puzzle-2500333_1920

Riesgo Coronavirus: 11 medidas preventivas para mantener la continuidad del negocio.

by #bcmNegocios

¡Todos los escenarios siguen sobre la mesa! Así lo describe la Organización Mundial de la Salud (OMS) en lo que concierne al coronavirus o COVID-19, en este inicio del año 2020. Si bien aún no se estima que se vuelva una pandemia, este virus sigue todavía en el revuelo mundial por su alto nivel de contagio (a pesar de presentar una baja tasa de mortalidad, la cual es cercana al 2.8%) ya que se tienen registrados aproximadamente 74,576 casos.

Según (Consalud, 2020) “Hasta la fecha, todos los fallecidos se han producido en China salvo seis que han sido reportados en Taiwán, Japón, Filipinas, Hong Kong y Francia”

Siendo China un país con altísimo nivel comercial y de manufactura [es el país número 1 a nivel mundial en capacidad de exportación (Actividadeseconomicas.org, 2019)] la posibilidad de contagio sigue siendo una realidad con el resto del mundo.

Sea hoy el COVID-19 o el día de mañana un nuevo virus desconocido para la humanidad, las preguntas que te invito a que te hagas son: 

  1. ¿Está preparado mi país para manejar una situación de este tipo de riesgo?
  2. ¿Está preparada mi organización para mantener su operatividad bajo un riesgo como este? 

Si la incertidumbre es lo que viene a tu mente, posiblemente no lo estén. Y es acá donde entra la Gestión de Continuidad de Negocios. Cuando escuchamos el término continuidad de negocios (si ya lo conocemos) la sensación inmediata invita a pensar en contingencias, riesgos tecnológicos e incluso desastres naturales; sin embargo, la estrategia para mantener la operatividad de las organizaciones en escenarios disruptivos debe ser orientada al más amplio espectro de riesgos o escenarios que pueden afectar a la organización.

En otras publicaciones he resaltado que el corazón de un sistema de continuidad de negocios pasa por un correcto Análisis de impacto al negocio y una correcta evaluación de riesgos, las cuales, forman las bases para la construcción de una estrategia que contempla un plan.

La mayor parte de las estrategias contra riesgos fracasan, porque carecen de una planificación, las organizaciones subestiman las condiciones que les pueden causar disrupciones a la operatividad y luego se ven en escenarios donde tiene que “improvisar”. Esto me recuerda a una frase que leí por ahí “Nunca hay tiempo para planificar, pero siempre hay tiempo para hacer las cosas dos veces”un reflejo claro de la práctica continua de los reprocesos.

Por lo tanto, revisaremos un conjunto de medidas propuestas por OMS que te han de apoyar en la creación de una estrategia para poder prepararte ante escenarios como el COVID-19, pero las integraremos en 11 medidas con una perspectiva de continuidad de negocios para riesgos asociados a enfermedades, desde las directrices de comunicación, personas y la recuperación tecnológica.

Ilustración 1 Directrices básicas para mantener la Continuidad de Negocios.

1. Personas.

Proteger el bienestar de los colaboradores y brindarles apoyo, forma parte fundamental de la estrategia de continuidad de negocios. Acá las medidas son:

  1. Designar una persona con rol de liderazgo en la organización que se encargue de dar seguimiento a la evolución de la enfermedad y los posibles impactos en la continuidad de la operación.
  2. Brindar los equipos de protección adecuados al personal (desinfectante de manos, mascarillas, etc.) y garantizar tener un stock de abastecimiento.
  3. Establecer un procedimiento sencillo para el manejo de cualquier sospecha de infección, que pasos se deben seguir y cuáles son los canales de comunicación adecuados. Así mismo, mantener identificados a los entes autorizados para el manejo de los casos detectados (Hospitales, centros de salud, Clínicas, etc.).
  4.  Realizar continuas evaluaciones de las condiciones higiénico-sanitarias en diferentes puntos de la organización y realizar las adaptaciones correspondientes a los diferentes escenarios que vaya presentando la enfermedad.

2. Comunicación.

Esta parte juega un rol principal en la capacidad que tiene la organización para poder transmitir el conocimiento, las medidas adecuadas, y la continua retroalimentación a su staff. Las medidas en este punto son:

  1. Comunicar los riesgos críticos y demás eventos asociados a la enfermedad a todo el personal, de esa forma, se mejorará el conocimiento de los colaboradores y se ira eliminando la desinformación.
  2. Desarrollar un plan de educación para capacitar a los colaboradores sobre control de infecciones, higiene personal, uso de equipos de protección, medidas alimentarias, lavado de manos y comportamiento en ambiente llenos de personas.
  3. Implementar una estrategia de comunicación de riesgo sencilla que transmita a los colaboradores las medidas de protección y prevención en caso de identificar un escenario de contagio.

3. Enfoque tecnológico.

Encontrarse bajo escenarios de este tipo no significa que la parte tecnológica no pueda ser afectada, causando afectaciones a la continuidad del trabajo. Acá la solución pasa por mantener una correcta administración de vulnerabilidades basada en riesgos a como lo destaca la consultora Gartner (Prateek Bhajanka, 2019) “Para 2022, las organizaciones que usen el método de administración de vulnerabilidades basada en el riesgo sufrirán un 80 % menos”. 

Las 4 medidas básicas a tomar en cuenta son:

  1. Tener identificadas los procesos y las funciones críticas de la organización; aquellas que puedan verse afectadas y aquellas que puedan trabajar a un mínimo de capacidad.
  2. Revisar las locaciones alternativas que pueden ser usadas para realizar el trabajo operativo por el personal crítico (esto incluye el trabajo remoto desde casa, garantizando el equipo adecuado).
  3. Validar o establecer relaciones con socios estratégicos que brinden servicios de críticos a la compañía y que puedan garantizar la continuidad de estos en situaciones disruptivas (servicios de telecomunicaciones, electricidad, soporte técnico, etc.).
  4. Establecer un procedimiento y proporcionar la capacitación para el staff crítico necesario para poder desarrollar el trabajo de forma remota o en condiciones disruptivas.

Estas son las medidas esenciales que he considerado deben tomar las organizaciones ante situaciones disruptivas originadas de eventos como el coronavirus para mejorar sus opciones de mantenerse operativos (cabe señalar, que para establecer un sistema de continuidad de negocios bajo un estándar como ISO 23301, se requiere en la profundización de estos y otros relacionados).

Sin duda alguna, la administración de la vulnerabilidad cada vez se vuelve un punto más sobresaliente e importante para las organizaciones y se deben tomar medidas al respecto en un mundo tan acelerado.

Siempre es un gusto para mí poder compartir un poco de conocimiento y experiencia. Espero este articulo haya sido de tu agrado

¡Saludos Cordiales!

Créditos a las publicaciones de

·        Actividadeseconomicas.org. (14 de Marzo de 2019). Datasur. Obtenido de https://www.datasur.com/top-10-paises-mayores-exportadores-del-mundo/

·        Consalud. (20 de Febrero de 2020). Consalud. Obtenido de https://www.consalud.es/pacientes/oms-mantiene-escenarios-coronavirus-niega-exista-pandemia_74540_102.html

·        Prateek Bhajanka, M. S. (2019). A Guide to Choosing a Vulnerability Assessment Solution. Gartner.

earthquake-3167693_1920

La evolución de la Gestión de Continuidad de Negocios con ISO 22301:2019

by Negocios

Imagínese en el siguiente escenario “Es viernes a eso de las 9 am y se encuentra en una reunión de trabajo con su equipo en las instalaciones de la empresa donde labora, y en ese momento ocurre un fuerte sismo que provoca la muerte y lesión de parte del personal, daños severos en la infraestructura física y tecnológica, afectaciones a los servicios entregados a los clientes, entre otros. Usted es de los afortunados sobrevivientes y al estar en la zona de seguridad post incidente se da cuenta de todo el caos que se vive, la histeria colectiva, la incertidumbre en las personas y la gran pregunta que se escucha por todos lados ¿Y ahora qué hacemos?”.

Haga la reflexión sobre lo anteriormente leído y piense si es capaz en estos momentos la organización para la que trabaja de responder ante eventos como el anteriormente descrito. Analice si la organización es capaz de:

  • Poder salvaguardar la vida de sus colaboradores,
  • Reconocer sus tiempos de recuperación operativa,
  • Implementar las medidas eficientes para poder restablecer los servicios de la empresa,
  • Dar una respuesta a clientes, proveedores, publico en general sobre el estado de la operatividad de la empresa post evento,
  • Restaurar la operación al punto en el que se encontraba antes del incidente
  • Reconocer de cuanto es la pérdida monetaria por cada hora de operación perdida.

Si su respuesta es que considera poco probable que un evento como el descrito ocurra, déjeme decirle que está equivocado, el articulo presentado por BBC (2018), “Los países del mundo (y de América Latina) con mayor riesgo en caso de sufrir una catástrofe natural” cita lo siguiente:

“El país con menos riesgo es Qatar. El que corre más riesgo es Vanuatu, una isla en el Pacífico Sur. Los países que más riesgo corren en América Latina están todos en Centroamérica”, y nos muestra el siguiente mapa de calor de riesgo:

Esto nos refleja la alta probabilidad de sufrir la materialización de eventos como huracanes, inundaciones, terremotos, etc. Sin olvidar otros escenarios disruptivos como Ataques informáticos, Escenarios sociales (manifestaciones, guerras, huelgas, etc.), Epidemias o pandemias, que también pueden ser capaz de impactar la continuidad de las operaciones de una empresa (en mayor o menor medida) y en algunas ocasiones llevándola incluso a su cierre.

Producto de todas las incertidumbres y la incapacidad de las organizaciones de poder dar respuestas efectivas a los escenarios anteriormente descritos fue lo que llevó a la creación de la primera edición del estándar internacional ISO 22301 en mayo 2012 que consistía en los requerimientos para implementar un Sistema de Gestión de Continuidad de Negocios y cuya estructura de alto nivel permite que se pueda alinear con las normas ISO 9001: Gestión de Calidad o ISO:27001: Gestión de Seguridad de la Información.

Usted se podrá preguntar, ¿De qué forma esta norma ISO 22301 vino a apoyar como resolver las incógnitas descritas anteriormente? La respuesta es sencilla, el enfoque de la estrategia de implementación de ISO 22301:2012 y sus requerimientos están orientados principalmente a los puntos descritos en la siguiente imagen:

I. Imagen del Núcleo de un Sistema de Continuidad de Negocios

Estos puntos permiten a una organización ser más eficiente en su gestión de continuidad de negocios, sin embargo, la ejecución de esta norma no resultaba fácil para las organizaciones, lo cual derivó en que las mismas no optaran de primera instancia en su implementación.

Esto llevó a la creación de barreras por parte de las organizaciones como resalta Martin Caddick (2018), en su estudio “Why BCM is Failling in our complex world”, y que se puede ver en la siguiente imagen:

II. Imagen con Barreras organizacionales para implementar Gestión de Continuidad de Negocios.

Nota: BCM es la nomenclatura en inglés de Gestión de Continuidad de Negocios.

Para superar estas barreras y facilitar a las organizaciones la implementación de la norma ISO 22301, el comité ISO/TC 292 (Comité Técnico de ISO de Seguridad y resiliencia) ha venido trabajando en los últimos años en la actualización de la versión 2012 de la norma, y en la creación de una nueva edición orientada a la simplificación, con términos más claros, fácil de asimilar y con un contenido más consistente; De manera que se distinga de una forma más simple los requerimientos de implantación (el Qué) y la guía de ejecución (el cómo).

A continuación, voy a resaltar alguno de los principales cambios de la versión 2012 a la versión 2019:

III. Imagen con aspectos generales de cambio de ISO 22301 de la versión 2012 a la nueva versión 2019.

Fuentes: Donika Gashi & Vesa Hyseni (2019) “What to expect from the revised version of the ISO 22301 standard” y Dr. Wolfgang H. Mahr (2019), “ISO 22301:2019, What will change”.

Los puntos anteriores se pueden considerar como las principales directrices de cambio según se reflejó en el DIS (Draft international Standard) emitido a en el primer trimestre de 2019.

Es muy importante resaltar que la remoción del término “Apetito de riesgo” ha correspondido a la necesidad de darle un mayor enfoque al nivel de impacto de no asumir las medidas necesarias para mitigar, volviendo que la consecuencia de la disrupción de ciertas actividades en la organización se enmarque como INACEPTABLES.

Si bien esta nueva versión ha tardado casi 7 años en darse, se puede decir que los nuevos cambios se orientan a facilitar la implementación del estándar en continuidad de negocios y de esa forma que las organizaciones tengan mayores opciones de superar las consecuencias de eventos disruptivos.

Que las organizaciones adopten una cultura de resiliencia y se encuentren mejor preparadas para afrontar escenarios como el descrito al inicio de este artículo es la misión clave que trae esta nueva versión de la norma ISO 22301.

Siempre es un gusto para mí poder compartir un poco de conocimiento y experiencia. Espero este articulo haya sido de su agrado.

¡Saludos Cordiales!

Créditos a las Publicaciones de:

  • Donika Gashi & Vesa Hyseni (2019) “What to expect from the revised version of the ISO 22301 standard”, PECB.
  • Dr. Wolfgang H. Mahr (2019), “ISO 22301:2019, What will change”, PECB.
  • Martin Caddick (2018), en su Estudio â€œWhy BCM is Failling in our complex world”, PECB.
  • BBC, (27 Nov 2018), BBC News, https://www.bbc.com/mundo/noticias-internacional-46357919