Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo comenzar un programa de continuidad del negocio

[22/05/2012] Algunas veces uno escoge la pajilla más corta.
Así se sintió un CSO cuando su exempleador le pidió que creara un programa formal de continuidad del negocio (BC, por sus siglas en inglés) hace unos cuantos años.
Es difícil, ¿no? afirma el CSO, quien trabajó para una empresa tecnológica en ese entonces y pidió permanecer anónimo. Cualquier división podría caer, las plantas pueden caer. Algunas divisiones eran buenas y otras no. La alta gerencia se preocupaba por el 20% que ganaba el 80% del dinero y se aseguró que continuaría si algo pasaba.
Una división en particular que le quitaba el sueño era la sucursal filipina de la empresa que contaba con 10 mil empleados. Tal y como lo vio el CSO, esta sucursal era muy vulnerable a, por lo menos, cuatro diferentes tipos de disrupciones potenciales: volcanes, terremotos, maremotos y disturbios políticos. Y eso solo para comenzar -no se está contando las constantes caídas y las interrupciones de los servicios que caracterizan a los negocios de los países menos desarrollados.
Este CSO rápidamente se dio cuenta que el corazón de la continuidad del negocio consistía en asegurar que la empresa pudiera seguir ganando dinero luego de un desastre. Entonces identificó las funciones que son críticas para ello y planeó cómo hacer que siguieran funcionando luego de un conjunto de posibles interrupciones. Luego hizo algo que muchos podrían envidiar: encargó la continuidad del negocio a un talentoso subordinado.
Si no puede hacer esto -descargarse de toda la tarea- puede al menos beneficiarse de las lecciones que han aprendido aquellos que han estado en las trincheras de la BC.
La continuidad del negocio es una disciplina muy amplia, que abarca tanto la recuperación de los datos en caso de disaster recovery como las actividades necesarias para asegurar que el negocio siga funcionando -o se reestablezca rápidamente- en caso de un evento adverso o catastrófico. Por tanto, la BC es transversal a las divisiones e incorpora a personas, procesos y tecnología.
Se debe considerar que virtualmente todas las empresas enfocan la continuidad del negocio de manera diferente, así que las lecciones podrían no aplicarse para su caso. Aun así, vale la pena examinar los errores comunes, los supuestos erróneos y las anécdotas instructivas de aquellos que ya han luchado con la formulación de un programa de continuidad del negocio.
A continuación las nueve principales lecciones de BC de los CSO y los expertos:
Lección 1: La continuidad del negocio es una disciplina en sí misma; trátela de esa manera
Las empresas generalmente ven la continuidad del negocio como sinónimo de otra disciplina, lo cual es una razón por la que esta tarea no recae frecuentemente en los encargados de la seguridad. Pero este es un error, ya que este tipo de pensamiento conduce a un planeamiento inadecuado, de acuerdo a Denis Goulet, consultor y capacitador certificado en BC y director de ContinuityLink. La continuidad del negocio no es seguridad, no es administración de las emergencias, no es administración del riesgo, sostiene Goulet.
De hecho, los profesionales pueden obtener un número creciente de certificaciones en continuidad del negocio de organizaciones que incluyen a DRI International, BCM Institute, Business Continuity Institute, Business Resilience Certification Consortium International, el Institute for Business Continuity Training y el National Institute for Business Continuity Management.
Para distinguir entre la continuidad del negocio y la administración del riesgo, piense en la administración del riesgo como la identificación de la probabilidad o la causa de un evento adverso, y en la continuidad del negocio como la estimación del impacto de ese evento, sostiene Goulet. Estamos interesados en la interrupción del negocio -la capacidad de seguir con el negocio ya no existe- entonces ¿qué será necesario para echar mano a la copia de respaldo y volver a funcionar de tal forma que uno no pierda su reputación, clientes o ingresos?
Pongámoslo de otra forma, los de continuidad del negocio se hacen cargo cuando los de administración del riesgo se van, sostiene Goulet. Digamos que usted asume desde la administración del riesgo que la probabilidad de que un terremoto destruya su edificio de oficinas en Manhattan es casi cero. Desde la administración del riesgo, por tanto, decido no gastar el dinero que sería necesario para establecer otra oficina de respaldo. La continuidad del negocio dice lo peor que podía pasar sucedió, a pesar de su baja probabilidad; ahora ¿qué vamos a hacer frente a esto? Y la solución podría ser algo tan simple como hacer que los empleados trabajen desde sus casas.
Siempre queda algo de riesgo que no se considera desde la administración del riesgo, afirma Goulet. La BC es la que llena ese vacío.
Lección 2: El proceso es colaborativo, pero en último término el CEO es el dueño
Una de las formas de pensar -a la que se adhieren muchas empresas- es que el CSO puede ser el dueño del planeamiento y evaluación del planeamiento de la continuidad del negocio. El hecho es que la BC es por naturaleza un esfuerzo colaborativo, y el CEO es su dueño en último término.
En la práctica, es un conjunto de disciplinas -TI, seguridad, RRHH, línea de negocios- que pueden ser encargadas creando así un programa formal de BC, sostiene Edward Brown, presidente y CEO de KetchConsulting, firma consultora en BC.
El CEO encabeza el negocio, por tanto, es su tarea asegurarse que éste continúe. El trabajar en el planeamiento de la BC con la alta gerencia refuerza su importancia en la organización, sostiene Goulet.
He capacitado a personas que eran más técnicas, menos técnicas, de alto nivel, de menor nivel. No hay un camino predefinido. La continuidad del negocio ha salido de diferentes lugares de la empresa, para mejor o peor, sostiene.
Lo principal a recordar: obtenga un irrefutable soporte ejecutivo y colabore con los otros departamentos.
Lección 3: Sea riguroso en su análisis de impacto al negocio
Los veteranos del planeamiento de la continuidad del negocio han aprendido a la mala que la piedra angular del planeamiento de la BC -y, por tanto, una de las primeras cosas que se deben hacer cuando se formaliza un programa de BC- es un análisis de impacto al negocio (business impact analysis o BIA).
En este ejercicio, uno se sienta con un equipo interdisciplinario, examina todo lo que hace la empresa, e identifica las actividades de negocio críticas. La pregunta esencial es: ¿cuánto tiempo puede esta función quedar suspendida antes de que quedemos fuera del negocio?
Algunas funciones pueden detenerse una semana; algunas, una hora; otras, un mes, sostiene Goulet. Desde ahí, definirá una solución -que puede ser técnica y no técnica- que reiniciará la función dentro del periodo que ha decidido. A esto se llama su tiempo de recuperación objetivo (recovery-time objective o RTO). Un análisis de impacto al negocio identificará el RTO para cada función del negocio en su organización.
Algunas veces los resultados del BIA pueden ser sorprendentes. Por ejemplo, la función más crítica de un fabricante de wiski puede ser la distribución, asegurarse que el producto llegue a los estantes, y no la producción, la cual puede detenerse por mucho tiempo antes que los clientes o el mercado se den cuenta que hay algún problema.
La lección fundamental aquí es no intentar tomar un atajo en el proceso. Muchos ejecutivos piensan que tienen olfato para determinar qué es lo más importante sin examinarlo todo. Esto no es así, señala Goulet. Uno no comienza identificando las tres actividades principales con la alta gerencia. Uno podría pasar por alto partes esenciales del negocio que no son fácilmente visibles desde arriba.
Por ejemplo, uno podría pensar que las ventas pueden ser una de las funciones más críticas de cualquier empresa, ya que nadie puede sobrevivir sin vender algo. Pero puede ser que ese no sea el caso, al menos desde el punto de vista de la continuidad. La fuerza de ventas es la que consigue el dinero. Ella crea crecimiento vendiendo a los nuevos clientes. Algo con lo que uno no quiere lidiar [inmediatamente] después de un desastre es un nuevo cliente. En el corto plazo, lo que uno quiere es concentrarse en mantener a los clientes existentes, señala Goulet.
Lección 4: Concéntrese en el valor de negocio, no en los activos o las funciones
La perspectiva de Karen Avery respecto a la continuidad del negocio ha cambiado bastante desde que fue CISO en GE Capital. Entonces, ella tomó decisiones basada en lo que era necesario para que un activo -como un edificio- o una función -como contabilidad- siga funcionando. Ahora, como directora administrativa de la consultora Marsh Business Resiliency Solutions, toma un enfoque basado en el valor para determinar las prioridades de la BC. Con el antiguo enfoque, ella comenzaría su planeamiento con el edificio o el activo tecnológico o una función en, por ejemplo, Marketing o Finanzas. Pero es mucho más efectivo, afirma, comenzar con aquello con lo que la organización crea valor en el mercado.
Vea los ingresos, y luego voltee la cabeza hacia las cadenas de valor que soportan esos ingresos. Las funciones se alinearán y le ayudarán a identificar rápidamente la vulnerabilidad a través de la cadena de valor, afirma Avery.
Lección 5: No lo haga solo
Dennis Dayman puede resumir la mejor lección que ha aprendido acerca de la continuidad del negocio en una oración: las autoevaluaciones carecen de valor. Como miembro del equipo de revisión anual de los planes de BC de la empresa, él generalmente tenía la desagradable sensación de que la empresa estaba dejando pasar algo.
Nadie quiere hablar de sus propios errores y vulnerabilidades, sostiene Dayman, CSO de Eloqua, proveedor de SaaS.
Ahora tenemos un tercero, TRUSTe, que vino y nos dijo qué pasamos por alto. Como bombero voluntario que responde a docenas de llamadas de emergencia en su ciudad todos los años, Dayman sabe muy bien que los desastres suceden y pueden arruinar a las empresas -sin mencionar a las personas. Como sabe, la mejor forma de evitar la miopía en sus planes de BC es lograr que un tercero se involucre.
Lección 6: Cuidado con la trampa del ROI
Otra creencia común es que la continuidad del negocio es una inversión al igual que cualquier otra, y que puede ser justificada en base a sus costos de la misma manera en que se hace con otras inversiones. Pero Goulet señala que las empresas necesitan alejarse de esta dañina idea. La BC debe ser vista como un gasto y un costo de hacer negocios.
Desde su punto de vista, esta es una distinción manifiesta entre la BC y su disciplina hermana, la administración del riesgo, la cual mitiga el riesgo en base al costo de la solución a la luz del daño probable. La administración del riesgo pondera esas opciones, mientras que la continuidad del negocio dice sabemos que es remoto, pero necesitamos planear el escenario de peor caso.
El ROI es una trampa, sostiene Goulet. Todos buscan decir algo a la gente de Finanzas, pero esa es una trampa. La continuidad del negocio es parte del costo de hacer negocios. No gastaríamos millones en esto si no tuviéramos que hacerlo, pero si tenemos que hacerlo, lo hacemos.
Pero la BC no se trata de gastar sin límites en un resultado poco probable. Se trata de gastar lo que sea necesario -y solo si es necesario- para permitir que la empresa sobreviva luego de un evento adverso. Si quiere una solución barata, no haga nada, afirma Goulet.
Es difícil ignorar el ROI para la gerencia, especialmente si se encuentran en el mundo de la administración del riesgo, en donde todo se basa en las probabilidades y los retornos. Si se encuentra estancado en esta forma de pensar, Avery aconseja que use el modelamiento para cuantificar el valor de la función. Las empresas se atascan porque van por un proceso, y tienen soluciones a determinados precios y no pueden justificar la inversión, sostiene.
Si utiliza el enfoque basado en el valor e incorpora analítica, puede modelar la exposición versus el retorno sobre la inversión en el riesgo. Luego puede justificar el gasto ante su CEO. Primero, sin embargo, trate de convencer a la gerencia que el BC es un costo de hacer negocios.
Lección 7: Construya algo de flexibilidad
Aunque tiene sentido estandarizar los planes de BC tanto como se pueda, también es igualmente importante permitir algo de flexibilidad para las distinciones locales, de acuerdo a John South, CSO de Heartland Payment Systems.
Vemos la continuidad del negocio como una función distribuida, con responsabilidades compartidas con los gerentes de las operaciones regionales, sostiene. Heartland emite un formato estándar para la continuidad del negocio que espera que adopten todas sus unidades de negocio cuando desarrollen sus planes de continuidad del negocio, pero sabe que esas unidades también necesitan flexibilidad para definir sus planes dentro de los parámetros de su operación local, explica South.
Para dar un ejemplo, cuando una operación local tiene sus propias instalaciones, podría enfrentar un conjunto diferente de preocupaciones en torno a la BC que una unidad que alquila su edificio, a pesar de que son parte de la misma empresa.
Lección 8: Muestre sus planes a los clientes
Los CSO deben darse cuenta que la continuidad del negocio se está ampliando más allá de las cuatro paredes de la empresa. Cada vez más, los clientes y los socios de la cadena de abastecimiento quieren conocer sus planes de continuidad.
Esto tiene sentido, ya que una empresa es tan fuerte como el eslabón más débil de su cadena de abastecimientos. Intercambiar planes de BC se está haciendo parte de hacer negocios y puede tener una diferencia competitiva.
Becker y Poliakoff, estudio de abogados, tiene más de una docena de oficinas en Florida y muchas otras más en otros estados, más una en Europa. Ari Solomon, director de TI, encuentra que sus clientes pueden ayudar con el planeamiento del BC al delinear sus prioridades. Ellos quieren saber cómo se encontrarán en contacto con el abogado si hay una caída, señala. En caso de desastre, realmente no tienen como preocupación el poder sacar documentos, sino poder comunicarse con su abogado.
Y dado que la oficina principal de la firma se encuentra localizada en el sur de Florida, las caídas son comunes. Lo que otras personas llaman un evento catastrófico, yo lo llamo un día de trabajo, afirma Solomon. Los huracanes siempre vienen por aquí; es como si nos sentáramos aquí esperando a que ocurran. No hago planes para un desastre, planeo contra lo normal de la vida.
Lección 9: Asegúrese que todos sepan qué hacer
Una forma rápida y sin costo de determinar si sus discusiones sobre la continuidad del negocio están ganando terreno, es que alguien le pregunte a su CEO a dónde irían los empleados si su oficina fuera reducida a escombros.
Si dicen probablemente, trabajaría desde casa, eso es un mal signo, sostiene Brown. Deben decir de acuerdo a nuestro plan, todos trabajaremos desde casa. Si dicen probablemente o quizás, no está escrito, y no existe.
Quizás aun no le han pedido que encabece un planeamiento de continuidad de negocio, pero una vez que escuche el llamado, es imperativo tener un fundamento para realizar un buen trabajo. El futuro de su compañía puede estar en riesgo.
Lauren Gibbons Paul, CSO