Los Gestión de la Continuidad de Negocio (ISO 22301)

En un entorno para las empresas cada vez más complejo y volátil, donde los riesgos son elevados y la necesidad de adaptación a los cambios se ha convertido en una constante, contar un sistema o, al menos, procedimientos para garantizar la continuidad del negocio se plantea como una necesidad.

Dentro de este contexto la norma ISO 22301 marca una serie de requisitos para la implementación y mantenimiento de un Sistema de Gestión de la Continuidad de Negocio (SGCN) sirviendo de guía para las organizaciones para preparar, responder y recuperarse de incidentes disruptivos que puedan afectar a sus operaciones.

El Plan de Continuidad de Negocio permite a la organización recuperarse de una interrupción en sus operaciones, al detallar las acciones a seguir para minimizar en incidente y restaurar las actividades y procesos de la empresa en el menor espacio de tiempo posible.

La interrupción de las operaciones y procesos operativos y de gestión de una empresa tiene múltiples efectos como pérdidas financieras, daños en su reputación, pérdida de clientes y el último caso su quiebra. En este punto son muchos y variados los factores que pueden afectar a la continuidad de negocio siendo los más relevantes: los desastres naturales, los llamados incidentes humanos (errores, sabotaje, etc.), problemas de carácter técnico (fallos en sistemas informáticos, interrupciones del suministro eléctrico, fallos en las comunicaciones, etc.), ciberataques (que pueden comprometer la seguridad de los datos y los sistemas), crisis sanitarias (pandemias, epidemias, etc.), disrupciones en la cadena de suministro (falta de materiales, problemas logísticos, etc.) o situaciones de crisis económica (recesiones, elevada inflación, crisis monetarias, etc.).

La implementación por parte de las empresas de planes de continuidad de negocio permite:

-    La identificación y evaluación de riesgos, considerando las amenazas potenciales a las que la organización se enfrente así como su impacto potencial.

-   El desarrollo de planes de respuesta y recuperación, donde se establecen e implementan procedimientos para responder a los posibles incidentes y garantizar la restauración de las operaciones a la mayor brevedad posible.

-     La necesidad de comunicar y colaborar con nuestras partes interesadas para la gestión de la crisis de un modo coordinado y efectivo.

-     La mejora de la resilencia de la organización, al incrementar la capacidad de la empresa para resistir y recuperarse de los impactos negativos que puedan producirse.

La implementación de Planes de Continuidad de Negocio conlleva una identificación inicial de riesgos y análisis de impacto en el negocio (BIA) para lo cual se pueden emplear metodologías como análisis DAFO y análisis de escenarios de cara a localizar los riesgos más relevantes. Por otro lado se debe relacionar el impacto potencial de cada riesgo con nuestros procesos críticos de modo que se puedan establecer prioridades de actuación. En este punto la entidad debe priorizar la relevancia de los riesgos analizados considerando en todo momento los más críticos para el negocio.

La dinámica para su integración en la empresa pasa por tener el compromiso de la dirección con una visión clara y la asignación de recursos correspondientes para su implementación y mantenimiento. El trabajo requiere el análisis y la integración de las partes interesadas críticas en el desarrollo de nuestras actividades y la evaluación del conjunto de factores, tanto internos como externos, que pueden afectar a la continuidad de nuestro negocio.

Considerando el análisis efectuado, debemos desarrollar, por un lado actuaciones o medidas preventivas de cara a reducir la probabilidad o el impacto de los riesgos detectados y, por otro lado planes de respuesta detallados con objeto de garantizar nuestra respuesta en relación a los incidentes que se hayan identificado que deberán recoger las acciones programadas a corto y largo plazo. De igual modo se deben delimitar planes de recuperación (procedimientos operativos) para la restauración de las operaciones de la organización tras el incidente.

Los planes de respuesta establecidos deberán estar sometidos a pruebas periódicas para verificar su eficacia y la organización deberá organizar ejercicios de simulación parar valorar su capacidad efectiva. Estas dinámicas deberán ser periódicas y sus resultados deberán integrarse en la revisión periódica de los planes generados de cara a su mejora y adecuación continua.

Reseñarse que los planes de recuperación suelen marcar varias estrategias: de recuperación de la información (copias de seguridad, sistemas de almacenamiento, procedimientos de restauración, etc.), de sistemas (sistemas alternativos como cloud o servidores redundantes, procedimientos de configuración, etc.), de instalaciones (sitios alternativos de trabajo, procedimientos de reubicación, etc.), de proveedores (marcaje de proveedores críticos y planes de contingencia con ellos). Además suelen determinar dos variables de respuesta que son RTO y RPO, la primera delimita el tiempo máximo aceptable para la restauración de un proceso a un estado operativo. Por su parte el RPO marca la cantidad máxima de datos que se pueden “perder” por parte de la organización.

El entorno empresarial actual está en constante situación de cambio y los riesgos en relación a nuestras empresas delimitan la necesidad de que éstas cuenten con Planes de Continuidad de Negocio. Las organizaciones, y especialmente su directivos, deben ser conscientes de la necesidad de su implementación como herramienta de respuesta ante incidentes. La toma de conciencia de su necesidad por parte de la empresa y la organización de los recursos y su optimización es un factor clave para mantener la ventaja competitiva de cualquier entidad en el siglo XXI.

 

“Por cada minuto empleado en organizar, se gana una hora". Benjamin Franklin, político, científico e inventor estadounidense del s. XVII. Es considerado uno de los padres fundadores de los Estados Unidos.

 

 

Autor. J. Daniel Blanco