viernes, 31 de julio de 2009

Pandemias y la continuidad del negocio

Este invierno se presenta chungo para muchas organizaciones. Además de la crisis y las consecuencias que están teniendo en las cuentas de resultados o los presupuestos, se atisba en el horizonte una nueva amenaza de carácter global. Se trata de un virus pero esta vez no es informático sino humano denominado H1N1, comunmente conocido por Gripe A,que puede tener importantes consecuencias en los procesos de negocio de aquellas empresas e instituciones que se pudieran ver afectadas por contagio de su personal. Dado que la primera medida a aplicar es el aislamiento, muchos centros de trabajo pueden ver cerradas sus instalaciones por cuarentena o puede que parte del personal tenga que quedarse aislada en sus casas si se dan casos de contagio.

Este es un post largo porque ya en su momento quise comentar que "continuidad de negocio" no es sólo pensar en situaciones de catástrofes o accidentes, sino que pueden darse otras amenazas que generen la indisponibilidad masiva de recursos o personas y por ello, requieran de un plan de reacción que sepa determinar las decisiones correctas pero tomadas en frío, cuando la crisis o la contingencia no se está produciendo.

A principios de este año, el laboratorio farmacéutico Roche organizó en Madrid unas charlas sobre continuidad de negocio. Si, habéis oído bien, un laboratorio farmacéutico hablando de continuidad de negocio.

¿Qué tienen que ver una cosa y la otra?

Pues bien, la cosa es que se tenía conocimiento desde hace tiempo que en algún momento de la historia se iba a producir una pandemia. Leer el folleto y veréis como la realidad se encarga de hacer verdad los peores vaticinios y más pronto de lo previsto.

El evento fue muy bien recogido en el blog de Edgard y Dani Puente, en este post en www.eddasec.es

Ya lo he comentado alguna vez pero es curioso el papel que juega un blog cuando se dejan ciertas reflexiones ancladas al tiempo. Sin embargo sorprende ver lo rápido que ciertas preocupaciones se hacen realidad. Tal como decía Edgard,
"Simplemente señalar que más vale empezar a tomarse este tema más o menos en serio. Ha quedado claro que la pregunta que debemos realizarnos no es si se producirá o no una pandemia, sino ¿CUANDO EMPEZARÁ "


Los que nos dedicamos a la seguridad parecemos siempre ser pajaros de mal agüero, advirtiendo de hechos desagradables que habría que contemplar. Somos los malos que tenemos que hacer reflexionar sobre riesgos que existen y que no queremos ver.

Bruce Schneier suele achacar las causas de la poca concienciación en temas de seguridad a las malas jugadas que nos juega la psicología a la hora de afrontar nuestros miedos. Podéis leer una extensa explicación en La psicología de la seguridad.

La revista Community CXO publicó ayer una extensa reflexión sobre el tema que podéis consultar también en Las pandemias y la continuidad del negocio. Es un tema ahora de moda dado que es una amenaza inminente que no ha sido contemplada como algo severo hasta ahora que hablamos ya de pandemia.

La cuestión principal en todo este tema sería la siguiente:
¿Qué hacemos si nos enfermamos todos y no podemos trabajar en las diferentes áreas de la Organización?. Estaríamos en una encrucijada que podría estar poniendo en riesgo la supervivencia de nuestro negocio, sin embargo, la continuidad del negocio sería una de las alternativas para evitar esta situación. ¿Hasta qué punto la continuidad del negocio nos puede apoyar y en qué escenarios?

En este documento que ya referenciaba Edgard hay una buena plantilla sobre qué cosas se tienen que definir y resolver para atacar una contingencia como esta.

Todo plan de continuidad de negocio debe responder a las cinco grandes preguntas:
  • ¿Qué?: Definir las partes de la organización que serán críticas en los primeros momentos y por tanto, que deberán volver a la normalidad lo antes posible.

  • ¿Quién?: Qué personas se tendrán que movilizar y en qué orden. ¿cuanta gente hará falta en las primeras horas, los primeros días y sobre todo, cómo se coordinará el tema para que no se de una situación caótica.

  • ¿Cuando?: ¿Qué ventanas de interrupción son tolerables? ¿En cuanto tiempo tenemos que volver a la normalidad? Todo esto viene definido por el Businnes Impact Analysis (BIA) que establece los valores para los dos parámetros relevantes en continuidad de negocio, el RTO y el RPO. Estos conceptos ya los expliqué en este post

  • ¿Como?: Qué tendremos que hacer para mitigar la contingencia, entrar en la fase de recuperación y por último, volver a la normalidad.

  • ¿Donde?: A qué lugares tendremos que acudir para poder hacer todo esto. Si las ubicaciones físicas principales están afectadas, hay que tener lugares alternativos donde poder desplegar el plan. ¿Qué pasa si no tengo mi Pc normal de trabajo o no se puede entrar al CPD? Todas estas cuestiones tienen que estar bien resueltas.


Como podéis ver, el Plan de Continuidad de Negocio es un esquema estructurado de toma de decisiones para situaciones en donde el tiempo es oro y no se puede improvisar. Muchas veces el estres, la presión o las situaciones nos superan y nos inducen a error. El Plan solventa todas estas cuestiones y la prueba del plan demuestra si funciona o no como está previsto. Por ello, probar el plan es casi más importante que tenerlo.

El blog Eddasec tiene muy buenas frases que resumen este hecho, os dejo algunas a continuación.
  • Cuanto más inseguro te sientes más seguro te haces

  • Confianza no es sinónimo de seguridad

  • La seguridad es directamente proporcional a los incidentes sufridos

  • Los PCN funcionan siempre antes de activarse, una vez activados ......

  • En seguridad no hay margen de maniobra

  • La anticipación es una buena aliada de la seguridad

  • Si el estado de seguridad absoluta existiese no harían falta las copias de seguridad.

  • De la seguridad a la inseguridad apenas hay distancias, a la inversa es todo un abismo.

  • Sentirse seguro es un error, sentirse inseguro es una virtud.

  • Tu controlas la seguridad pero la inseguridad te controla a ti.

  • Un incidente de seguridad no es un error sino una oportunidad de mejora.

  • El que siembra vientos, ¡¡¡ recoge tempestades!!!, en Seguridad también.


A estos podemos añadir que en Continuidad de Negocio se cumple otra máxima más:
“Quien hace, puede equivocarse. Quien nada hace, ya está equivocado”

Me han gustado mucho también los Diez Mandamientos de la Continuidad de Negocio que Claudia Diego enumera en la Revista CXO Comunity. Voy a citarlos literalmente porque no tienen desperdicio.
  • 1. No menospreciarás una Situación de Crisis/Contingencia: Es habitual efectuar la prueba de los planes en cada una de las áreas de la empresa y más común aún no avisar a la gente de que se trata de un testeo. No informar “la prueba” quita valor a la misma y el día que no lo sea, los pasos a accionarse no se ejecutarán en el orden y tiempo debidos. Esté preparado, el problema siempre es peor de lo que parece.


  • 2. No tomarás la Continuidad del Negocio en vano:
  • Comprenda las consecuencias de un escenario no previsto. Usted afrontará una situación de caos desconociendo qué hacer, cuándo hacerlo, cómo hacerlo y a quién contactar. Gestionar correctamente una situación de crisis resultará en una gran oportunidad para fortalecer la imagen y reputación de su empresa.

  • 3. Prevendrás lo Inesperado: Prepararse para lo inesperado es obtener el mejor resultado y lucir el estandarte de la organización que “todo lo puede”.


  • 4. No serás Arrogante: El error más común es la arrogancia sintetizada en la frase: “A mí, no me puede pasar”.


  • 5. Actuarás cada Ejercicio de Continuidad: Ejercitar su plan de continuidad de negocio involucra a toda la organización, de nada sirve que se testeen año a año los mismos escenarios integrados por los mismos sistemas y actuados por los mismos protagonistas los cuales no asumen el rol protagónico declarada una crisis.


  • 6. No carecerás de la Cadena de Comunicación: Actualice y practique su cadena de comunicación. Contar con un documento que no es validado y no es mantenido regularmente, no asegura “continuidad” en lo absoluto.


  • 7. No colocarás todos los huevos en una misma cesta: Contar con sistemas humanos redundantes es la máxima fundamental. Debe ser política habitual: 1. No permitir a dos altos ejecutivos viajar en un mismo avión, 2. Definir y entrenar dos backups por cada empleado definido en su plan de continuidad del negocio y 3. Establecer una formación cruzada entre departamentos.


  • 8. No mentirás ni levantarás falsos testimonios: Brinde una comunicación clara, no ignore la situación, es inútil mentir o permanecer callado. Defina los protagonistas claves y autorizados, para brindar la información fidedigna de la crisis a la que se enfrenta su compañía.


  • 9. No avisarás día y horario de la práctica de evacuación: Diseñe prácticas realistas, jamás avise el día y horario de las mismas, tenga por seguro que la evacuación no será total y que diez minutos previos de iniciarse, el 50% de la población abandonará la empresa.


  • 10. Conocerás las habilidades y debilidades de tu personal: Existen personas cuyo rendimiento es impecable pero ante una situación de estrés pueden tomar decisiones erróneas. Descubra los pros y contras de sus empleados. Identifique quién de ellos está mejor preparado para afrontar una situación de desastre.




Yo resumiría estos mandamientos en dos: "Evitar lo posible pero estar preparado para lo impredecible" o dicho de otra manera, "Esperar lo mejor pero prepararse para lo peor".

Como reacción el Ministerio de Sanidad ya está trabajando en ello y aunque no podemos decir que se esté pensando en planes de continuidad de negocio, al menos si se contemplan algunas actividades para hacer que el impacto sea más leve de lo que podría. Cuando se den personas enfermas en empresas, el Ministerio de Sanidad aconseja "distanciamiento social" para evitar más contagios. Para ello ha elaborado una GUÍA PARA LA ELABORACIÓN DEL PLAN DE ACTUACIÓN DE LAS EMPRESAS O CENTROS DE TRABAJO FRENTE A EMERGENCIAS COMO LA PANDEMIA DE GRIPE que podéis descargar aquí.

La pregunta que todo el mundo nos podemos hacer sería ¿Es para tanto? Sin caer en el alarmismo, es una amenaza que hay que contemplar y sobre la que no podemos predecir cual será su evolución. Si pronto aparece la vacuna, seguro que la preocupación disminuye. En cualquier caso, en esta Web se está haciendo un seguimiento al día de los casos que se van identificando actualizándose a diario.

De nuevo podemos ver como es la "seguridad de la información" y en concreto, la "gestión de la continuidad de negocio" la parte encargada de hacer que todo funcione correctamente para salvaguardar al negocio. No podemos hablar de ROI porque no sabremos nunca qué habría pasado de no hacer nada pero es evidente que existe un riesgo asociado a esta amenaza que podría causar un impacto socioeconómico serio y extenso.

"Cabe tener presente que la no asistencia de los trabajadores a su puesto de trabajo puede ocurrir a todos los niveles, bien asociado a la enfermedad como a la necesidad de cuidar a los miembros de la familia enfermos o fallecimientos en algunos casos", según explica la Guía.

Los empresarios también deben conocer que la diseminación de la enfermedad puede ser rápida e imprevisible. Sanidad avisa de que el nuevo virus tiende a expanderse en diferentes periodos -durante los cuales ocurren los brotes epidémicos- por lo que "la gran mayoría de la población podría enfermar". Sin embargo, la Guía señala que la no asistencia al trabajo dependerá de la magnitud que alcance finalmente la epidemia.

Las empresas tienen que tener en cuenta que algunos servicios se podrían interrumpir. No se puede descartar que las autoridades sanitarias internacionales recomienden algunas intervenciones, que tengan relación con viajes.

Por todo ello, los empresarios deben ser conscientes de que el cierre de empresas o centros de trabajo por periodos prolongados pueden causar un daño socioeconómico importante. Sanidad advierte que la paralización de empresas esenciales también podría perjudicar las cuentas de las sociedades privadas, y que incluso, sin llegar a este extremo, el mismo distanciamiento social también afectará a los números. Unas cifras que las compañías deberán tener previstas.

Todo este extenso post viene a colación de que tengo entre manos la BS 25999-1 que estable cómo construir un sistema de gestión de la continuidad de negocio (SGCN). Por definición un plan de continuidad no acaba hasta que no es probado, pero un SGCN trata de garantizar que la Dirección apoye estas iniciativas, defina cuales son sus requisitos de disponibilidad y sobre todo, introduce la mejora continua sobre todo este proceso, con el objetivo de garantizar su fiabilidad y funcionamiento.

En este documento que ya referenciaba Edgard hay una buena plantilla sobre qué cosas se tienen que definir y resolver para atacar una contingencia como esta vinculada a pandemia.

Y para quien pueda pensar que las precauciones son exageradas o excesivas, solo tenemos que mirar al pasado. Podéis consultar también las consecuencias que ya sufrió España en la pandemia de gripe de 1919.

8 comentarios:

David Sánchez Jiménez dijo...

Hola, en este caso y dejando un lado el tema de la seguridad, pienso que quizás estmos exagerando el tema. Precaución si, alarmismo no. No sé si has escuchado hablar de Miguel Jara con su publicación "Traficantes de Salud", yo la verdad es que no. Pero es su blog hablando con un médico, este último deja unas reflexiones bastante sensatas:
http://migueljara.wordpress.com/2009/07/22/un-mensaje-de-tranquilidad-ante-la-gripe-a/
En la vida siempre hay que estar preparado para lo peor, no por la gripe A o por lo que sea, simplemente hay que estar alerta siempre.
Siento discrepar ligeramente de lo que expones, aunque eso es sano dicen jejeje. Aprovecho para darte las gracias porque desde hace unos meses que tengo la suerte de seguir tus comentarios. Enhorabuena.

Anónimo dijo...

Interesante post. Según he visto en TV se ha pronosticado hasta un 40% de personal de baja a la vez. El problema es que antes de trabajar en las medidas de contingencia alguien fuera del área de TI (normalmente) debe tomar conciencia del riesgo y solicitar la preparación del plan. En mi caso ya disponemos de un BCM que tiene en cuenta este tipo de situaciones y de los recursos técnicos necesarios.

Anónimo dijo...

Algunas citas y frases famosas relacionadas con la Seguridad ...

http://seguridad-informacion.blogspot.com/2007/09/algunas-citas-famosas-relacionadas-con.html

Cryptex - Seguridad de la Información

Javier F Solís Solís dijo...

Un saludo..!!
Completamente de acuerdo con lo que expone en este artículo.
En un taller que recientemente realicé sobre Administración de riesgos y Análisis de impacto, aprendimos algunos tips para reflexionar:

* El riesgo NUNCA duerme.
* Lo que no sabemos es lo que nos mete en problemas.
* Se debe planificar hasta para lo poco probable.

En algunas empresas no le han dado la importancia que se merece un tema como lo este. Pareciera que creen que sus directores no se pueden enfermar, que eso es para otro tipo de gente.

Pues dejenme decirles que este tipo de pandemia afecta a cualquiera que no tome las medidas preventivas correctas y por lo tanto, una empresa se podría quedar por un buen tiempo sin personal clave.

Habría que preguntarles si tienen planes de contingencia para una situación de estas y así poder garantizar la continuidad de las operaciones del negocio..!!

Muy interesante su blog..!! De hecho le dejo la dirección del mío, en donde trato asuntos de actualidad en la Continuidad de los negocios y la vida diaria. Le invito para que lo visites y me de su comentario al respecto.
http://inversolcr.blogspot.com

Grupo No. 3 dijo...

Buen día,
Este artículo nos hace reflexionar sobre el hecho de que las organizaciones solo ven este tipo de riesgos como una amenaza a la salud de las personas, olvidando que la base de cada organización es el personal que lo integra.
Por este motivo olvidan por completo la creación de sistemas de seguridad tanto para las personas como para la infomación.
Grupo No. 3 Tng. Admon. Talento Humano

ClaritaS dijo...

PANDEMIAS Y LA CONTINUIDAD DEL NEGOCIO

La gripa A o denominada H1N1, que esta afectando estos tiempos, es algo de lo cual las compañías no pueden, ni están preparadas en enfrentar, lamentablemente por más programas de prevención es mejor hacer un Plan de Acción, para ausencias prolongadas y colectivas mediante brigadas o simulacros para en este caso combatir la improductividad causante de las perdidas de ganancias en las compañías. Hay que aprender a vivir con estas amenazas ahora que se disparan eventos desafortunados a tantos niveles.

Maritza Clara Criollo Murillo

Pablo Galan dijo...

Hola:

Antes de nada comentar que me ha encantado el artículo y estoy bastante de acuerdo. Desde hace muchos años que estoy en el mundo del Hosting y cuando se habla de continuidad de negocio mucha gente piensa en que le pueda caer un avión en su oficina, un terremoto o una bomba. Y entonces dicen: “eso no nos puede pasar a nosotros” y al ver los costes de un plan de contingencia serio prefieren no acometerlo.

Yo siempre comento que podemos hablar de un incendio, una inundación, un corte prolongado de energía eléctrica etc. Cosas mucho más posibles y que de hecho se producen con mayor normalidad.

La verdad es que nunca había pensando en una pandemia como una clara posibilidad y como algo que haga que pensemos en una continuidad de negocio.

En mi compañía ya nos obligan a tomar unas medidas de seguridad las cuales harían que podamos seguir trabajando ante temas posibles como una simple gripe. Por ejemplo, todos los empleados estamos obligados a llevarnos los portátiles a casa (con las consecuentes medidas de seguridad) y a tener la posibilidad de trabajar desde casa con las mismas herramientas que en la oficina.
Esto es muy útil en esos días que tienes un resfriado y que no deberías de ir a la oficina pues no te encuentras bien y no quieres contagiar a nadie, pero si puedes desde casa trabajar un par de horas para sacar adelante los temas más urgentes.
Igualmente recuerdo estas navidades el día de la gran nevada, todo el mundo hacia intentos de 2 horas por llegar a su trabajo, y yo estaba trabajando en mi casa desde las 8:00 horas y viendo la nieve desde mi ventana.

Ya estoy mezclando temas como el teletrabajo y no entro si es mejor o peor. Simplemente la posibilidad de trabajar desde casa aportaría mucho en tiempos de pandemia, de un simple resfriado u otros imprevistos como una nevada.

Un saludo:

Pablo Galán.

richard chavarro dijo...

Pienso que hay que ser un poco mas responsables con l informacion puesto que el caos se ha formado por utilizar mal la informacion sobre el contagio, inicialmente nunca se dijo en verdad de que se trataba sino que se limitaron a casos ailados y aun ahora despues que paso todo esto nadie sabe a ciencia cierta de que se trata y si esta contagiado o no .

Creo que se confundio con la gripe y sin ser gran conocedor el organismo reacciona diferente a la gripa uniendola con ptros sintomas que la pueden transformar en epidemia pero eso no significa que sea así, igualmente se inicio hablando sobre que unicamente se expanderia si alguien habia viajado al país infectado y luego se descubrio que se formaba en cualquier lugar y se ocultaba con calor ¡ HAY QUE SABER MANEJAR LA INFORMACIÓN O SINO NOS DESINFORMAREMOS!

 
;