Evaluación y diseño de un programa de Continuidad de Negocio

Mundo fracturado 

En este período de crisis sanitaria sin precedentes, muchas empresas han tenido la oportunidad de poner a prueba sus programas de continuidad de negocio. Para la mayoría de las organizaciones este ha sido un evento difícil y costoso, pero también nos ha dejado un gran aprendizaje, evolución y adopción de una resiliencia “sin contacto físico”.

Este enfoque de negocio combina una serie de capacidades y herramientas que deben considerarse casi que de forma obligatoria. Lo que hace algunos años atrás se veía como una oportunidad con potenciales beneficios, se ha transformado hoy en una necesidad. Por ejemplo, en las empresas ha quedado demostrado que es necesario contar con procesos que puedan ser ejecutados en cualquier lugar, el personal requiere de competencias, entrenamiento y concientización que les permita hacer posible que la operación sea segura tanto de manera remota como en la oficina, y por último pero más complejo, que la tecnología le aporte los elementos de conectividad, movilidad y accesibilidad a archivos y sistemas empresariales de manera segura. 

A esto debemos adicionar que los usuarios o clientes de la organización, como parte del desarrollo digital e incluso por necesidad de esta crisis, desean o requieren realizar la mayoría de sus transacciones de forma digital, bien sea a través de la visita a un local, sucursal o área de procesamiento, como desde cualquier lugar a través de su dispositivo móvil o computador personal.

Pero, ¿cómo un programa de Continuidad de Negocio se relaciona con esto? De acuerdo a una encuesta realizada por nuestra firma en este período de la Pandemia, denominado Global Crisis Survey 2021, el 62% de encuestados indicó que sus empresas utilizaron sus planes de continuidad y crisis como respuesta a la pandemia. Por otra parte, un 95% de los encuestados expresó que sus capacidades de gestión de continuidad de negocios y crisis requiere de mejoras como resultado de los eventos vividos. Adicionalmente a ello, existe una tendencia en los programas de continuidad de negocio para que se incorporen metodologías ágiles, buscando crear programas flexibles que permitan la atención de varias crisis de forma simultánea y de diferentes tipos.

Esto evidencia que los mecanismos tradicionales sobre la planificación de la continuidad de negocio (BCP) y la planificación de recuperación ante desastres (DR) no fueron tan aprovechados como se proyectaba, buscando siempre la seguridad de la cadena de valor, pero los requisitos de recuperación ante desastres a menudo surgieron de necesidades de negocio o regulatorias sin un alineamiento comercial en una empresa.

Este es un buen momento para evaluar el nivel de resiliencia de las empresas, utilizando un modelo holístico alineado con las estrategias empresariales para priorizar tanto la tecnología como la disponibilidad de los activos considerados críticos y también todas sus dependencias. Sin embargo, no podemos dejar de lado nuevos retos de la resiliencia, tales como:

  • La gestión de datos y activos: Incluir el ecosistema cibernético ante el cambio y la naturaleza híbrida de los entornos, al tiempo que se comprende la responsabilidad de los datos y los activos.

  • La identificación y mapeo de dependencias: Obtener una visión profunda y en tiempo real de los componentes esenciales de los que dependen las operaciones críticas, tanto internas como externas a la empresa.

  • El riesgo operativo: Comprender el riesgo de las operaciones comerciales cuando los activos críticos se interrumpen o no funcionan.

  • Las pruebas: Ejecutar pruebas de estrés confiables de manera eficiente de los servicios críticos.

  • La velocidad de recuperación: Lograr una recuperación rápida cuando se produce una interrupción para cumplir con los objetivos comerciales.

Teniendo como base y de forma clara en el nivel de resiliencia actual, el diseño del programa debe considerar una serie de elementos para garantizar que el ROI sea visible en futuras situaciones de crisis. Algunas recomendaciones son:

Enfocarse en un programa que responda, estabilice y recupere

El uso de mejores prácticas en combinación con la experiencia de la pandemia permitirán tener un programa que incluya la atención de las crisis de punto a punto, incluyendo a todos los interesados posibles por medio de la definición de roles y responsables que permita una acción rápida, organizada y eficaz. Considere la aplicación de políticas y procesos en la nueva normalidad y la necesidad de movilizar equipos de áreas críticas.

Considerar escenarios de largo plazo

Al inicio de la pandemia se pensaba que la crisis duraría un año, hoy vemos que esta crisis tiene un tiempo incierto. De esta misma manera, debemos considerar situaciones de crisis que podamos manejar durante un periodo largo de tiempo y así que el programa de continuidad de negocio aporte un ROI en momentos de crisis.

Desarrollar movimientos sin arrepentimiento

Movimientos que ayudarán a la empresa independientemente de cómo se desarrolle el mercado en los momentos de crisis; por ejemplo, asociarse con empresas que permitan un esquema de colaboración en crisis, utilizar las herramientas de mercadeo analítico para comunicarse de la mejor manera con clientes durante momentos de crisis, considerar costos médicos para personal clave de forma proactiva, entre otros.

Incluir la ciberseguridad en el programa

La experiencia de la pandemia mostró que la ciberseguridad debe de mantenerse en momentos de crisis o contingencia, ya que la digitalización nos ha llevado de depender de la tecnología. En los momentos de crisis globales los ciberataques aumentan exponencialmente y es necesaria una preparación holística.

No olvidar las necesidades de los empleados

Como resultado de nuestra encuesta reciente sobre trabajo remoto, se identificó que el 80% de los encuestados estuvo de acuerdo en considerar esquemas para buscar el bienestar físico y emocional de los empleados durante la pandemia. Esta crisis creó una nueva capacidad de recuperación cuando las personas se enfrentaron a desafíos sin precedentes: el trabajo y la escuela remotos, el aislamiento de los amigos y la familia, y los cambios interminables, menores y monumentales, provocados por la pandemia.

Empezar por considerar

Las siguientes preguntas pueden ayudar a identificar necesidades que su programa debe atender y gestionar:

Equipo de crisis adecuado 

  • ¿Contamos con el personal adecuado en el equipo de crisis? 

  • ¿Contamos con los expertos internos adecuados en la materia y aprovechamos a los expertos externos adecuados? 

  • ¿Es el equipo sostenible en caso de una crisis a largo plazo?

Plan útil

  • ¿Contamos con un plan de continuidad o respuesta a la crisis para toda la empresa? 

  • ¿Lo utilizamos? 

  • ¿Fue efectivo?

Responsabilidad clara 

  • ¿Estaba claro quién tenía la autoridad para tomar decisiones? 

  • ¿Tomó demasiado tiempo tomar decisiones? 

  • ¿Hubo cuellos de botella en el proceso?

Comunicaciones efectivas y oportunas 

  • ¿Fueron puntuales nuestras comunicaciones con las partes interesadas claves? 

  • ¿Fueron oportunos y la frecuencia fue la correcta? 

  • ¿Podríamos haber sido más audaces?

Enfoque en las partes interesadas

  • ¿Consideramos a todas nuestras partes interesadas? 

  • ¿Abordamos sus preocupaciones claves? 

  • ¿Hubo muchas preguntas sin respuesta?

Respuesta a los comentarios 

  • ¿Fuimos lo suficientemente ágiles para responder a los comentarios de nuestras partes interesadas? ¿Del mercado? 

  • ¿Entendimos lo que estaban haciendo nuestros competidores y pudimos reaccionar o responder rápidamente, si era apropiado?

Tecnología y datos útiles 

  • ¿Contamos con las herramientas adecuadas para ayudar en nuestra respuesta a la crisis? 

  • ¿Contamos con los datos que necesitábamos para tomar decisiones críticas de manera oportuna? 

  • ¿Qué tan consolidada y protegida está mi infraestructura tecnológica?

  • ¿Existe una solución tecnológica que deberíamos haber empleado que hubiera facilitado el seguimiento de las actividades de crisis y hubiera proporcionado datos y cuadros de mando relevantes?

  • ¿Logramos identificar las ventajas en medio de la crisis para explotar nuevas oportunidades de negocio?

Por Isaac Rodríguez Rojas, Gerente de Cybersecurity & Privacy en PwC | Junio 2021

Contáctanos

Síguenos