Este es un post largo porque ya en su momento quise comentar que "continuidad de negocio" no es sólo pensar en situaciones de catástrofes o accidentes, sino que pueden darse otras amenazas que generen la indisponibilidad masiva de recursos o personas y por ello, requieran de un plan de reacción que sepa determinar las decisiones correctas pero tomadas en frío, cuando la crisis o la contingencia no se está produciendo.
A principios de este año, el laboratorio farmacéutico Roche organizó en Madrid unas charlas sobre continuidad de negocio. Si, habéis oído bien, un laboratorio farmacéutico hablando de continuidad de negocio.
¿Qué tienen que ver una cosa y la otra?
Pues bien, la cosa es que se tenía conocimiento desde hace tiempo que en algún momento de la historia se iba a producir una pandemia. Leer el folleto y veréis como la realidad se encarga de hacer verdad los peores vaticinios y más pronto de lo previsto.
El evento fue muy bien recogido en el blog de Edgard y Dani Puente, en este post en www.eddasec.es
Ya lo he comentado alguna vez pero es curioso el papel que juega un blog cuando se dejan ciertas reflexiones ancladas al tiempo. Sin embargo sorprende ver lo rápido que ciertas preocupaciones se hacen realidad. Tal como decía Edgard,
"Simplemente señalar que más vale empezar a tomarse este tema más o menos en serio. Ha quedado claro que la pregunta que debemos realizarnos no es si se producirá o no una pandemia, sino ¿CUANDO EMPEZARÁ "
Los que nos dedicamos a la seguridad parecemos siempre ser pajaros de mal agüero, advirtiendo de hechos desagradables que habría que contemplar. Somos los malos que tenemos que hacer reflexionar sobre riesgos que existen y que no queremos ver.
Bruce Schneier suele achacar las causas de la poca concienciación en temas de seguridad a las malas jugadas que nos juega la psicología a la hora de afrontar nuestros miedos. Podéis leer una extensa explicación en La psicología de la seguridad.
La revista Community CXO publicó ayer una extensa reflexión sobre el tema que podéis consultar también en Las pandemias y la continuidad del negocio. Es un tema ahora de moda dado que es una amenaza inminente que no ha sido contemplada como algo severo hasta ahora que hablamos ya de pandemia.
La cuestión principal en todo este tema sería la siguiente:
¿Qué hacemos si nos enfermamos todos y no podemos trabajar en las diferentes áreas de la Organización?. Estaríamos en una encrucijada que podría estar poniendo en riesgo la supervivencia de nuestro negocio, sin embargo, la continuidad del negocio sería una de las alternativas para evitar esta situación. ¿Hasta qué punto la continuidad del negocio nos puede apoyar y en qué escenarios?
En este documento que ya referenciaba Edgard hay una buena plantilla sobre qué cosas se tienen que definir y resolver para atacar una contingencia como esta.
Todo plan de continuidad de negocio debe responder a las cinco grandes preguntas:
- ¿Qué?: Definir las partes de la organización que serán críticas en los primeros momentos y por tanto, que deberán volver a la normalidad lo antes posible.
- ¿Quién?: Qué personas se tendrán que movilizar y en qué orden. ¿cuanta gente hará falta en las primeras horas, los primeros días y sobre todo, cómo se coordinará el tema para que no se de una situación caótica.
- ¿Cuando?: ¿Qué ventanas de interrupción son tolerables? ¿En cuanto tiempo tenemos que volver a la normalidad? Todo esto viene definido por el Businnes Impact Analysis (BIA) que establece los valores para los dos parámetros relevantes en continuidad de negocio, el RTO y el RPO. Estos conceptos ya los expliqué en este post
- ¿Como?: Qué tendremos que hacer para mitigar la contingencia, entrar en la fase de recuperación y por último, volver a la normalidad.
- ¿Donde?: A qué lugares tendremos que acudir para poder hacer todo esto. Si las ubicaciones físicas principales están afectadas, hay que tener lugares alternativos donde poder desplegar el plan. ¿Qué pasa si no tengo mi Pc normal de trabajo o no se puede entrar al CPD? Todas estas cuestiones tienen que estar bien resueltas.
Como podéis ver, el Plan de Continuidad de Negocio es un esquema estructurado de toma de decisiones para situaciones en donde el tiempo es oro y no se puede improvisar. Muchas veces el estres, la presión o las situaciones nos superan y nos inducen a error. El Plan solventa todas estas cuestiones y la prueba del plan demuestra si funciona o no como está previsto. Por ello, probar el plan es casi más importante que tenerlo.
El blog Eddasec tiene muy buenas frases que resumen este hecho, os dejo algunas a continuación.
- Cuanto más inseguro te sientes más seguro te haces
- Confianza no es sinónimo de seguridad
- La seguridad es directamente proporcional a los incidentes sufridos
- Los PCN funcionan siempre antes de activarse, una vez activados ......
- En seguridad no hay margen de maniobra
- La anticipación es una buena aliada de la seguridad
- Si el estado de seguridad absoluta existiese no harían falta las copias de seguridad.
- De la seguridad a la inseguridad apenas hay distancias, a la inversa es todo un abismo.
- Sentirse seguro es un error, sentirse inseguro es una virtud.
- Tu controlas la seguridad pero la inseguridad te controla a ti.
- Un incidente de seguridad no es un error sino una oportunidad de mejora.
- El que siembra vientos, ¡¡¡ recoge tempestades!!!, en Seguridad también.
A estos podemos añadir que en Continuidad de Negocio se cumple otra máxima más:
“Quien hace, puede equivocarse. Quien nada hace, ya está equivocado”
Me han gustado mucho también los Diez Mandamientos de la Continuidad de Negocio que Claudia Diego enumera en la Revista CXO Comunity. Voy a citarlos literalmente porque no tienen desperdicio.
- 1. No menospreciarás una Situación de Crisis/Contingencia: Es habitual efectuar la prueba de los planes en cada una de las áreas de la empresa y más común aún no avisar a la gente de que se trata de un testeo. No informar “la prueba” quita valor a la misma y el día que no lo sea, los pasos a accionarse no se ejecutarán en el orden y tiempo debidos. Esté preparado, el problema siempre es peor de lo que parece.
- 2. No tomarás la Continuidad del Negocio en vano: Comprenda las consecuencias de un escenario no previsto. Usted afrontará una situación de caos desconociendo qué hacer, cuándo hacerlo, cómo hacerlo y a quién contactar. Gestionar correctamente una situación de crisis resultará en una gran oportunidad para fortalecer la imagen y reputación de su empresa.
- 3. Prevendrás lo Inesperado: Prepararse para lo inesperado es obtener el mejor resultado y lucir el estandarte de la organización que “todo lo puede”.
- 4. No serás Arrogante: El error más común es la arrogancia sintetizada en la frase: “A mí, no me puede pasar”.
- 5. Actuarás cada Ejercicio de Continuidad: Ejercitar su plan de continuidad de negocio involucra a toda la organización, de nada sirve que se testeen año a año los mismos escenarios integrados por los mismos sistemas y actuados por los mismos protagonistas los cuales no asumen el rol protagónico declarada una crisis.
- 6. No carecerás de la Cadena de Comunicación: Actualice y practique su cadena de comunicación. Contar con un documento que no es validado y no es mantenido regularmente, no asegura “continuidad” en lo absoluto.
- 7. No colocarás todos los huevos en una misma cesta: Contar con sistemas humanos redundantes es la máxima fundamental. Debe ser política habitual: 1. No permitir a dos altos ejecutivos viajar en un mismo avión, 2. Definir y entrenar dos backups por cada empleado definido en su plan de continuidad del negocio y 3. Establecer una formación cruzada entre departamentos.
- 8. No mentirás ni levantarás falsos testimonios: Brinde una comunicación clara, no ignore la situación, es inútil mentir o permanecer callado. Defina los protagonistas claves y autorizados, para brindar la información fidedigna de la crisis a la que se enfrenta su compañía.
- 9. No avisarás día y horario de la práctica de evacuación: Diseñe prácticas realistas, jamás avise el día y horario de las mismas, tenga por seguro que la evacuación no será total y que diez minutos previos de iniciarse, el 50% de la población abandonará la empresa.
- 10. Conocerás las habilidades y debilidades de tu personal: Existen personas cuyo rendimiento es impecable pero ante una situación de estrés pueden tomar decisiones erróneas. Descubra los pros y contras de sus empleados. Identifique quién de ellos está mejor preparado para afrontar una situación de desastre.
Yo resumiría estos mandamientos en dos: "Evitar lo posible pero estar preparado para lo impredecible" o dicho de otra manera, "Esperar lo mejor pero prepararse para lo peor".
Como reacción el Ministerio de Sanidad ya está trabajando en ello y aunque no podemos decir que se esté pensando en planes de continuidad de negocio, al menos si se contemplan algunas actividades para hacer que el impacto sea más leve de lo que podría. Cuando se den personas enfermas en empresas, el Ministerio de Sanidad aconseja "distanciamiento social" para evitar más contagios. Para ello ha elaborado una GUÍA PARA LA ELABORACIÓN DEL PLAN DE ACTUACIÓN DE LAS EMPRESAS O CENTROS DE TRABAJO FRENTE A EMERGENCIAS COMO LA PANDEMIA DE GRIPE que podéis descargar aquí.
La pregunta que todo el mundo nos podemos hacer sería ¿Es para tanto? Sin caer en el alarmismo, es una amenaza que hay que contemplar y sobre la que no podemos predecir cual será su evolución. Si pronto aparece la vacuna, seguro que la preocupación disminuye. En cualquier caso, en esta Web se está haciendo un seguimiento al día de los casos que se van identificando actualizándose a diario.
De nuevo podemos ver como es la "seguridad de la información" y en concreto, la "gestión de la continuidad de negocio" la parte encargada de hacer que todo funcione correctamente para salvaguardar al negocio. No podemos hablar de ROI porque no sabremos nunca qué habría pasado de no hacer nada pero es evidente que existe un riesgo asociado a esta amenaza que podría causar un impacto socioeconómico serio y extenso.
"Cabe tener presente que la no asistencia de los trabajadores a su puesto de trabajo puede ocurrir a todos los niveles, bien asociado a la enfermedad como a la necesidad de cuidar a los miembros de la familia enfermos o fallecimientos en algunos casos", según explica la Guía.
Los empresarios también deben conocer que la diseminación de la enfermedad puede ser rápida e imprevisible. Sanidad avisa de que el nuevo virus tiende a expanderse en diferentes periodos -durante los cuales ocurren los brotes epidémicos- por lo que "la gran mayoría de la población podría enfermar". Sin embargo, la Guía señala que la no asistencia al trabajo dependerá de la magnitud que alcance finalmente la epidemia.
Las empresas tienen que tener en cuenta que algunos servicios se podrían interrumpir. No se puede descartar que las autoridades sanitarias internacionales recomienden algunas intervenciones, que tengan relación con viajes.
Por todo ello, los empresarios deben ser conscientes de que el cierre de empresas o centros de trabajo por periodos prolongados pueden causar un daño socioeconómico importante. Sanidad advierte que la paralización de empresas esenciales también podría perjudicar las cuentas de las sociedades privadas, y que incluso, sin llegar a este extremo, el mismo distanciamiento social también afectará a los números. Unas cifras que las compañías deberán tener previstas.
Todo este extenso post viene a colación de que tengo entre manos la BS 25999-1 que estable cómo construir un sistema de gestión de la continuidad de negocio (SGCN). Por definición un plan de continuidad no acaba hasta que no es probado, pero un SGCN trata de garantizar que la Dirección apoye estas iniciativas, defina cuales son sus requisitos de disponibilidad y sobre todo, introduce la mejora continua sobre todo este proceso, con el objetivo de garantizar su fiabilidad y funcionamiento.
En este documento que ya referenciaba Edgard hay una buena plantilla sobre qué cosas se tienen que definir y resolver para atacar una contingencia como esta vinculada a pandemia.
Y para quien pueda pensar que las precauciones son exageradas o excesivas, solo tenemos que mirar al pasado. Podéis consultar también las consecuencias que ya sufrió España en la pandemia de gripe de 1919.