Continuidad de Negocio (CN) es el término que se acuña para referirse a las estrategias y planificación mediante las cuales las organizaciones se preparan para dar respuesta a eventos catastróficos tales como desastres naturales y ambientales (terremotos, incendios, inundaciones, etc.), ataques cibernéticos, pandemias, sabotajes, terrorismo y/o actos vandálicos o de la delincuencia organizada, manifestaciones y/o bloqueos, fallas o indisponibilidad en la infraestructura tecnológica, indisponibilidad de recursos humanos, materiales o técnicos, interrupciones ocurridas por servicios prestados por terceros (comunicaciones y energía), entre otros; en el actual contexto en el que llevan a cabo su actividad, todas las organizaciones pueden estar sujetas a dichas interrupciones.
La pregunta crucial que debemos hacer en nuestras Organizaciones es: ¿Que tan bien estamos preparados para atender y afrontar un desastre?
- Hoy en día 2 de cada 5 empresas que sufren una contingencia saldrán del negocio dentro de los siguientes cinco años (Gartner Group).
- El 40% de las empresas dicen que tomará más de un día regresar o “poner” en línea los sistemas en caso de que el desastre destruya una localidad principal (Information Week Research).
- Menos del 50% de las organizaciones cuentan con plan de continuidad de negocio, mientras que el 43% de las empresas que cuentan con un plan de continuidad de negocio NO realizan pruebas anualmente (London Chamber of Commerce).
Un Sistema de Gestión de Continuidad de Negocio (SGCN o BCMS en sus siglas en inglés) certificado bajo la norma ISO 22301 (estándar de mayor aceptación a nivel internacional) ayuda a las organizaciones a prepararse para las emergencias, a gestionar las crisis y mejorar su capacidad de recuperación operacional, asegurar la cadena de suministro y protegerse de impactos financieros, operativos, legales, reputacionales, entre otros, coadyuvando con ello a:
Importancia
- Gestionar Riesgos (Identificar, administrar, evaluar, tratar)
- Alinear la continuidad del servicio con los objetivos y estrategias del negocio.
- Asignar y dirigir recursos con base a las necesidades de la Organización.
- Garantizar a clientes la disponibilidad y continuidad del servicio y minimizar riesgo de imagen, reputación, legal, etc.
- Aseguramiento de cumplimiento Legal y Regulatorio.
Las consecuencias de las interrupciones del negocio inesperadas pueden ser de largo alcance y pueden implicar la pérdida de bienes y servicios, la pérdida de la vida de personas, o la imposibilidad de entregar productos/servicios clave para la supervivencia de la organización.
La certificación de la norma ISO 22301 está disponible para cualquier organización, con independencia de su tamaño o complejidad de la actividad que realiza, que quiera gestionar sus riesgos generales y desarrollar la capacidad para planificar y responder a los incidentes y las interrupciones de su actividad o negocio.
Un Sistema de Gestión de Continuidad de Negocio (SGCN) se caracteriza por la identificación proactiva de los efectos de la interrupción ya que identifica aquellos procesos y productos/servicios que son cruciales para la existencia de la organización y establece las respuestas que serán necesarias en caso de que un incidente de gran alcance se produzca.
La ISO 22301 proporciona a la organización la capacidad de reaccionar de forma adecuada ante eventos de desastre o catastróficos, por ello y como buena práctica, una debida implementación de un SGCN deberá estar alineada bajo el desarrollo de ésta norma, la cual deberá de cubrir las siguientes etapas en su desarrollo:
- BIA (Business Impac Analysis / Análisis de Impacto al Negocio): es considerado como el principal elemento en el desarrollo e implementación de planes de continuidad de negocio (BCP’s) así como en planes de recuperación en caso de desastre (DRP’s), el cuál analiza funciones de negocio de manera sistemática para determinar los impactos al negocio en términos cuantitativos y cualitativos originados por una interrupción súbita e inesperada del negocio. Este servicio se requiere como punto de partida estratégico para implementar el marco de continuidad y recuperación acorde a las necesidades y requerimientos de la Organización.
- DRP (Disaster Recovery Planning /Plan de Recuperación ante Desastres): es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos.
- BCP (Business Continuity Planning / Plan de Continuidad del Negocio): es un plan logístico
- para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no deseada o desastre.
BENEFICIOS DE LOS PLANES DE CONTINUIDAD
Garantizar la recuperación de los procesos y servicios críticos del negocio en el menor tiempo y con el menor impacto posible.
Limitar los impactos al negocio por pérdidas tanto operativas, como financieras o de reputación.
Contar con una organización preparada para enfrentar oportunamente situaciones de contingencia que pongan en riesgo sus operaciones y servicios críticos y por lo tanto la supervivencia del negocio.
Ventajas de un Sistema de Gestión de Continuidad de Negocio
Las organizaciones que apuestan por implementar y certificar un Sistema de Gestión de Continuidad de Negocio de acuerdo a la ISO 22301 se benefician de importantes ventajas:
- Clientes más satisfechos. La certificación de la ISO 22301 demuestra a los clientes y posibles clientes que nuestro producto o servicio es fiable y, lo más importante, que lo seguirá siendo.
- Solidez empresarial.Una organización que cuenta con una estrategia y un plan para superar grandes adversidades estará mucho más preparada en el caso de emergencias ya que estará realizando una gestión eficaz de sus riesgos.
- Mejor gestión de los riesgos organizacionales. Gestionar los riesgos ayudará a la organización a recuperarse rápidamente en caso de crisis y a proteger su reputación.
- Credenciales de negocio probados.Demostrar que la organización ha sido verificada por un organismo independiente frente a un estándar reconocido a nivel internacional habla en positivo de la organización y refuerza su imagen de marca.
- Capacidad para conseguir más ventas. En muchas ocasiones, las especificaciones de los RFPs o pliegos de condiciones de las ofertas públicas o privadas requieren la certificación de la ISO 22301 para el suministro. De modo que,la obtención de la certificación abre puertas de negocio.
- Reconocimiento internacional.La organización será reconocida y valorada a nivel mundial.
- Cumplimiento de aspectos legales.Certificar la ISO 22301 y mantener un Sistema de Gestión de Continuidad de Negocio ayudarán a la organización a comprender qué requisitos legales le afectan y debe cumplir y cómo afectan a su actividad y a sus clientes o destinatarios de la actividad que realizan.
- Ahorro de tiempo y costes. La certificación de la ISO 22301 es la forma en que mejor podemos demostrar que cumplimos con los requisitos de continuidad de negocio frente a proveedoresya que unos querrán saber que tenemos capacidad de respuesta ante una interrupción técnica. A otros les preocupará nuestra capacidad para de reacción en las emergencias y la gestión de las crisis. Y cada uno de esos requerimientos individuales conllevan tiempo y recursos para satisfacerlos. Ser capaz de implementar un estándar es un mecanismo muy eficaz para hacer frente a todas estas obligaciones.
Reflexión:
¡Hoy en día, garantizar la operación no es una opción!
Los clientes, proveedores y accionistas esperan respuesta sin importar lo que suceda en el exterior. Por ello, el contar con un Plan de Continuidad de Negocios y Recuperación ante Desastres lo debemos ver no como un gasto, sino como una inversión, ”es el seguro de vida para su Empresa”.
Por Juan René Flores García – Representante Comercial HK México
Amplia experiencia en el ámbito de la Seguridad de la Información, con más de 20 años de experiencia en el Sector Financiero, habiendo desempeñado bajo su cargo funciones Gerenciales de Auditoria Informática, Contralor de Sistemas y Seguridad de Información, con responsabilidades en la implementación y cumplimiento de marcos normativos para el sector Financiero (CNBV).
Más de 15 años como Consultor Especialista responsable a nivel nacional en la orientación a soluciones de servicios de Seguridad de Información y Ciberseguridad bajo la Pre-Venta de Servicios Consultivos para sus clientes en sectores del ramo de Gobierno, Financiero, Corporativo y Empresarial.