Ya sea que se esté preparando para los efectos del clima invernal, la respuesta a una pandemia o cualquier otra interrupción de la actividad habitual, recuerde que todo comienza con un plan sólido. Al elaborar su plan de continuidad del negocio, tenga en cuenta los diferentes recursos que necesitará para seguir prestando servicio a sus clientes y mantener el negocio en funcionamiento, mediante tecnologías como el software de gestión de la continuidad del negocio.
Algunos ejemplos de estos recursos son la conexión a Internet o la tecnología, el acceso a unas instalaciones u oficina, el equipo o los suministros: ¿qué necesita cada departamento o función empresarial y cómo se accederá a ellos durante una interrupción?
Una vez que tenga un plan de continuidad del negocio por escrito, deberá probarlo para asegurarse de que funciona como usted desea durante una interrupción. En otras palabras, ¿puede seguir operando y prestando servicio a los clientes?
Para realizar las pruebas, necesitará involucrar a su personal: ¿están listos, preparados y capacitados para responder? Piense en cómo comunicará las instrucciones, las funciones, las responsabilidades y la información a sus empleados y personal. Al poner a prueba sus planes, es posible que descubra deficiencias o aspectos que se pueden mejorar; asegúrese de documentar sus conclusiones para poder abordarlas. Por último, asegúrese de incorporar las lecciones aprendidas de las pruebas o de las interrupciones reales de la actividad empresarial en sus planes para el próximo año.
Definiciones de mercado
Gartner define las soluciones de programas de gestión de la continuidad del negocio (BCMP) como «las herramientas clave utilizadas para gestionar los programas de gestión de la continuidad del negocio (BCM). Proporcionan evaluación de riesgos, análisis del impacto en el negocio, procesos empresariales, mapeo de proveedores y dependencias de TI, y funcionalidad de gestión de planes. Algunos productos también ofrecen capacidad de ejecución de planes, capacidad de modelado de recursos y soporte «lite» para la gestión de crisis/incidentes».
Forrester define el software de BCM como «herramientas utilizadas para crear, mantener, probar, comunicar y ejecutar planes de continuidad del negocio más estructurados, actuales, colaborativos y viables».
¿Por qué necesita un software de gestión de la continuidad del negocio?
Planes dinámicos
Hoy en día, existen más amenazas para las empresas que nunca, que se producen con mayor frecuencia y están más extendidas. Puede que la COVID-19 acapare toda la atención, pero eso no significa que el resto de incidentes hayan desaparecido; de hecho, se ha producido un aumento de interrupciones como ciberataques, condiciones meteorológicas adversas, cortes de TI y perturbaciones en la cadena de suministro.
Los incidentes suelen tener múltiples repercusiones simultáneas o un evento puede desencadenar otro. Por ejemplo, en la primavera de 2021, Texas se enfrentó a tormentas de hielo que provocaron la falta de calefacción e internet, lo que agravó el desastre.
La mayoría de los desastres son dinámicos y cambian con el tiempo. Debido a la globalización, sus efectos pueden tener un gran alcance. Por lo tanto, la respuesta de una organización debe poder cambiar de rumbo rápidamente y los planes de continuidad deben ser igualmente dinámicos.
Estos incidentes, sumados a la pandemia, ponen de manifiesto la necesidad de planificar y prepararse para desastres de diferente duración, como planes para menos de una semana, un mes, varios meses o incluso recuperaciones a más largo plazo.
Los diferentes desastres, escenarios e impactos dan lugar a muchos tipos de planes que hay que crear, gestionar, poner en práctica y mantener, y que probablemente estarán a cargo de diferentes personas o departamentos dentro de una misma organización.
Expectativas empresariales
En el entorno empresarial actual, las expectativas de los clientes son muy altas. El negocio digital implica que la actividad comercial se desarrolla las 24 horas del día, los 7 días de la semana. Las leyes de seguridad de los datos y las amenazas a la ciberseguridad han hecho necesario adoptar medidas de planificación adicionales, como incluir la planificación ante ciberataques en la gestión de la continuidad del negocio (BCM).
Primeros pasos
Configuración técnica
Aquí hay un diagrama de las áreas dentro del software BCM que deberá completar para su programa. Hay muchas actividades y entradas diferentes, lo que puede parecer abrumador:
Recomendamos comenzar por los fundamentos: personal, departamentos, sedes, relaciones y recursos.
Una gran ventaja del software BCM es que, en lugar de tener los datos repartidos en diferentes documentos y hojas de cálculo, podemos aprovechar la potencia de una base de datos relacional. Una base de datos relacional permite compartir datos en todo el sistema (módulos), de modo que podemos acceder a los datos fundamentales independientemente del área, el plan o el proceso.
Hay ciertos sistemas centrales a los que una organización puede querer conectarse para eliminar el componente manual de la gestión de datos, como las API de su directorio de RR. HH. o su inventario de TI, que permiten sincronizar esta información en tiempo real.
Otra opción que puede ofrecer su software es configurar cargas por lotes según un calendario.
El software BCM suele ofrecer la posibilidad de inicio de sesión único, lo que facilita las cosas al usuario final, o la sincronización de archivos, que actualiza automáticamente el archivo o la carpeta en el software BCM cuando se actualiza en otro lugar.
En cualquier caso, añadir automatización a la gestión de datos le ayudará a mantener la relevancia de sus datos, lo cual es clave para la resiliencia organizativa, ya que garantiza una mayor precisión de los datos y facilita su recopilación y mantenimiento.
Configuración del programa
A la hora de decidir por dónde empezar, hay algunas cosas que debes tener en cuenta:
-
¿Cuáles son los objetivos de su organización?
-
¿Cuál es el estado actual del BCM de su organización?
-
¿Cómo se puede seguir el ciclo de vida/marco elegido?
-
¿Existen necesidades normativas (por ejemplo, acuerdos de reconocimiento mutuo) u otras cuestiones que requieran atención inmediata?
Usted quiere un software que le permita elegir por dónde empezar y seguir la metodología que ha elegido su organización.
Si elige un software diseñado para BCM y escalable, configure las áreas en las que está trabajando. No se pierda en la configuración. Céntrese primero en las áreas que requieren atención.
A continuación, configura los permisos. Es posible que no desees mostrar determinados módulos o áreas, y si tu organización es grande, quizá debas considerar si el software puede segmentar las áreas del negocio, pero de forma que se puedan agrupar fácilmente con fines de gestión y generación de informes.
Este es un buen momento para dar a conocer el programa mediante formación. Organice sesiones breves para que los empleados conozcan el software y sus funciones dentro del mismo.
Análisis y evaluación de riesgos
Parte de las mejores prácticas de BCM es la evaluación de riesgos. Tradicionalmente, las evaluaciones de riesgos de BCM eran evaluaciones de amenazas centradas en ubicaciones. Dado que BCM suele integrarse en la gestión de riesgos, existe software de BCM que va más allá de la evaluación de amenazas y admite todo tipo de evaluaciones de riesgos operativos, como TI, terceros y procesos empresariales.
Algunos programas ofrecen encuestas que puedes enviar al experto en la materia correspondiente. Pueden proporcionar plantillas de encuestas y una lista de amenazas. El software te permite evaluar las respuestas, ya que te permite utilizar sus fórmulas o crear las tuyas propias y añadir ponderaciones.
El software de BCM también puede crear registros de riesgos y proporcionar mapas de calor y otros informes de riesgos para revelar prioridades y tendencias. Utilice el software de BCM para comparar y analizar los riesgos, determinar el nivel de controles/tratamiento necesario y garantizar que se apliquen los controles.
Análisis del impacto en el negocio (BIA)
El BIA suele considerarse una tarea que requiere mucho tiempo, pero es una parte fundamental del ciclo de vida del BCM. Sin una comprensión completa de la prioridad de sus procesos, le llevará más tiempo continuar con sus actividades críticas si se ve afectado por un desastre. El BIA incluye muchos datos, como procesos, recursos, dependencias e interdependencias.
Utilice software para automatizar la recopilación de datos BIA. Algunos programas pueden facilitar esta tarea proporcionando un asistente BIA y mapeando sus dependencias e interdependencias.
Si no está seguro de cómo determinar el objetivo de tiempo de recuperación (RTO), utilice el software para determinar su interrupción máxima o haga que determine los RTO basándose en una fórmula. A continuación, el software puede priorizar los procesos de forma automática y objetiva.
Utilice software para identificar más fácilmente las deficiencias, como las que se producen entre los sistemas informáticos que no cumplen con el RTO o el RPO de un proceso empresarial.
Planificación
El software BCM suele permitir a los administradores aplicar los requisitos de planificación mediante el seguimiento de la finalización y los flujos de trabajo de presentación de informes y aprobación.
Disponer de un software es una gran oportunidad para establecer una estandarización. Puede crear su propia plantilla o utilizar las plantillas del sistema para ayudarle a crear un plan. Utilice la función para compartir información y proporcione información estándar en cada uno de sus planes. Si realiza un cambio en un plan, este se aplicará a todos los demás.
Existen muchos tipos de planes y escenarios. El software de BCM le permite tener tantos planes, escenarios, equipos y tareas como necesite. Los permisos proporcionan una forma de segmentar las diferentes áreas de resiliencia para que puedan gestionar y mantener sus planes particulares.
Permita a las partes interesadas acceder a sus planes y crear equipos y tareas, así como adjuntar los archivos necesarios. Con la propiedad, más personas se involucrarán y la gestión de la continuidad del negocio (BCM) se arraigará más en la cultura, y usted podrá seguir gestionando la creación de planes mediante la configuración de flujos de trabajo de aprobación.
Planificación de terceros/cadena de suministro
Utilice el componente BIA del software para identificar los proveedores asociados a los procesos críticos. Priorice los proveedores críticos en función del impacto que tienen en los procesos críticos.
Considere estrategias adecuadas y viables para garantizar la continuidad de la cadena de suministro e intégrelas en los planes de continuidad del negocio, por ejemplo, mediante el seguimiento de proveedores y distribuidores alternativos.
Identifique los riesgos de los proveedores y planifique para casos de incumplimiento mediante planes de contingencia.
La norma ISO 22318 proporciona directrices para la continuidad de la cadena de suministro:
- Desarrollar una estrategia que tenga en cuenta la necesidad de continuidad de la cadena de suministro.
- Analizar la cadena de suministro utilizando el BIA para identificar actividades o procesos críticos.
- Considerar las estrategias adecuadas y viables para la continuidad de la cadena de suministro e integrarlas en los planes de continuidad del negocio.
- Gestión continua del rendimiento para mantener un nivel adecuado de gestión de la continuidad dentro de la cadena de suministro y lograr una mejora continua.
Gestión de incidentes
Utilice la gestión de incidentes de su software BCM para activar planes o solo la parte que sea necesaria. Es posible que desee activarlos en función de un escenario, por ubicación, por aplicación o sistema, o por proceso, y el software le ofrece la posibilidad de hacerlo.
Durante una crisis, las personas deben centrarse en hacia dónde se dirigen, qué deben hacer y con quién deben comunicarse. Algunos programas informáticos reducen el plan a solo estos componentes cuando se activa, de modo que cada miembro del equipo dispone de un manual en el que puede ver rápidamente sus tareas.
Con algunos programas, se pueden adjuntar archivos a planes, equipos, tareas, etc. específicos, lo que facilita a los miembros del equipo acceder a archivos importantes. El software facilita el cambio de miembros del equipo sobre la marcha. Es posible que no se sepa quién estará disponible en el momento del desastre, por lo que se puede indicar en el software el tipo de persona que se necesitará, como una enfermera o un ingeniero, y nombrar a la persona a medida que se cubren los puestos. Algunos programas permiten enviar tareas por correo electrónico directamente a los miembros del equipo sin que estos tengan que entrar en el software, lo que puede ser útil para los ejecutivos o aquellos miembros que se incorporan sobre la marcha.
Realice un seguimiento de las tareas que se están llevando a cabo y de su progreso en la recuperación. Utilice software que le ayude con el análisis posterior, como mostrar dónde no se cumplieron los RTO y realizar un seguimiento automático del desastre.
Comunicaciones en situaciones de crisis
Si tu software tiene un sistema de notificaciones, verás rápidamente el retorno de la inversión.
Puede configurar el sistema para todo tipo de dispositivos, como correo electrónico y mensajes de texto. Los mensajes se pueden enviar a empleados y partes interesadas externas, como proveedores y reguladores. La pandemia nos ha demostrado que la comunicación con los empleados y los contactos externos es fundamental para mantener la moral y la confianza en la organización.
El software puede realizar un seguimiento de las respuestas recibidas, y las plataformas de comunicación bidireccionales permiten responder a las preguntas en tiempo real. Algunas plataformas ofrecen un puente de conferencia.
La planificación de las comunicaciones es una parte fundamental de su plan de preparación para emergencias. Con un sistema de notificación, podrá preparar mensajes para todo tipo de circunstancias. Muchos sistemas le permiten enviar mensajes simplemente seleccionando grupos definidos en el sistema, como departamentos o ubicaciones.
Posibles escenarios
- Tirador activo
- Fallo del servidor
- Corte de energía
- Incidente de seguridad
- Violación de datos
Diferentes mensajes de comunicación de emergencia
- Activar el centro de operaciones de emergencia.
- Alerta a toda la organización
- Enviar alerta a la alta dirección
- Notifique inmediatamente a las personas sobre una violación cibernética y aconséjeles que tomen medidas de protección.
Notificaciones BCM
Algunos sistemas de BCM pueden permitirle enviar tareas a los miembros del equipo cuando se activa un desastre. También hay notificaciones generadas por el sistema, como recordatorios para actualizar planes y BIA. Automatice tareas como:
- Correos electrónicos de activación
- Procesos de aprobación
- Programación
- Asignación
- Seguimiento
- Supervisión
Cumplimiento normativo y evaluación comparativa de programas
Muchos sistemas incorporan los estándares más reconocibles y proporcionan un medio para medir y mapear el cumplimiento.
Utilice el software BCM para realizar un seguimiento del cumplimiento de BCM en un marco concreto. A continuación, utilice las funciones de mapeo para evaluar el progreso de su programa BCM y el cumplimiento real de la norma concreta. Por último, genere un informe de auditoría para su revisión interna y externa.
Ejercicio
El ejercicio es un paso fundamental en el ciclo de vida del BCM.
Utilice el software BCM para:
-
Programar ejercicios
-
Ejercicios de marco, entrenamiento y concienciación.
-
Ejercicios con documentos
-
Realizar un seguimiento y gestionar las acciones posteriores.
-
Demostrar el cumplimiento de los ejercicios a los auditores internos y externos.
Mantenimiento continuo de BCM
Las cosas cambian constantemente en los negocios. Las normativas y las mejores prácticas exigen actividades anuales de continuidad del negocio, incluyendo el análisis de impacto del negocio (BIA), evaluaciones de riesgos, simulacros y planes. Sin un software de gestión de la continuidad del negocio (BCM), este mantenimiento constante y las solicitudes de información pueden resultar abrumadores.
La alta dirección y el consejo de administración deben aprobar estos cambios al menos una vez al año. Algunos programas informáticos permiten a los responsables revisar solo aquellas áreas que han cambiado o ver fácilmente los cambios realizados, ya que proporcionan un control automático de versiones.
Con un software que es una base de datos relacional, independientemente de cómo se introduzca el software en el sistema, el software BCM facilita las actualizaciones globales de datos al propagar los cambios individuales por todo el sistema.
Informes
El software permite crear métricas y análisis para la gestión de programas. Una base de datos relacional permite crear informes complejos que resumen la continuidad del negocio en todo el sistema. Recopilar datos manualmente de documentos para crear métricas es una tarea ardua que puede dar lugar fácilmente a imprecisiones.
Dado que el software BCM está diseñado para generar informes, hay informes predeterminados que puede ejecutar incluso si no está seguro de los informes que puede necesitar.
El modelado hipotético es una buena forma no solo de ver los efectos de un determinado impacto, sino también de poner de relieve las deficiencias al ejecutar diferentes escenarios.
Usos adicionales
Gestión de proveedores
La gestión de proveedores es diferente de la planificación de contingencias de proveedores. Debe clasificar a sus proveedores y supervisarlos, además de disponer de información de contacto actualizada. Asegúrese de que cumplen su acuerdo de nivel de servicio (SLA), de que dispone de su información de contacto y de que conoce las fechas de vencimiento de los contratos.
Gestión de inventario
Realice un seguimiento tanto del hardware como del software y de toda la información relacionada con ellos.
Procesos empresariales
Un inventario de procesos empresariales incluye dependencias e interdependencias. También proporciona una visión general de la organización/asignación de dependencias.
Puntos clave
-
Es beneficioso independientemente del enfoque, la metodología o el nivel de madurez de la gestión de la continuidad del negocio (BCM).
-
Mejora y fomenta una cultura de resiliencia.
-
Programas BCM maduros
-
Hace que los planes sean más seguros y accesibles.
-
Proporciona datos más fiables.
-
Facilita el mantenimiento y el seguimiento del programa.
-
Proporciona herramientas y flujos de trabajo para la gestión de programas.
-
Proporciona mejores comunicaciones en situaciones de crisis.
-
Proporciona inteligencia para la continuidad del negocio.
-
Se convierte en la única fuente de información veraz para todo lo relacionado con la gestión de la continuidad del negocio (BCM).
La continuidad del negocio es un ciclo continuo y Agility puede ayudar a su organización a mantener la resiliencia con un enfoque integral de la continuidad del negocio: planificar, formar, probar, alertar y recuperar.
Nota del Editor: Este post fue publicado originalmente en Preparis Business Continuity Software. En octubre de 2024, Mitratech adquirió Preparis, un proveedor líder de soluciones de planificación de continuidad de negocio y respuesta a emergencias. El contenido ha sido actualizado para reflejar la oferta ampliada de productos de Mitratech, los avances de la industria y los desarrollos regulatorios.
