La caída en el servicio que experimentan las empresas, provoca un impacto inmediato y dependiendo del tamaño, puede convertirse en un problema global destacando la importancia de contar con un correcto plan de continuidad de negocio. En el caso de la caída del servicio que tuvo Facebook, el impacto fue inmediato, ya que se ha construido como una plataforma eje con mensajería, emisión en vivo, realidad virtual y muchos otros servicios digitales. Más de 3,500 millones de personas en todo el mundo emplean Facebook, Instagram, Messenger y WhatsApp para comunicarse con amigos y familiares, distribuir mensajes y hacer crecer sus operaciones de negocios a través de publicidad y promoción.
El impacto interno es considerable, la riqueza personal de Mark Zuckerberg (CEO de las cuatro compañías) se redujo en 7 mil millones de dólares en unas pocas horas.
Las preguntas entre los especialistas son: ¿Qué sucedió con el BCP (Business Continuity Plan o Plan de Continuidad de Negocio) de las compañías?, ¿acaso corporaciones de ese tamaño e importancia carecen de él o simplemente están como un proceso documentado y no han sido probados?
¿Qué es un BCP y por qué es importante?
La necesidad de contar con un plan de continuidad de negocio probado en las organizaciones de cualquier tamaño es vital. Cuando hablamos de continuidad del negocio nos referimos a la capacidad de sobrevivir a las “cosas malas” que pueden tener un impacto negativo en la empresa: desde un brote de virus informático hasta un brote de virus biológico, y todos los demás peligros entre ambos, como incendios, inundaciones, tornados, huracanes, terremotos y tsunamis. El estándar internacional para la continuidad del negocio, ISO 22301, la define como la “capacidad [de una organización] de continuar la prestación de productos o servicios en los niveles predefinidos aceptables tras incidentes de interrupción de la actividad”.
Un programa básico de BCP en 4 pasos
Desafortunadamente, algunas empresas deben cerrar cuando las alcanza un desastre para el cual no estaban preparadas adecuadamente. Cualquier empresa de cualquier tamaño puede mejorar las posibilidades de superar un incidente de interrupción de la actividad y quedar en una pieza (con la marca intacta y sin merma en los ingresos) si sigue ciertas estrategias probadas y de confianza, más allá de que desee obtener la certificación ISO 22301 o no.
A continuación, Nekt Group nos comparte un resumen de los cuatro pasos principales para armar un plan de continuidad de negocio:
- 1. Identifica y ordena las amenazas – Crea una lista de los incidentes de interrupción de la actividad que constituyan las amenazas más probables para la empresa. No uses la lista de otro, porque las amenazas varían según la ubicación. Por ejemplo, en la Ciudad de México, hay un grado relativamente alto de sensibilización con respecto a los terremotos, por lo que muchas organizaciones han llevado a cabo un nivel básico de planificación para prepararse ante desastres teniendo esta amenaza en cuenta. ¿Pero qué ocurre donde se encuentra tu empresa? ¿Y qué pasa con la fuga de datos o la interrupción de la infraestructura de TI? ¿Qué pasa si un producto químico tóxico provoca que se cierren las instalaciones por varios días? ¿Estás ubicado cerca de una vía ferroviaria? ¿De una autopista importante? ¿Cuánto depende tu empresa de proveedores extranjeros? En esta etapa, una buena técnica es reunir personas de todos los departamentos en una sesión de intercambio de ideas. El objetivo de la reunión es crear una lista de escenarios ordenados por probabilidad de ocurrencia y por potencial de causar un impacto negativo.
- 2. Realiza un análisis del impacto en la empresa – Necesitas determinar qué partes de tu empresa son las más críticas para que sobreviva. Una manera es comenzar detallando las funciones, los procesos, los empleados, los lugares y los sistemas que son críticos para el funcionamiento de la organización. De esto se puede ocupar el líder del proyecto de BCP; para ello, deberá entrevistar a los empleados de cada departamento y luego elaborar una tabla de resultados que liste las funciones y las personas principales y las secundarias. A continuación, determinarás la cantidad de “días de supervivencia” de la empresa para cada función. ¿Cuánto puede resistir la empresa sin que una función en particular provoque un impacto grave?
Luego, ordenar el impacto de cada función en caso de que no esté disponible. Por ejemplo, Michael Miora, experto en recuperación ante desastres, sugiere utilizar una escala de 1 a 4, donde 1 = impacto crítico en las actividades operativas o pérdida fiscal, y 4 = sin impacto a corto plazo. Si luego se multiplica el Impacto por los “días de supervivencia”, se puede ver cuáles son las funciones más críticas. Al principio de la tabla quedarán las funciones con un impacto mayor y con sólo un día de supervivencia.
- 3. Crea un plan de respuesta y recuperación -En esta etapa deberás catalogar datos clave sobre los bienes involucrados en la realización de las funciones críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Deberás incluir números de serie de los equipos, acuerdos de licencia, alquileres, garantías, detalles de contactos, etc. Necesitarás determinar “a quién llamar” en cada categoría de incidente y crear un árbol de números telefónicos para que se hagan las llamadas correctas en el orden correcto. También necesitas una lista de “quién puede decir qué cosa” para controlar la interacción con los medios durante un incidente (considera quedarte con una estrategia de “sólo el CEO” si se trata de un incidente delicado). Deberán quedar documentados todos los acuerdos vigentes, activar la operación a través de infraestructura de nube o co ubicada en otro centro de datos, mudar las operaciones a ubicaciones e instalaciones temporales, de ser necesario. No te olvides de documentar el proceso de notificación para los miembros de la empresa en su totalidad y el procedimiento de asesoramiento para clientes. Los pasos para recuperar las operaciones principales deberían ordenarse en una secuencia donde queden explícitas las interdependencias funcionales. Cuando el plan esté listo, asegúrate de capacitar a los gerentes sobre los detalles relevantes para cada departamento, así como la importancia del plan general para sobrevivir a un incidente.
- 4. Prueba el plan y refina el análisis – La mayoría de los expertos en BCP recomiendan probar el plan al menos una vez al año, con ejercicios, análisis paso a paso o simulaciones. La prueba te permite sacar el mayor provecho a lo que invertiste en la creación del plan, y no sólo te permite encontrar fallas y dar cuenta de los cambios corporativos con el transcurso del tiempo, sino que también causa una buena impresión en la gerencia. No cabe duda de que estos cuatro pasos significan un enorme trabajo, pero es una tarea que las empresas ignoran bajo su propio riesgo. Si el proyecto parece demasiado desalentador para aplicar a la empresa completa, considera comenzar por unos pocos departamentos o una sola oficina, si hay varias. Todo lo que vayas aprendiendo en el proceso se podrá aplicar en mayor escala a medida que progreses. Evita a toda costa pensar que las cosas malas no suceden, porque sí lo hacen. Sólo tienes que estar preparado. Y no pretendas que cuando ocurra algo no será tan malo, porque podría serlo.