Cuando hablamos de Continuidad del Negocio nos referimos a la capacidad que tienen las empresas para sobrevivir ante un riesgo que se pueda presentar de manera interna o externa, afectando el normal desarrollo de las actividades. Sin embargo, las compañías deben tener la habilidad para reaccionar frente a una amenaza y continuar prestando sus servicios o entregando sus productos de la mejor manera posible con el fin de evitar la interrupción y el desarrollo normal de sus labores cotidianas.
La norma ISO 22301:2019 reúne todos los requisitos para llevar a cabo la correcta y adecuada implementación de un Sistema de Gestión de Continuidad de Negocio (SGCN), el cual deberá identificar y gestionar adecuadamente las capacidades que tiene una organización para enfrentar los riesgos que se puedan presentar y, además, ofrece herramientas que permiten mejorar el negocio internamente y realizar una correcta planificación para garantizar su continuidad.
Para implementar este modelo, una de las mejores herramientas es el modelo PDCA, tal como se muestra en la siguiente gráfica:
Gestión de continuidad de negocio o Business Continuity Management (BCM)
Se desarrolla en las siguientes seis etapas:
Creación del programa de BCM: aquí se debe elaborar el programa de gestión de continuidad, en el que se debe tener en cuenta el tamaño y complejidad de la organización, a su vez se elegirán los responsables, quienes estarán a cargo y se les designará su función.
Comprensión de la compañía: se recolecta la información necesaria, con el fin de darle importancia a cada una de las actividades las cuales deben ser clasificadas como clave o de apoyo y a su vez designar los recursos que se necesitan. Se realiza la evaluación del impacto del negocio y de los riesgos.
Definición de estrategias: se seleccionan aquellas actividades que permiten que la organización pueda recuperar su servicio en cierto tiempo determinado en caso de sufrir algún tipo de incidente.
Elaboración y ejecución de una respuesta: se redactarán las respuesta que se darán frente alguna amenaza que se pueda presentar. Este contará con un paso a paso que se deberá poner en práctica para actuar de manera correcta y siguiendo los protocolos establecidos.
Cumplir los acuerdos pactados en el BCM: en esta etapa se le da relevancia a las estrategias y planes definidos con el fin de cumplir el propósito por el que se implementó el sistema. Se llevará a cabo a través de ejercicios en diferentes momentos que permitan evaluar la continuidad de negocio y a su vez tener la oportunidad de mejora.
Cultura organizacional: todos los empleados y miembros de la organización deben estar alineados con el sistema de gestión de continuidad de negocio, entender que esto hace parte de la compañía y que de ellos también depende su buen funcionamiento, se debe incluir dentro de los valores para que ellos sientan y entiendan esta relación.
Tipos de proyectos de continuidad de negocio:
Plan de continuidad de negocio (PCN): Se tienen en cuenta sus diferentes frentes como: infraestructura, recurso humano, sistemas industriales, estrategias de comunicación y tecnología, es importante que cada uno de ellos cuente con un plan de acción en caso de que se llegue a presentar una amenaza.
Plan de continuidad TIC: Este se enfoca únicamente a riesgos tecnológicos que puedan traer grandes pérdidas o afectar de manera directa a la empresa.
Plan de recuperación ante desastres (PRD): Este se relaciona ante posibles catástrofes que se puedan dar.
Información que se debe documentar:
El alcance.
La lista de requisitos legales, normativos y de otra índole.
Política de la continuidad del negocio.
Objetivos de la continuidad del negocio.
Competencias del personal.
Comunicación con las partes interesadas.
Análisis del impacto en el negocio.
Evaluar el riesgo.
Estructura de la respuesta ante incidentes.
Planes de continuidad del negocio.
Procedimientos de recuperación.
Resultados de acciones preventivas.
Auditoría interna.
Revisión por la dirección.
Acciones correctivas.
Mejora continua.
Plan de continuidad de negocio, según la ISO 22301
Algunas empresas, a lo largo del desarrollo de sus actividades, se ven enfrentadas en sufrir situaciones que pueden poner en peligro su permanencia en el mercado. Para evitar este tipo de amenazas, en la actualidad, las organizaciones están implementando el Sistema de Gestión de Continuidad de Negocio basado en la norma ISO 22301.
Este plan se diseña con el fin de mantener la operación normal de la compañía en caso de que se presente alguna eventualidad que pueda afectar de manera directa o indirecta las actividades cotidianas. Gracias a esto las empresas pueden contar con planes de contingencia que contribuyen a mitigar los riesgos y el impacto dentro de la compañía.
Este tipo de sistemas le da la posibilidad, a las entidades, de restablecer sus operaciones luego de sufrir un incidente, el cual haya ocasionado problemas en el desarrollo de las actividades cotidianas. Además, contribuye en la protección de la reputación de la institución, prevención en pérdidas económicas, servicio al cliente y cumplimiento de plazos.
Por otro lado, también permite que se anticipen a los riesgos a los que están expuestos, pues ayuda a que se puedan preparar planes en caso de sufrir una emergencia catastrófica, y cómo actuar frente a la crisis.
Fases de un plan de continuidad de negocio:
Determinación del alcance: Se debe clasificar cada una de las áreas dándole una clasificación de prioridad a cada una de ellas, con el fin de entender cuáles son las más vulnerables y de esta manera poder ir trabajando en la continuidad de la organización, en este punto es clave la participación de la dirección.
Análisis de la empresa: Se debe recoger toda la información de la organización con el fin de identificar cuáles son los procesos de negocios críticos (activos), cómo se les dará soporte y cuáles son las necesidades que se presentan.
Determinación de la estrategia: Una vez estén definidos los activos se debe establecer que si en caso de que se llegue a presentar una amenaza están en la capacidad de recuperar estos activos en corto plazo, si por el contrario requiere de un tiempo mayor se deben establecer estrategias.
Respuesta a la contingencia: Se elegirán las estrategias necesarias que se pondrán en marcha en caso de presentarse un desastre y se creará un plan de crisis en donde se documentará toda la información.
Pruebas, mantenimiento y revisión: En este punto es importante contar con recursos tecnológicos que permitirán crear planes de prueba, mantenimiento y revisión, para identificar cuáles son las buenas prácticas y en qué se debe mejorar.
Concienciación: Se debe crear una cultura dentro de la organización para que todos los empleados conozcan el plan de acción y se apropien de la situación, al igual que entiendan cuál será su rol dentro de este plan.
Ventajas de la implementación de la ISO 22301:2019
Mantener el nivel de servicio en límites predefinidos.
Establecer un periodo de recuperación.
Determinar la capacidad que puede tener la empresa en caso de materializarse un riesgo de alto impacto.
Mitigar permanentemente el riesgo de interrupción de servicios.
Administrar una eventual crisis, protegiendo principalmente la integridad de las personas y activos de la empresa.
En caso de crisis garantizar un efectivo flujo de las comunicaciones internas y externas.
Garantizar el principio de la “empresa en marcha” logrando la recuperación de la operación crítica en el menor tiempo posible.
Minimizar las pérdidas - contener el impacto y minimizar la probabilidad de cometer errores.
Certificación
Obtener la certificación permite que cualquier empresa mejore la forma en cómo gestiona este tipo de riesgo y lo pueda hacer por medio de un sistema internacionalmente aceptado, el cual permite actuar de manera eficiente ante una situación o evento de amenaza. Así como darle la confianza a sus clientes de que podrán seguir contando con sus servicios y/o productos ante una contingencia.