El diseño de las estrategias de continuidad del negocio es ciertamente la etapa más importante del sistema de gestión de la continuidad del negocio. El producto de esta etapa representa el “corazón” de nuestro trabajo como encargado de continuidad del negocio porque determina las formas, metodologías, técnicas o soluciones alternas para poder continuar o recuperar el servicio afectado de forma total o parcial por un evento.
Para realizar esta etapa, es requerido identificar el proceso, el activo o la información para cual queremos asegurar una continuidad o una recuperación en caso de que pase un evento que le afecte. En este artículo, no hablaremos de continuidad tecnológica.
Para identificar el objeto de esta etapa, muchos realizan un Análisis del Impacto del Negocio (BIA por sus siglas en inglés).
Si lo piensan bien, los productos, servicios o procesos “core” de su organización son muy obvios y faciles a identificar, tanto para usted que para los ejecutivos, y de hecho no reclaman un análisis inicial tan profundo (y subjetivo).
De hecho, estos procesos deberían ser una prioridad para la implementación de estrategias de continuidad, aunque no sean obligatoriamente una prioridad de recuperación. ¿Por qué afirmar eso? Porque a pesar de la aparente urgencia o criticidad de un producto o un proceso, la urgencia de recuperación se define por las circunstancias del evento.
Por lo tanto, sin tener un BIA hecho, consideraremos que tenemos los insumos siguientes para ejecutar la etapa de estrategia para un proceso:
- Nombre del proceso
- El personal quien lo usa o ejecuta
- Donde se ejecuta
- Las interacciones con las demás áreas
- Los equipos, insumos o sistemas que se usan para este proceso
- Dónde está la información
- Los entregables del proceso
Como no haremos un BIA, no tendremos:
- El nivel de impacto y el tipo o categoría
- El MTPD (ISO 22301:2012): rango de tiempo en cual los impactos se vuelven inaceptables
- El RTO (ISO 22301:2012): rango de tiempo (ISO 22301:2019) en cual queremos recuperar el servicio
- El personal mínimo
- El MBCO: no existe más como tal en la ISO 22301:2019
Por razón estratégica (y quizás políticas), es recomendable empezar con los procesos “core”. Sin embargo, es bueno recordar que no esta limitado solamente a ellos. Dado a la subjetividad de las respuestas de los usuarios y ejecutivos dentro del BIA, y sabiendo que ignoramos cuando pasará el evento y quien estará afectado, se debería realizar esta etapa para todos los procesos.
Pero, algunos dirán que no tenemos el tiempo o el presupuesto para cubrir todos los procesos. Fundamentalmente, este argumento está equivocado por 2 razones principales.
El rol de un Gerente de Continuidad del Negocio no es ejecutar él solo la etapa de diseño de estrategias para todos los departamentos o unidades de su organización. A menos de tener un equipo muy grande, sabemos que no tendrá el tiempo y tampoco los recursos para hacerlo. Acorde a las buenas prácticas, y siendo parte de la 2da línea de defensa (COSO), su rol consiste en crear una cultura de gestión de continuidad del negocio y de hecho ayudar a todas las áreas de la organización ejecutar los procesos de gestión de la continuidad del negocio de forma autónoma.
En unos casos, dado a la madurez o la experticia requerida por un proyecto o a la complejidad de este, el gerente de continuidad del negocio tiene un rol más central y esencial dentro de esta etapa.
Pero de forma general, no es su rol asegurar la ejecución de esta etapa solo, sino ayudar las áreas a diseñar sus propias estrategias para sus procesos, lo que ahorrará tiempo, energía, recursos y permitirá una gestión optima del sistema de gestión de la continuidad del negocio de forma global.
La 2da razón es que cuando se trata de procesos o servicios, muchas estrategias no requieren un presupuesto o un presupuesto importante para poder ser implementadas. En varios casos se tratan de procesos o métodos alternos sin necesidad de inversión.
Sin un BIA, nos encontraríamos con unos insumos iniciales recuperados para esta etapa:
- Nombre del proceso: PA1
- El personal quien lo usa o ejecuta: Unidad 1 – 1 personal administrativo y 2 técnicos
- Donde se ejecuta: Edificio Alfa
- Dependencias con las demás áreas: Se reciben insumos de la unidad 3
- Los equipos, insumos o sistemas que se usan para este proceso: 2 equipamientos YY, 1 computadora portátil, 2 móviles, 1 teléfono fijo, 1 impresora, Sistemas A1 y B2
- Donde está la información: Información digital en repositorio Q1 y base de datos X3, Documentos papeles en Archivos físicos
- Los entregables del proceso: Producto AB
Es bueno recordar que toda la información mencionada no es el resultado de un BIA, sino la colecta de información básica considerada como insumo inicial (también considerada como insumo posible de un BIA).
Viene la etapa de identificación de estrategias y el diseño.
El proceso PA1 puede ser segmentado en diferentes partes o componentes:
- Actividades y metodología: Todas las actividades o tareas del PA1, Insumos de la unidad 3
- Personal: 1 personal administrative y 2 técnicos
- Recursos técnicos: 2 equipamientos YY, 1 computadora portátil, 2 móviles, 1 teléfono fijo, 1 impresora, Sistemas A1 y B2, Información digital en repositorio Q1 y base de datos X3, Documentos papeles en Archivos físicos
- Espacio de trabajo: Edificio Alfa
Para cada parte, se puede identificar una serie de estrategias o soluciones alternas permitiendo asegurar su continuidad o su recuperación en caso de que un evento le afecte total o parcialmente. Por ejemplo, para la parte del personal, quiénes podrian reemplazar al personal administrative o los técnicos dentro de la organización? Se requiere cross training?O podria ser con un proveedor externo?
Por la parte del espacio de trabajo, cuáles son todos los sitios posibles adecuados o por adecuar que se podrian usar, dentro de la misma zona o fuera? Cuánto costaria adecuarlos? Construirlos? Alquilarlos si fuse un proveedor externo?
Tambien por el proceso, se pueden identificar estrategias por cada etapa del mismo, es decir que por cada actividad que lo compone, puede existir una o varias metodologías alternas para ejecutarla. Este análisis puede ser largo a veces, pero permite un análisis profundo sin olvidar ninguna parte.
Se recomienda proceder de la manera siguiente:
- Organizar un taller o reunión de trabajo con el equipo responsable del proceso
- Preparar todos los insumos mencionados anteriormente
- Validar y comunicar la información al equipo
- Preparar tablas con cada parte (Actividades, Personal, Recursos técnicos, Espacio de trabajo) con las columnas siguientes:
- Nombre de la actividad, personal, recursos o espacio
- Detalles de la estrategia o soluciones alternas
- Tiempo de recuperación estimado (ERT)
- Requisitos (técnico, inversión)
- Riesgos asociados
- Precisiones adicionales
- Para cada parte proceder a enumerar estrategias o soluciones alternas en caso de indisponibilidad total o parcial
Se recomienda mencionar unas situaciones para ayudar al equipo, pero no se debe limitarse ya que no se sabe que tipo de evento podría ocurrir.
Una vez las tablas completadas, se recomienda validar las soluciones con expertos de ser necesario.
El rol del gerente de continuidad del negocio es analizar y recomendar las estrategias más adecuadas. Por cada componente del proceso, varias estrategias pueden ser identificadas, pero a veces son muy limitadas también.
Para las estrategias que no requieren una inversión, queda relativamente fácil su adopción por los ejecutivos y el equipo encargado.
Para las que requieren inversión, sin la noción de impacto y el MTPD, podría verse muy difícil recomendar alguna estrategia. En este sentido, nuestra sugerencia es recomendar una estrategia acorde al juicio experto del equipo y una primera presentación al middle management. Es muy importante recordarse que una de las calidades y características del encargado de continuidad del negocio es su conocimiento y entendimiento de la organización. Por lo tanto, el gerente de continuidad del negocio puede y debe recomendar soluciones y estrategias acorde a su experticia.
También, si los ejecutivos lo desean, se puede analizar el impacto con el objetivo de justificar la inversión ante un Comité Ejecutivo. Entonces me preguntarán ¿por qué no hacerlo antes en el BIA?
La respuesta es doble: primero el BIA impone hacer este ejercicio para todos los productos, servicios y procesos. El tiempo y la energía requeridos para esta etapa son muy importante y agotador para todos los participantes. Segundo, porque no es siempre necesario realizar este análisis. En muchos casos, el juicio experto de los ejecutivos les permite rápidamente tomar las decisiones cuanto a la inversión requerida.
Acuérdense siempre que al final, todo es cuestión de inversión y de apetito de riesgo. Por lo tanto, la decisión final pertenece a los ejecutivos quienes decidirán cual presupuesto y cual tiempo de recuperación (teórico) aceptan para los procesos analizados.