Planificación de la continuidad del negocio: Lecciones aprendidas tras el COVID-19
Una pandemia mundial. Órdenes de permanecer en casa. Una cuarentena sin precedentes en la que el trabajo, la escuela y la vida misma quedaron confinados entre las paredes del propio hogar.
Para la mayoría de las empresas, el COVID-19 fue una llamada de atención. Aunque los planes de gestión de crisis y recuperación de desastres y para la continuidad del negocio no son algo nuevo, la mayoría se desarrollan para luchar contra alguna incidencia local, un ataque informático o una catástrofe natural. Pero nada tan grande ni que lo abarque todo como una pandemia mundial de la magnitud de la que estamos viviendo.
Entonces, ¿qué deben hacer las empresas a partir de ahora? ¿Cómo se pueden diseñar una estrategia de recuperación de desastres y un plan para la continuidad del negocio que prepare para cualquier eventualidad? Y, lo que es igual de importante, ¿cómo se deberían utilizar estas lecciones aprendidas en 2020 para poner a las empresas a prueba de desastres en el futuro?
Hemos hablado con algunos expertos de SAP Concur y TransferMate para averiguarlo.
Por qué la continuidad del negocio y la planificación de la recuperación de desastres son la clave del éxito, y cómo empezar
Hablamos con Margaret Corrigan, responsable de seguridad de la información de TransferMate, que nos explica:
"Tenemos la certificación ISO 27001, que es una norma de seguridad de la información que tiene la planificación de la continuidad del negocio y la recuperación de desastres como uno de sus puntos de control. Por lo tanto, un excelente punto de partida es ver qué controles tiene una empresa. Estos controles son una buena guía para crear un marco de recuperación de los sistemas informáticos y mantener la organización en funcionamiento. Así que es un buen punto de partida para la estructura".
Margaret también recomienda realizar un análisis del impacto en el negocio (BIA), un ejercicio colectivo en todas las áreas funcionales que identifique:
- Qué operaciones necesita tener en marcha
- El número mínimo de empleados que necesita para mantener esas operaciones
- Los sistemas centrales y los proveedores de servicios de los que dependen las funciones críticas del negocio.
"Esta evaluación determina el alcance de lo que se necesita para mantener un nivel aceptable de negocio, en términos de personal, instalaciones, tecnología y proveedores principales, así como la identificación de cuánto tiempo se podría operar sin alguno de estos componentes", comenta Corrigan. "Esto es importante porque si no se necesita contar con 20.000 personas trabajando el primer día, pero sí 10.000, los requisitos de apoyo para ofrecer ese plan se reducen, lo que acelera el tiempo de recuperación".
Una vez completado el análisis de impacto en el negocio, esta información se envía al departamento de TI, para que identifique los sistemas principales implicados, los datos que requieren recuperación y el número de personas que tendrían que estar operativas en 24 o 48 horas, o cualquiera que sea el objetivo de tiempo de recuperación.
A continuación, TI realiza una prueba que simula lo que ocurriría en caso de desastre. Seguir unas pautas de buenas prácticas como éstas constituye la espina dorsal de la fiabilidad básica de la continuidad del negocio.
"Si no se puede recuperar dentro de los acuerdos de nivel de servicio predeterminados, la organización tiene que tomar medidas correctivas para solucionar los problemas y volver a realizar la prueba", explica Corrigan. "Una vez que ese esfuerzo tenga éxito, el departamento de TI debería repetir la prueba cada año. Al mismo tiempo, la empresa debe revisar la evaluación de impacto también cada año, para asegurarse de que esos requisitos siguen siendo válidos".
Asegurarse de que participan todas las partes interesadas adecuadas
Es importante tener en cuenta que, aunque las TI desempeñan un papel importante, la gestión de la continuidad del negocio no es únicamente un esfuerzo de las TI.
"Hoy en día, la recuperación de desastres y la continuidad del negocio es una cuestión de directores generales. Tiene que haber una participación activa y un compromiso por parte de la dirección ejecutiva y los propietarios del negocio durante todo el proceso", dijo Paul Herrick, director de personal de Taxback Group. "En Transfermate, ese fue, y es, el caso. Nuestro director general estuvo muy involucrado en la revisión y supervisión del plan y su implementación."
Trazar los escenarios, pero prepararse para improvisar
Si bien la planificación de la continuidad de la empresa consiste en prever diferentes escenarios y "qué pasaría si", como ha demostrado el COVID-19, no se puede prever todo.
Nuestros expertos aconsejan planificar todo lo posible y estar preparado para ajustar ese plan a la situación que se presente.
"En realidad, hay dos cosas en juego. Tienes diferentes equipos preparados para las distintas fases de la crisis y la recuperación de la catástrofe. Luego, cuando ocurre la catástrofe, te preguntas, según nuestro plan, ¿quién tiene que estar en la sala?". dijo Herrick. "Esa es tu línea de base, esa es tu estructura, pero también hay un elemento orgánico que requiere que traigas a las personas adecuadas a medida que la situación evoluciona, y que tomes decisiones en tiempo real dentro de las estructuras que has identificado".
La utilización de esos escenarios para reevaluar la tecnología
Simular de antemano los peores escenarios también pone al descubierto posibles agujeros tecnológicos.
"La del COVID-19 es la primera crisis de esta envergadura en la que la tecnología está lo suficientemente avanzada como para dar a las empresas la opción de hacer algo al respecto", señala Nicholas Wong, consultor de preventa de SAP Concur. "Por lo tanto, esta crisis también ha supuesto una oportunidad para que las empresas busquen nuevas opciones que permitan a sus empleados seguir realizando sus tareas diarias mientras trabajan a distancia".
Aunque algunas empresas cuentan con los procesos y la tecnología para hacerlo de forma segura, otras organizaciones están empezando desde cero.
Al trabajar con un proveedor que tiene controles establecidos, los datos están completamente seguros y protegidos, dondequiera que los empleados estén trabajando", comenta Wong. "De hecho, hemos visto a muchos clientes que consideraban algunos de nuestros productos y servicios como algo "positivo con lo que contar" y que ahora se dan cuenta de que son esenciales, ya sea la tecnología para automatizar los procesos o los servicios que gestionan la correspondencia manual de la factura con el pedido de compra".
Analiza los procesos empresariales -y la tecnología de apoyo- que impedían la capacidad de reacción ágil y busca formas de mejorar o automatizar los procesos actuales. Si algo te ha frenado esta vez, también te frenará la próxima y, probablemente, ya estaba lastrando las operaciones diarias de tu empresa mucho antes de que la pandemia se apoderara de ella. Asegúrate de investigar cómo aseguran tus proveedores los datos, la cadena de suministro y el enfoque de la respuesta al desastre antes de comprometerte con ellos bajo contrato.
No esperes a que se produzca un desastre para empezar a poner en marcha el plan
Las empresas que respondieron con mayor éxito al COVID-19 fueron las que reconocieron la amenaza potencial y su gestión de riesgos actuó antes de que la pandemia alcanzara su punto álgido.
"El hecho de que hayamos vigilado lo que ocurría en China, seguido las actualizaciones de la Organización Mundial de la Salud y prestado atención a los medios de comunicación desde el principio fue fundamental para que pudiéramos responder tan bien", asegura Corrigan. "Nuestra dirección ejecutiva y el equipo de recursos humanos nos indicaron de forma proactiva que estableciéramos la conectividad de acceso remoto para las oficinas afectadas, que redujéramos los viajes de los empleados y que preparáramos las cosas en caso de que tuviéramos que apretar el gatillo. Gracias a ello, tuvimos semanas para prepararnos y estuvimos totalmente preparados cuando llegó el momento".
Es mejor tener una salida en falso que esperar a estar en medio de una crisis para empezar a actuar. En otras palabras, el paraguas debe levantarse cuando empiece a llover, no quedarse en el coche hasta que caiga el diluvio.
Comunicar, comunicar, comunicar
Las comunicaciones externas e internas son fundamentales durante una crisis. También debe incluirse en el plan cómo dirigir a los empleados y tranquilizar a los clientes, así como quién es responsable de la ejecución de esas comunicaciones.
Igual de importante es asegurarse de que se comunica continuamente con los empleados una vez puesto en marcha el plan para reducir el estrés y mantenerlos conectados.
"Hay que trabajar con la dirección ejecutiva en los mensajes clave que, para nosotros, en el caso de la pandemia, eran que su seguridad es lo primero y que cada decisión que tomábamos se basaba en esa creencia", comenta Herrick. "También hemos escuchado mucho, para poder entender cómo se sentían al trabajar desde casa, cuáles eran las barreras y cómo se sentían al volver a la oficina". Estar en contacto con los empleados y con los clientes durante todo el proceso es esencial".
Aunque nadie puede predecir lo que depara el futuro, es fundamental contar con un plan de recuperación de desastres y de continuidad de la actividad bien documentado y probado para capear los tiempos difíciles y seguir estando ahí para atender a los clientes. Es esa combinación de tecnología, proceso, planificación y personas la que marca la diferencia.