Sistema de Gestión de Continuidad del Negocio (SGCN) – ISO 22301:2012

Publicado el: 11 de febrero de 2021|Categorías: Artículos|

¿Qué pasaría si tu negocio sufre un problema y no se puede recuperar?
¿Qué pasaría si durante cada minuto que pasa en ese problema, tu empresa pierde dinero?
¿Qué pasaría si tu tuvieras este problema y no sabes qué hacer?

Tal vez nunca te has hecho estas preguntas, pero te aseguro que no quieres hacertelas o peor aún, que te pase.

Es por eso que hoy hablaremos sobre la continuidad de negocio, un tema que pocas empresas conocen provocando que esta falta de conocimiento los pueda llevar a la quiebra total.

Y es que esto ya lo hemos visto y lo seguimos viendo hoy en día con miles de empresas que ya no existen debido a los problemas provocados por la pandemia del COVID-19, empresas que trabajaban en su día a día sin preocuparse por el “qué pasaría si”, que nunca pensaron en cómo actuar el día que se enfrentarán a algún problema crítico.

Muy probablemente, ahora somos un poco más conscientes sobre la importancia que tiene saber qué hacer cuando ocurre un evento no deseado que pueda afectar a tu organización, sin embargo, en Quanti hemos visto que el saber por dónde empezar, qué hacer o cómo darle seguimiento a la continuidad de negocio continúa siendo lo más complicado. A continuación te explicaremos estos puntos para que puedas implementar un sistema de gestión de continuidad del negocio (SGCN) y así estar preparado para cualquier tipo de contingencia.

Nota: la secciones usadas en este artículo fueron tomadas como referencia del ISO 22301:2012

¿Por dónde empezar?

Debemos empezar por nosotros mismos, es decir no podemos empezar a hacer planes de continuidad de negocio, sin antes tener bien definido dónde estamos parados y hacia dónde queremos ir, tenemos que conocer a nuestra organización de punta a cola y lograr que la alta gerencia esté enterada y participe en el proceso.

Conocer a la Organización

“Conocer bien a tu organización puede marcar la diferencia entre seguir en el mercado o desaparecer de él”

En esta punto, contestar las respuestas a estas preguntas nos puede ayudar a tener un punto de partida: 

  • ¿Quién soy? → debemos conocer qué es lo que le da valor a la organización: ¿Que hacemos o a qué nos dedicamos?
  • ¿Dónde estoy? → es decir que tan bien posicionada se encuentra la organización, en que partes del mundo se encuentra y con cuántas sucursales.
  • ¿A dónde voy? → básicamente es la misión, visión y valores de la organización, es decir los objetivos que tienes a corto, mediano y largo plazo.

Además de responder a estas preguntas, debemos de conocer la estructura organizacional, es decir tener bien en claro cuales son los grupos o segmentos con los que cuenta la organización, por ejemplo: finanzas, cadena de suministros, administración RH, marketing, etc.

Por último debemos de tener bien identificadas tanto a las partes interesadas internas (es decir, personas involucradas dentro de la organización), como a las partes interesadas externas (es decir, personas involucradas fuera de la organización), esto con el fin de saber los intereses que tiene cada una de estas personas para llevar a cabo los planes de continuidad.

Liderazgo

En esta parte se debe lograr que la alta gerencia se vea comprometida con el SGCN es de decir, la alta gerencia debe de estar tan involucrada en el proceso de tal modo que pueda motivar a las personas a contribuir con la eficacia del SGCN, esto se logra al:

  1. Establecer una política y objetivos para el SGCN
  2. Brindar los recursos necesarios para llevar a cabo el SGCN
  3. Comunicar tanto la política como la importancia del SGCN a toda la organización

¿Qué debo hacer?

Muy bien, ahora que ya conoces perfectamente a tu organización y has logrado que la alta gerencia se involucre en la creación del SGCN, es hora de poner manos a la obra y empezar a planificar sobre qué procesos se implementará con los planes de continuidad de negocio.

Planificación

Para poder proteger a nuestra organización, primero necesitamos saber qué es lo que queremos proteger”

En esta parte se deben de identificar los procesos más críticos que le dan sustento a la organización, es decir debemos de tener bien identificados todos aquellos procesos sin los cuales la organización ya no podría seguir operando. 

Para obtener estos procesos se lleva a cabo un Análisis de Impacto de Negocio (BIA por sus siglas en inglés), el cual nos ayudará a analizar las actividades, procesos que lleva a cabo la organización y la pérdida comercial o de dinero  que provocaría si se interrumpe alguna de estas. Los resultados de mayor interés que nos arrojará el BIA son:

  1. Los procesos críticos de la organización tanto operativos como tecnológicos, por ejemplo: el proceso de facturación y cobranza.
  2. Qué activos son utilizados para estos procesos críticos, por ejemplo los servidores donde está la contabilidad.
  3. Determinar cuánto tiempo la organización puede estar a flote sin seguir operando después de un evento no deseado, por ejemplo: ¿Cuánto tiempo puedo sobrevivir sin cobrar o facturar nada?

Una vez que hemos identificado estos 3 puntos, es hora de llevar a cabo un Análisis de Riesgos (RA por sus siglas en inglés), el cual se llevará a cabo sobre los activos que son necesarios para realizar los procesos críticos arrojados en el BIA, si bien existen un sin fin de metodologías para llevar a cabo un análisis de riesgos, los resultados que esperaríamos obtener son:

  1. Activos afectados, ej:  Los servidores y el personal de contabilidad y cobranza
  2. Riesgos que existen sobre los activos, ej: Que los servidores sean afectados por un ransomware y se pierde la información // que el personal de contabilidad renuncie de un momento a otro
  3. Decisión del riesgo (aceptarlo, transferirlo, eliminarlo o tratarlo), ej: Podemos Aceptar el riesgo para perder el personal de un dia a otro pero debemos de eliminar el riesgo de perder el servidor de contabilidad a causa de un ransomware
  4. Controles aplicados para mitigar los riesgos, ej: Crearemos un pool de personas que podamos contratar en caso de emergencia, adicionalmente tendremos un respaldo de información diario de nuestro servidor de contabilidad en la nube

 

Operación

¡Listo! ahora que ya sabemos qué procesos son críticos para la organización y qué activos participan en ellos, es hora de realizar nuestros planes de continuidad de negocio y lo primero que debemos de tener en cuenta es saber diferenciar entre qué es un plan de recuperación ante desastres y qué es un plan de continuidad de negocios. Si bien ambos tienen como objetivo que la empresa sufra lo menos posible durante un evento no deseado, aquí te mostramos la diferencia:

Plan de Continuidad de Negocios (BCP): planes diseñados para la continuidad OPERATIVA del negocio, es decir personas, recursos tangibles, etc.

Plan de Recuperación ante Desastres (DRP): planes que buscan proteger la información y dónde está resguardada, tiene su enfoque en las TECNOLOGÍAS, es decir bases de datos, servidores, arquitectura de red, etc.

Dicho de otra manera, al final del día el DRP forma parte del BCP. Cabe mencionar que estos planes deben ser medibles y lo más importante, deben de dar solución a todos los riesgos que surgieron en el RA.

¿Y ahora qué?

Una vez que ya tienes los planes para darle continuidad a tu negocio, hay que seguir trabajando en ellos constantemente y no dejarlos, recuerda que estos planes tienen vida propia y deben de continuar evolucionando y actualizándose en la misma medida que lo hace el negocio en sí.

Lo mejor que puedes hacer es medir tus planes de continuidad, hacer simulaciones, medir tiempos, checar posibles daños y ver que resultados arrojan, sin embargo lo más importante es contar con auditorías, personas expertas que nos puedan indicar dónde y cómo podemos mejorar nuestros planes de continuidad de negocio.

Finalmente, hay que aplicar las mejoras y áreas de oportunidad que se nos hayan marcado en la auditoría para así, tener listos y actualizados nuestros planes, logrando proteger en la mayor medida posible a nuestra organización.

¿Cómo te podemos ayudar?

Ahora que ya conoces como funciona un SGCN (Sistema de Gestión de Continuidad del Negocio) no querrás que una pandemia, un desastre natural o un hacker te sorprenda y afecte a tu negocio al punto de dejarlo en quiebra ¿verdad?

Si en tu empresa aún no cuentan con un Sistema de Gestión de Continuidad del Negocio, un DRP o un BCP o estás interesado en que se les realice una auditoría para ver qué tan efectivos son, te podemos ayudar. Recuerda que en Quanti nuestro equipo de consultores expertos están a tu disposición para evaluar de una manera clara y sobretodo sencilla cómo podemos ayudar a tu empresa a estar preparada para alguna eventualidad. 

Si estás interesado en recibir ayuda o te gustaría conocer más al respecto, déjanos tus datos aquí y uno de nuestros consultores se pondrá en contacto contigo a la brevedad.

Recuerda que “La victoria favorece a los que se preparan” 

–Gayo Valerio Cátulo

Autor: Horacio Hernandez

Comparte esta historia!