El objetivo de un Plan de Continuidad de Negocio BCP por sus siglas en inglés, es garantizar que los productos y servicios críticos de la organización se mantengan en marcha ante eventualidades de diversas categorías y niveles de impacto.
En México, se estima que 80% de las empresas cuenta con un plan de continuidad, el restante 20% no tiene uno porque considera que no puede costearlo, de acuerdo con datos del “Sondeo KPMG COVID-19: De la sobrevivencia a la recuperación”.
No obstante las cifras estimadas, Jesús Luna, socio líder de Asesoría en Auditoría Interna y Gestión de Riesgo Empresarial de KPMG en México, afirmó que “una proporción relevante tenía una preparación limitada, lo que obligó a enfrentar el problema sin la debida previsión, ajustando sus protocolos y acciones conforme fueron evolucionando las noticias y medidas indicadas por las entidades correspondientes”.
Cuatro aspectos básicos de un Plan de Continuidad de Negocio
Tener un BCP es contar con un Plan B que permita prevenir, protegerse y reaccionar. KPMG indica que las empresas que tengan capacidad de respuesta más ágil ante una crisis serán las que seguirán siendo competitivas, incluso después de un evento disruptivo. En el blog del Instituto Nacional de Ciberseguridad, entidad española, afirman que contar con un BCP es un aspecto fundamental para mejorar la resiliencia de una empresa.
El estándar ISO 22301 define a la continuidad del negocio como la capacidad que tiene una organización para continuar ofreciendo productos o servicios en los niveles predefinidos aceptables tras incidentes de interrupción de la actividad.
Es posible señalar cuatro aspectos clave en un Plan de Continuidad de Negocio o BCP:
- Identificar y ordenar las amenazas. Puede usarse una lista con los incidentes capaces de interrumpir la actividad de la compañía. Aquí hay que considerar fenómenos naturales y situaciones provocadas por personas.
- Analizar el impacto en la empresa, luego de determinar las áreas de la compañía que serían críticas para su supervivencia. En este punto también es importante calcular cuánto podría resistir la empresa antes de que la falta de una función específica pueda provocar un impacto grave. Esto ayudará a establecer prioridades acerca de las funciones que no pueden parar ante una crisis. Para realizar el análisis de riesgos, el Centro de Respuesta a Incidentes de Seguridad recomienda clasificar los activos en seis categorías: Operaciones: facturas, nóminas, fabricación; Inventario: stock, pedidos, entregas; Equipo: computadoras, servidores, teléfonos, mobiliario; Edificio: oficina, almacén, taller; Personas: empleados, clientes, proveedores; Información: documentos, bases de datos, copias de seguridad.
- Crear un plan de respuesta y recuperación. Como extensión del análisis previo, hay que recabar datos de los bienes que estén involucrados en las funciones críticas. En cuanto a los equipos, es muy importante tener sus números de serie, los acuerdos de licencia, las garantías y la información de los contactos para saber a quién habría que llamar en cada categoría de incidente. En esta parte, el BCR se relaciona con otro tipo de plan: el de comunicación de crisis, para tener en consideración quién es vocero de la compañía y podría dar un mensaje público si fuera necesario.
- Probar el plan y evaluar el análisis. Los expertos en administración de BCR recomiendan evaluar el plan y probarlo con simulaciones por lo menos una vez al año. Aquí es necesario hacer análisis paso a paso de las situaciones que podrían presentarse y hacer simulaciones.
Opciones en el mercado
Existen soluciones para administrar los BCP, conocidas como BCM por sus siglas en inglés. En 2018, este mercado alcanzó un valor de $360 millones de dólares, con una tasa de crecimiento anual compuesto (CAGR) proyectada de 15.6% en los próximos cinco años, de acuerdo con VynZ Research.
Por otro lado, MarketWatch señala que los principales proveedores de soluciones y servicios en el segmento de continuidad de negocio y recuperación en caso de desastres son IBM, Microsoft, Sungard as, Iland, Infrascale, Bluelock, Recovery Point y NTT Communications.
Tres testimonios de BCP en el mundo real
Ante la pandemia de Covid-19, las organizaciones tuvieron que hacer frente a desafíos cuya dimensión no estaba considerada ni en el BCP más extremo.
Las organizaciones se han enfrentado a la necesidad de formalizar procesos y políticas para mitigar la problemática y mantener la operación. Durante la mesa redonda “Planes de continuidad y las lecciones del Coronavirus”, Darío García Montes de Oca, CIO de Manpower América Latina, afirmó que los sistemas de la compañía fueron flexibles, pero esto no fue un acto fortuito, ni fue por casualidad. Se habían preparado a lo largo del tiempo.
Por su parte, Julio Castañeda, oficial de Seguridad de Accendo Banco, dijo que en esta institución prueban dos veces al año el BCP (por regulación, las instituciones financieras deben hacerlo una vez al año). Castañeda indicó que uno de los escenarios de desastre que considera un BCP es el de pandemia. Y, aunque en en el banco tenían los elementos definidos para poder trabajar subsanando el incidente, tuvieron que incrementar elementos como las VPN, que estaban definidas para un grupo específico de personas. También ampliaron algunos anchos de banda hacia sus principales centros de cómputo.
“Este escenario nos obligó a enfrentar nuevos retos, hubo que tomar medidas extraordinarias y excepcionales de manera urgente y, al mismo tiempo, poco planeada”, indicó.
Ante la prolongación del aislamiento social, en el Grupo Financiero Intercam, su vicepresidente de Tecnología, Valentín Martínez, señaló que están introduciendo firma electrónica y planean implementarla en todo el país, para que la gente pueda abrir cuentas sin tener que acudir a las sucursales.
En marzo, luego de que el Gobierno federal restringiera la movilidad en los sectores público, privado y social, los tres principales objetivos de la Alta Dirección reflejados en el sondeo de KPMG fueron brindar certidumbre a colaboradores y clientes, 65%; garantizar la permanencia, 52% y evitar pérdidas que pusieran en riesgo la continuidad del negocio, 46%.
Administrar la continuidad del negocio es un proceso de gestión que provee una estructura para construir confiabilidad y capacidades para dar respuesta a la situación y proteger los intereses de los accionistas, la reputación, la marca y las actividades de creación de valor. Por eso es importante mantener el BCP al día. Sin embargo, ante la inédita situación provocada por la pandemia, García Montes de Oca reconoció que nunca habían pensado en un esquema BCP que afectara a todos los empleados. “Ni siquiera en el sismo de hace un par de años estuvimos así. No hay BCP que cubra condiciones como las que enfrentamos”.