Riesgo de Continuidad del Negocio: Estrategias para la Resiliencia Empresarial

by on

En un contexto social propenso a los cambios (sociales, financieros y políticos), contar con un plan de continuidad del negocio es esencial para la supervivencia de este. La continuidad del negocio se refiere a la capacidad de una organización para mantener las funciones empresariales cruciales, minimizar las interrupciones y reanudar las operaciones normales con un tiempo de inactividad mínimo cuando se produce una crisis. Sin un plan de continuidad del negocio, las empresas son vulnerables a toda una serie de incidentes. Esta falta de gestión de la continuidad del negocio (BCM) puede ser costosa. Por ejemplo, el coste medio de una vulneración de datos en 2023 fue de 4,45 millones de dólares, según el informe "Cost of Data Breach" de IBM. Tras una pérdida de este tipo, a las empresas les puede resultar difícil recuperarse.

Los líderes empresariales utilizan la continuidad empresarial como paradigma para mantener las operaciones, aunque sea en una capacidad temporalmente limitada, en caso de interrupciones inesperadas o planificadas de los procesos empresariales normales. Estas interrupciones pueden incluir catástrofes naturales, ciberataques, conflictos armados u otras causas de fuerza mayor, pandemias mundiales, cortes de electricidad debidos a tormentas o inundaciones, fallas de infraestructura, actividades de mantenimiento planificadas e incluso la salida inesperada de un empleado clave. Las interrupciones en los negocios pueden resultar caras: cada minuto de inactividad de los sistemas de una empresa puede traducirse en una pérdida de ingresos. La BCM puede reducir significativamente los costes de recuperación.

El objetivo de la continuidad del negocio es minimizar el impacto de interrupciones en las actividades comerciales. Se trata de una acción clave ya que ayuda a identificar y priorizar los activos críticos para las operaciones del negocio. Se dan así los pasos adecuados para identificar y proteger los activos digitales críticos para las operaciones de negocio.

¿Qué es un Plan de Continuidad del Negocio (BCP)?

Un plan de continuidad del negocio (BCP) detalla los pasos que seguirá una organización para volver a las funciones comerciales normales en caso de desastre. El “Plan de Continuidad de Negocio” garantiza que la organización pueda seguir operando (aunque sea parcialmente) durante y después de una incidencia grave. La planificación de la continuidad del negocio es esencial para la supervivencia de una organización en caso de catástrofe natural u otra interrupción del curso normal de las actividades. De hecho, alrededor del 25 % de las empresas no vuelven a abrir tras una catástrofe, según la Agencia Federal de Gestión de Emergencias de EE. UU. Un BCP especifica un objetivo de tiempo de recuperación, u RTO, que es la cantidad de tiempo que se tarda en restaurar los procesos empresariales tras un incidente imprevisto.

Aunque los planes de continuidad del negocio y de recuperación ante desastres son planes de contingencia, cada uno aborda la gestión de crisis de manera diferente. Los BCP son una estrategia proactiva de continuidad del negocio para mantener las funciones empresariales antes, durante e inmediatamente después de una interrupción. La recuperación ante desastres es un subconjunto de la continuidad del negocio que implica la restauración de los servicios de TI, incrementalmente si es necesario. Aún así, la recuperación ante desastres es integral, pero no el único componente clave de un plan de continuidad del negocio efectivo. Un BCP debe incluir el plan de recuperación ante desastres (RD), que, como su nombre indica, es un marco para recuperar los sistemas y, lo que es más importante, los datos tras una interrupción inesperada.

La ISO 22301 define la continuidad del negocio como «procedimientos documentados que guían a las organizaciones para responder, recuperar, reanudar y restablecer un nivel predefinido de operaciones tras una interrupción.»

Elementos Clave de un Plan de Continuidad del Negocio

Para desarrollar un BCP robusto, es crucial considerar los siguientes elementos:

  • Análisis de Impacto en el Negocio (BIA): Determina qué funciones y procesos son esenciales para la supervivencia de la organización, y comprende el impacto que tendrían si se interrumpieran. Este análisis debe ser continuo, pero es especialmente importante cuando la empresa se expande a nuevos mercados de productos o zonas geográficas y cuando añade tecnologías básicas, como un nuevo centro de datos o una nueva infraestructura en la nube.
  • Evaluación y Gestión de Riesgos: Identificar los riesgos que se pueden presentar (y que, tras su análisis, se han considerado como “potencialmente peligrosos”) y la forma de combatirlos. Los riesgos asociados a una empresa suelen cambiar con el paso del tiempo. Este proceso supone, una vez se conoce el problema, la identificación de las funciones y procesos (y, también, empleados) que son vitales para su funcionamiento, la evaluación del daño que han sufrido y las consecuencias que va a tener su interrupción (a todos los niveles).
  • Estrategias de Recuperación: En base a lo obtenido en la evaluación de riesgos, y sabiendo el impacto que va a tener la “contingencia”, el siguiente paso al hacer un plan de continuidad del negocio es el desarrollo de las estrategias que ayudarán a reconducir la situación y superar el problema. El BCP debe incluir planes de contingencia, de recuperación y de autoprotección.
  • Definición de Roles y Responsabilidades: Es fundamental que en el plan de continuidad del negocio se definan las responsabilidades de cada empleado, en caso de emergencia, y, en base a ellas, se establezcan unas tareas (en orden de prioridad) a realizar (si esta se produce). Crear una lista de partes interesadas clave, incluida su información de contacto completa y áreas de responsabilidad. El gestor de continuidad del negocio debe garantizar que se pueda acceder fácilmente a las copias físicas de la lista en una serie de locales específicos.
  • Plan de Comunicaciones: Crear planes de comunicaciones para la empresa en su conjunto y para cada área funcional.
  • Capacitación y Sensibilización: El plan de continuidad del negocio es efectivo si los empleados lo conocen y, sobre todo, si se les ha impartido la formación necesaria, lo que supone la realización de sesiones que ayuden a saber y entender cuáles son sus roles y sus responsabilidades en caso de que se produzca una “contingencia”.
  • Pruebas y Mantenimiento: Para demostrar la solidez de un BCP, las organizaciones deben someterlo a pruebas periódicas y revisiones continuas. La formación es esencial para concienciar a los empleados sobre las posibles amenazas, mientras que los ensayos frecuentes de situaciones realistas pueden ayudar a detectar problemas y oportunidades de mejora.

Fases de la Elaboración de un Plan de Continuidad del Negocio

La aplicación de un plan de continuidad del negocio empieza por el examen, detallado, de los riesgos que han afectado a la empresa y el impacto que han tenido en ella. Las fases necesarias para implantar un plan son:

  1. Análisis del Impacto Empresarial (BIA) y Evaluación de Riesgos: Implica una evaluación de riesgos para valorar diversas funciones empresariales y determinar los posibles riesgos, amenazas y vulnerabilidades. El resultado del BIA y el RA se utiliza como input para la fase de diseño de soluciones del BCMS.

    El coste de ponerse al día en ciberseguridad

  2. Desarrollo de Estrategias y Soluciones: Para cada evento identificado, las empresas deben diseñar una respuesta adecuada. Cada incidente requiere un nivel de respuesta diferente. En este paso también entran en juego consideraciones tecnológicas, especialmente a la hora de establecer un objetivo de punto de recuperación (RPO). El RPO de una organización se refiere a la cantidad de datos que puede permitirse perder en caso de desastre y aún así recuperarse. En función de su RPO, las empresas podrían buscar herramientas de copia de seguridad y restauración de datos.
  3. Asignación de Roles y Recursos: Durante este paso, los líderes empresariales y las partes interesadas designarán a los miembros clave del equipo que pondrán en marcha el plan y guiarán los esfuerzos de respuesta y recuperación. Un BCP eficaz define claramente las responsabilidades de cada miembro del equipo y describe los recursos necesarios para cumplir sus funciones.
  4. Implementación y Puesta a Prueba: Practicar el plan guiando a todas las partes interesadas por los pasos que deben darse en caso de interrupción. Las pruebas de simulación, el recorrido de inspección y los servicios de pruebas de terceros son métodos eficaces para evaluar la preparación.
  5. Revisión y Actualización Continua: Los planes de continuidad del negocio son tan buenos como los hábitos de las personas que los utilizan. Los riesgos asociados a una empresa suelen cambiar con el paso del tiempo.

Riesgos Comunes que Amenazan la Continuidad del Negocio

En un mundo empresarial cada vez más competitivo y cambiante, los riesgos de continuidad de negocio pueden tener un impacto significativo en la estabilidad financiera y la reputación de una empresa. Según el software de sistemas de gestión ISOTools Excellence, son muchas las áreas de las empresas y organizaciones que son susceptibles de sufrir eventos disruptivos que puedan comprometer el correcto funcionamiento de éstas.

Tipos de Riesgos:

  • Ciberriesgos y Ciberataques: La tecnología es una de las infraestructuras críticas más relevantes en la actualidad y puede ser atacada con frecuencia, siendo necesario protegerla continuamente. Los efectos adversos de un ciberataque pueden multiplicarse en caso de que una organización o sus equipos humanos no sepan cómo reaccionar ni actuar. Para hacer frente a este riesgo, las empresas deben implementar medidas de seguridad informática efectivas, como la encriptación de datos, la autenticación de usuario y la gestión de contraseñas.
  • Incidentes de Seguridad (Offline y Online): Un deficiente control de acceso a los sistemas informáticos, la existencia de vulnerabilidades web pueden poner en riesgo la continuidad del negocio, ya sea a nivel interno, ya sea repercutiendo en la reputación del mismo.
  • Falta de Formación y Concienciación: Los errores humanos pueden dañar seriamente la continuidad de un negocio, más aún si faltan planes de continuidad conocidos por todos los empleados.
  • Actos de Terrorismo: Puede dañar profundamente sus procesos y actividades, pudiendo ser muy difícil su recuperación.
  • Dependencia de Proveedores: Si un proveedor clave sufre problemas financieros, quiebra o falla en la entrega de productos o servicios, puede tener un impacto significativo en la continuidad de negocio.
  • Cambios Regulatorios y Legales: Los cambios en las regulaciones y las leyes pueden tener un impacto significativo en las operaciones empresariales, especialmente en aquellas que dependen de sectores altamente regulados.
  • Pérdida de Empleados Clave: La pérdida de un empleado clave o un grupo de empleados puede tener un impacto significativo en la continuidad de negocio y en la capacidad de la empresa para competir en el mercado.
  • Daño Reputacional: La reputación de una empresa puede ser dañada por una variedad de factores, como escándalos de corrupción, mal servicio al cliente o productos defectuosos. La pérdida de reputación puede afectar la rentabilidad y la estabilidad financiera de la empresa.
  • Desastres Naturales: Fenómenos como huracanes, terremotos, inundaciones o incendios, pueden tener un impacto significativo en la continuidad de negocio.
  • Interrupciones del Suministro de Energía: Las interrupciones del suministro de energía pueden ser causadas por una variedad de factores, como fallas en la red eléctrica o interrupciones planificadas. Esto puede tener un impacto significativo en la continuidad de negocio, especialmente si la empresa depende en gran medida de la energía para sus operaciones.
  • Fraude Interno: Puede ser causado por empleados deshonestos o por una falta de controles internos efectivos. Esto puede tener un impacto significativo en la continuidad de negocio y en la reputación de la empresa.

Ante tal cantidad de riesgos es clave contar con las herramientas adecuadas que permitan hacer una gestión eficaz del conjunto de riesgos y al mismo tiempo que cada área de la organización sea partícipe, creando una cultura en torno a esta gestión que facilite la continuidad.

Tecnología y Continuidad del Negocio: El Papel de la Nube

La continuidad del negocio depende de una amplia variedad de factores, como el sector en el que opera una organización y la naturaleza de la disrupción en sí. Pero en la era de la información, depende de algún nivel de funcionalidad de TI. Cuanto más cortos sean los RTO y los RPO, mejor será la continuidad. Sin embargo, el costo de lograr cualquier RTO o RPO aumenta a medida que cada objetivo se acorta. Las opciones de arquitectura pueden ayudar.

Los líderes empresariales deben considerar el uso de la computación en la nube y, de manera ideal, los contenedores para aislar aún más los datos críticos de los sistemas que se han interrumpido. Una de las ventajas de la computación en nube desde el punto de vista de la continuidad empresarial es lo que se denomina «implementaciones piloto», en las que los sitios secundarios o las copias de las cargas de trabajo corporativas pueden ser tan pequeños como una sola máquina virtual (VM) o contenedor. En caso de conmutación por error, esa única máquina virtual o contenedor puede, si es necesario, poner en marcha un proceso automatizado que permita a la organización poner en marcha el resto de la infraestructura.

Otra estrategia es la llamada arquitectura «azul-verde», en la que, en lugar de tener de cuatro a seis entornos redundantes para el desarrollo y las pruebas y otro distinto para la implementación en producción, una organización implementa solo dos entornos redundantes y distribuidos. Digamos que el entorno "azul" es la producción y el "verde" es el desarrollo y las pruebas. Cuando finaliza el desarrollo, el entorno «verde» se convierte en el entorno de producción principal, y el entorno «azul» se utiliza para el desarrollo, las pruebas y la recuperación ante desastres.

Oracle simplifica y hace más rentable el desarrollo de un plan integral de continuidad de negocio. Dado que Oracle Cloud Infrastructure (OCI) se desarrolló más tarde que otras nubes de hiperescala, se hizo para ofrecer mayor eficacia y confiabilidad, menor latencia y flexibilidad superior en comparación con las nubes de la competencia. Además de los contenedores, OCI dispone de máquinas virtuales flexibles, lo que significa que las empresas pueden adquirir solo la cantidad de potencia informática que necesiten. Otros proveedores ofrecen menos flexibilidad, lo que obliga a los clientes a sobreaprovisionar sus instancias y les cuesta más dinero. Basándose en décadas de experiencia en desarrollo y en los comentarios de los clientes del mundo real, Oracle ha desarrollado unas prácticas recomendadas denominadas Arquitectura de Máxima Disponibilidad de Oracle (MAA). Oracle MAA se amplía aún más con el servicio Oracle Cloud Infrastructure Full Stack Disaster Recovery. OCI Full Stack Disaster Recovery organiza la transición de recursos informáticos, bases de datos y aplicaciones entre regiones de OCI de todo el mundo con un solo clic. Las expectativas de continuidad del negocio han cambiado a medida que ha evolucionado el panorama tecnológico. La nube es clave de una estrategia de continuidad empresarial eficaz y rentable.

Ejemplos de Gestión de Continuidad del Negocio en la Práctica

Greif mitiga los riesgos que pueden afectar negativamente a sus clientes mediante la gestión de riesgos y los esfuerzos de continuidad empresarial. Emplean procesos de gestión de riesgos que pueden aumentar la estabilidad de las operaciones comerciales, al mismo tiempo que reducen la responsabilidad legal y brindan protección contra eventos que son perjudiciales para la empresa o el medio ambiente. Al centrarse en la gestión eficaz de sus riesgos, garantizan la calidad de sus productos y la seguridad de sus colegas, y pueden mantener los compromisos con sus clientes.

Greif evalúa el riesgo de toda la organización a través de su proceso formal de Gestión de Riesgos Empresariales (ERM), que considera todas las unidades de negocio y geografías. La información sobre riesgos se identifica y analiza a través de los procesos de Monitoreo de Riesgos y Contenidos de Greif por parte de proveedores de aseguramiento de toda la organización, incluidos el Liderazgo Ejecutivo, Auditoría Interna, Legal/Cumplimiento, comentarios de los clientes y la participación de los inversores y el Comité Directivo de Sostenibilidad (SSC) de Greif. El RLC identifica, clasifica, revisa y prioriza los riesgos junto con el Comité de Auditoría de Greif para determinar los riesgos más críticos en función del impacto potencial y la probabilidad de ocurrencia. Cada riesgo se evalúa en busca de oportunidades potenciales y se informa al Directorio trimestralmente para su aprobación. El RLC evalúa los riesgos para desarrollar planes de mitigación de riesgos y captura de oportunidades.

El programa de Recuperación ante Desastres/Continuidad Comercial de Greif, establecido en 2017 en su negocio de Empaques Industriales Globales (GIP), gestiona el riesgo y la continuidad comercial a través de capacidades de redundancia de inventario y producción, evaluaciones de riesgos de las instalaciones y relaciones laborales proactivas. El programa describe un proceso de 25 pasos para identificar los pedidos de los clientes que pueden verse afectados si un desastre afecta una de sus instalaciones, identificar productos alternativos que cumplan con las especificaciones del cliente e instalaciones que puedan producir los productos que sus clientes han pedido. Realizan simulacros de desastres al azar mensualmente para asegurarse de que el proceso se comprenda en la organización y se pueda implementar en caso de que ocurra un desastre. El programa y su política asociada de Continuidad Comercial de Recuperación ante Desastres se revisan anualmente.

La red global de 250 ubicaciones de Greif les permite fabricar productos idénticos en varios sitios, lo que les da la flexibilidad de cambiar la producción en función del inventario, las necesidades de los clientes o en el improbable caso de que se produzca un cierre. Esta capacidad es posible gracias a la gestión centralizada del inventario y a su sólido proceso de planificación de ventas y operaciones (S&OP), que permite la visibilidad de las materias primas y los productos terminados en todas sus instalaciones. Cada instalación obtiene materias primas de múltiples proveedores, lo que garantiza que la producción no se interrumpa debido a retrasos o escasez de un proveedor.

Caso de Estudio: Huracanes y la Continuidad del Negocio de Greif

En 2017, las operaciones de Greif en Norteamérica se vieron afectadas por los huracanes Harvey e Irma, lo que tuvo un impacto de aproximadamente $5 millones en su negocio. A pesar del impacto, sus prácticas de gestión de riesgos y continuidad comercial les permitieron cumplir con sus compromisos con los clientes durante la recuperación sin declarar fuerza mayor. Greif apoyó a sus colegas directamente afectados por los huracanes al continuar pagando los salarios durante la semana en que la producción estuvo interrumpida, pagando hoteles y autos de alquiler y creando una lista de deseos para que los colegas en Norteamérica compraran artículos para sus pares. Greif también igualó las donaciones en efectivo de los colegas a la Cruz Roja para apoyar los esfuerzos de socorro, donando una contrapartida de $11,745.

En 2020, los huracanes que atravesaron el Golfo de México afectaron las plantas de Mobile Recycling, Bay Minnette y Woodbine Paper Packaging & Services (PPS), y un huracán afectó a su planta de Tama, Iowa. En todos los casos, trabajaron para abastecer a los clientes mediante la capacidad en otras ubicaciones, ya que las plantas enfrentaban tiempos de inactividad de medio a dos días, según el evento. Sus planes de continuidad comercial garantizaron que el tiempo de inactividad no provocara pérdidas comerciales y cumplieron sus promesas a sus clientes.

Tabla: Impacto de Huracanes en Greif y Medidas de Continuidad del Negocio

Año Evento Impacto Financiero Estimado Medidas de Continuidad del Negocio Aplicadas Resultados
2017 Huracanes Harvey e Irma ~$5 millones
  • Continuidad de salarios a empleados afectados
  • Apoyo para alojamiento y transporte
  • Donaciones y colectas de artículos
  • Co-producción en múltiples instalaciones
  • Listas de proveedores alternativos
 Cumplimiento de compromisos con clientes sin declarar fuerza mayor. Apoyo a empleados.
2020 Huracanes en el Golfo de México y Tama, Iowa No especificado
  • Abastecimiento a clientes desde otras ubicaciones
  • Co-producción en múltiples instalaciones
  • Listas de proveedores alternativos
 Tiempo de inactividad de medio a dos días. No se registraron pérdidas comerciales. Cumplimiento de promesas a clientes.

Estos ejemplos demuestran cómo una sólida gestión de riesgos y un plan de continuidad del negocio bien ejecutado pueden mitigar significativamente el impacto de eventos disruptivos, asegurando la resiliencia y estabilidad de una organización.

tags: #riesgo #de #continuidad #del #negocio

Publicaciones populares: