En un mundo cada vez más interconectado y en constante cambio, es fundamental que su organización revise periódicamente sus planes de continuidad del negocio. Hay ciertas medidas que se deben tomar y otras que se deben evitar. Las estrategias empresariales y operativas globales evolucionadas añaden nuevos riesgos de interrupción del negocio a una lista cada vez mayor de amenazas. Crear operaciones resilientes y recuperables es más difícil de implementar cuando el tiempo es limitado y los retos se avecinan. Aparte de todos los elementos que hay que tener en cuenta al diseñar una estrategia de continuidad del negocio, la clave para un plan de continuidad del negocio exitoso radica en crear un plan bien pensado y probarlo en toda la organización.
Este artículo describirá los principios rectores y los elementos clave de un plan de continuidad del negocio, explicará los factores desencadenantes de incidentes de continuidad y profundizará en lo que se debe y no se debe hacer para elaborar un plan de continuidad del negocio.
Perspectivas recientes
Las amenazas a la continuidad de las operaciones comerciales han ido en aumento durante los últimos dos años. Investigaciones recientes confirman que los incidentes cibernéticos, la interrupción de las actividades comerciales, los cambios en las regulaciones y las catástrofes naturales son los principales riesgos comerciales de este año.
Al igual que existen muchos tipos de amenazas que pueden interrumpir sus operaciones, hay muchos escenarios diferentes en los que pueden desarrollarse estos acontecimientos indeseados. A menudo denominados «desencadenantes de la continuidad» (un acontecimiento que puede impedir el desarrollo normal de su actividad empresarial), estos incidentes van desde un acontecimiento planificado o un problema de reputación hasta una interferencia en la cadena de suministro de un proveedor o una lesión entre el equipo directivo.
Entre los desencadenantes más comunes de incidentes de continuidad se encuentran:
-
Eventos previstos o planificados (condiciones meteorológicas, eventos planificados que podrían resultar perturbadores, pandemias o problemas de salud pública).
-
Incidentes en la «oficina» (daños o interrupciones en el edificio, impacto en otras operaciones, lesiones o fallecimiento de empleados, violencia en el lugar de trabajo).
-
Acusaciones públicas contra la empresa o los medios de comunicación / preocupaciones relacionadas con la reputación.
-
Incidentes críticos con proveedores o distribuidores
-
Cambios significativos en los mercados financieros
-
Operaciones importantes relacionadas con la tecnología de la información o problemas de infraestructura (dependiendo del alcance y la duración prevista).
-
Incidentes o violaciones graves de la seguridad de la información basados en la tecnología, las operaciones o las prácticas comerciales.
-
Lesiones o fallecimiento de un miembro de la dirección de la organización.
Principios rectores para la planificación de la continuidad del negocio
Aunque cada sector puede tener requisitos diferentes y aspectos únicos, un plan de continuidad del negocio proporciona orientación para las situaciones imprevistas de cualquier empresa. Cuando se le encomiende la tarea de elaborar una estrategia de continuidad del negocio para su organización, aborde el proceso de planificación siguiendo los siguientes pasos y teniendo en cuenta estas medidas:
-
Céntrate en el IMPACTO, no en la causa. Determina los pasos a seguir, con miembros del equipo designados para dirigir el grupo de trabajo, al responder a los siguientes escenarios:
–Pérdida del lugar de trabajo
–Interrupción tecnológica, de seguridad o de proveedores
–Implicaciones legales, financieras o normativas
–Impacto en la reputación
–Seguridad de la plantilla -
Utilice un enfoque «para todo tipo de riesgos». Esto significa que debe considerar e identificar todos los riesgos potenciales que podrían afectar a sus operaciones, y evaluar las vulnerabilidades y los posibles impactos. Los planes para todo tipo de riesgos abordan los recursos disponibles y las medidas que deben tomarse antes y después de que se produzca una emergencia. Su objetivo es garantizar el bienestar de las personas, minimizar los daños a los bienes de la empresa y eliminar el tiempo de inactividad de las operaciones. Con el enfoque para todo tipo de riesgos, las empresas pueden llevar la preparación para emergencias a un nivel más eficaz y escalable.
-
Asegúrese de que exista y se comprenda una estructura de «mando y control». Según la definición de la OTAN, el mando y control es el ejercicio de la autoridad y la dirección por parte de una persona debidamente designada sobre los recursos asignados para el logro de un objetivo común.
-
Asegúrese de que todos comprendan su función y estén preparados para actuar. Realizar un simulacro teórico es la forma más eficaz de organizar a los miembros del equipo y garantizar que todos conozcan sus responsabilidades durante una emergencia.
-
Priorizar los procesos empresariales: lo primero es lo primero.La realización de un análisis del impacto empresarial debeservir para evaluar los objetivos críticos de tiempo de recuperación (RTO) de cada departamento y establecer una comprensión global de las necesidades empresariales fundamentales.
-
Elabora planes «viables» y mantenlos actualizados.
-
Centrarse en la continuidad de las operaciones, lo cual supone un esfuerzo por parte de cada departamento para garantizar que todos los procesos críticos sigan realizándose durante un evento imprevisto o una interrupción.
-
Concienciar a toda la organización y hacer ejercicio con regularidad.
Marco de continuidad del negocio
El marco de continuidad del negocio de su empresa es fundamental para su éxito. Los componentes respectivos de su marco pueden parecer diferentes para cada negocio, pero los objetivos subyacentes son siempre los mismos:
- Protegerse contra los riesgos de interrupción (Prevención)
- Restablecer las operaciones tras una interrupción (Respuesta)
Un marco general de continuidad del negocio define una estructura para la respuesta, la continuidad de las operaciones y el retorno a la normalidad. Los planes se desarrollan utilizando un enfoque «para todo tipo de riesgos» y se centran en el impacto sobre la ubicación, las personas, la tecnología, los proveedores o la reputación.
Creación de un plan de continuidad del negocio
Su BCP es el plan maestro para su marco de continuidad empresarial. Debe ser un documento completo almacenado en un lugar centralizado al que cualquier miembro del equipo de continuidad empresarial pueda acceder en cualquier momento y desde cualquier lugar. Un plan sólido debe describir todos los componentes críticos y actualizarse con la frecuencia necesaria para ayudar a su organización a mantenerse al día con las normativas de cumplimiento y los cambios en el sector.
1. Definir
Comience el proceso de planificación definiendo exactamente qué plan necesita o requiere su organización y, a continuación, priorice todos los procesos empresariales críticos mediante un análisis de impacto empresarial (BIA). Lo ideal es que cada departamento de su organización cuente con un plan de continuidad del negocio (BCP), ya que todos ellos tienen procesos empresariales importantes que les son específicos. A su vez, estos planes alimentan un BCP para toda la organización.
Por supuesto, el número y el alcance de los planes de continuidad del negocio vienen determinados por la organización y la estructura empresarial, pero esta lógica se aplica a cualquier tipo de negocio. Su estrategia puede abarcar varios departamentos que, a su vez, también deben contar con sus propios planes específicos, ya que cada departamento tiene sus propios procesos empresariales esenciales que deben tenerse en cuenta.
2. Priorizar y planificar
Para este paso, tenga en cuenta la siguiente lógica de acciones:
-
Priorizar los procesos en cada departamento en función del impacto empresarial (financiero, cliente, miembro, empleado, marca/reputación, prestación de servicios, cumplimiento normativo o regulatorio).
-
Identificar los requisitos de continuidad desdeuna perspectiva empresarial para cada proceso (0-24 horas, 2-5 días hábiles, 6+ días hábiles).
-
Detalle cualquier fecha crítica(no rutinaria, que pueda alterar los requisitos de continuidad).
-
Definir la(s) estrategia(s) para continuar con la actividad empresarial (trabajo desde casa, espacio alternativo, otra oficina, suspensión o retraso).
-
Requisitos de continuidad del catálogo(asignación de personal, información clave sobre proveedores y alternativas, requisitos tecnológicos y soluciones alternativas, registros vitales, equipos especiales, etc.)
Recuerde que los resultados del análisis del impacto en el negocio (BIA) proporcionan la base para una planificación eficaz de la continuidad, centrada en las prioridades empresariales.
Un plan de continuidad del negocio debe proporcionar un «manual» que describa los pasos necesarios para continuar con la actividad empresarial en caso de CUALQUIER interrupción en las operaciones normales. En cuanto a lo que debe incluir en su plan y lo que debe evitar al planificarlo, le sugerimos lo siguiente:
| Qué hacer | NO HAGAS |
| Haz que tu plan sea viable. | Sin aspiraciones |
| Escenario independiente | No depende del escenario. |
| Haz de tu plan una guía. | No es un procedimiento. |
| Centrarse en la continuidad de las actividades diarias. | No es un plan de recuperación a largo plazo. |
| Definir estrategias de continuidad. | No esperes para decidir. |
Un BCP sólido también debe incluir:
- Procesos empresariales
Los procesos, su prioridad y cuándo deben continuar para «mantener el negocio en funcionamiento».
- Fechas importantes
Fechas importantes periódicas que podrían modificar las prioridades de continuidad.
- Asignación de empleados
Calendario de implementación y lugar de trabajo de cada empleado.
- Tareas de continuidad
Lo que hay que hacer: el mismo día, en un plazo de 24 horas, en los próximos 2-5 días o en más de 6 días.
- Proveedores clave
Quiénes son, qué ofrecen, cómo contactar con ellos.
- Dependencias tecnológicas
¿Qué tecnologías se necesitan y cuándo?
- Registros vitales
¿Qué «registros» (normalmente en papel) habría que reproducir para continuar con las operaciones?
- Equipo especial
Cualquier equipo especial necesario para ejecutar procesos prioritarios.
3. Validar
Una vez que hayas formado tu equipo y creado un plan, asegúrate de validar la estrategia en todos los ámbitos.
-
Todos los miembros de la empresa deben conocer su función y sus responsabilidades; no dé por sentado que las conocen.
-
No basta con centrarse únicamente en la tecnología.
-
Valide sus estrategias de continuidad.
-
¿Puedes llevar a cabo tus planes? ¿Funcionan?
-
Céntrate en la pregunta: «¿Puedo mantener mi negocio en funcionamiento?»
-
Justo lo necesario para mantener el negocio en marcha, alternativas mínimas, etc.
-
No es una prueba de aprobado/suspenso; es un ejercicio de aprendizaje... las lagunas son buenas.
En conclusión
Hoy en día, hay diferentes factores que impulsan la continuidad del negocio. El creciente número de interrupciones en el sector ha puesto de manifiesto la necesidad de desarrollar planes de resiliencia más sólidos. Las directrices normativas exigen ahora claridad en la estrategia de resiliencia de terceros críticos, así como convertir a su organización en un socio resiliente. El mayor énfasis en la gobernanza, la gestión de riesgos y el cumplimiento normativo (GRC) en toda la empresa empuja a las organizaciones a reducir los costes de cumplimiento y a proporcionar una mejor visión de los riesgos. Los clientes esperan tener acceso a los productos y servicios las 24 horas del día, los 7 días de la semana, gracias a las nuevas tecnologías que ofrecen productos competitivos y personalizados. La tolerancia de los reguladores ante el tiempo de inactividad de los sistemas críticos también está disminuyendo. Por último, la identificación rápida y la respuesta interna/externa a las emergencias pueden proteger y aumentar el valor y la reputación de la marca.
Nota del editor: Este post fue publicado originalmente en Preparis Business Continuity Software. En octubre de 2024, Mitratech adquirió Preparis, un proveedor líder de soluciones de planificación de continuidad de negocios y respuesta a emergencias. El contenido ha sido actualizado para reflejar la oferta ampliada de productos de Mitratech, los avances de la industria y los desarrollos regulatorios.
