¿Por qué es necesaria una buena estrategia de continuidad?
En un mundo cada vez más volátil e incierto, las empresas se enfrentan constantemente a una amplia gama de riesgos que podrían poner en peligro su supervivencia. Así pues, los riesgos relacionados con la continuidad de negocio son eventos o circunstancias que pueden interrumpir o afectar negativamente las operaciones y la capacidad de una organización para proporcionar productos o servicios de manera continua. Estos riesgos pueden surgir tanto de forma interna como externa. Es importante identificarlos y gestionarlos adecuadamente para garantizar la resiliencia y la continuidad de la organización. Los riesgos más comunes pueden agruparse en los siguientes campos: desastres naturales, amenazas de origen industrial, errores y fallos no intencionados y ataques intencionados.
Contar con una buena estrategia de continuidad de negocio se ha convertido en una necesidad esencial para cualquier organización. En este artículo, exploraremos la importancia de una estrategia de continuidad de negocio sólida y cómo puede ayudar a proteger y asegurar la supervivencia empresarial.
¿Cómo debe ser una estrategia de continuidad para que sea confiable?
Una estrategia de continuidad efectiva debe basarse en la anticipación, preparándose para los posibles eventos disruptivos que pueden afectar negativamente la compañía. Para eso, se debe llevar a cabo una toma de decisiones acertada e informada. Por ejemplo, no tendría ningún sentido la protección de procesos secundarios de la organización, o protegerla de posibles amenazas con muy baja probabilidad de ocurrencia e impacto. Así pues, es importante realizar exhaustivo análisis de la organización para escoger las estrategias correctas y efectivas.
La ISO22301:2019 ofrece unas guías claras y muy prácticas para poder desarrollar un Sistema de Continuidad de Negocio adaptado a nuestra organización, dicho estándar cuenta una serie de apartados dirigidos a la protección y reducción de la probabilidad de ocurrencias, la preparación, respuesta y recuperación de disrupciones cuando éstas surjan. El presente artículo se centra exclusivamente en aquellos aparatados que conducen a la consecución de una estrategia de continuidad de negocio que permita a la compañía ser capaz de continuar con la entrega de productos y/o la prestación de servicios dentro de unos niveles de capacidad aceptables durante un evento disruptivo. Aunque, si lo que se quiere es una gestión holística es recomendable la implantación de la normativa al completo.
¿Qué pasos se deberán seguir para conseguir una buena estrategia de continuidad?
Cuando una compañía decide que va a implementar una estrategia de continuidad de negocio deberá seguir una serie de pasos para ello. A continuación, se desarrolla la explicación de éstos siguiendo las directrices esenciales de la normativa ISO 22301:2019.
¿Qué hay que hacer antes de definir la estrategia de continuidad de negocio para tener una buena preparación?
En primer lugar, es de gran importancia tener una alta dirección comprometida y activa para que se puedan llevar a cabo correctamente todas las actividades necesarias. Esto implica que la alta dirección debe establecer políticas claras, objetivos, responsabilidades y asignación recursos adecuados.
Promoviendo la cultura de la continuidad de negocio en toda la organización.
El liderazgo efectivo garantiza que se establezcan las bases sólidas para la estrategia de continuidad. Así pues, su participación en el desarrollo de una política que regule la continuidad de negocio es un punto crucial sobre el cual desarrollar la estrategia.
Una vez se ha creado un marco de gestión solido es importante conocer la información general de la compañía, como el entorno empresarial de la organización, los factores y condiciones internas y externas que pueden tener efecto sobre la organización.
Este proceso es complicado, pero es muy importante para crear un buen marco de gestión de riesgos el cual es clave para la definición de una estrategia de continuidad adecuada.
Asimismo, la comprensión de las necesidades y expectativas de las partes interesadas permite a la organización diseñar Planes de Continuidad de Negocio que aborden de manera efectiva las preocupaciones y prioridades de cada grupo. Por ejemplo, si los clientes esperan una comunicación constante durante una interrupción, el plan de continuidad debe incluir medidas para garantizar la comunicación regular y clara con éstos. También, se deben identificar los requisitos legales y reglamentarios relevantes para garantizar que el plan esté en consonancia con éstos.
Por consiguiente, comprender y abordar estos aspectos ayuda a construir confianza y credibilidad en la organización. Durante una disrupción es habitual la pérdida de reputación debida a la mala gestión y comunicación, es por eso por lo que si se tiene presente que esperan las partes interesadas de la compañía en estos casos y se les proporciona la información de forma adecuada, lo más probable es que confíen en la capacidad de la organización para gestionar crisis.
¿Cómo se debe proceder cuando ya se tiene la información previa necesaria?
Hasta este punto se cuenta una información muy valiosa para la gestión de incidentes que impactan en la continuidad de negocio, pero ésta es transversal para toda la compañía.
Así pues, lo que la norma recomienda es definir un alcance. Aplicado a la continuidad de negocio, este alcance deberá ceñirse a los procesos más críticos dentro de la compañía. No tendría ningún sentido dedicar todos los esfuerzos a actividades de apoyo, por ejemplo. Para eso, es importante la revisión del mapa de procesos completo de la compañía y escoger solo los procesos que se consideren críticos.
Una vez estos procesos estén bien definidos se deberán empezar las cuestiones más técnicas.
El primer paso es desarrollar un Análisis de Impacto en el Negocio (BIA) de los procesos determinados en el alcance. Éste permite determinar qué pasa si una actividad deja de desarrollarse. Teniendo sus consecuencias y creando unos impactos en la compañía, como sanciones, molestias puntuales, hasta incluso el cierre de la compañía.
Para realización del análisis de impacto se debe desarrollar un proceso sistemático que permita extraer la información necesaria para la toma de decisiones. Así pues, en primer lugar, es necesario identificar las dimensiones de tiempo y tipologías de impacto que se deben tener en cuenta para la recuperación del servicio, así como definir unos criterios de evaluación claros.
Cuando se cuente con una metodología bien definida, se debe evaluar qué impacto supone para la compañía la indisponibilidad de cada proceso escogido desde los diferentes puntos de vista y en la línea de tiempo establecida.
Además, se deben identificar todos los activos que sustentan los procesos analizados, determinando cuales de estos recursos son esenciales para la prestación del servicio.
El análisis de impacto en el negocio otorga como resultado las variables de continuidad, que marcarán fuertemente la estrategia de continuidad. Estas son las siguientes:
- Periodo Máximo Tolerable de Disrupción (MTPD): Tiempo que tomaría a impactos adversos, los cuales podrían surgir como resultado de no proveer productos/servicios o ejecutar una actividad, para ser inaceptable.
- Tiempo Objetivo de Recuperación (RTO): Tiempo máximo que una empresa define para recuperar sus procesos críticos, después de haber sido afectada por alguna una contingencia.
- Nivel de Servicio Mínimo Aceptable para la Organización (MBCO): Nivel mínimo de servicios y/o productos que es aceptable para una organización con el fin de lograr sus objetivos comerciales durante una interrupción.
- Objetivo de Punto de Recuperación (RPO): Se relaciona con la copia de seguridad de los datos dentro del mismo escenario de un eventual desastre que afecte al negocio. Es el tiempo máximo que se establece desde la última copia de seguridad relacionado a la cantidad de datos que el negocio puede permitirse perder en caso de desastre.
En primer lugar, se debe establecer el Periodo Máximo Tolerable de Disrupción (MTPD) que es de gran importancia ya que ayuda a determinar el Tiempo Objetivo de Recuperación (RTO).
Los planes de continuidad deben ser descritos para poder ser llevados a cabo en el tiempo que indique el Tiempo Objetivo de Recuperación (RTO) conduciendo la operación al Nivel mínimo de servicio aceptable (MBCO). Así pues, establecer un nivel de servicio mínimo que cumpla con las necesidades y expectativas de las partes interesadas es crucial para asegurar la continuidad de negocio durante una disrupción.
El Objetivo de Punto de Recuperación (RPO) es el período en el que se pueden permitir perder datos antes de una interrupción. Esta variable asegura la disponibilidad y la integridad de los datos críticos para el negocio. Determinar el RPO adecuado permite establecer estrategias y medidas para proteger y garantizar la disponibilidad de los datos esenciales durante una interrupción.
Para entender mejor estos conceptos se pueden representar de forma gráfica:
Observando el gráfico se aprecia que en un principio la operación del proceso en cuestión mantiene sus niveles normales hasta que ocurre un incidente. Entonces, el nivel de operación baja de golpe, en este momento se cuenta como máximo con el tiempo definido por Objetivo de Punto de Recuperación (RPO) para la ejecución de los Planes de Continuidad, los cuales llevaran la operación a un nivel de servicio mínimo (MBCO), lo que nos permite seguir prestando los productos o servicios mientras se activan los planes de recuperación para así volver al nivel de operación habitual.
El tiempo entre que se activan los planes de continuidad y se termina la ejecución de los planes de recuperación se denomina con las siglas WRT, del inglés "work recovery time", es decir Tiempo de recuperación de la Operación. Por otro lado, el RTO nos indicara el tiempo de datos que nos podemos perder como máximo.
A estas alturas, se tienen claros cuales son los procesos, los tiempos y niveles de servicio que se deben tener en cuenta para la recuperación de la prestación de productos o servicios, pero no sabemos que va a ocasionar los incidentes que pueden llevar a la indisponibilidad de dichos procesos. Para ello, se debe desarrollar un análisis de riesgos.
Las metodologías usadas en el mercado para ello son múltiples, por eso es crucial elegir una metodología que sea fiable. La ISO 31000:2018 otorga directrices para la gestión de riesgos, siendo de gran ayuda para la definición de un marco de gestión de riesgos adecuado.
Cuando se haya definido una metodología a emplear es necesario ejecutar la etapa de evaluación, identificando los riesgos más probables para las actividades prioritarias de la organización.
Una vez obtenidos los resultados es necesario analizarlos y valorarlos. Así pues, se debe decidir qué nivel de riesgo es tolerable y proponer planes de tratamiento de riesgo para los riesgos que superen este nivel. Las opciones de tratamiento pueden incluir:
- La evitación del riesgo es una estrategia que implica tomar medidas para evitar completamente una situación de riesgo o actividades que puedan resultar en riesgos inaceptables.
- La transferencia del riesgo que implica transferir la responsabilidad financiera de los riesgos identificados a otra entidad.
- La aceptación del riesgo reconoce y acepta conscientemente los riesgos sin tomar medidas activas para mitigarlos.
- La mitigación del tiene como objetivo reducir la probabilidad y/o impacto de un evento adverso en caso de que suceda. En este punto se incluyen, por ejemplo, la implantación de medidas de protección y la implantación de Planes de Continuidad de Negocio.
El análisis de riesgos es esencial para el desarrollo de planes de continuidad siendo una parte fundamental de la estrategia de continuidad. Al comprender los riesgos y sus posibles impactos en las operaciones, la organización puede diseñar planes específicos para responder y recuperarse de eventos adversos.
¿Cómo se define la estrategia de continuidad una vez se ha recaudado toda la información necesaria?
La estrategia de continuidad se basa en los resultados de los análisis de impacto en el negocio y de riesgos. Es fundamental que se cumpla con los requisitos para mantener y recuperar las actividades prioritarias dentro de los plazos y los niveles acordados, protegiendo dichas actividades y reduciendo la probabilidad de disrupción.
Es por es que la solución escogida debe basarse en las estrategias y soluciones que cumplan los requisitos desprendidos de las evaluaciones previas para continuar y recuperar las actividades prioritarias dentro del tiempo y niveles establecidos. Además, se debe tener en cuanta en qué medida se pueden aceptar los riesgos, considerando la relación coste/beneficio asociado.
Cuando se desarrolle la solución se contemplarán todos los recursos que deben participar en la ejecución de esta, así como comprobar que ésta podrá ser activada en cualquier momento sin requerimientos especiales.
¿Cómo se refleja la estrategia de continuidad para que sea operativa?
La estrategia de continuidad se debe plasmar en los planes y procedimientos de continuidad de negocio. Éstos tienen como objetivo la comunicación y la gestión de incidentes disruptivos. Por eso, éstos deberán ser específicos y flexibles asegurando su eficacia a la hora de minimizar el impacto del evento, así como la evaluación de incidentes que puedan terminar en disrupción.
De forma adicional, se pueden crear proyectos de implantación de medidas de protección que en caso de incidente contribuyan en la prevención y minimización de impactos. La ISO 27001:2022 es de gran ayuda a la hora de gestionar e implementar este tipo de controles.
¿Qué tipo de planes y procedimientos se deben crear?
Existen dos tipos de planes y procedimientos a desarrollar: Los transversales y los específicos.
Los procedimientos transversales son necesarios para la gestión y comunicación de cualquier tipo de incidente que pueda afectar a la compañía, sin importar si es tecnológico, reputacional, legal, etc.
En primer lugar, se debe crear un procedimiento de gestión de incidentes que identifique los equipos y roles necesarios, así como las relaciones entre ellos para la gestión de incidentes. Dicho procedimiento debe establecer las directrices necesarias para la evaluación, planificación, activación de soluciones de continuidad y seguimiento del evento.
La alerta y comunicación son esenciales para la gestión de crisis, por eso todos los aspectos relacionados con la comunicación interna y externa durante la gestión de incidentes deben ser documentados.
Aplicado al alcance definido se deben desarrollar los planes de continuidad, éstos deben basarse en toda la información extraída de los análisis previamente realizados con el objetivo de detallar las acciones que deben realizar los equipos para asegurar la continuidad de las actividades.
¿Cómo se puede comprobar que esta documentación es efectiva y se adapta a la realidad de la organización?
La realización simulacros donde deban activarse los planes y procedimientos de continuidad es la mejor forma de comprobar su efectividad.
Conclusión
La implementación de una estrategia de continuidad de negocio sólida puede convertirse en una ventaja competitiva para las empresas. Aquellas organizaciones que demuestran su capacidad para mantener la continuidad de sus operaciones frente a situaciones desafiantes se ganan la confianza de los clientes y socios comerciales, lo que puede resultar en una mayor lealtad y preferencia por parte de ellos. Además, contar con planes de contingencia efectivos permite una recuperación más rápida y eficiente, lo que permite a las empresas minimizar los impactos negativos y reanudar sus operaciones antes que la competencia.
Para eso es importante contar con un buen proceso de implementación, siendo muy útil la ayuda de una empresa especializada como nosotros. La asesoría de una empresa especializada marca la diferencia en la forma en que una organización aborda la gestión de la continuidad del negocio y la resiliencia. La combinación de experiencia, conocimientos especializados y enfoque personalizado asegura el éxito de la implementación de ISO 22301 y a la mejora general de la preparación para crisis y desastres.
Referencias
- ISO 22301:2019, Security and resilience — Business continuity management systems — Requirements, https://www.iso.org/standard/75106.html
- ISO/TS 22317:2015, Societal security — Business continuity management systems — Guidelines for business impact analysis (BIA) https://www.iso.org/standard/50054.html
- ISO 31000:2018, Risk management – Guidelines, https://www.iso.org/standard/65694.html
Autor: Marina Talló - ISO 27001 L.A., ISO 22301 L.A., CDPP
Dpto. de Consultoría
