Krysthiam Díaz Ayasta
Especialista en Continuidad de Negocio en Cobser Consulting.
Los que trabajamos en la disciplina de Continuidad de Negocio, solemos tomar como guía base la información que nos brindan los estándares y buenas prácticas relacionadas, en concreto, los estándares ISO y algunas guías desarrolladas por institutos especializados en la materia, tales como DRII y BCI. En ese sentido, quiero comenzar este artículo recordando algunos términos importantes, que más adelante haré referencia:
Análisis de Impacto al Negocio (BIA) – “process of analysing activities and the effect that a business disruption can have upon them”
Máximo Período Tolerable de Interrupción (MTPD) – “time it would take for adverse impacts, which can arise as a result of not providing a product/service or performing an activity, to become unacceptable”
Mínimo Objetivo de Continuidad de Negocio (MBCO) – “minimum level of services and/or products that is acceptable to an organization to achieve its business objectives during a disruption”
Tiempo de Recuperación Objetivo (RTO) – “period of time following an incident within which a product or service or an activity is resumed, or resources are recovered”
Nota: Las definiciones han sido obtenidas de la plataforma online de ISO conocida como Online Browsing Platform (OBP) y han sido dejadas de manera intencional en su idioma original.
Muchas de las personas y colegas con los que he tenido la suerte de conversar y compartir respecto a esta disciplina, coincidimos en que el BIA brinda la base para la implementación de un Sistema de Gestión de Continuidad de Negocio (SGCN), ya que nos permite hacer un diagnóstico de la organización e identificar con claridad cuáles son los órganos vitales de ésta.
El BIA brinda la base para la implementación de un Sistema de Gestión de Continuidad de Negocio (SGCN)
Sin embargo, para muchas organizaciones, es precisamente este proceso el más tedioso y engorroso de todos los procesos del SGCN, lo que muchas veces impide realizar buenos diagnósticos: el poco involucramiento de la alta dirección, la confusión entre importante y prioritario (o crítico), el ser demasiado superficial (o general) en el análisis o el caer en exceso de granularidad, entre otros aspectos, influyen negativamente.
Pero en este artículo no quiero enfocarme en los riesgos y puntos clave para lograr realizar un proceso BIA de manera eficiente y eficaz, sino en cómo nuestro entorno, y particularmente el que estamos pasando la mayoría de los países en los momentos presentes, nos obliga a revisar y reevaluar los resultados obtenidos a través del BIA.
Si nos vamos a la recomendación del estándar elaborado para la realización de un BIA, la ISO 22317:2015, encontraremos que en su punto 5 nos indica que el éxito de un BIA dependerá de la correcta identificación de nuestros clientes y partes interesadas, anticipando sus reacciones ante un incidente disruptivo (el texto original: “identifying customer and other interested parties, and anticipating their reactions to a disruptive incident”).
Me voy a quedar con la parte final del punto al que hago referencia, es decir, incidente disruptivo (o disrupción). Este concepto se define como un incidente, ya sea anticipado o no, que causa una desviación negativa no planificada en los objetivos de la organización relacionados con la entrega de sus productos y servicios. La pregunta que hago en este punto es la siguiente: ¿alguna organización podría haber anticipado el evento y los impactos que viene generando de manera global el Covid-19? Ya en varios países de Latinoamérica se hablaba de una definición diferenciada de las variables de recuperación del BIA, considerando escenarios de afectación individual (p.e. incendio, inundación, caída del centro de datos) y afectación sectorial (p.e. terremoto, huracán, ataque cibernético al sistema financiero); pero ¿dónde dejamos la afectación global? Creo que aquí se presenta el primer punto ciego de nuestros análisis, pero no el único.
Mientras escribía este artículo, pensaba en la posibilidad de definir, dependiendo del entorno de la organización y del grado de exposición que esta pudiera tener, nuestras variables de recuperación (entiéndase MTPD, RTO, MBCO) considerando 03 “macro escenarios”:
Creo que la actual pandemia, ha hecho evidente que los tiempos de recuperación para estos 3 macro escenarios pueden variar de manera dramática y, por tanto, la estrategia que debemos implementar para tener una respuesta. Precisamente es en este punto, en el diseño de las estrategias de recuperación, que encuentro el siguiente punto ciego. Ya los ciberataques, por el impacto que generan, han hecho que se piense en no sólo la definición de estrategias de respuesta individuales, sino también en el diseño e implementación de estrategias conjuntas a nivel sectorial, buscando salvaguardar las operaciones de cientos de empresas involucradas en las diversas cadenas productivas. Será el Covid-19 el motivo para que, los gobiernos, piensen en establecer estrategias de respuesta para amenazas similares; y ¿cómo extrapolamos ese escenario a las organizaciones? Creo que esto podría abrirnos un bonito debate, dónde tengamos que poner en una balanza las necesidades de cada parte interesada y definir, en conjunto, la estrategia aplicable ante coyunturas similares.
Existen un par de términos que todos los relacionados a la disciplina de Continuidad conocemos: los cisnes negros y los rinocerontes grises. La verdad es que no sé si este Covid es un cisne negro o un rinoceronte gris, creo que podríamos encontrar matices de ambas definiciones en lo que venimos experimentando. Por un lado, conocemos que los virus existen desde hace mucho tiempo y vienen generando un impacto constante a nivel global; por otro lado, tenemos que los impactos del Covid-19 han escalado a niveles jamás pensados.
Dejando la terminología de lado, es claro que el BIA es una base interesante y valiosa que permite a las organizaciones priorizar y enfocar sus acciones en lo más urgente; sin embargo, es una base poco útil si no se engrana con una adecuada gestión de crisis y liderazgo de la situación. Una disciplina como la Continuidad busca minimizar la improvisación y la incertidumbre, pero no la hace desaparecer, pues no es su cometido.
Al final, creo que es necesario que los gobiernos, las organizaciones y nosotros mismos (a nivel personal), revisemos nuestros BIAs; es hora de poner un poco de orden, diferenciar con claridad lo importante de lo urgente y rediseñar nuestras estrategias de continuidad.