Gestión de la continuidad de las actividades

Hoy en día, la gestión de la continuidad de las actividades no sólo se ocupa de la seguridad de los sistemas informáticos, sino de todos los recursos importantes que son cruciales para la supervivencia de una empresa en caso de emergencia...

La gestión de la continuidad de las actividades (BCM) ha evolucionado con el tiempo, pasando de ser una precaución puramente técnica para los fallos de los sistemas informáticos en los años 80 a convertirse en un sistema de gestión global. Hoy en día, la BCM no sólo se ocupa de salvaguardar los sistemas informáticos, sino todos los recursos importantes que son cruciales para la supervivencia de una empresa en caso de emergencia. Algunos principios y procedimientos importantes se han establecido con el tiempo y se explican a continuación.

El concepto del peor de los casos

A la hora de establecer un sistema de gestión de la continuidad de las actividades (SGCN), se aplica el denominado concepto del peor de los casos. En este caso, la planificación no se basa en la causa de la pérdida de recursos, sino en el resultado, es decir, la pérdida de edificios, personal en procesos con plazos críticos, TI, servicios/entregas e instalaciones de producción. La causa de una posible pérdida no es el centro de las consideraciones.

El ciclo de vida de la BCM

Basado en el modelo BCM del Business Continuity Institute (BCI) y en los requisitos de la norma ISO para BCM (ISO 22301), el ciclo de vida de la BCM consta de seis fases. Incluyen dos fases de gestión y cuatro fases de aplicación. Las fases de gestión representan las principales tareas de los responsables de la GCN, mientras que las fases de implantación se realizan en colaboración con distintos departamentos de la empresa. El planteamiento es más pragmático y debería permitir una aplicación eficaz del sistema de gestión de la cadena de suministro.


Fuente: The six phases of the BCM lifecycle (adaptado de The Business Continuity Institute)


GESTIÓN FASE 1: GESTIÓN DE POLÍTICAS Y PROGRAMAS

En la primera fase del ciclo de vida de la GCN, se diseña el programa de GCN de la empresa u organización. La política de gestión de la continuidad de las actividades se define en relación con los requisitos de la gestión de la continuidad de las actividades y se establece por escrito. La política debe ser comprensible y breve (de 10 a 15 páginas) y describir a grandes rasgos la motivación, los objetivos, las responsabilidades y la aplicación prevista. Esta política es firmada por los más altos niveles directivos y comunicada a todos los empleados para sentar las bases de la aplicación del programa de continuidad de la actividad. En el siguiente paso, el gestor de BCM elabora la política perfeccionando el marco en forma de descripciones de procesos y descripciones de tareas. A continuación se desarrollan las herramientas y plantillas necesarias para apoyar la gestión del programa. La gestión del programa se basa en la política de BCM y la aplica en la práctica.

GESTIÓN FASE 2: ANcorage

La fase de anclaje en el ciclo de vida de la gestión de la continuidad de las actividades tiene por objeto concienciar a toda la organización sobre la gestión de la continuidad de las actividades e integrarla en los procesos existentes. Con este fin, se está desarrollando un programa de formación y sensibilización para todos los empleados. Además, los principios de la GCN deben integrarse en el mayor número posible de procesos de la organización, por ejemplo en el proceso de incorporación de nuevos empleados o en las listas de comprobación de grandes proyectos. La integración de los aspectos de la GCN en los procesos empresariales debería aumentar la resistencia de la organización.

FASE DE APLICACIÓN 1: ANÁLISIS

La fase de análisis es una parte importante del ciclo de vida de la GCN, ya que constituye la base de las demás fases. En esta fase se examinan los procesos empresariales de la empresa para determinar cuáles son absolutamente necesarios para mantener las operaciones. Esta información se utiliza después para priorizar las operaciones de emergencia. Además, la fase de análisis examina y evalúa las amenazas que pueden afectar a la empresa. Estas amenazas se identifican en forma de análisis de amenazas y los resultados se utilizan para eliminar posibles vulnerabilidades y encontrar recursos alternativos. La fase de análisis permite comprender mejor las amenazas y los riesgos de la empresa y elaborar una estrategia de GCN más adecuada y eficaz.

FASE DE APLICACIÓN 2: DISEÑO

Durante la fase de análisis, se identifican los procesos empresariales críticos en el tiempo, se determinan sus dependencias y se establece el impacto en diferentes escenarios de pérdida. En la fase de diseño, se identifican, evalúan y seleccionan por parte de la dirección soluciones para escenarios como el fallo del edificio, del personal, de las TI y del proveedor de servicios. Estas soluciones consisten en medidas organizativas y técnicas que ayudan a minimizar los riesgos que surgen en caso de siniestro. Estas medidas se utilizan tanto de forma proactiva como reactiva para limitar el alcance de los daños y prevenir una amenaza existencial para la empresa. Al final de la fase de diseño, las opciones de solución para cada ubicación deben resumirse en un concepto que se presenta a la dirección, incluido un análisis coste-beneficio, como base para la toma de decisiones.

FASE DE APLICACIÓN: APLICACIÓN

Durante la fase de implantación, se formulan los planes de continuidad de la actividad (PCC) basados en las soluciones seleccionadas. En función del tamaño y la complejidad de la empresa, se crea un plan común para todos los escenarios o planes individuales para cada escenario. Estos planes orientan a las zonas afectadas en caso de incidente crítico y garantizan que la reanudación se produzca lo antes posible dentro de los plazos previstos. Los PCB contienen información detallada sobre prioridades, procedimientos, responsabilidades y recursos necesarios para gestionar una situación de crisis y restablecer la normalidad de las operaciones lo antes posible. Además, esta fase define la organización para hacer frente a una crisis, incluyendo un equipo de crisis, un equipo de asistencia y servicios (AST) y equipos operativos de respuesta.

FASE DE APLICACIÓN 4: VALIDACIÓN

La fase final del ciclo de vida de la Gestión de la Continuidad de Negocio (BCM), la validación, se divide en tres áreas: Pruebas/ejercicios, mantenimiento y revisión.

Los planes de estructura de respuesta desarrollados se revisan anualmente en pruebas y ejercicios reales a todos los niveles para identificar errores y mejorar las soluciones y los planes.

El mantenimiento se refiere a la revisión y actualización periódicas de los documentos.

La revisión sirve para garantizar la calidad e incluye autoevaluaciones, auditorías internas o externas, controles aleatorios por parte del gestor de la BC, revisiones de proveedores y prestadores de servicios críticos y revisiones anuales por parte de la dirección basadas en informes del gestor de la BC.

Establecimiento y funcionamiento de un BCMS

La implantación de un Sistema de Gestión de la Continuidad de las Actividades (BCMS) es compleja y requiere una cantidad nada desdeñable de recursos humanos. Es importante distinguir entre la creación y el funcionamiento del BCMS. Para simplificar la puesta en marcha, es aconsejable recurrir a expertos externos si no hay personal interno con los conocimientos necesarios. Para el funcionamiento del BCMS, es necesario proporcionar un puesto a tiempo completo para un gestor de BC para empresas medianas con 1000 empleados en un solo centro. Los centros más pequeños pueden funcionar con menos personal.

Para un proyecto de implantación, debe preverse un año para completar el ciclo de vida de la BCM. Esto evita que la organización se vea sobrecargada y se ajusta de forma óptima al ciclo de vida de la BCM.

Gestión de la continuidad de las actividades e interfaces con otras disciplinas

Existe un concepto erróneo sobre lo que realmente implica la BCM, ya que no todo lo que se denomina BCM lo es en realidad. Aquí hay que hacer algunas distinciones:

BCM y Gestión de la Continuidad del Servicio de TI (ITSCM)

La Gestión de la Continuidad de los Servicios de TI (ITSCM) es una subárea de la BCM que se utiliza de forma proactiva para protegerse de los fallos de TI y sus riesgos. El ITSCM tiene sus orígenes en los años 80, cuando se desarrollaron los conceptos de recuperación en caso de catástrofe. Al igual que la BCM, la ITSCM también se aplica a lo largo de un ciclo de vida prácticamente congruente con el de la BCM. ITSCM se centra en unos pocos escenarios de fallo técnico, como el fallo de un centro de datos, la inaccesibilidad de un centro de datos y el fallo de las conexiones de red. Se basa en los resultados del análisis de impacto de negocio BCM y presta especial atención al tiempo de recuperación necesario de un servicio de TI. Sobre esta base, se desarrollan conceptos de solución, que se siguen procesando en el curso posterior del ciclo de vida de ITSCM.

BCM Y GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (ISM)

La interfaz entre la GCN y la Gestión de la Seguridad de la Información (GSI) se deriva de la subárea de la GCN relativa a los servicios informáticos (GSI). La seguridad de la información se centra principalmente en el cumplimiento de los objetivos de seguridad definidos para los datos corporativos. Los objetivos de seguridad más conocidos son el cumplimiento de la confidencialidad, la integridad, la continuidad y la autenticidad de la información. A la hora de construir un sistema IGS, se realiza un análisis de las necesidades de protección, que a su vez proporciona resultados para el análisis de carencias del ITSCM.... Dado que el ITSCM no se ocupa de escenarios como los ataques de hackers, es importante aclarar con el ISM quién planifica estos escenarios. Desde el punto de vista de la gestión de la cadena de suministro, un fallo informático implica desarrollar soluciones manuales o procedimientos técnicos alternativos. Sin embargo, si un ataque tiene éxito, deben existir planes que describan cómo reaccionará la organización tras dicho ataque.

BCM Y GESTIÓN DE CRISIS

La gestión de crisis (GC) entra en acción cuando la gestión de la continuidad de la actividad (GCN) llega a sus límites y tiene que gestionar una crisis que la GCN no ha podido evitar. Este puede ser el caso cuando una perturbación o un incidente crítico desemboca en una crisis debido a la falta de recursos disponibles o a la superación del plazo predefinido. Dado que los escenarios que aborda la BCM (fallo de edificios, personal, TI y proveedores de servicios críticos) suelen ser también incidentes críticos, tiene sentido implicar a la organización de crisis lo antes posible. La organización de crisis se divide en áreas estratégicas (equipo de crisis), tácticas (equipo de asistencia y servicios, centro de situación en caso necesario) y operativas (equipos de respuesta de los departamentos especializados).

En caso de crisis, la gestión de crisis asume el liderazgo estratégico y la coordinación táctica. La BCM prepara los planes de continuidad de la actividad que activa el equipo de crisis en caso de crisis. Una buena comunicación dentro y fuera de la organización es crucial para ambos sistemas (BCM y CM) y debe tenerse en cuenta en la planificación. La BCM es un sistema de gestión eminentemente preventivo que proporciona planes de continuidad de la actividad y prepara a los equipos operativos para las crisis mediante ejercicios. El equipo de crisis toma el relevo a nivel estratégico cuando los planes de BC no son suficientes, cuando se producen situaciones no cubiertas por la BCM o cuando los recursos de emergencia no funcionan.

  ¿Cuál es el objetivo de la gestión de la continuidad del negocio?

  • La GBC identifica las amenazas potenciales y minimiza los riesgos resultantes. 

  • Fomentar la resiliencia de la organización y preparar una respuesta ante el peor de los escenarios gracias a los procedimientos establecidos para posibles pérdidas de recursos críticos (empleados, edificios, TI y proveedores). 

  • Garantizar la continuidad de los procesos empresariales en los que el tiempo es un factor crítico mediante el desarrollo de planes de contingencia utilizando métodos analíticos, relevando al personal durante una crisis y estableciendo prioridades para el retorno a las operaciones normales.

  • Cumplimiento de los requisitos dentro de la organización, así como los de los clientes y otras partes interesadas. 

  ¿Cómo puede ayudar a mi empresa la gestión de la continuidad del negocio?

Para ofrecer continuamente productos, servicios y prestaciones al mercado y mantener satisfechos a los clientes, la BCM ayuda a comprender mejor la organización para estar mejor preparados con medidas reactivas para el peor de los casos. Una BCM eficaz complementa la gestión de riesgos existente en la organización y garantiza el mantenimiento de un nivel aceptable de operaciones de emergencia en caso de emergencia o crisis.
Una organización de BCM ayuda a prepararse para esta situación. Para ello, es imprescindible que la dirección asigne recursos humanos, técnicos y financieros suficientes para cumplir los objetivos de la gestión de la continuidad de las actividades. La organización de gestión de crisis y emergencias aplica el sistema de gestión de crisis y emergencias estableciendo las estructuras, procesos, métodos y herramientas necesarios para prepararse ante emergencias y crisis.

  Beneficios de la gestión de la continuidad de negocio para las empresas.

  • Identificación de amenazas actuales y futuras y provisión de procesos de respuesta eficaces. 

  • Fortalecer la capacidad de resistencia de la organización.

  • Evite o minimice el impacto de la interrupción de los procesos de negocio.

  • Mantenimiento de las tareas y procesos esenciales en el peor de los casos.

  • Minimice el tiempo de inactividad y acorte los tiempos de reinicio.

  • Cumplimiento de los requisitos legales, reglamentarios y del cliente.

  • Demostró capacidad de reacción ante clientes y proveedores y en el caso de la diligencia debida. 

  Preguntas frecuentes

¿Qué es la BCM?
La Gestión de la Continuidad de Negocio es un proceso de gestión holístico que identifica las amenazas potenciales para una organización y el impacto en las operaciones regulares del negocio y minimiza los riesgos. La BCM refuerza la resistencia de la organización mediante una respuesta eficaz, evitando así la interrupción de la actividad empresarial.
 
¿Por qué es importante la BCM?
BCM garantiza que los procesos empresariales críticos en el tiempo puedan continuar en caso de incidente. En tal caso, el rendimiento de la empresa debe alcanzar el nivel definido en caso de crisis. Además, hay que proteger el bienestar de los empleados, los activos y la imagen de la empresa. Se protegen las principales partes interesadas (accionistas, empleados, clientes) y los valores (reputación, activos y actividades que aportan valor).

¿Cuándo debe planificarse la BCM?
Implantar o revisar exhaustivamente la gestión de la continuidad del negocio no es una empresa fácil. Las actividades individuales y las interdependencias de las actividades son demasiado diversas. Es útil poder seguir un procedimiento claro y definido. Dicho procedimiento ha sido desarrollado por nosotros en muchos proyectos y con la ayuda de muchos años de experiencia de expertos y probado en la práctica.
La GBC requiere una preparación minuciosa, que empieza por acordar las condiciones límite, las especificaciones y los objetivos esenciales con la alta dirección y conseguir su aprobación.