lunes, 10 de octubre de 2016

BSI Group: Planificar y prevenir ante lo inesperado, cuestión de vida o muerte para las empresas



Por Mario Ureña*


Desastres naturales, terremotos, explosiones, ataques cibernéticos y terrorismo son riesgos latentes que pueden afectar la continuidad de las instituciones tanto públicas como privadas de manera directa.


Las pérdidas por irrupciones de esta naturaleza son incuantificables, los últimos estudios hablan de miles de millones de pesos; las estadísticas indican que casi la mitad de las empresas que son afectadas por un desastre van a la quiebra dentro de los cinco años siguientes a la ocurrencia del evento(*). 


Sin duda, los sectores que menos adoptan la automatización de procesos son los que menos integran un Sistema de gestión de continuidad de negocio; en la mayoría de los casos han sido las áreas de tecnología las que mayormente han implementado el sistema de gestión aludido. 


En materia de riesgos, no importa el tamaño del negocio ni su tipo, si presta un servicio o produce algún bien; si apenas se inicia o es un emprendimiento. Desde grandes organizaciones mundiales hasta pequeñas empresas, todos requieren continuidad del negocio.


Existen programas de apoyo a la continuidad de negocio que empiezan con temas básicos de protección civil, en la gestión de riesgos inmediatos: incendios, inundaciones, entre otros. Conforme la empresa madura y se da cuenta de la necesidad de protegerse, es posible desarrollar un sistema de gestión para la continuidad del negocio e ir más allá, hasta hacerla resiliente.


La resiliencia organizacional será la habilidad para anticiparse, prepararse, responder y adaptarse a cambios e interrupciones repentinos que pueden poner en riesgo la sobrevivencia de una organización, la cual tiene la oportunidad de anticiparse para confrontar diversos riesgos, desde aspectos geográficos, como desastres naturales o huracanes, hasta riesgos en ciberseguridad.


La empresa prospecta la operación de la organización, su contexto para poder adaptarse, para evolucionar y generar nuevos productos y servicios; es decir continuar en el mercado a pesar de los imprevisibles.


La continuidad del negocio es en principio reactiva


Hay empresas que viven día a día y se preocupan únicamente por sacar la operación, los costes; son empresas reactivas, que no formalizan sus procesos, a diferencia de las resilientes que analizan los diversos escenarios que se pudieran presentar.


En una irrupción, por ejemplo, las empresas que no tienen claro sus procesos, les puede costar la vida o generarles cuantiosas pérdidas. Contar con la estrategia y plan para mantenerse es importante para el desarrollo sano y constante de la organización. El costo beneficio, incluso en las más pequeñas, es mayor.


Las organizaciones deben tener claro que hoy día se enfrentan a mayores riesgos, la frase “a mí no me va a pasar” carece de valor. Al tomar conciencia sobre esta realidad, podemos tomar acciones efectivas que evitarán eventualidades nocivas para el negocio.


Las empresas pueden identificar dos tipos de riesgos:


De operación. Cuando se identifica algún problema en algún proceso específico, por ejemplo, de manufactura. Estos riesgos son controlados antes de que el producto o servicio se entreguen al consumidor, por lo regular no trascienden más allá de la empresa y además son contrarrestados también por otros estándares como 9001, 14001 o 27001.


En la Continuidad del negocio. Aquellos que dañan la imagen de la empresa, provocan pérdidas económicas, desastres naturales o daño en la imagen a través de las redes sociales, por ejemplo. Para su implementación será necesario:


1. Análisis de impacto de negocio:
Cuáles son los procesos o las actividades críticas para sobrevivir en caso de una irrupción. Cómo mantener la operación de estos procesos críticos a través de alternativas, para que sigan aportando beneficios y los clientes no se vayan. Los sistemas de continuidad de negocio van más allá de solo satisfacer al cliente.


2. Estrategias:
Plantear el objetivo y los planes de cómo se va a lograr la entrega alternativa. Es la construcción de escenarios.


3.- Desarrollo
Muchas organizaciones tienen sitios alternos, estrategias distintas de cómo mantener el servicio y el tiempo de recuperación.


4- Probar la estrategia (Revisión).
Riesgo- prueba - ejercicio


Ubicar y definir de manera clara al responsable en las empresas que tienen una madurez en la gestión de procesos, es vital. Por lo general es el oficial de continuidad o el área de continuidad de negocio. Hay otros quienes la llevan a cabo como las áreas de tecnología, calidad, de riesgo operacional. No está prescrito quién es la persona o el área específica, sin embargo, el responsable debe:


Conocer los procesos de negocios
Compartir la misión, visión y valores
Anticiparse a escenarios
Analizar situaciones de cambio


Se recomienda tener:

Contacto con la alta dirección

Llevarse bien con la mayoría

Ser líder. Lograr ser escuchado por el resto

Habilidad de anticiparse a escenarios

Capacidad de análisis

Un estándar que puede evitar dolores de cabeza


La implementación de un sistema de continuidad que se enmarca en ISO 22301, especifica los requisitos para proteger y reducir los impactos y garantizar que se efectúe una recuperación de incidentes y se gestionen de manera rápida y oportuna las amenazas.


Una organización mejor preparada para responder a incidentes adopta un método proactivo para minimizar el impacto de los incidentes; mantiene al día y operando las funciones estratégicas del negocio durante los momentos de crisis; minimiza los tiempos muertos durante los incidentes y mejora el tiempo de recuperación; brinda confianza a las partes interesadas -accionistas, clientes, proveedores y gobierno. Así, se logra una real reducción de costos y se eleva la competitividad.


Al igual que las personas, es mejor prevenir que lamentar, y sin duda un Sistema de continuidad de negocios es la mejor inversión que puede hacer una organización ante eventos potenciales a los que se puede enfrentar.


Referencia:
* Un estudio de BSI y BCI Instituto de Continuidad del Negocio (BCI) señalan que “la exposición al riesgo varía de acuerdo al sector. La proporción de las cadenas de suministro expuestas se ha incrementado, los riesgos altos o severos de desastres naturales son mayores en el sector de la ropa (85.6%), automotriz (53%) y aeroespacial (51%), todos los cuales tienen una alta proporción de manufactura y abastecimiento de materias primas basados en regiones política y geográficamente inestables.


--000--


*Acerca del autor: Mario Ureña


Instructor de bsi para estándares como ISO31000 (Gestión de Riesgos), ISO22301 (Continuidad del Negocio), ISO27001 (Seguridad de la Información), ISO 20000 (Gestión de Servicios), BS10012 (Protección de Datos Personales) entre otros.

No hay comentarios.:

Publicar un comentario