La necesidad de la Gestión de Continuidad del Negocio / Entrevista a: Yves Dávila, Director Ejecutivo Intellity Consulting y Segundo Torres, Director Intellity Consulting - Firma miembro de Protiviti
- Escrito por Gustavo Castillo Sini
|
||
Yves Dávila, CBCP Director Ejecutivo |
Segundo Torres, CBCP Director |
¿Cuáles serian los antecedentes de la "Gestión de Continuidad del Negocio”?
YD : "Gestión de Continuidad" del negocio como concepto de gestión es relativamente nuevo. Es a partir del 2001 cuando se le da mayor importancia al comprobar que, empresas que sufrieron el atentado de las torres gemelas en Nueva York y aplicaban la "Gestión de Continuidad " como parte de sus actividades diarias, estuvieron mejor preparadas que aquellas que contaban con un plan hecho para escenarios específicos. En lo que ayuda la "Gestión de Continuidad" a una empresa es en estar mejor preparada para cualquier tipo de evento y considera mantener vivos una serie de tipos de planes que las áreas, según su especialización, han ido incorporando desde muchos años antes. El primer tipo de plan a mencionar es el de “Evacuación” o de manera más formal “Planes de Emergencia”. Esos planes nacen desde tiempo atrás, los 1800, cuando aparecen las primeras fábricas, cuyo riesgo de afectación de vidas humanas es mayor debido a la alta concentración de trabajadores.
El segundo tipo de plan a mencionar es el “Plan Recuperación ante Desastres”, (DRP por sus siglas en inglés) cuando un siglo después ya por los años 1950 – 1960 se empiezan a utilizar los grandes computadores con lo cual ante las fallas tecnológicas el negocio afectaba seriamente sus operaciones automatizadas.
Años después 1980 - 1990, los escenarios de recuperación empiezan a considerar otros aspectos más allá de tecnología, así nace el tercer tipo de plan a mencionar llamado “Plan Continuidad del Negocio” (BCP por sus siglas en inglés) cuyo objetivo es asegurar que los componentes claves del negocio no tecnológicos pudieran ser recuperados, tales como personal especializado para determinados procedimientos o procesos, recursos clave como un fax de línea directa, la computadora clave con los accesos apropiados al rol, el escritorio clave o el puesto de call center clave para atender al público.
El cuarto tipo de plan se empieza a considerar en los años 1990 y es el de “Plan de Comunicación en Crisis”. Historias como la de los ataques de la campaña electoral y posterior gobierno de Bill Clinton manteniendo un alto grado de popularidad u otros casos donde las compañías tuvieron que articular esquemas de comunicación debido a que su imagen se veía afectada con el fin de lograr que la opinión de su público se vuelque mayoritariamente a favor de la compañía.
Y finalmente el quinto tipo de plan que se incluye es el “Plan de Gestión de Crisis”, cuyo objetivo es articular una respuesta integral de la Alta Dirección en conjunto con todos los planes ya existentes y que permita responder a cualquier tipo de evento y para ello incluye los conceptos del Sistema de Manejo de Incidentes (ICS por sus siglas en inglés) que es el utilizado para controlar los grandes incendios forestales en California, Estados Unidos.
Pero como toda organización siempre es cambiante, entonces es necesario que los planes antes mencionados también cambien y se actualicen, para ello cada área asume su propia responsabilidad, liderados por la Alta Dirección y coordinados por un responsable de la “Función de Continuidad del Negocio” que asegure la adecuada preparación y actualización de los planes para cuando pase un desastre.
¿La mejor forma de conducir la Gestión de Continuidad del Negocio es mediante un comité de crisis o nombrando un único responsable a nivel de Tecnología?
YD : La necesidad de implementar y conducir la continuidad del negocio puede nacer por varios frentes, aunque la mayoría de veces es al departamento de Tecnología a quien se le exige primero el contar con el Plan de Recuperación ante Desastres (DRP), con lo cual se crea la expectativa equivocada de que el único responsable de la continuidad del negocio en la empresa es el departamento de Tecnología.
Si este fuera el caso, es necesario que de manera progresiva esta responsabilidad pase a cada jefe de departamento de las áreas funcionales, para que así como el jefe de Tecnología es responsable de mantener operativas las aplicaciones más críticas, cada jefe de departamento también sea responsable de recuperar los procesos más críticos de su propia área.
Todas estas iniciativas de continuidad deben ser coordinadas y gestionadas por la “Función de Continuidad del Negocio”, rol que no debe ser entendido como responsable de documentar los planes o de crear la continuidad por cuenta propia, sino más bien como coordinador de la aplicación de la metodología por parte del responsable de cada área monitoreando un nivel de madurez uniforme en la organización y pendiente de los cambios en la empresa para levantar las banderas necesarias para forzar que los dueños de cada área actualicen sus respectivos planes.
Para esto el responsable de la “Función de Continuidad” se soporta en la Gerencia de la empresa quien en conjunto con otros integrantes conforma un “Comité de Continuidad del Negocio”, que puede ser ampliación del propio Comité de Gerencia o algún otro comité ya existente en la organización. Este “Comité de Continuidad del Negocio” se convierte en el “Comité de Crisis” cuando ocurre un evento que afecta la operación del negocio y se hace necesario que el comité asuma el control de la situación.
Bajo la experiencia de ustedes, ¿las empresas realmente están concientes de la necesidad de contar con una continuidad del negocio adecuadamente implementada?
YD : Existen seis principales razones por las cuales una empresa implementa la gestión de continuidad, la primera es por iniciativa propia, sin mediar un requerimiento puntual de algún tercero, la segunda es porque ocurrió un desastre en la empresa y como una dolorosa lección aprendida implementa su continuidad, la tercera es porque el ente regulador lo exige, la cuarta es porque auditoría interna o externa lo pide, la quinta es porque casa matriz te lo exige, , y recientemente, la sexta razón porque un cliente lo exige por ser uno de sus proveedores críticos.
En nuestra experiencia, sí se han presentado casos debido a la primera y segunda razones, sin embargo han sido la minoría, pues mayoritariamente la exigencia ha sido por auditoría, el ente regulador o por casa matriz. Por otro lado, aún son muy pocos los casos en los cuales a los proveedores se les exija una adecuada implementación de su continuidad del negocio.
Quisiera también resaltar que algunos de nuestros clientes iniciaron la implementación de su continuidad por exigencia regulatoria, pero no se quedaron con sólo el cumplir, sino que la implementaron de acuerdo con una mejor práctica y con estándares por encima de lo exigido por el ente regulador.
¿Tengo entendido que ustedes tienen una metodología de implementación?
YD : Es correcto, nuestra metodología ha ido evolucionando conforme los nuevos estándares y mejores prácticas han sido aplicadas en el mercado y también de acuerdo con nuestra experiencia.
Hemos sido los pioneros en hablar de gestión de continuidad desde hace aproximadamente 5 ó 6 años aproximadamente y de hecho ya hablábamos de mejora continua aplicada a continuidad del negocio y mostrábamos un circulo, donde a través del mismo se veían diferentes temas, digamos que el plan o el programa de continuidad (el elemento clave, que alrededor gira el plan estratégico).
Una de las grandes debilidades que encontrábamos en el mercado, es que las personas en gestión de continuidad, son muy operativas pierden el horizonte, porque un proyecto de continuidad tiene un valor importante de un proyecto a largo plazo (debido a que generalmente son inversiones no importantes para la empresa), pero muchas veces si no lo "vendo" a largo plazo, el primer año que se termina mi proyecto se corta el presupuesto y siempre ando adoleciendo de dinero, presupuesto, gente (lo que sea al interior de mi negocio), entonces, como responsable de continuidad necesito tener una visión clara en este proceso.
Hemos enriquecido la metodología, tomando modelos de madurez, hemos formado alianza con empresas que ofrecen modelos de madurez hace mucho tiempo.
Luego está, el entendimiento del negocio en continuidad frente a los riesgos, mas enfocados a los activos y con un horizonte en cuanto a la identificación/control de las amenazas que se debieran ocasionar debido a una serie de afectaciones. Por otro lado también damos un análisis de impacto al negocio que es otro componente con el cual logramos entender el negocio y las urgencias de recuperación del negocio.
Muchas veces se habla de procesos críticos para el negocio, y se podría pensar que la venta o facturación son procesos críticos, pero cuando se analizan desde la perspectiva de continuidad la palabra criticidad en continuidad tiene un sentido más de urgencia que de importancia.
Hay una distinción y el análisis de impacto me permite tener claridad entre que es urgente y que es importante; mediante ello establezco la relación de urgencia y prioridad para establecer estrategias de computo de sitio de trabajo y también de comunicación, teniendo personal alterno, infraestructura alterno o proveedores alternos dependiendo de los componentes afectados.
Luego viene la documentación de los procedimientos o los planes de continuidad sobre la base de las estrategias y luego entramos al circulo permanente de pruebas y ejercicios que al final del año deben generar una serie de indicadores que retroalimenten el progreso en cuanto mi plan estratégico inicial para volver a retomar el ciclo para los próximos 3 o 5 años para el siguiente periodo de tiempo, de esa manera cerramos el circulo de continuidad .
Nuestra metodología ha sido enriquecida por el estándar BS ISO 25999, el DRII (Disaster Recovery Institute International) y el BCI (Business Continuity Institute)
¿El sector público se preocupa de este tema? ¿Cual es su experiencia?
YD : El Perú es un país de terremotos, cada vez que hay un sismo fuerte, todos salen a preguntar por sus planes; siendo el problema, que nadie ha venido hablando de gestión de continuidad entonces muchos de los planes que el sector público que se han podido hacer antes, han quedado desactualizados.
En otros sectores como la banca es por regulación de la SBS, pero también hay otras regulaciones intermedias en el sector de energía, que se empiezan a pedir planes de contingencia pero no formalmente como un plan de gestión de continuidad.
La empresa que no tuvo planes su precio de acción baja. La continuidad no te ofrece un retorno sobre tu inversión, puede darte beneficios, debido a que no hay manera de medir mensualmente cuando me retorna un plan de continuidad si nunca ha pasado un desastre y al suceder el desastre puede ser tan pequeño o tan grandes que no hay una forma de poner una escala única. Entre los beneficios, es que ayuda a la fidelidad del cliente, podría seguir vendiendo más tranquilo, a ser más atractivo a potenciales clientes, etc.
¿Como se delimita? ¿Esta la continuidad del negocio bajo un esquema de seguridad o es al revés?
YD : Son componentes complementarios, Si riesgo incluye continuidad? si seguridad incluye continuidad? o como nace el tema?, .. en el fondo visto de una manera macro es un control o una medida de mitigación ante el riesgo que el negocio se paralice ante determinado evento; sin embargo el control per se, es tan complejo en su administración que en el fondo iguala en complejidad a la propia gestión de riesgos o la seguridad de información aunque ambos se vuelven complementarios.
Mientras la seguridad y los riesgos se focalizan en prevenir o minimizar la ocurrencia de un evento, la continuidad se focaliza en la reacción y en como me recupero o restablezco de un evento, es importante porque la inversión de seguridad va tomar dos variables la probabilidad y el impacto, que es el nivel de riesgo, para saber cuánto va ser la inversión de dinero en la continuidad.
Por otro lado, por muchas medidas preventivas que haya puesto igual me puede pasar un problema, entonces donde yo invierto es donde hay más impacto, por eso hay una diferencia, porque con la continuidad del negocio yo quiero determinar donde me impacta mas sin necesariamente hablar de probabilidades, para asegurar la continuidad que es como la ultima puerta de escape, a pesar que mis controles preventivos hayan podido mitigar un evento
Por ultimo algo que quisiera destacar o mencionar
YD : Destacar que con el tiempo nuestra experiencia nos ha ido permitiendo mostrar muchas realidades de diferentes países siendo importante ya que se dan ciertas diferencias sutiles en el modo de implementar la continuidad, también por temas culturales, quizás ser un poco mas creativo en como asegurar los mecanismos de seguimiento para que los planes no se pierdan en el tiempo.
¿Qué certificaciones en Continuidad de Negocios poseen?
ST: Hay varias escalas de certificación; cuando se da y aprueba el examen oficial con el DRI, los profesionales certificados en continuidad de negocios (CBCP Certified Business Continuity Professional), requieren como mínimo 2 años de experiencia efectiva en BCM, en los cuales se haya pasado por lo menos en 5 de las 10 practicas de continuidad de negocio. Se debe tener continuamente experiencia en dichas prácticas, las cuales deben ser sustentables para seguir manteniéndose como CBCP, así como también participar en formación continua en BCM, participar en el dictado de conferencias y escribir artículos sobre el tema, entre otros.
En Perú, por ahora sólo existen 02 CBCP, que por cierto laboran en Intellity Consulting, firma miembro de Protiviti.
Entrevista realizada por: Gustavo Castillo Sini