¿Cuantas personas han escuchado en su empresa la sigla “BCP”? Las respuestas pueden ser variadas, pero algo es seguro, muchas personas no sabrían precisamente a que se estén refiriendo dichas siglas. Estas siglas se refieren a la expresión “Bussines Continuity Plan”. En castellano refiere a “Plan de Continuidad de Negocios”.

Este tipo de nombres o expresiones pueden generar algún tipo de controversia, acerca de que es algo que “está de moda” o “queda elegante” incluirlo en nuestra planificación estratégica. Lo cierto es que la expresión puede tener algún encanto seductor, pero los resultados de una buena aplicación pueden aun ser más seductores si se aplica y planifica de manera correcta.En el siguiente articulo intentare explicar de qué se trata el “BCP”, su aplicación y como está estrechamente relacionado con el “Análisis de Riesgo” expuesto en la cátedra.

Comenzaremos con establecer a que se refiere:

“Un Plan de Continuidad del Negocio (o sus siglas en ingles BCP, por Business Continuity Plan) es un Plan Logístico para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no deseada o desastre”.

“Es el cómo una organización se prepara para futuros incidentes que puedan poner en peligro a ésta y a su misión básica a largo plazo. Las situaciones posibles incluyen desde incidentes locales (como incendios, terremotos, inundaciones, tsunamis etc.), incidentes de carácter regional, nacional o internacional hasta incidentes como pandemias, etc.”

Una vez definido, estableceremos algunos Pasos Básicos para su Aplicación:

1. Identifica y Ordena las Amenazas: Crea una lista de los incidentes de interrupción de la actividad que constituyan las amenazas más probables para la empresa. No uses la lista de otro, porque las amenazas varían según la ubicación.

Algunos interrogantes a plantear a gran escala serian:

• ¿Qué ocurre donde se encuentra tu empresa?

• ¿Qué pasa con la fuga de datos o la interrupción de la infraestructura de TI, que pueden ocurrir en cualquier parte?

• ¿Qué pasa si un producto químico tóxico provoca que se cierren las instalaciones por varios días?

• ¿Estás ubicado cerca de una vía ferroviaria? ¿De una autopista importante?

• ¿Cuánto depende tu empresa de proveedores extranjeros?

En esta etapa, una buena técnica es reunir personas de todos los departamentos en una sesión de intercambio de ideas. El objetivo de la reunión es crear una lista de Escenarios ordenados por Probabilidad de ocurrencia y por potencial de causar un impacto negativo.

2. Realiza un Análisis del Impacto en la Empresa: Necesitas determinar qué partes de tu empresa son las más críticas para que sobreviva. Una manera es comenzar detallando las funciones, los procesos, los empleados, los lugares y los sistemas que son críticos para el funcionamiento de la organización. De esto se puede ocupar el líder del proyecto de BCM; para ello, deberá entrevistar a los empleados de cada departamento y luego elaborar una tabla de resultados que listen las funciones y las personas principales y las secundarias. A continuación determinarás la cantidad de “días de supervivencia” de la empresa para cada función.

3. Crea un Plan de Respuesta y Recuperación: En esta etapa se deberán catalogar datos clave sobre los bienes involucrados en la realización de las funciones críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Deberás incluir números de serie de los equipos, acuerdos de licencia, alquileres, garantías, detalles de contactos, etc.

Se determinara “a quién llamar” en cada categoría de incidente y crear un árbol de números telefónicos para que se hagan las llamadas correctas en el orden correcto. También se requiere una lista de “quién puede decir qué cosa” para controlar la interacción con los medios durante un incidente (considera quedarte con una Estrategia de “sólo el CEO” si se trata de un incidente delicado). Deberán quedar documentados todos los acuerdos vigentes para mudar las operaciones a ubicaciones e instalaciones de TI temporales, de ser necesario. Es fundamental documentar el proceso de notificación para los miembros de la empresa en su totalidad y el procedimiento de asesoramiento para clientes.

Los pasos para recuperar las operaciones principales deberían ordenarse en una secuencia donde queden explícitas las interdependencias funcionales. Cuando el Plan esté listo, se tendrá que capacitar a los Gerentes sobre los detalles relevantes para cada departamento, así como la importancia del Plan General para sobrevivir a un incidente.

4. Prueba el Plan y refina el Análisis: La mayoría de los expertos en BCM recomiendan probar el Plan al menos una vez al año, con ejercicios, análisis paso a paso o simulaciones. La prueba permite sacar el mayor provecho a lo que invertiste en la creación del Plan, y no sólo permite encontrar fallas y dar cuenta de los cambios corporativos con el transcurso del tiempo, sino que también causa una buena impresión en la Gerencia.

No cabe duda de que estos cuatro pasos signifiquen un enorme trabajo, pero es una tarea que las empresas ignoran bajo su propio riesgo. Si el proyecto parece demasiado desalentador para aplicar a la empresa completa. Se puede comenzar por unos pocos departamentos o una sola oficina, si hay varias. Todo lo aprendido en el proceso se podrá aplicar en mayor escala a medida que se hagan progresos.

Debido a las ventajas tecnológicas y la dependencia de estas como Métodos de Gestión, actualmente la seguridad informática es fundamental para las organizaciones. A continuación entonces veremos una herramienta de aplicación del BCP. La misma se refiere a una norma, la ISO 22301.

La norma ISO 22301 establece la Metodología General para la Continuidad de Negocio.

Dentro de la información documentada que se debe desarrollar:

• El alcance.

• La lista de requisitos legales, normativos y de otra índole.

• Política de la continuidad de negocio.

• Objetivos de la continuidad del negocio.

• Competencias del personal.

• Comunicación con las partes interesadas.

• Análisis del impacto en el negocio.

• Evaluar el riesgo.

• Estructura de la respuesta ante incidentes.

• Planes de continuidad del negocio.

• Procedimientos de recuperación.

• Resultados de acciones preventivas.

• Auditoría interna.

• Revisión de la dirección.

• Acciones correctivas.

• Mejora continua.

Se cuenta con la misma estructura de la norma ISO 9001, proporciona las bases para la Gestión de Negocios y demostrar el grado de confiabilidad de la empresa. La ISO 22.301 refuerza la definición de los objetivos y su seguimiento, define de forma clara la responsabilidad de la dirección y la mejora de la planificación de todos los recursos para garantizar la continuidad del negocio. Su implantación es un gran beneficio y una forma de prevención antes de que ocurra un incidente.

Como parte de la Gestión de la Seguridad de la Información es muy importante tener un Plan de Contingencia para garantizar la continuidad del negocio. El estándar es certificable y auditable según la norma ISO 22.301, se puede utilizar como guía para establecer un modelo que garantice la seguridad de la información en caso de una emergencia.

En el año 2007 se publicó la norma BS 25.999, el primer estándar certificable que define los requisitos y las buenas prácticas que debe seguir una organización, de forma independiente a su tamaño, para implantar un sistema de Gestión de Continuidad de Negocio. Posteriormente se publicó el estándar de ISO 22.301 que se encuentra basado en el ciclo de mejora continua, se plantean los pasos para planificar, implantar, operar, revisar y mejorar la gestión de la continuidad de negocio.

Deben quedar muy claros todos los procesos que quedan cubiertos por los planes de continuidad. Las selecciones de los procesos se incluyen en el alcance del sistema, se debe basar en la definición de apetito al riesgo, debe ser aprobado por la dirección de la organización para garantizar que se encuentre conforme a la definición estratégica de la empresa.

Para una empresa iniciar con la implantación del modelo de continuidad, lo más recomendable es comenzar por lo más general e ir particularizando según las características de cada proceso.

Si seguimos esta orden de ideas debería iniciarse con el Análisis de Impacto en el Negocio, se respeta el nivel de apetito al riego. De esta manera se pueden definir todos los requisitos de recursos y la estructura para responder a los incidentes.

Los resultados obtenidos de los análisis deben estar plasmados en el Plan de Continuidad del Negocio, uno de los requisitos documentales fundamentales de la norma ISO 22.301, tiene que contemplar las acciones que la empresa tiene que seguir recuperar y restaurar las actividades críticas del negocio siguiendo un tiempo prudencial y de forma progresiva regresar a la normalidad, garantizando en todo el momento la integridad, confidencialidad y disponibilidad de la información.

Lo más importante dentro de la gestión de la continuidad del negocio es que los planes de continuidad se prueben. Si bien el estándar es único, la manera en la que se desarrolla y se aplica es única y debe encontrarse en concordancia con los procesos más críticos del negocio.

Habiendo establecido entonces algunas cuestiones teóricas sobre el BCP, a lo largo de este artículo las personas lectoras, entenderán que es mucho de lo estudiado en la Cátedra acerca de Análisis de Riesgos. Por ello considero que no es solamente un nombre o sigla elegante, en muchos casos el condicionante para lograr la supervivencia organizacional.

Puede parecer que este artículo es corporativo y responde a las organizaciones multinacionales, pero no obstante considero que todavía adquiere mayor importancia en una pequeña y mediana empresa. En general las organizaciones de estos tamaños no consideran planes alternativos o de contingencia, y es ahí donde su futuro está sentenciado.

Entonces, arrancamos diciendo que planificar era acompañar esa suerte que siempre se pide. El futuro es incierto muchas veces y más en países con una coyuntura como Argentina, pero agrego una pregunta más para reflexión. ¿No será que planificar sobre los riesgos y las posibles alternativas de continuidad de un negocio, por más pequeño que este sea, constituye la pata de suerte que siempre deseamos? Los resultados no siempre están asegurados, y los escenarios futuros pueden ser infinitos, pero uno debe estar preparado incluso para lo mas absurdo que se le ocurra. Quien no dijo alguna vez. “Esto no va a pasar a menos que haya una pandemia mundial”…

Fuentes:

• https://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio

• https://www.welivesecurity.com/la-es/2014/05/14/gestion-continuidad-negocio-cuatro-pasos/

• https://www.pmg-ssi.com/2018/04/iso-22301-plan-continuidad-negocio/