Es increíble cómo antes de la pandemia los planes de continuidad resultaban como un seguro, solo servían para dar cumplimiento a una auditoría o una regulación estatal o federal. Sin embargo, derivado de esta situación mundial, las organizaciones tuvieron que ejecutar acciones en el momento, en “caliente” por decirlo de manera coloquial, y se tomaron acciones como:

  • Los empleados trabajaron desde casa, en el mejor de los casos, sin contar con las herramientas ni seguridad necesaria para garantizar la seguridad de la ejecución de los procesos. (VPN, laptop cifradas, generación de controles de accesos mediante usuario y contraseña, entre otros).
  • Todos los procesos continuaron operando sin contar con una base para definir la criticidad de estos.
  • Por diferentes razones, muchas empresas siguieron laborando, sin contar con las medidas suficientes o controles mínimos para proteger al personal.
  • El correo electrónico y la mensajería móvil como WhatsApp (la cual no es una herramienta segura) y las aplicaciones como Teams, Skype y Zoom fueron críticas para la continuidad de las operaciones.

Además de que, en algunos países principalmente latinoamericanos, las medidas gubernamentales fueron tardías o los controles fueron mínimos, incluso en el pico de la pandemia el gobierno dio la orden de regresar a las actividades con su enfoque “nueva normalidad”.

Es por ello por lo que muchas empresas empezaron a darse cuenta de la relevancia que tienen los planes de continuidad de negocio (BCP, por sus siglas en inglés, business continuity plan) más allá de los planes de recuperación en caso de desastres (DRP, por sus siglas en inglés, disaster recovery plan), pues requerían saber cómo podrían continuar operando desde un centro alterno de operación, incluyendo el home office, y cuáles eran los principales procesos que no deberían descuidar. Normalmente la dirección de la empresa identifica bien los procesos críticos, pero muchas veces no se sabe cuáles son los tiempos críticos, es decir, en cuánto tiempo deben recuperarse, desde cuándo se requiere información para continuar operando, así como cuáles son los recursos mínimos para seguir ofreciendo el servicio o proceso a los clientes. No debemos olvidar las regulaciones locales, estatales y federales, con el fin de no caer en incumplimientos legales o contractuales.

Contar con planes de continuidad hubiera sido de gran utilidad para la toma de decisiones y comunicación en la organización, así como para definir la mejor estrategia para la continuidad de los servicios. Por eso es tan trascendental el análisis de impacto al negocio (BIA, business impact analysis) y la evaluación de riesgos (RA, risk assessment); ambas son las fases iniciales y considero principales que proveen los insumos para el desarrollo de un plan de continuidad.

Cuando recién comenzaba la contingencia, identifiqué que varias empresas tuvieron que tramitar VPN al personal sin un verdadero análisis acerca de quiénes en verdad lo necesitaban. Se realizó una evaluación rápida de los recursos requeridos, los cuales fueron incrementándose con base en las necesidades de la operación, tomando en cuenta cuáles aplicativos y bases de datos o aplicaciones requerían para operar. Adicionalmente observé una compra o reutilización de laptops, lo cual podría provocar una falta de controles de seguridad de la información, e inclusive tuvo que validarse en el momento si el ancho de banda podría soportar tal cantidad de usuarios.

El análisis de impacto al negocio nos ayuda a entender los procesos críticos de la organización, e identifica:

  • Cuál es el tiempo máximo en el que debe recuperarse un proceso (RTO, recovery time objective).
  • Cuál es la información requerida para continuar operando el servicio (RPO, recovery point objective).
  • Cómo opera actualmente el servicio o proceso.
  • Cuáles son los recursos mínimos necesarios (personal, hardware, software, proveedores, manuales, procedimientos, maquinaria en especial) en caso de presentarse una contingencia, pensando en el peor escenario.
  • Cuáles podrían ser los impactos financieros, legales, de imagen (reputación) y operativos para la organización.
  • Cuáles son las entradas principales (proveedores o insumos) requeridos para continuar con los servicios, así como cuáles son los clientes que consumen las salidas (productos o servicios generados).

La siguiente fase es la evaluación de riesgos, cuyo objetivo es identificar a qué riesgos se encuentra expuesta una organización. ¿Quiénes de ustedes se hubieran imaginado los impactos de la pandemia? ¿Quién podría asegurar que en un futuro no estemos ante un ataque zombie o una guerra? Las amenazas pueden ser muchas y de todo tipo, es por ello por lo que la evaluación de riesgos es el segundo insumo más importante para definir los escenarios más vulnerables que la organización puede presentar.

Durante la contingencia hubo casos en que el personal requirió ir a laborar a las oficinas, sin ninguna protección proporcionada por la empresa. En este caso se deberían otorgar las herramientas necesarias para que el empleado cumpla con sus funciones y proteja su seguridad, sin crear una mayor crisis para el empleado, para la organización, o para ambos.

Una evaluación de riesgos nos permite identificar los peligros de una interrupción sobre las actividades de la organización, los cuales podrían ser originados por las siguientes causas:

  • Naturales: sismo, inundaciones, epidemias, entre otros
  • Provocados por el hombre: toma de instalaciones, toma de rehenes, sabotaje, entre otros
  • Tecnológicos: virus, caída de telecomunicaciones, equipo obsoleto, entre otros
  • De negocio: falta de manuales, procedimientos, capacitación

Por lo anteriormente descrito, es necesario analizar y evaluar los riesgos identificados, tomando en cuenta los controles que existen para disminuir dichos riesgos y la efectividad de estos, determinando los escenarios de contingencia con una mayor probabilidad de ocurrencia de la organización.

Una vez que tengamos el BIA y análisis de riesgos, podremos definir la estrategia más adecuada, con base en los recursos asignados y el presupuesto disponible. Es relevante señalar que una recuperación más rápida de los procesos requiere una inversión mayor por parte de la organización. No hay que olvidar que, cuando se presente la contingencia, el costo podría incrementarse derivado de las compras de emergencia: un claro ejemplo durante la pandemia fue el abastecimiento de cubrebocas y gel antibacterial, que, aunque son recursos “sencillos” y accesibles en cualquier farmacia y supermercado, durante la contingencia su precio se incrementó considerablemente y la dificultad para conseguir estos productos se observó a nivel nacional.

De igual manera, es de suma importancia conformar un equipo de manejo de crisis que permitirá a la organización contar con un claro modelo de gobierno durante una crisis, el cual se encargará, entre otras cosas, de autorizar la adquisición de los recursos para la recuperación de los servicios o de resolver dudas o problemas que surjan en el momento de la recuperación de los servicios. Cabe señalar que todas las contingencias son diferentes y las variables pueden ser muchas, por ejemplo, durante la pandemia si se hubieran presentado casos directos e inclusive muerte de empleados, el actuar del comité de manejo de crisis hubiera sido ordenar la cuarentena del personal infectado y cerrar el edificio o área hasta nuevo aviso, y el comportamiento hubiera sido totalmente diferente si no se hubiera presentado ningún caso. También hay que recalcar que este grupo sería la cara hacia el exterior y debería prepararse para dar notificaciones a las autoridades, prensa y sociedad, con el fin de disminuir los impactos de imagen y económicos, así como atender las urgencias en caso de ser necesario.

Una vez que elegimos la estrategia de recuperación, deben documentarse y probarse los planes de continuidad, con el fin de que el personal responsable conozca los procedimientos de recuperación y de retorno. Esto ayudará a mejorar la toma de decisiones del personal y a que se conozca el proceso de recuperación, desde quién debe declarar la contingencia, hasta definir el momento de ejecutar los planes y el retorno de las actividades a su normalidad. Cabe mencionar que este documento sería totalmente confidencial y vivo, por lo que tendría que actualizarse y probarse de manera periódica.

Finalmente, creo que, si las organizaciones hubieran contado con planes de continuidad, se hubieran ahorrado muchos dolores de cabeza. Los expertos en continuidad tenemos un dicho: “hay que estar preparados para lo peor, esperando que suceda lo mejor… mañana no sabemos que podrá ocurrir, pero queda claro que por el momento debemos establecer nuevos procesos, operaciones y formas de trabajar en esta nueva normalidad”.

 

[email protected]