Aún cuando se encuentran diferentes definiciones, la Continuidad del Negocio (BCM por sus siglas del inglés Business Continuity Management) puede ser definida como un proceso gerencial permanente que busca evaluar periódicamente los riesgos asociados a incidentes de alto impacto, que lleguen a afectar el desarrollo normal de las operaciones de cualquier empresa.

Permite diseñar la estrategia de respuesta adecuada para mantener o reanudar a niveles aceptables y lo más pronto posible, la entrega de sus productos o servicios.

Asegura que los componentes de los procesos críticos del negocio no sufran interrupciones catastróficas, generando una visión amplia de cómo conservar la organización activa en todos sus procesos y a entender que el principal objetivo es mantener a flote el negocio en tiempos de crisis.

La relevancia dentro del BCM es que integra diversas disciplinas de Respuesta a Emergencias (ER por sus siglas del inglés Emergency Response), Gestión de Crisis (CM por las siglas del inglés Crisis Management), Recuperación de Desastres (DR por sus siglas del inglés Disaster Recovery) y Planes de Continuidad del Negocio (BCP por sus siglas del inglés Business Continuity Plan).

En la mayoría de las organizaciones la responsabilidad del BCM es asignada al área de Seguridad Corporativa (Corporate Security), aunque hay organizaciones que por su complejidad prefieren tener un área independiente, o bien a través de equipos multidisciplinarios por el impacto que tienen en las operaciones.

Definitivamente, es imposible no hablar sobre la pandemia del Covid-19 que dio parte a grandes cambios en el mundo, nos obligó a enfrentar una severa interrupción de las actividades normales y según la Organización Mundial de la Salud, es probable que surja una nueva pandemia global.

Esto claramente podría llegar a afectar las operaciones de las empresas en Latinoamérica, pero en el amplio panorama de riesgos dentro de nuestra región,  también se deben considerar los riesgos producidos o modificados por actividad humana (delincuencia común, crimen organizado, grupos terroristas, hackers, geopolíticos etc.), los riesgos ocasionados por actos de la naturaleza (sismos, huracanes, incendios forestales, etc.) y los riesgos de origen tecnológico (fallas en maquinaria y equipo, incendios, etc.).

Si una empresa no se prepara para enfrentar incidentes de alto impacto, corre el riesgo de resultar seriamente afectada e incluso de desaparecer del mercado. Ante la materialización de un desastre, se hace imposible planear eficientemente sobre la marcha la recuperación de una empresa. La razón enseña entonces que se debe preparar con antelación la forma de responder.

Internacionalmente, es reconocida la norma ISO 22301 como un estándar en continuidad de los negocios. Establece los requisitos para implementar un sistema de gestión en BCM, ayuda a comprender mejor las organizaciones y a aplicar estrategias de continuidad para preservar el negocio.

Mediante la implementación de la norma se logra construir una estrategia que permite mantener planes de continuidad de los negocios (BCP), proteger los activos, la facturación, la nómina, por mencionar ciertos procesos críticos, para cumplir con los requisitos legales y reglamentarios, controlar y comprobar el nivel de preparación de la empresa y reducir los costos asociados a la interrupción de cualquier actividad empresarial.

Proporciona las mejores prácticas internacionales para ayudar a las organizaciones a responder y recuperarse de las interrupciones de manera eficaz.

Una de sus ventajas es que se puede aplicar a cualquier tipo de organización, grande o pequeña, y en cualquier sector industrial. Como se mencionó antes, la pandemia puso de presente que todo el mundo puede verse afectado.

Sin embargo, puede ser especialmente relevante para organizaciones que operan en entornos de alto riesgo como los servicios públicos, servicios financieros, petróleo y gas, transporte, telecomunicaciones y producción de alimentos, o en ámbitos en los cuales la continuidad operacional es crítica, como empresas de servicios públicos o denominados como estructuras críticas estratégicas.

Hago referencia, que existen muchas entidades que ayudan a la profesionalización del personal responsable de la continuidad de los negocios. Dentro de las más relevantes se encuentran el Disaster Recovery Institute (DRII) fundado en los Estados Unidos en 1988 y el Business Continuity Institute (BCI) de Gran Bretaña, fundado en 1996.

La implementación de un sistema de gestión en continuidad de negocios (BCM) puede enfrentar muchos desafíos. Algunos de los más comunes radican en la cultura organizacional, la obtención de recursos, la complejidad de los procesos, la resistencia al cambio, capacidad de resiliencia, así como el mantenimiento y actualización del sistema.

Por lo regular, dentro de mi experiencia, las organizaciones suelen poner atención cuando ya fueron afectados (Más reactivos que preventivos).

Es necesario que en la cultura empresarial se hagan cambios para lograr que todos los colaboradores se involucren en la gestión de la continuidad de los negocios y se entiendan los conceptos. Eso puede ser aún más difícil si la empresa no cuenta con otros sistemas de gestión (calidad, medio ambiente, salud y seguridad en el trabajo, etc.).

Superar esa dificultad se puede lograr con un buen programa de comunicaciones para informar los beneficios del BCM, involucrar a todos los niveles de liderazgo y reconocer el esfuerzo y los logros alcanzados.

El BCM no se implementa solamente con buenas intenciones, es necesario invertir tiempo y recursos, tanto para desarrollarlo como para mantenerlo; por eso es importante priorizar la inversión de los recursos en los procesos críticos.

En empresas pequeñas o con recursos económicos limitados puede ser aún más complejo lograrlo, pero a través de las organizaciones gremiales o los comités de ayuda mutua, se podría obtener algún tipo de apoyo para implantarlo.

Entender y documentar los procesos organizacionales es fundamental para poder analizar el impacto que pueden tener en el negocio, las interrupciones y para poder analizar los riesgos.

Debido a lo complejo y demorado que puede ser para muchas empresas, se requiere utilizar herramientas y metodologías como las que ofrece la norma ISO 22301. En esta tarea es clave involucrar a las personas que conocen los procesos.

En la implementación del BCM es posible que se requieran ajustes a los procedimientos existentes o incluso introducir procedimientos nuevos. Estos cambios pueden llegar a generar resistencia en algunos colaboradores, especialmente si se presentan cambios en la forma de trabajar, o de golpe les son asignadas más responsabilidades.

Por eso es importante explicar las razones de los cambios y los objetivos del BCM, brindando capacitación y entrenamiento, especialmente a los directamente afectados.

El BCM debe mantener su relevancia con el tiempo. Es así como todos los planes que hacen parte de este programa de gestión, deben mantener su vigencia y garantizar su eficacia durante la vida de la empresa.

Esto es desafiante porque los procesos, el ambiente y las circunstancias en las que se desarrollan las operaciones de la empresa pueden cambiar. Por eso es necesario realizar pruebas y desarrollar simulacros. Las lecciones aprendidas servirán para hacer ajustes e introducir mejoras a la gestión, tema que hacemos nuevamente referencia, por qué involucrar este proceso como parte de la cultura organizacional.

Con compromiso, comunicación eficaz, apoyo de la alta dirección y programas de sensibilización para que toda la organización comprenda que el BCM es un proceso de mejora continua muy beneficioso para el desarrollo del negocio, es altamente probable que se puedan superar todos esos desafíos.

Para entender esta interrogante, es necesario identificar adecuadamente qué se entiende por crimen organizado; Luis de la Corte y Andrea Giménez-Salinas en su libro Crimen.org Evolución y claves de la delincuencia organizada definen que el crimen organizado no es un tipo de delito, sino una manera de cometer delitos con dos condiciones: cierto nivel de planificación, así como la participación conjunta y coordinada de varios individuos[1]

De acuerdo al National Security Council, en la actualidad las redes criminales son fluidas, forjan nuevas alianzas con otras redes en todo el mundo, convirtiéndose en crimen transnacional y participando en una amplia gama de actividades ilícitas, como el narcotráfico, lavado de activos, tráfico de armas, trata de personas, incluidos los delitos cibernéticos y el apoyo al terrorismo, entre muchos otros.

Vaya que sobre esto último descrito, lamentablemente en México tenemos interminables ejemplos que sería tema de otro artículo.

Esta amalgama de posibilidades en el crimen organizado transnacional, lo convierten en una amenaza constante en la continuidad de las operaciones de las empresas, al aprovecharse de fallas en los procesos de seguridad de las cadenas de abastecimiento y/o durante el almacenamiento y transporte, ocasionados por contratación de empleados, proveedores y contratistas sin un adecuado proceso de selección, por mencionar solo algunos de los problemas causa-raíz.

Encontramos dentro del contexto interno de sus operaciones: robos en almacenes, pérdida de información que puede obedecer a robo, fuga de información, espionaje, autorobos de productos, contratación de empresas proveedoras de bienes y servicios que son fachada o están al servicio de organizaciones criminales para el lavado de activos, deslealtad de empleados, etc.

En el contexto externo podríamos mencionar diversos factores desestabilizadores que pueden, en cierto grado, ser identificados mediante la implementación de un adecuado sistema de información y comunicación que anticipe cualquier agente generador que pretenda alterar las operaciones: extorsiones o bien los llamados derechos de piso que actualmente está desbordado este flagelo, secuestros, bloqueos o robos en carreteras, suplantación de páginas web, trasiego de narcóticos y sus insumos, trata de personas, etc.

Por ende, es trascendente hacer referencia a la ejecución de adecuados análisis de riesgos con el conocimiento apropiado de los agentes generadores de riesgos, un robusto plan de seguridad, entrenamiento y capacitación permanente, que vayan estrechamente integrados al Plan de Continuidad del Negocio (BCP por sus siglas del inglés Business Continuity Plan), harán que la empresa esté preparada y pueda recuperar su operación en caso de una crisis en el menor tiempo posible, es lo inteligente y mandatorio para la alta dirección.

----------

[1] De la Corte, L., Giménez-Salinas, A., (2010), Crimen.org, Editorial Planeta. Barcelona.

Aunque hay riesgos que pueden afectar a todas las organizaciones (lo vimos con la pandemia), los riesgos específicos de una organización deben gestionarse de manera particular. Para ello se debe adelantar una evaluación de riesgos y vulnerabilidades y un análisis de impacto en el negocio.

En aquellas compañías que ya cuentan con otros sistemas de gestión, es más fácil iniciar con la identificación de los riesgos que puedan afectar la continuidad de los negocios. Como es bien sabido, la identificación de los riesgos, adicional a que es la parte más importante del proceso de gestión de riesgos, permite detectar posibles amenazas antes de que tengan un impacto negativo sobre los colaboradores o la empresa. Si un riesgo no se identifica, no se puede gestionar.

El Análisis de Impacto en el Negocio (BIA por sus siglas del inglés Business Impact Analysis) permite identificar los procesos críticos, sus interdependencias, los sistemas de información que usan y los efectos de sus interrupciones. Está muy estrechamente ligado con la gestión de riesgos. Se debe desarrollar un BIA por cada proceso crítico, incluyendo las siguientes actividades:

• Identificar los procesos críticos. Qué actividades, si se interrumpen, pueden llegar a afectar el negocio.
  
  
• Evaluar el impacto. En qué medida, si el proceso crítico se interrumpe, impactaría al negocio. ¿Hay pérdida de dinero?, ¿Recursos?, ¿Tiempo? Etc.
  
  
• Presupuestar y priorizar los recursos. Definir los recursos esenciales para la recuperación de los procesos, como personal, equipos e infraestructura, entre otros.
  
  
• Definir estrategias de recuperación. Planificar qué hacer y en cuánto tiempo se van a recuperar los procesos o actividades críticas.
  
  
• Testear y actualizar. Evaluar la eficacia de las estrategias de recuperación e identificar mejoras. El BIA se debe mantener actualizado, hay que revisarlo y ajustarlo según los cambios de la empresa.

Como resultado, la empresa puede crear planes de recuperación eficaces y reducir el tiempo necesario para restablecer las operaciones. Así mismo, garantizar la continuidad del negocio y minimizar los daños durante una interrupción.

Una vez completado el BIA, es esencial realizar un análisis de los resultados para obtener información valiosa sobre la capacidad de recuperación de la empresa. Para ello es necesario revisar los datos recopilados, organizar los resultados, identificar riesgos y amenazas, analizar la interdependencia entre procesos, comunicar los resultados, desarrollar el plan de acción y revisar el BIA. Estas actividades deben ser cíclicas.

Como se menciona líneas arriba, la mayoría de las organizaciones asignan la gestión del BCM al área de seguridad corporativa (Corporate Security). Aunque hay organizaciones que por su especialidad y nivel de complejidad prefieren tener un área independiente.

Resulta ventajoso pensar en integrar el BCM con otros sistemas de gestión de la organización porque ayuda a mejorar el rendimiento y la eficiencia, puede aumentar la credibilidad y mejorar la reputación, mejora la resiliencia y la agilidad al simplificar los procesos de auditoría, en últimas, se ahorran recursos.

Para que el proceso de integración del BCM con otros sistemas de gestión se encuentre con menos resistencia, sería útil seleccionar un marco común, ISO 22301 para BCM, ISO 31000 para el sistema de gestión de riesgos, ISO 9001 para calidad, ISO 27001 para seguridad, ISO 14001 para medio ambiente, etc.

Otra ventaja se obtiene de la identificación de sinergias y superposiciones existentes entre los sistemas, por ejemplo la evaluación de riesgos, el análisis de impacto en la materialización de incidentes críticos, el manejo de incidentes, la mejora continua, etc.

Sin lugar a dudas, la implementación de un programa de BCM es la estrategia corporativa fundamental para garantizar una recuperación más rápida en caso de que se presente un incidente que interrumpa las operaciones.

Algunos de los elementos clave del programa de BCM son el BIA, el Plan de Recuperación de Desastres (DRP por sus siglas del inglés Disaster Recovery Plan) y el Plan de Continuidad del Negocio (BCP). Se debe desarrollar un BCP por cada proceso crítico, este se complementa con otros planes y tiene sus propias estrategias.

Cualquier proceso, sea crítico o no, es desarrollado por personas, en algún lugar específico, con maquinaria, equipos y software específicos, maneja su propia cadena de suministros y tiene documentación específica, bien sea en la nube o dependiendo del caso, en documentos físicos. Por eso las estrategias se implementan de acuerdo con la realidad de cada empresa.

En todo caso, sólo a modo de ejemplo, si hubiera una ausencia parcial o absoluta de personal clave dentro de un proceso crítico, se debe implementar una estrategia que asegure que las habilidades de dicha posición estén siempre disponibles.

Podría tratarse de un plan de sucesión, este resulta fundamental en toda organización, ya que se constituye en un punto de quiebre y marca la diferencia entre la continuidad del negocio o el fracaso del mismo, porque al elaborarse con la suficiente anticipación, evitará que personas que no cuentan con la idoneidad o entrenamiento adecuado asuman funciones en el desarrollo de una crisis.

Así mismo, se deben desarrollar estrategias tendientes a evitar que los procesos críticos se vean interrumpidos por falta de espacio de oficina, daños en las facilidades, posibles incumplimientos de los contratistas clave, fallas en la infraestructura de IT, etc.

No olvidar que el insumo básico para plantear las estrategias adecuadas para cada proceso resultan del Análisis de Impacto en el Negocio (BIA).

La Norma ISO 22301 recomienda tener en cuenta las siguientes características para definir y establecer las estrategias de recuperación:

• Que acorten el tiempo de interrupción. Es decir, que la recuperación de la actividad crítica interrumpida se haga en el menor tiempo posible.
  
  
• Que ayuden a proteger los procesos críticos de la empresa. Es necesario planear cómo se va a recuperar el proceso crítico interrumpido y que se tenga en cuenta el peor escenario de interrupción.
  
  
• Las estrategias deben tener un costo razonable y deben ser realizables. Sabemos que los recursos son limitados, por eso se deben invertir teniendo en cuenta las prioridades para minimizar los impactos, pensar en que sea viable su implementación y evitar que las estrategias se vuelvan inoperantes por falta de recursos.
  
  
• Definir estrategias que limiten el impacto de la interrupción. Cada estrategia debe estar orientada a reducir los efectos que la interrupción tenga en la empresa.

Peter Drucker, el padre austriaco de la gestión empresarial moderna, dijo que “lo que no se puede medir no se puede controlar. Lo que no se puede controlar no se puede gestionar. Lo que no se puede gestionar no se puede mejorar”.

Con ello en mente, es necesario establecer indicadores de gestión (KPI por sus siglas del inglés Key Performance Indicator) en la gestión del BCM. La medición y el seguimiento a la efectividad de los planes y el monitoreo de métricas específicas, permite que los responsables de la toma de decisiones lo hagan de manera informada y ayuden a la organización a recuperarse de un incidente disruptivo en el menor tiempo posible y con el menor impacto.

En el desarrollo de KPI´s dentro del BCM y para garantizar su efectividad, es crucial identificar las métricas más relevantes que generen valor dentro de la organización. Es importante verificar que estén alineados con los objetivos del negocio, que se tengan en cuenta las necesidades de la organización y que se involucre a todas las partes interesadas (stakeholders). Una buena práctica es asegurar que los KPI´s se diseñen bajo la metodología SMART:

Dentro de los KPI esenciales en la gestión de continuidad de negocios podemos resaltar los siguientes:

Análisis de Impacto en el negocio (BIA). Identifica funciones críticas del negocio y evalúa sus impactos potenciales durante una interrupción. Evalúa las consecuencias financieras, operacionales, reputacionales y regulatorias. Permite priorizar recursos y orientar los esfuerzos de recuperación de manera efectiva.

Objetivo de Tiempo de Recuperación (RTO por sus siglas del inglés Recovery Time Objective). Indica el tiempo previsto y el nivel de servicio dentro del cual se debe restaurar un proceso o servicio.

Objetivo de Punto de Recuperación (RPO por sus siglas del inglés Recovery Point Objective). Determina la máxima cantidad de pérdida de datos que una organización puede tolerar. También se puede definir como el intervalo máximo aceptable durante el cual se pierden datos transaccionales de un servicio de IT.

Efectividad de la Gestión de Crisis. Medir la efectividad de la gestión de crisis es esencial para la mejora continua del BCM. Permite establecer qué tan bien responde la organización a una crisis, evalúa los planes de respuesta, las estrategias de comunicación, los procesos de toma de decisiones y la coordinación de la respuesta.

Concientización y entrenamiento. Todos los empleados, incluyendo los contratistas, son cruciales para mantener resiliente a la organización durante una interrupción. Es necesario evaluar la efectividad de los programas de entrenamiento, el entendimiento de sus roles y responsabilidades durante una interrupción y en general, todo el conocimiento de los planes de respuesta.

Los KPI´s ayudan a la organización a mejorar su capacidad de resiliencia, permiten tomar decisiones informadas basadas en el análisis de datos y garantizan la mejora continua en sus estrategias de BCM.

Indudablemente, las herramientas tecnológicas son altamente valiosas para facilitar el desarrollo y seguimiento permanente de la gestión del BCM y de la gestión de riesgos. Se pueden desarrollar a la medida plantillas de Excel, pero aún mejor, hay empresas que se han especializado en la elaboración de software para gestionar el BCM.

También existen empresas que desarrollan plataformas avanzadas de analítica para ayudar en la recolección, análisis y visualización de la información del BCM. Así mismo, ya se puede contar con herramientas de Inteligencia Artificial (IA).

Gestionar el BCM con IA permite monitorear y analizar la información en tiempo real, se puede hacer análisis predictivo, algunos procesos clave se pueden automatizar, es más fácil testear y mejorar el BCM y la toma de decisiones se puede hacer con una mejor calidad de información.

Otras herramientas valiosas para el BCM y para la gestión de riesgos son los mismos sistemas de gestión que se rigen bajo estándares internacionales como las normas ISO 31000, ISO 27001, ISO 22301, etc.

Invertir en un programa de BCM mejora la capacidad de resiliencia y minimiza las consecuencias de una interrupción inesperada de las operaciones de la empresa. Hacerlo permite que los procesos críticos se identifiquen y prioricen apropiadamente, mejora la capacidad de respuesta a cualquier incidente disruptivo y facilita la recuperación de una manera más ordenada y económica que no tener ninguna estrategia de BCM.

Establecer un programa de BCM no es una tarea fácil, de hecho dentro de mi análisis, encontraba una encuesta de una firma consultora que hacía referencia de que solamente 1 de cada 10 empresas cuenta con su BCP, por lo que  uno de los factores críticos de éxito es el compromiso de la alta dirección y el reto que tenemos como Seguridad Corporativa es ¿Cómo poder engancharlos?

La alta dirección debe demostrar su liderazgo y promulgar su compromiso con el BCM. Son los responsables de establecer los objetivos estratégicos y asegurar los recursos para que el programa funcione, también definen quiénes son las personas que tendrán autoridad para gestionar el programa.

La mejor manera de convencer a la alta dirección de la necesidad de implementar un programa de BCM es mostrarles los beneficios que obtendrá la empresa, dentro de los cuales se destacan los siguientes:

• Se salvaguarda e incluso se mejora la reputación de la empresa,
• Se pueden identificar los impactos derivados de una interrupción,
• Se puede dar una respuesta efectiva a los incidentes de interrupción,
• Se pueden gestionar los riesgos que no son cubiertos por las compañías de seguros,
• Se puede obtener una ventaja competitiva derivada de la capacidad de mantener los niveles de servicio.

En conclusión, de que una vez la alta dirección comprenda claramente los beneficios del BCM, existen grandes ventajas competitivas de cómo se puede contribuir a la organización a través de:

• Mejorar la capacidad de respuesta a incidentes disruptivos,
• A reducir los costos derivados del impacto para mantener el equilibrio en la rentabilidad del negocio,
• Asegurar el cumplimiento de los requisitos legales,
• Mitigar las pérdidas de los productos finales dentro del mercado,
• Mantener la continuidad operativa dentro las cadenas de valor.