La resiliencia organizativa se logra combinando estratégicamente dos procesos clave. El enfoque más eficaz consiste en realizar conjuntamente un análisis del impacto en el negocio (BIA) y una evaluación de riesgos. Esto pondrá de relieve cómo ambos procesos se complementan para reforzar la resiliencia organizativa, desempeñando cada uno de ellos un papel único.
Nuestro reciente seminario web, «Análisis del impacto en el negocio frente a evaluaciones de riesgos: por qué debería hacer ambos», que puede descargar aquí, atrajo a una multitud récord de más de 200 asistentes. Esto pone de relieve la conciencia compartida sobre la importancia de la ciberseguridad, ya que un sorprendente 94 % expresó su preocupación por los ciberataques y las violaciones de seguridad. Sin embargo, un pequeño grupo (5-6 %) sigue sin estar seguro de la necesidad de una evaluación de riesgos. Algunos confían en sus prácticas actuales, mientras que otros encuentran el proceso abrumador. Como aspecto positivo, una mayoría significativa (76 %) ha participado en un análisis del impacto en el negocio (BIA). A pesar de ello, un pequeño 6 % sigue mostrándose reacio debido a conceptos erróneos sobre su complejidad, lo que refleja las preocupaciones sobre las evaluaciones de riesgos.
Estas ideas resaltan la necesidad de una educación y promoción integrales para desmitificar estos procesos y garantizar que todas las organizaciones puedan manejar de manera efectiva la compleja tarea de la gestión de riesgos.
Recurrimos a Kiana Freeman, experta de la CBCP, para desentrañar estas cuestiones.
P: ¿No es cierto que la calidad de una evaluación de riesgos depende del conocimiento que tenga la persona de los posibles riesgos? Por ejemplo, para realizar una evaluación de riesgos de ciberseguridad es necesario conocer todas las amenazas posibles, que pueden ser desconocidas o impensables. Es el problema de «solo sabes lo que sabes».(Director de soporte de Internet, servicios financieros)
Correcto; por eso se recomienda que varias personas de su agencia realicen una evaluación de riesgos de forma conjunta, como un esfuerzo de equipo. Para completar una evaluación de riesgos, se deben utilizar recursos como el USGS, los CDC, investigaciones académicas y muchos más. Al contar con varios participantes y utilizar múltiples recursos, la evaluación de riesgos incorporará una lista más sólida de peligros y amenazas. También puede recurrir a un consultor o a una plataforma de evaluación de riesgos que incorpore múltiples amenazas.
P: ¿Tiene algún ejemplo de cómo ha utilizado los resultados de un RA y un BIA? ¿Un mapa de calor?(Administrador de planes de BC, servicios financieros)
Los resultados de una evaluación de riesgos preparan a una organización para el éxito al comprender qué tipos de formación, ejercicios y estrategias de preparación necesita adoptar la agencia u organización. Antes de la COVID, la planificación para pandemias no siempre se incorporaba a la evaluación de riesgos. Esa laguna creó muchos problemas a las organizaciones cuando llegó la COVID. Una vez completada la evaluación de riesgos, la organización puede examinar las estrategias de mitigación, las políticas y las operaciones de respuesta para hacer frente a esa amenaza. Las evaluaciones de riesgos a nivel básico aumentan la conciencia situacional de los empleados sobre los tipos de amenazas/peligros que deben tener en cuenta. Un mapa de calor es una excelente manera de obtener la aceptación de las partes interesadas, las juntas directivas y los responsables de la toma de decisiones de una organización. La representación visual en color pone en perspectiva las amenazas/peligros para aquellos que no trabajan a diario en el ámbito de los desastres.
Los resultados de un análisis de impacto empresarial preparan a una organización o agencia para comenzar a desarrollar planes operativos para responder a un incidente. Es uno de los primeros pasos en la elaboración de un plan de continuidad y es fundamental para ayudar a definir las deficiencias de una agencia. De este modo, la agencia sabe qué deficiencias debe subsanar para que no se produzcan retrasos cuando se produzca un incidente.
P: Cada línea de negocio tendrá una visión subjetiva del riesgo y la criticidad. ¿Cómo puede una empresa desarrollar un lenguaje común dentro de este espacio de «riesgo» para que, cuando una línea de negocio declare un proceso crítico, este se alinee con otros procesos críticos con una magnitud cuantitativa de impacto similar?(Director de Gestión de Crisis, Servicios Profesionales)
Aunque el nivel de riesgo y criticidad variará de una organización a otra, el lenguaje es similar en todos los sectores. Es importante establecer definiciones y acuerdos claros con su organización sobre el lenguaje que se utilizará antes de realizar una evaluación de riesgos o un análisis del impacto en el negocio. Muchos consultores crean un glosario o una lista de términos para una organización con el fin de garantizar que todas las personas, independientemente de su ubicación, utilicen el mismo lenguaje. También es importante aclarar la terminología con las partes interesadas y los socios para garantizar que todas las partes estén en sintonía. Las evaluaciones de riesgos y los BIA no deben ser realizados por un solo departamento o persona. Deben completarse como un esfuerzo de equipo para garantizar que todos estén en sintonía con el lenguaje, el nivel de riesgo y la criticidad de ese riesgo.
P: Muchas organizaciones practican la táctica de «esconder la cabeza bajo el ala» para abordar la gestión de riesgos. Ignorar los riesgos puede ser fatal para las empresas. ¿Cuál es el mejor enfoque para superar la resistencia de aquellos que limitan nuestra capacidad para llevarla a cabo? ¿Cómo demostramos el retorno de la inversión? (Vicepresidente, sector desconocido)
Desarrollar una evaluación de riesgos no siempre es una prioridad para todos. Es importante compartir con las partes interesadas las estadísticas disponibles sobre cuánto dinero pierden las organizaciones si no cuentan con evaluaciones de riesgos, planes y formación adecuados. Iniciar conversaciones importantes desde el principio y con frecuencia es una de las mejores estrategias para que todos piensen en las evaluaciones de riesgos. Los estudios de casos son una herramienta excelente para hablar sobre las evaluaciones de riesgos y la importancia de implementar este proyecto.
P: ¿Qué tipos de formación o certificaciones recomienda para formar y ampliar los conocimientos en el «mundo» de la continuidad del negocio, tanto para empleados nuevos como para empleados con experiencia?(Gerente de TI, servicios financieros)
Hay muchos recursos que se pueden utilizar en el mundo de la continuidad del negocio. La certificación Certified Business Continuity Professional (CBCP) es una de las certificaciones que ofrece el Disaster Recovery Institute International (DRII) y que las personas pueden obtener tras completar un proceso. Muchas organizaciones, como Preparis, cuentan con profesionales con la certificación CBCP que ayudan a crear programas de formación y aportan sus conocimientos sobre cómo aumentar la resiliencia de una organización.
P: ¿Existe una lista de posibles riesgos que las organizaciones deberían tener en cuenta?(Analista de gestión de registros y continuidad del negocio, servicios financieros)
Aunque las evaluaciones de riesgos no son iguales para todos, muchos consultores recomiendan tener en cuenta cuatro categorías principales de amenazas con múltiples tipos de peligros en cada categoría. Estas categorías son:
- Desastres naturales (huracanes, terremotos, tormentas invernales, etc.)
- Impacto humano (amenaza de bomba, amenaza activa, violencia en el lugar de trabajo, etc.)
- Tecnológico/cibernético (ciberataques, ransomware, fallos del sistema, cortes de energía, etc.)
- Operaciones comerciales (interrupción de la cadena de suministro, huelga de empleados, riesgo de proveedores, etc.)
P: ¿Cómo se define una COOP frente a un BCP?(Proveedor de servicios médicos)
La planificación de la continuidad de las operaciones ( COOP) y los planes de continuidad del negocio (BCP) presentan pequeñas diferencias en sus elementos según el tipo de industria. Las agencias gubernamentales suelen utilizar la COOP, ya que el Departamento de Seguridad Nacional la ha establecido en la FEMA, mientras que las organizaciones privadas pueden utilizar la BCP. Es importante consultar con su agencia y su seguro para conocer sus requisitos a la hora de establecer sus planes. Algunas organizaciones financieras pueden exigir una BCP y planes de recuperación ante desastres debido a sus normativas en materia de seguros.
P: Quizás se me haya pasado por alto, ¿disponen de plantillas para que podamos empezar?(Gerente sénior de Resiliencia Empresarial, Ingeniería de Software)
Preparis dispone de una serie de recursos que pueden servirle para empezar. Nuestras plantillas para ejercicios de simulación se pueden descargar aquí. ¡No espere más! Capacite a su equipo para que pueda hacer frente a las complejidades de las amenazas cibernéticas con resiliencia y precisión.
Nota del editor: Este post fue publicado originalmente en Preparis Business Continuity Software. En octubre de 2024, Mitratech adquirió Preparis, un proveedor líder de soluciones de planificación de continuidad de negocios y respuesta a emergencias. El contenido ha sido actualizado para reflejar la oferta ampliada de productos de Mitratech, los avances de la industria y los desarrollos regulatorios.
