
A la hora de evaluar posibles estrategias de recuperación, debemos diferenciar bien las medidas a implantar antes del incidente, que serán aquellas que van encaminadas a reducir la probabilidad y el impacto de este, de las estrategias durante el incidente, cuya finalidad será la recuperación de la actividad crítica al nivel de servicio preestablecido y, por último, las estrategias de vuelta a la normalidad, que permitirán restablecer la operativa normal minimizando los riesgos y costes imprevistos.
El contexto actual del COVID-19 pone de manifiesto la importancia de desarrollar estrategias específicas en cada etapa del proceso de Gestión de Crisis y Continuidad de Negocio.
Las medidas de prevención o de preparación en la mayoría de las organizaciones han sido insuficientes (con excepción del antiguo alumno que abandonó su carrera de Harvard para iniciar la que es hoy una de las empresas tecnológicas más valiosas del mundo), pues la realidad ha desbordado cualquier estimación previa. Por consiguiente, las estrategias de continuidad en la mayoría de los casos no están alineadas con un escenario de estas dimensiones y, por tanto, la estrategia (por mandato legal) se ha reducido a trasladar a los empleados a trabajar desde sus casas.
En la etapa actual de continuidad del negocio en la que la inmensa mayoría de las compañías están desprovistas de estrategias y soluciones específicas, y ante la paralización estrepitosa de la actividad económica mundial, la estrategia de vuelta a la normalidad cobra un protagonismo especial y valoraremos, una vez superada la crisis sanitaria, si ha significado una ventaja competitiva para aquellas organizaciones que hayan sabido anticipar la mejor solución para restablecer su operativa y aquellas organizaciones más maduras en resiliencia.
Probablemente, una de las primeras acciones a realizar por todas las organizaciones tras esta pandemia, sea la aplicación de todas las lecciones aprendidas en la revisión de las estrategias y soluciones (antes, durante y después) que permita proteger a los empleados y la actividad crítica del negocio.
Mi recomendación para todos los compañeros que formen parte en esta tarea, es abordar estos tres momentos de aplicación de estrategias por separado, evaluando al menos tres alternativas por estrategia para cada proceso crítico y escenario de indisponibilidad.
Cada alternativa debe ser cuantificable económicamente frente a la cobertura de riesgo que ofrece, de manera que la dirección estratégica tenga la posibilidad de seleccionar para cada proceso crítico la solución que considere más adecuada.
En resumen, queda por delante un trabajo importante de adecuación de nuestras estrategias y de las soluciones de continuidad de negocio, que va a demandar tiempo e implicación de toda la organización, pero si algo debe motivarnos para abordar esta tarea es que en el futuro solo las organizaciones que posean mayor facilidad para adaptarse a lo inesperado serán aquellas que sobrevivan.