La tecnología en situaciones de alto riesgo

Gipsy Rosas Falovo

Las nuevas tecnologías surgen como un aliado para los servicios de ayuda y prevención, facilitando el trabajo de los equipos y empresas que prestan sus servicios en situaciones de contingencia. 

El aporte de las nuevas tecnologías, agiliza y mejora el trabajo de los servicios de prevención y atención de eventos de emergencia y desastres. Un ejemplo claro, es el uso de las redes sociales para la localización de víctimas. En mi opinión, el Twitter es en caso de catástrofes, mucho más rápido que los mensajes SMS o los mensajes por radio.

Las personas que utilizan el Twitter, comienzan a escribir sus mensajes pocos segundos después de la ocurrencia de un terremoto, mientras que los instrumentos para medirlos pueden tardar mucho más tiempo en analizar los datos recolectados. La información de lo que las personas perciben, se propaga más rápidamente por las redes sociales de lo que los institutos sismológicos o geofísicos se demoran en hacer sus cálculos.

Las redes sociales

Hoy en día, el uso de las redes sociales ha llegado hasta los servicios de información sísmica de algunos países, quienes también cuentan con presencia en Facebook y Twitter y poseen páginas web, donde publican con frecuencia los movimientos telúricos y su ubicación por zonas geográficas, así como, proveen recomendaciones de cómo actuar frente a terremotos y responden preguntas de forma personalizada en relación con las inquietudes de sus seguidores.

De igual forma, se puede notar, como los dueños de teléfonos celulares toman fotografías, que luego envían a las cuentas de los Twitter de los programas de noticias u opinión, para mostrar imágenes capturadas en situaciones contingentes que presenciaron. Así vemos, como se difunden por los medios sociales las fotografías tomadas por sus seguidores, en donde muestran imágenes de inundaciones, lluvias intensas, derrumbes, granizos, efectos de un terremoto (calles con fracturas, supermercados con todos los productos en el suelo, etc.) o lluvias de polvo volcánico, tomadas en ciudades aledañas a algún volcán activo.

Según InSites Consulting, más de 1,000 millones de personas en todo el mundo, utilizan las redes sociales (70% de la población de Internet) y existen más de 5,900 millones de personas que usan dispositivos móviles en todo el mundo, lo que representa el 86% de la población mundial.[i] Esta red de conectividad provee a las personas la facilidad de compartir y recibir información desde casi cualquier lugar del mundo, que disponga de recepción de servicios de celular; por lo tanto, proporciona grandes avances en la comunicación de masas.

Falovo 1

Observando la rapidez en la propagación de la comunicación en los medios sociales, considero indispensable incorporarlos en los planes de comunicación y manejo de crisis. Los planes de continuidad de negocio deben prever la utilización y control de los medios sociales de las empresas en una situación de contingencia, para poder informar de manera inmediata, certera y precisa a las audiencias afectadas por el siniestro, la posición y situación de la empresa frente a sus clientes y empleados. Adicionalmente, estos medios deberán ser supervisados y controlados de manera oportuna para evitar la propagación de información inadecuada que pueda perjudicar la imagen de la empresa que se encuentre en una situación contingente.

Los smartphones

Otro avance importante, es la incorporación de aplicaciones en los “smartphones”, que nos proveen información climatológica y sísmica, entre otros. Recientemente, la empresa de desarrollo “The App Collective”, creó una aplicación llamada “Earthquake Buddy”, la cual, una vez instalada en un smartphone, envía mensajes a los amigos y los contactos del dueño del celular, en donde se muestra un mapa de Google con la ubicación de terremotos de intensidad superior a 5.5 en la escala de Richter.[ii]

Este mensaje es recibido antes de que se produzca un colapso en las comunicaciones, segundos después de que se perciben movimientos de alta intensidad y se envía desde la “nube”. Los mensajes se pueden recibir como un SMS, un mensaje en el perfil del Facebook y un Tweet en la cuenta de los amigos, con los detalles de ubicación del dueño del “smartphone”. La tecnología ha sido diseñada para aquellos que viven en regiones propensas a los terremotos y se encuentra ya disponible en la App Store, para ser descargado en varios idiomas.

Apoyando a la comunidad

Otro aporte importante del mundo de la tecnología, es el uso de las redes sociales para solicitar el apoyo de la comunidad en situaciones catastróficas, como lo hicieron algunas empresas de telecomunicaciones Italianas en el terremoto ocurrido en mayo del año 2012, pidiendo a sus clientes que abrieran sus “WiFi” para que cualquier persona, en situación de emergencia, se pueda conectar desde una tableta o su teléfono celular y mandar una señal de alerta o solicitud de ayuda. Adicionalmente, estas empresas publicaron en sus páginas web instrucciones precisas de cómo compartir la red WiFi con otros usuarios.[iii]

De igual forma, como una manera de apoyar y facilitar los medios necesarios en situaciones difíciles, hay empresas que despliegan redes de telecomunicaciones en lugares afectados por contingencias, utilizando globos con antenas de telefonía móvil. No es una solución nueva, puesto que ya fue utilizada por los soldados en la guerra de Afganistán para dar cobertura a las tropas occidentales desplegadas allí. Sin embargo, es un aporte importante en los avances tecnológicos que se pueden observar hoy en día. El gobierno de Japón prevé utilizar esta tecnología, de repetirse una tragedia como la acontecida en marzo del año 2011.[iv]

Otra nueva tendencia tecnológica, es la utilización de la información que captan los satélites, para prevenir grandes inundaciones, estudiando las imágenes suministradas, para realizar las estimaciones de la cantidad de lluvia prevista, en base a la temperatura de las nubes, y de este modo, conocer en tiempo real la distribución de las precipitaciones. Así también, pueden visualizar los efectos que los eventos contingentes dejan a su paso, pudiendo tomar fotografías que luego utilizan para medir el impacto y los efectos que dejó la contingencia.

Conclusión

La tecnología avanza a pasos agigantados y cada día su aporte se hace más valioso para prevenir y apoyar a las personas y empresas frente a la ocurrencia de situaciones contingentes, es por ello, que el estar informados se vuelve una prioridad hoy en día. Las redes sociales emergen como una nueva alternativa que permite la difusión de la información de una manera rápida y útil para los servicios de ayuda y prevención.

Gipsy Rosas Falovo fue consultor sénior de IBM Certificado CBCP por el DRI International en temas de continuidad de negocio y recuperación ante desastres. Posee más de diez años en la industria de tecnología de la información. Es ingeniero de sistemas de la UNIMET (Universidad Metropolitana de Venezuela). Ha trabajado en diferentes países de LATAM desarrollando estrategias de continuidad de negocio para clientes de diferentes sectores de la industria. Ha participado en seminarios y conferencias de continuidad de negocio. Puede ser contactada al e-mail gipsyrosas@hotmail.com.


[i] InSites Consulting es una empresa trasnacional exitosa de Marketing que  tiene 15 años en la industria y ha ganado más de 25 premios internacionales. Su “core business” es la investigación de mercados. Para mayor información consulte su página web www.insites-consulting.com.

[ii] “The App Collective” es una empresa que realiza desarrollos de software para “smartphones”.   Para mayor información consulte su página  web www.earthquakebuddy.com.

[iii] El domingo 20 de mayo en horas de la madrugada local, ocurrió un terremoto, de magnitud 5.9 en la escala de Richter. El epicentro se situó unos 36 kilómetros al norte de Bolonia. El terremoto duró aproximadamente veinte minutos según los sismólogos.

[iv] El viernes, 11 de marzo ocurrió un terremoto de magnitud 9,0 MW que creó olas de maremoto de hasta 40,5 metros. El terremoto ocurrió a las 14:46:23 hora local. El epicentro del terremoto se ubicó en el mar, frente a la costa de Honshu, 130 km al este de Sendai, en la prefectura de Miyagi, Japón. En un primer momento se calculó su magnitud en 7,9 grados MW, que fue posteriormente incrementada a 8,8, después a 8,9 grados por el Servicio Geológico de los Estados Unidos (USGS). Finalmente a 9,0 grados MW, confirmado por la Agencia Meteorológica de Japón y el USGS. El terremoto duró aproximadamente seis minutos según los sismólogos.

La seguridad sísmica de las construcciones en Latinoamérica

Eduardo Reinoso, Miguel Jaimes, y Marco A. Torres

Se presenta un estudio para conocer el grado en que las nuevas edificaciones cumplen con el reglamento de construcciones. Estos resultados, obtenidos para el caso de la ciudad de México, muestran que a pesar de contar con un reglamento de construcciones moderno y confiable existen evidencias que indican que algunas edificaciones construidas recientemente podrían tener un riesgo inaceptable al no cumplirlo, esto es, que probablemente tendrán grandes pérdidas económicas durante eventos futuros, interrumpiendo la continuidad del negocio (sector privado) o de operaciones (sector público) y, lo peor, podrían causar víctimas. Este fenómeno se observa en varias ciudades del mundo y es ocasionado en parte por las enormes presiones económicas para construir más rápido y más barato, en donde la calidad de la construcción se está sacrificando.

Los desastres sísmicos recientes han demostrado que, a pesar de que en términos relativos las víctimas humanas durante sismos estadísticamente han disminuido en el mundo, aún nos encontramos lejos de haber solucionado este problema, además de que no se han alcanzado avances sustanciales para reducir las pérdidas económicas que se han incrementado enormemente.

Reinoso 1

La reglamentación de construcciones que la autoridad expide es fundamental, y tiene por objetivo garantizar un adecuado comportamiento de las mismas para evitar, en el caso de sismos, pérdidas económicas elevadas y, sobre todo, pérdida de vidas humanas. Esta reglamentación toma en cuenta las experiencias y conocimientos arrojados por eventos sísmicos recientes ocurridos en cada país y en el mundo, así como los estudios e investigaciones que de estos se realicen. Este es el caso del Reglamento de Construcciones para el Distrito Federal (RCDF) y sus normas técnicas en la ciudad de México y de las principales ciudades en Latinoamérica.

Como ocurre en otras grandes ciudades en Latinoamérica, en los últimos años en la ciudad de México, se han construido un gran número de edificios con una gran diversidad de materiales, dimensiones en planta y altura, materiales y criterios que deberían cumplir con el reglamento de construcciones local de la zona. Sin embargo, existe una opinión generalizada entre expertos de que a pesar de haber excelentes despachos de ingeniería y arquitectura, e inversionistas y desarrolladores de negocios serios y con visiones de largo plazo, algunas de las nuevas edificaciones aparentemente no cumplen el Reglamento de Construcciones y, por tanto, pueden tener deficiencias estructurales que ponen en riesgo la continuidad de actividades cotidianas así como la posible seguridad de sus ocupantes por lo que medidas de mitigación deben ser tomadas. Para tener bases más firmes que permitan tomar decisiones se han hecho varios estudios, patrocinados por el gobierno de la ciudad para conocer el grado en que las nuevas edificaciones cumplen con la reglamentación vigente.

Creación de base de datos de las construcciones para este estudio

Se hizo una revisión del comportamiento sísmico de edificios de más de cuatro niveles construidos en la ciudad de México a partir del 2004 de una base de datos creada con el catastro de la ciudad, complementada con otras bases de datos y verificada por numerosas visitas a los edificios. El universo a estudiar consistió en 13,428 edificaciones localizadas en zonas donde se han observado los mayores daños estructurales en sismos pasados (sismos de 1957, 1979 y 1985), que cumplían con las condiciones mencionadas. De esta población se seleccionaron al azar 150 edificios a los que hicimos inspecciones de banqueta para recabar información adicional de sus características sismorresistentes. En la Foto 1 se muestra con puntos pequeños los 150 edificios seleccionados (con puntos grandes se muestran 20 edificios que además fueron estudiados con más detalle como se mostrará más adelante). De estas 150 inspecciones se muestran las estadísticas de algunos defectos constructivos (véase Figura 1) que de manera alarmante se repiten con frecuencia y señalan la tendencia de construir edificios con plantas bajas débiles (estacionamientos y comercios), muy pegados entre sí (golpeteo), con columnas cortas y con configuraciones irregulares en planta.

Reinoso f1

Revisión de memorias de cálculo y planos estructurales

De los edificios visitados se escogieron veinte también al azar para estudiarlos con más detalle. Para ello, se solicitaron sus respectivas memorias de cálculo y planos a la dependencia gubernamental encargada de contar con esta información. Del análisis y estudio de estas memorias y planos se concluye, primero, que 20% de las memorias y 15% de los planos de los edificios construidos a partir del 2004 no es posible ni siquiera consultarlos porque no existen. De las memorias y planos que sí se pudieron analizar:

  1. Una cuarta parte contiene una descripción aceptable de la estructuración del edificio
  2. Una cuarta parte contiene una estimación detallada de las cargas
  3. En una cuarta parte se identifica con claridad al Director Responsable de Obra (DRO) y al corresponsable estructural
  4. En una cuarta parte se determina las fuerzas para diseño sísmico
  5. En casi la mitad no se especifican los parámetros del espectro de diseño
  6. Ni siquiera en uno de cada diez se indican las deformaciones estimadas ante sismos
  7. En ninguna se presenta con claridad la modelación sísmica ni el método de análisis
  8. Solo en una cuarta parte la información contenida en los planos coincide con lo presentado en las memorias de cálculo, y en pocos casos esta información coincide con lo que realmente se construyó. Esto ocurre a pesar de que el Reglamento obliga al DRO a entregar la información completa una vez concluida la obra 

Reinoso f2

Estos problemas se han incrementado en los años recientes debido a que para simplificar trámites y disminuir costos y corrupción, basta con entregar a las autoridades una manifestación de construcción, y ya no se requieren permisos. Pero desgraciadamente esto ha relajado enormemente el rigor en el análisis, diseño y construcción de obras, y ha golpeado a la calidad de la construcción.

Cotejo de planos y memoria de cálculo con lo construido

En esta parte del estudio se comparó la información proporcionada por la dependencia gubernamental, con la que se había obtenido la licencia, con el edificio tal como quedó construido. Además se solicitó por escrito a los DRO copia de los planos y memorias de cálculo estructural con los diseños finales utilizados en la construcción de los edificios para compararlos con los planos proporcionados por la dependencia gubernamental. En la Figura 2 se muestra las respuestas que se obtuvieron a las solicitudes de información: de los veinte edificios seleccionados únicamente fue posible obtener información en ocho casos. Al comparar la información proporcionada por las delegaciones con la obtenida a través de los DRO se observa que en el 62% de los casos la información era igual. Las principales diferencias encontradas consistían en mayor detalle de la información y cambio de algunas secciones estructurales.

 Por otro lado, se examinó si la resistencia del concreto y el detallado del acero de refuerzo cumplen con lo establecido en los planos; para esto se realizaron extracciones de corazones de concreto y escaneos del acero de refuerzo. Para la realización de las pruebas se enviaron solicitudes de inspección a cada uno de los dueños y administradores de los veinte edificios con el objeto de realizar inspecciones internas y analizarlos con más detalle; desgraciadamente, solo siete de veinte dieron respuesta y aceptaron la inspección. Esto lo hemos interpretado como una muestra del poco interés y participación que la población tiene en la evaluación y cuantificación del riesgo sísmico a pesar de estar directamente afectados.

Cálculos aproximados de los edificios inspeccionados

Para contar con más elementos de evaluación de los inmuebles seleccionados, se contrató a un ingeniero para que con las prácticas usuales hiciera una revisión de los estados límite de las veinte estructuras escogidas. En la Figura 3 se presentan los resultados de evaluar los estados límite de servicio y último para los edificios estudiados. Los resultados de los estados límite de servicio indican que el 53% de los edificios estudiados lo cumplen, mientras que para el estado último sólo el 48% de los edificios los satisfacen. Los edificios que no cumplen con el estado límite de servicio podrían tener un inadecuado comportamiento ante sismos de baja intensidad. En las visitas internas se encontraron algunos defectos como grietas en acabados y elementos estructurales lo cual podría agravar el comportamiento de estos elementos. Por otro lado, casi dos terceras partes de los edificios analizados superan el estado límite último, lo que teóricamente pone en riesgo su integridad ante un evento sísmico intenso. Estos resultados no son concluyentes pues están basados en información preliminar de “planos de licencia” y mucho menos pretenden señalar deficiencias de las estructuras analizadas que fueron escogidas al azar, pero nos dan una idea de la calidad de las construcciones de años recientes que están en los límites de seguridad. Para tomar medidas de mitigación se deberían hacer revisiones más detalladas o al menos consultar las memorias y planos definitivos que desgraciadamente no están en manos de la autoridad.

Reinoso f3

Conclusión

El hecho de que en una muestra aparentemente pequeña se hayan detectado irregularidades no parece ser sesgado o casual, y refleja la realidad de este tipo de construcciones en la práctica profesional. Si bien no fue el objetivo de este estudio, no existe ninguna evidencia que indique que el Reglamento de Construcciones de la ciudad requiera cambios ni revisiones significativas, y más bien los problemas que hoy se observan en la ciudad se deben a la forma en que este reglamento se interpreta y aplica por parte de los profesionales del ramo, lo que también se está observando en otras partes del mundo.

En la ciudad de México recientemente se empieza a contar con mecanismos oficiales de revisión estructural, que dentro de su tarea estará la de regular y vigilar a todos los involucrados en la construcción, aunque esto no se puede aplicar a todas las estructuras, solo a las más importantes. Por otro lado, los colegios de profesionistas y las sociedades técnicas deben contribuir a mejorar esta situación de manera paralela e independiente a los gobiernos, simplemente haciéndole saber a la sociedad y tomadores de decisiones que existen arquitectos e ingenieros más capaces y éticos que otros.  De esta elección dependerá el comportamiento y la seguridad de las estructuras ante sismos futuros.

Los resultados de estos estudios nos muestran que existen evidencias de que algunas estructuras construidas recientemente podrían tener un riesgo inaceptable que llevarían a la interrupción de negocios o de operaciones e incluso la pérdida de vidas. Esto se debe en gran medida a la impunidad, al no verificarse de ninguna manera que el reglamento se cumpla; peor aún, si no existe verificación, mucho menos castigo por incumplimientos. De esta manera, la seguridad estructural recae únicamente en la ética profesional de los involucrados, lo que no es transparente para los planificadores de negocios y usuarios finales de las estructuras. Es por esto que los administradores de riesgo deben conocer el grado de riesgo estructural para todos los edificios existentes e implementar planes de mitigación y de contingencia ante las posibles pérdidas y la interrupción del negocio.

Finalmente, un aspecto fundamental: el rol de los arquitectos e ingenieros. Existe un fenómeno mundial del cual ni México ni ningún país latinoamericano son ajenos, en el que arquitectos e ingenieros trabajan cada quien por su lado, los primeros con propuestas novedosas y audaces, inspiradas por la estética y funcionalidad, tímidamente acotadas por restricciones ambientales y económicas, pero solo en algunos casos acotadas por la seguridad sísmica; peor aún, el hecho de proveer seguridad sísmica a sus creaciones es juzgado por muchos arquitectos como un atentado inaceptable a la estética y funcionalidad. Los segundos, los ingenieros, hemos logrado especializarnos en un área muy compleja, con conceptos difíciles de entender y más difíciles de explicar, pero empleamos un lenguaje que solo permite la comunicación entre nosotros mismos: que no hayamos la manera, dicen, de explicar que tal edificio puede dañarse o caer por este o aquel detalle. No hay, en resumen, una comunicación sana entre ambos profesionistas y el distanciamiento es cada vez mayor, y por supuesto los usuarios finales no conocen esta problemática.

Tan solo una o dos generaciones anteriores el ingeniero y el arquitecto eran la misma persona, y las obras se pensaban, analizaban, diseñaban y construían considerando simultáneamente estética, funcionalidad y seguridad. El resultado del “divorcio” actual es, a pesar de todos los avances en todos los campos, la existencia de obras esplendorosamente hermosas y funcionales, pero con riesgos sísmicos inaceptables, que probablemente tendrán grandes pérdidas económicas, interrumpiendo ciclos de negocios durante eventos futuros y, lo peor, podrían causar víctimas. Afortunadamente existen ingenieros y arquitectos ejemplares que trabajan en equipo y que crean obras así, ejemplares; pero no son la mayoría. Todas las obras, importantes y no, deben cumplir con los mejores estándares estéticos, funcionales, económicos y de seguridad que el usuario final asume sin preguntar.

Desde 1985, Eduardo Reinoso ha desarrollado investigaciones y productos para conocer y mitigar el riesgo sísmico. Recientemente ha extendido estas investigaciones a otras amenazas naturales como tsunami, huracán, inundación, erupción volcánica, granizo, entre otros. ERN es una empresa dedicada a ofrecer productos y servicios para la estimación de los riesgos naturales y poder así tomar medidas tanto financieras cómo físicas para protegerse y mitigarlos. Comuníquese con él en direccion@ern.com.mx.

 Miguel Jaimes ha realizado proyectos para el sector asegurador y del gobierno, los cuales consisten desde la estimación de pérdidas por sismo en edificios, en la red de agua potable y alcantarillado, en caminos y carreteras hasta del número esperado de víctimas a nivel ciudad y país. Además, ha colaborado en el desarrollo de proyectos como es el caso del R-FONDEN que permite la estimación probabilista de riesgos en la infraestructura, el primero para el fondo de desastres naturales en México para el gobierno federal. Comuníquese con él en mjaimest@ii.unam.mx.

 Marco A. Torres es ingeniero civil con especialidad en estructuras por la UNAM. Cuenta con alrededor de 30 publicaciones en congresos y revistas técnicas sobre temas de confiabilidad y análisis de riesgo. Actualmente labora en proyectos de evaluación de riesgos ante amenazas naturales. Comuníquese con él en mtorresp@ii.unam.mx.

El desarrollo de la resiliencia en las organizaciones y la conciencia del riesgo

Luis Enrique Luviano

La resilencia resulta ser un término que no es tan sencillo de definir o aplicar.

Los conceptos relacionados con la continuidad de negocios han evolucionando de manera importante en los últimos años por un sinnúmero de factores que son de nuestro conocimiento: actos terroristas, desastres naturales, epidemias o el entorno político y económico, sólo por citar algunos. Actualmente podemos encontrar todo tipo de literatura asociada y hemos notado como las mejores prácticas y los estándares relacionados han adquirido mayor relevancia, robusteciéndose con el fin de cubrir las necesidades que se tienen en el presente.

¿Qué significa “resiliencia”?

Hace poco participé en una reunión de trabajo con varios colegas especialistas en continuidad y la discusión giraba alrededor de lo que cada uno de nosotros entendía por “resiliencia”, con representantes de distintas partes del mundo se revisaron definiciones en el ámbito de la ingeniería, ecología, pasando por psicología e incluso derecho; sin embargo, cuando hablamos de las empresas como entes capaces de desarrollar resiliencia, resulta ser un término que no es tan sencillo de aplicar.

Para nosotros hablantes de lengua hispana, la definición de “resiliencia” ya se ha incluido en los avances de la 23ª edición del Diccionario de la Lengua Española que se va a publicar en 2014, aguardar hasta entonces para integrarla a nuestro acervo institucional sería muy osado, además de que la Real Academia Española se queda corta para los propósitos que nos aquejan a quienes trabajamos en la administración de la continuidad del negocio o BCM (Business Continuity Management).

En el manejo de tecnicismos debemos buscar ser moderados, ya que a menudo en pos de la especialización se suele complicar lo que en principio es sencillo; la mejor alternativa es regresar a lo básico, a lo que es accesible para cualquier miembro de la organización, buscando llegar a todas las audiencias posibles, sin importar su nivel de involucramiento o de responsabilidad asociada. Esto mismo aplica cuando hablamos de cómo esparcir el término de resiliencia en nuestras organizaciones.

Aquí un claro ejemplo de cómo podemos aterrizar el concepto en cuestión, le invito a hacer el siguiente ejercicio, que en lo personal realicé junto con gente habituada al lenguaje utilizado en BCM. La pregunta puntual es: ¿Qué significa resiliencia? La dinámica consiste en dar desde su visión un ejemplo representativo de cada una de las siguientes opciones y explicar el por qué son resilientes para usted:

  1. Un animal.
  2. Una sustancia.
  3. Una organización.
  4. Una persona.

Anote sus ejemplos y sus respectivas razones, después construya su propia definición tomando las características de resiliencia más representativas, las respuestas dependerán del país, de la cultura, del momento en que se hace, así como del perfil de quien lo realiza y en esto precisamente radica el valor del ejercicio, ya que es la capacidad de adaptar la teoría en la práctica, lo que se permite incorporar nuevos modelos de gestión.

Ahora bien, un ejemplo de una organización resiliente es aquella que tiene las siguientes características:

  • Se anticipa y entiende las amenazas que van surgiendo, así como las oportunidades que vienen asociadas.
  • Entiende el impacto de las amenazas y sus oportunidades en el negocio y en sus interdependencias, tanto en la cadena de suministro como en su ambiente en general.
  • Desarrolla socios de negocio al interior de la organización con los principales interesados, basado en comunicaciones abiertas y claras.
  • Responde como un equipo unificado en el proceso de recuperación, en caso de una interrupción al negocio.
  • Se adapta en las interrupciones y reacciona con flexibilidad para restablecer las funciones, es una organización que se fortalece a través del aprendizaje activo.
  • Se asegura de que el personal esté dispuesto a apoyar a la organización a lograr los objetivos.
  • Lidera con una dirección clara y con una gestión de apoyo.

Como una clave para integrar la resiliencia, la organización debe entender su entorno y ser consciente de los riesgos a los cuales se enfrenta, en el entendido de que esta exposición  es constante y puede afectar una amplia gama de procesos que se asocian a riesgos operacionales, financieros, de mercado, de negocio y de las personas, además de enlazarse con riesgos tecnológicos y de integrar el riesgo sobre la reputación de la empresa.

La importancia de la administración de riesgos empresarial

Basándonos en los argumentos anteriores, es ideal la implementación de una administración de riesgos empresarial (“ERM”, Enterprise Risk Management), la cual debe ir de la mano con la administración de la continuidad del negocio (BCM). La puesta en marcha y mantenimiento de estos programas tienen el desafío de lograr la participación activa de la gente, además de establecer, formalizar y concientizar a la organización acerca de su paternidad, la cual reside en los propios dueños de los procesos, que cuentan con el apoyo y facilitación de las herramientas necesarias por parte de los administradores, así como con el patrocinio de la alta gerencia.

En una visión de resiliencia empresarial la interrelación entre ERM y BCM es necesaria, incluso al grado de tener como administrador de ambos a un mismo departamento, todo depende de las necesidades de la organización basadas en su complejidad y de los recursos con los que cuenta. Otro factor a considerar es la resistencia de la propia empresa ante este tipo de programas y al respecto, el mejor argumento para contrarrestarla es que están alineados a los objetivos de la institución e incrementan la capacidad de permanecer en el negocio, protegiendo el valor del accionista ante cualquier eventualidad, además de que apoyan a mejorar sustancialmente la planificación estratégica, estableciendo el apetito de riesgo aplicable, así como la respuesta requerida en caso de materialización de los riesgos en escenarios diversos.

El equipo de gestión de crisis

El último componente para cerrar nuestra “ecuación de resiliencia” se encuentra dentro del ámbito del BCM y es la gestión de crisis (Crisis Management), ya que en la medida en la que contemos con estructuras organizativas formales que se activan para hacer frente a un evento de crisis de manera ordenada, eficiente y como una unidad, podremos garantizar una correcta recuperación de los procesos críticos en los tiempos esperados a los niveles aceptables establecidos, así como mantener una comunicación transparente y abierta, dirigida a las audiencias predeterminadas, tanto internas como externas.

El tener un equipo de gestión de crisis capacitado y entrenado es una de las mejores armas para proteger la reputación de la empresa. La distribución y asignación de responsabilidades dentro del mismo es fundamental y si bien no hay un modelo único para esto, la estructura debe ser ágil y flexible, lo más indicado es que sea conformado por personas clave en la empresa, bajo la premisa de que con base en escenarios prestablecidos, se adicionen participantes según se amerite. Basado en mi experiencia, las siguientes preguntas son un marco de referencia útil en la construcción de los equipos para determinar integrantes y designar roles:

  • ¿Quiénes deben tomar las decisiones de negocio? = Estrategia.
  • ¿Quiénes son los encargados de que las estrategias se lleven a cabo? = Gestión.
  • ¿Quiénes son los responsables de la recuperación de los procesos? = Ejecución.

Independientemente del tipo de negocio, de latitudes o fronteras, debido a que nuestro entorno adquiere mayor complejidad cada vez, podemos concluir que es muy favorable la incorporación de programas de administración de riesgos y continuidad de negocios con bases consistentes, por la seguridad que puede proveer a la institución con miras a impulsar el desarrollo de la resiliencia empresarial.

Si aunamos el potencial para hacer negocio que a nivel global se está viendo en países emergentes como los latinoamericanos, el reto que tenemos enfrente es poder vincular la estrategia empresarial con este enfoque y entender cuál es la tolerancia que la organización tiene al riesgo, así como su respectivo tratamiento, para determinar la planificación de los escenarios que correspondan y garantizar una respuesta efectiva en caso de su materialización. Si podemos integrar lo anterior en un proceso de mejora continua constante, querrá decir entonces que hemos logrado ser resilientes.

¿Cuál es el estado actual de nuestras organizaciones a este respecto? Si no lo tenemos muy claro, un análisis para determinarlo podría ser una muy buena manera de empezar a desarrollar la resilencia como una práctica, no sólo como concepto o una definición de diccionario.

 

Profesional con más de ocho años de experiencia en administración de la continuidad del negocio y en áreas relacionadas con el análisis de procesos y administración de proyectos. Se desempeñó varios años como director de continuidad en un reconocido grupo financiero en México, entre sus experiencias en el manejo de crisis, ha liderado acciones de respuesta y recuperación de la operación en diversos escenarios de contingencia en el sector financiero.

A principios del 2011 presidió el comité de continuidad de negocios en la Asociación de Bancos de México (ABM) y actualmente es el head regional de BCM para Latinoamérica en Zurich Insurance Group. Comuníquese con él en luis.luviano@mx.zurich.com.

Seguridad industrial y salud ocupacional en la continuidad del negocio

Carlos Alberto Vargas Sabogal

Al hacer la estimación de los impactos financieros y operativos durante la conducción del análisis de impacto al negocio y la evaluación de los riesgos de continuidad para la implementación de un programa de continuidad de negocio en la organización, a las áreas de Seguridad Industrial y Salud Ocupacional no se les analiza con la debida importancia.

La seguridad industrial (SI) y la salud ocupacional (SO) son dos elementos claves para la continuidad del negocio que han venido posicionándose en el diseño de estos programas, debido principalmente a tres factores mutuamente dependientes:

los altos costos incurridos por las organizaciones por el pago de incapacidades, reemplazos e indemnizaciones como consecuencia de los accidentes y enfermedades profesionales; la cada vez más exigente legislación con la expedición de normas internacionales para garantizar mejores condiciones de trabajo para los empleados; y por último, la mayor toma de conciencia sobre la importancia real de la salud ocupacional en uno de los recursos estratégicos del negocio: el ser humano.

Análisis de los requerimientos funcionales

Cada vez que se realiza un análisis de impacto al negocio por procesos, éste se efectúa sobre:

  • La afectación por la no entrega de un bien o servicio derivado del proceso crítico evaluado, los ingresos de la organización, y por consiguiente, sobre su rentabilidad; esto equivale a la eficiencia económica del negocio.
  • ¿Qué tanto se afectan clientes y usuarios por la no disponibilidad de ese bien o servicio? Lo que se traduce en su probable pérdida y la posibilidad de incurrir en altos costos para su recuperación.
  • También, se analiza la afectación a la imagen o marca de la organización en caso de interrumpir el flujo normal del bien o servicio en el mercado, bien por su no disponibilidad permanente, o bien por su calidad, lo que significa el costo de reposicionar la marca.
  • Se evalúa el impacto legal, el cual ocupa un lugar importante en el análisis, por cuanto la no entrega de un bien o servicio dentro de los términos y condiciones pactados con clientes, en especial con los que consumen los mayores volúmenes, en muchos casos implican contratos con fuertes cláusulas de penalidades. Implica costos imprevistos no presupuestados y molestos litigios entre las partes, acarreándose la posibilidad de pérdida financiera por incumplimiento.
  • Se toman en cuenta otras afectaciones como la posibilidad de detener o impactar procesos precedentes o posteriores y el impacto sobre la operación de toda la entidad.
  • La posibilidad de generar fuertes impactos externos sectoriales o por industria, por falta de suministro de bienes o servicios.

Lo mismo sucede cuando se conduce el análisis de riesgos de continuidad. El aspecto fundamental de la evaluación de estos riesgos se concentra en la detección de amenazas y riesgos del entorno externo en cuanto a su posible materialización, ya sean de origen natural y humano y las correspondientes del entorno interno, como fallas en las comunicaciones y en la infraestructura tecnológica; principalmente que conduzcan a la no producción del bien o prestación del servicio y por tanto, a su entrega con retraso.

En mi experiencia, frecuentemente a los aspectos relacionados directamente con el recurso humano se les contemplan dentro del análisis de manera muy superficial, bajo la premisa que cualquier proceso funciona como una combinación efectiva de recursos humanos, tecnológicos, financieros y físicos. No obstante, en los recursos mínimos requeridos para responder y operar ante una contingencia, se considera a las personas como los principales protagonistas de los planes de continuidad y de contingencia.

Slide1

Que significa

En la primera década del siglo XXI, con la expedición de estándares globales que conminan a la implementación de sistemas de gestión y normas locales en los diferentes países que obligan la implementación de condiciones básicas de seguridad industrial y salud ocupacional, se han dado pasos significativos en estos aspectos. Sin embargo, en los países en vías de desarrollo solo en las compañías multinacionales, las controladas de manera directa por los entes regulatorios y las que tienen algún grado de obligatoriedad en el cumplimiento de requisitos que impliquen la protección real de sus trabajadores, aplican la normativa correspondiente. Aprendí que las demás no lo hacen sencillamente porque no tienen contemplado en sus estructuras organizacionales la dedicación de personal dedicado exclusivamente al análisis de las condiciones laborales adecuadas, la generación de ambientes de trabajo sanos y el suministro de elementos de protección adecuados a sus trabajadores. Estas responsabilidades descansan sobre áreas administrativas sometidas a fuertes controles de gastos, por lo que la manera más sencilla de reducirlos o eliminarlos es a través una drástica disminución de los gastos en estos rubros.

En mi opinión y basado en las estadísticas del Ministerio de Protección Social en Colombia, los sectores de mayor demanda por una buena gestión del recurso humano, como los de: manufactura, minería de socavón, construcción de obras públicas y de vivienda, ganadería, pesca, agricultura y silvicultura (véase Gráfico 1), son los que presentan las mayores tasas de accidentalidad ya que cuentan con menores recursos tecnológicos para la implementación de planes de continuidad del negocio y donde se concentra la mayor cantidad de pérdidas por este concepto, que afectan significativamente la productividad empresarial y social. En Colombia, particularmente, los nuevos modelos de contratación laboral, han conducido a una más estrecha vigilancia para el cumplimiento de las normas regulatorias, dadas las altas tasas de accidentes generadores de incapacidades permanentes, parciales y totales, y pagos de altas sumas por siniestralidad derivada de los accidentes de trabajo, los cuales, sin lugar a dudas, considero que son un componente clave al momento de la evaluación de los impactos intangibles.

He observado que estos aspectos, para efecto de la cuantificación de los impactos financieros y operacionales, no cuentan de manera específica en el análisis de impacto al negocio ni en le evaluación de riesgos de continuidad y en caso de requerirse, se les asigna un valor estimado basado en el comportamiento histórico de los costos por seguridad industrial y salud ocupacional SISO en la compañía que quiera emprender e implementar un sistema de gestión de continuidad de negocio.

Por otro lado, los planes de respuesta de emergencia, en su mayoría, obedecen a la activación de los planes de emergencia que se encuentren vigentes en la organización, y para los casos extremos como: terremotos, inundaciones, actos terroristas, se acude a las autoridades locales para que se estabilicen las condiciones en que la compañía pueda asumir y controlar el incidente.

Retos para una mejora continua

Los directores de las organizaciones deben entonces, concentrar buena parte de sus esfuerzos estratégicos en la asignación de recursos económicos para la preparación de equipos de respuesta altamente motivados desde SISO ya que al momento de activar los planes de recuperación del negocio, la organización dependerá de la confianza y competencia de los integrantes designados en la responsabilidad de Seguridad Industrial y Salud Ocupacional.

Finalmente, ante la proliferación de los sistemas de gestión para todas las actividades operativas y de control operativo en las compañías, sugiero concentrar todos los esfuerzos en la articulación y evaluación permanente de los indicadores de eficiencia de cada uno de ellos. Asimismo, concatenar toda la información, de manera que sea posible que los programas de continuidad del negocio en particular, tengan la efectividad y el alcance esperados; y se cuente con recursos humanos protegidos, competentes, capacitados y entrenados para su ejecución con éxito, en el momento de requerirse.

Carlos Alberto Vargas Sabogal es ingeniero Industrial de la Universidad Incca de Colombia, licenciado en idiomas de la Universidad Nacional de Colombia, profesional certificado CBCP por DRI International y profesional en las normas ISO 18001 e ISO 19001. Desde hace más de diez años es consultor en el desarrollo e implementación de programas de continuidad del negocio, pruebas y capacitación en compañías de diferentes sectores económicos dentro y fuera de Colombia. Ha sido docente en la Universidad Central de Bogotá en el programa de postgrado de ciencias económicas y administrativas; es columnista y colaborador en el periódico La Calle desde 2007.  Puede ser contactado en cavargas909@hotmail.com

Una entrevista con Miguel Angel De la Rosa Ríos, Coordinador del Grupo de Continuidad de la Asociación de Bancos de México (ABM)

La Asociación de Bancos de México A.C. (ABM) se fundó en noviembre de 1928, con el propósito de representar los intereses generales de la banca y brindar a los bancos servicios técnicos especializados. Dentro de los comités y subcomités de la ABM está el grupo de especialistas en continuidad del negocio (Business Continuity Management, “BCM”) de los diferentes bancos en el país, formalmente establecido y reconocido, con capacidad de reacción gremial antes-durante y después de una crisis,  que fomenta la capacitación continua en las mejores prácticas BCM y permite compartir casos de éxito en el grupo. En esta entrevista, su Coordinador del Grupo de Continuidad nos platica más acerca de este grupo y su contribución al sector bancario.

Thrive! Iberoamerica: ¿Cuál es su objetivo y misión?

De la Rosa Ríos: Conformar un grupo de especialistas en continuidad del negocio (Business Continuity Management) de los diferentes bancos en el país, formalmente establecido y reconocido, con capacidad de reacción gremial antes, durante y después de una crisis, que fomenta la capacitación continua en las mejores prácticas BCM y permite compartir casos de éxito en el grupo.

Thrive! Iberoamerica: ¿Por qué surge la necesidad de crear un grupo de continuidad del negocio en la ABM?

De la Rosa Ríos: En la ABM existen comités especializados en diversos temas. En relación a la continuidad del negocio surgió como una necesidad de actuar como frente común ante situaciones de contingencia o desastre que podrían afectar al gremio bancario, el ejemplo claro fue durante la pandemia de influenza AH1N1 en 2009. Otro ejemplo es la llegada del papa Benedicto XVI el año 2012, donde se preveía que podría haber escases de dinero en los cajeros la zona por donde iba a pasar el papa. Asimismo, se requería informar al público de los cajeros que si estaban disponibles y de los cajeros estarían cerrados. En estos y otros eventos de otra índole, el grupo bancario actúa como un gremio organizado trabajando en equipo y estableciendo comunicación en todo momento. Para mantener esta coordinación en caso de contingencia, el grupo de continuidad sesiona antes, durante y después del evento.

Thrive! Iberoamerica: ¿Qué beneficios tienen los bancos de pertenecer a este Grupo?

De la Rosa Ríos: En todos y cada uno de los bancos de México, existe personal especializado en continuidad del negocio (BC, Business Continuity), y dependiendo de las necesidades de su operación, cuentan con un determinado número de personal dedicado en continuidad del negocio. Este personal a través del grupo de continuidad del negocio, pueden recibir capacitaciones especializadas en normatividad BC nacional e internacional, mejores prácticas como las de DRI International. Asimismo, a través de las sesiones que tenemos al menos una vez cada dos meses, se promueve y comparte la estandarización de las prácticas profesionales BC en la banca, se validan planes críticos, se analizan procesos críticos para la banca y se promueve la continuidad de operaciones como gremio en caso de desastre.

Thrive! Iberoamerica: ¿Qué planes de trabajo tiene el grupo de continuidad de la ABM para el año 2013?

De la Rosa Ríos: Adicional a mantener la capacitación y coordinación constante entre los miembros de la ABM, buscaremos trabajar con mayor cercanía con los proveedores críticos y con el sector gobierno que regula y/o coordina en eventos de desastre. En caso de un desastre o catástrofe, sería importante conocer como participaría la banca en la activación de un plan de continuidad de operaciones nacional, donde consideramos que la ABM debe estar identificada como un sector crítico para el país.

Thrive! Iberoamerica: ¿Cuál es la situación en general en materia de continuidad del negocio en la banca en México?

De la Rosa Ríos: De manera generalizada todos los bancos cuentan con un plan de Continuidad del Negocio (BCP, Business Continuity Plan). En general la banca en México es uno de los sectores con más avance en BCM, no solo por ser una industria regulada, sino que el sector ha trabajado por sí mismo para alcanzar un grado de madurez avanzado y planes BCP robustos. Podemos considerar que la banca está preparada para responder ante desastres con programas BCM.

Thrive! Iberoamerica: Como grupo de continuidad, ¿hacia dónde visualizan el futuro de BCM en México?

De la Rosa RíosConsidero que el país está en el camino de construir una cultura BCM fuerte, la nueva Ley General de Protección Civil emitida por el gobierno mexicano el pasado 6 de junio de 2012 donde ya se incluye temas como gestión integral de riesgos y continuidad de operaciones, facilitará el desarrollo de esta cultura. Ahora bien, si adicionalmente la autoridad que corresponda, exige el cumplimiento de la normatividad BCM tanto al sector público como privado, como se le exige actualmente a la banca, definitivamente esto generará la creación de planes BCP robustos. Con acciones como esta, México podría tener mayor cantidad de gente especializada en BCM, generación de puestos de continuidad en todos los sectores y una mayor resiliencia como país.

Thrive! Iberoamerica: Con base a la experiencia del Grupo de Continuidad de la ABM ¿Qué recomendarían hacer en BCM a otros grupos o asociaciones como: aseguradoras, agentes de seguros, administradores de riesgos, proveedores de salud, telecomunicaciones, etc.?

De la Rosa Ríos: Recomiendo ampliamente que otros grupos ya organizados y/o consolidados como asociación, creen grupos o comités de continuidad que puedan acelerar el desarrollo de BCM en dicho sector. Por otra parte, sectores relacionados con los riesgos y desastres como aseguradoras, proveedores de salud, telecomunicaciones, etc., convendría que incluyeran en la proveeduría de sus servicios el tema de continuidad de operaciones tanto para ellos mismos como para sus clientes y proveedores. Por ejemplo, al vender una póliza de daños tomar en cuenta en la valuación del riesgo si la empresa tiene o no desarrollado planes de BC. Esto en un desastre puede determinar la sobrevivencia de la empresa y la reducción de la pérdida a niveles manejables desde el punto de vista financiero tanto por la propia aseguradora como por la organización afectada.

Interview 1Miguel A. De la Rosa Rios es coordinador del subcomité de continuidad del negocio en la ABM y puede ser contactado en miguel.delarosa@banorte.com.

Los estándares para la continuidad del negocio

Sandra Patricia Camacho Bonilla

¿Cuál es el beneficio que los estándares pueden brindar a la disciplina de continuidad del negocio? ¿Están las organizaciones interesadas y preparadas para  orientar esfuerzos al cumplimiento de este tipo de estándares? Los entes reguladores y las agencias calificadoras tienden a guiarse en éste tipo de normas para orientar sus calificaciones,  sin embargo, no es solo en este sentido que se debe orientar el beneficio para las organizaciones, sino hacia un eficiente y eficaz desempeño y la credibilidad de la misma, en su preparación para enfrentar una crisis o un desastre, en el momento de presentarse.

El pasado 18 de mayo de 2012 fueron publicadas las normas internacionales ISO 22301 con los “Requerimientos para un sistema de gestión de continuidad del negocio” y en marzo de 2011 las normas ISO/IEC 27031 con las “Guías para la preparación de telecomunicaciones y tecnologías de la información (TIC) para la continuidad del negocio”.

Pero, ¿cuál es el beneficio que los estándares pueden brindar a la disciplina de continuidad del negocio? ¿Están las organizaciones interesadas y preparadas para  orientar esfuerzos al cumplimiento de este tipo de estándares? Los entes reguladores y las agencias calificadoras tienden a guiarse en éste tipo de normas para orientar sus calificaciones,  sin embargo, no es solo en este sentido que se debe orientar el beneficio para las organizaciones, sino hacia un eficiente y eficaz desempeño y la credibilidad de la misma, en su preparación para enfrentar una crisis o un desastre, en el momento de presentarse.

En este sentido, es importante conocer cuáles son las mejores prácticas  y estándares que existen, así como la relación entre ellos y como aplica en relación al tamaño de la organización, como a su cultura y entender el estado en el que la organización se encuentre y así, medir el esfuerzo y costo de su adopción.

Normas de la continuidad del negocio

Las recientes normas ISO de continuidad del negocio brindan a las organizaciones estándares para que se maximice la “continuidad” de sus operaciones, a pesar de  eventos catastróficos o incluso de menor dimensión  que puedan presentarse, y de manera particular, ocasionados por la tecnología, por lo que se cuenta con estándares particulares en este sentido.

No es reciente la existencia de normativas al respecto, las normas ISO 22301 e ISO/IEC 27031 tienen su origen respectivamente en los estándares británicos BS 25999 “Gestión de la continuidad del negocio” de noviembre del 2006 y BS 25777 “Gestión de la continuidad de la tecnología de información y telecomunicaciones” de noviembre del 2008, y estos a su vez, de estándares internacionales fomentados por diversas organizaciones como el Disaster Recovery Institute International (DRI International), quienes desde 1988 han promovido a nivel internacional, las mejores prácticas respecto a la continuidad del negocio, así como el Business Continuity Institute (BCI),  desde 1994, entre otros.

Los estándares BS 25777 y BS 25999 presentan a su vez dos “Códigos de práctica”, el primero en cuanto a la gestión de continuidad de TIC y el segundo, en lo referente a la gestión de continuidad del negocio; introduciendo, desde cada perspectiva, el concepto de “programa de continuidad” presentado como un ciclo de vida compuesto por seis partes. Inicialmente y ubicado en el centro del ciclo, se presenta la “Gestión del programa de continuidad”, donde se define la gobernabilidad, la implementación, la continuidad y la documentación  del programa,  luego, representado como un ciclo de vida que va desde el “Entendimiento de la organización”, pasando por “Determinación de las estrategias” y “Desarrollo e implementación de la respuesta” y finalmente, “Ejercicios, mantenimiento y revisión”, a partir de donde se vuelve a iniciar el ciclo, el cual está inmerso en la “Cultura organizacional”, donde se incluyen los temas de concientización y entrenamiento. Luego, cada uno de ellos se concentra en su ámbito de aplicación, entrando a ser dos ciclos complementarios para lograr la gestión del programa de continuidad.

Sintetizan el conocimiento

BCI, a través de su “Código de buenas prácticas para la gestión de continuidad del negocio”, promueve el ciclo de vida presentado en el BS-25999 como el cuerpo de conocimiento para la disciplina, especificando adicionalmente, algunas herramientas en cada una de las fases del ciclo, es así como incluye el business impact analisys (BIA), continuity requirement analisys (CRA) y el risk assesment (RA),  para la fase de “Entendimiento de la organización”, el establecimiento de parámetros como el recovery time objective (RTO), recovery point objective (RPO) así como el maximum tolerable period of disruption (MTPD) y el maximum tolerable data lost (MTDL) para la “determinación de las estrategias”, incluyendo la selección e identificación de respuestas tácticas y la consolidación de niveles de recursos, asimismo, presenta una serie de pasos detallados para  las demás fases del ciclo, presentado un enfoque estructurado y claro para el desarrollo de un programa de gestión de la continuidad del negocio.

Es así como, las diez prácticas profesionales propuestas por DRI International, la cual sintetiza el conocimiento completo de la disciplina, se consolidan como una base de conocimiento fundamental que incluye tanto las fases del ciclo de vida presentado por el British Standard como por el BCI, así como los requisitos presentados en estándares ISO.

Camacho f1

Planear-Hacer-Verificar-Actuar (PHVA)

En cuanto a la reciente normalización ISO, tanto en los aspectos de “Continuidad del negocio” como de la “Preparación TIC para la continuidad del negocio”, ésta recoge las mejores prácticas y las normaliza con una serie de requisitos, facilitando una mejor gestión en ambos frentes, ya que está inmersa en los conocidos ciclos de mejora continua con los que ya estamos familiarizados planear, hacer, verificar y actuar (véase figura 1, página TBD).

En este sentido, las diez prácticas profesionales de la continuidad del negocio de DRI International, se reflejan en el marco de la Norma ISO 22301 “Continuidad del Negocio” (la cual forma parte de la familia de normas ISO relacionadas con “Seguridad Social”) de la manera “PHVA”:

Planear: Establecer la política, metas, objetivos, controles, procesos y procedimientos de continuidad del negocio.

Hacer: Implementar y operar las políticas, controles, procesos y procedimientos.

Verificar: Implementar un monitoreo y revisar el desempeño con relación a la política y los objetivos de continuidad del negocio, reportar resultados a la dirección y acción de mejoramiento.

Actuar: Mantener y mejorar el sistema de gestión de continuidad del negocio, tomando en cuenta las acciones correctivas, basadas en los resultados de las revisiones. Llevar a cabo la revalorización del objetivo del sistema y de la política y objetivos de continuidad.

Las mejores prácticas del DRI International

Por otro lado, y de manera complementaria a la guía BS 25777 “Gestión de la continuidad de la tecnología de información y  telecomunicaciones”, la norma ISO/IEC 27031 con las “Guías para la preparación de TIC para la continuidad del negocio”, se enmarca dentro del ciclo de mejora continua PHVA  y a las mejores prácticas de continuidad del negocio del DRI International, con elementos similares a los descritos arriba pero aplicados a TIC, de tal manera que esta guía gira en torno a los siguientes principios:

a)      Prevención de incidentes: Protección de los servicios de TIC de las amenazas, tanto ambientales como fallas de hardware, errores operativos, ataques maliciosos, y desastres naturales. Es crítico mantener los niveles deseables de disponibilidad de los sistemas para una organización;

 b)      Detección de incidentes:  Detectar los incidentes en el momento oportuno podrá minimizar el impacto a los servicios, reduciendo los esfuerzos necesarios de recuperación, y preservando la calidad del servicio;  

c)      Respuesta: Responder a un incidente de la manera más apropiada, dará lugar a una recuperación más eficiente y minimiza el tiempo de interrupción. Una mala reacción  podría hacer que un incidente menor escale hacia una situación más seria;

d)     Recuperación: La identificación e implementación de estrategias de respuesta apropiadas asegurarán la recuperación oportuna de los servicios y mantener la integridad de los datos. El entendimiento de las prioridades de recuperación definirá el que los servicios críticos sean recuperados primero. Los servicios de una naturaleza no críticos, serán reintegrados en un momento posterior;

e)     Mejoramiento: Lecciones aprendidas, desde pequeños hasta grandes incidentes, deben ser documentadas, analizadas y revisadas. El entendimiento de estas lecciones permitirá a la organización estar mejor preparada, controlar y evitar incidentes e interrupciones.

El ciclo PHVA

Con un mayor detalle, la norma sigue el ciclo de mejoramiento de PHVA, de la siguiente manera:

Planear: A partir del “Análisis de impacto al negocio” de la organización, se definen los requerimientos de continuidad, la política, el entendimiento de los servicios críticos de tecnología y los requerimientos para la preparación, identificando las “brechas” actuales de preparación con que cuenta TIC.

A partir de estas, se formulan las estrategias, definiendo las habilidades y conocimientos necesarios, los recursos, la tecnología, los datos, los proveedores y los requerimientos de capacidad y desempeño “resiliente” requeridos.

Hacer: Se considera como la recopilación, mantenimiento e implementación del plan de preparación de TIC, dentro de lo cual se encuentran: los procesos, las estrategias, los planes de respuesta y recuperación, los programas de concientización, competencia y entrenamiento así como el control de documentos relacionados.

Verificar: Es el monitoreo y revisión continuos, para los cuales se consideran el análisis de amenazas, la medición del desempeño de preparación de TIC, las revisiones anuales, tanto de pruebas y ejercicios como de las auditorías internas y externas.

Actuar: Consiste en la revisión por la dirección y el mejoramiento del plan de preparación de TIC.

En conclusión, es importante contar con estándares y esquemas de medición que nos permitan identificar la posición en que se encuentra la organización, pero el gran riesgo es confiar en que solo la teoría y la documentación nos brinda protección y confiabilidad sin mantener  el control en un evento de catástrofe, es en este sentido importante, resaltar que para contar con una exitosa preparación ante desastres, las pruebas y ejercicios se convierten en un elemento fundamental de las estrategias y arquitecturas tanto de TIC como operativas; las cuales deben ser realizadas de manera programada y constante, ya que nos permiten desarrollar confianza en nuestras capacidades de reacción, así como fortalecer las habilidades y experiencia de los equipos de encargados de la continuidad. Estas pruebas y ejercicios se deben hacer tanto de “escritorio” como “simuladas”, con escenarios de fallas totales o parciales de todos y cada uno de los recursos críticos para el negocio.

Es importante superar el temor que nos representa “simular” una  falla o crisis, mediante la preparación de todas las áreas, no solo de tecnología, sino también de las áreas operativas, ante la posibilidad de una falla severa a nivel de la provisión de recursos (personal clave, infraestructura,  potencia, ambiente, tecnología, etc.), todo esto orientado al final, a minimizar la “incertidumbre” y conocer las propias vulnerabilidades,  trabajar en ellas y aumentar la capacidad de “resiliencia” para la organización como un todo y así garantizar una real “continuidad del negocio”.

Sandra Patricia Camacho Bonilla tiene más de quince años de experiencia en las áreas de continuidad del negocio, gestión de riesgos y manejo de estándares y políticas de tecnología. Desde hace siete años es la directora de la unidad de soporte y continuidad de tecnología del Banco de la República de Colombia (Banco Central de Colombia). Es especialista en “business impact analysis” y “emergency management and safety solutions”. Entre sus experiencias ha liderado acciones de planeación, respuesta y recuperación de operaciones en diversos escenarios de contingencia en el sector financiero, implementación, control y seguimiento de centros de datos alternos remotos. Líder de los procesos de certificación de calidad ISO 9001 y auditor ISO 27001 para el área de tecnología del Banco de la República de Colombia. 

Es certificada en CBCP por el DRI International desde 2001 en Boston, MA, EEUU, ITIL versión 3, Auditor ISO 27001 e ISO 9001 y PMP por el PMI desde el 2005.  Ingeniería y Maestría en Sistemas y Computación de la Universidad de Los Andes. Ha sido docente académica de la Universidad de Los Andes, Universidad Javeriana y Universidad Piloto de Colombia así como conferencista en eventos de seguridad informática y continuidad. Puede ser contactada en scamacbo@banrep.gov.co

Cultura de BCM—¿Seguridad en el presente o calamidad futura?

Luis Enrique Luviano

A pesar de encontrar resistencia al interior de las organizaciones y creencias que limitan el desarrollo de un programa de Business Continuity Management (BCM), podemos buscar alternativas para generar la sensación de seguridad al tener la percepción de estar preparados para responder a un evento de crisis, con base en el fortalecimiento de una buena práctica y utilizando los alicientes correctos para favorecer la integración de la resiliencia en la organización.

El reto de promover BCM

“Espera lo mejor y prepárate para lo peor”, es un refrán que siempre llamó mi atención porque a pesar de que no suena muy positivo e incluso tiene implícito cierto matiz de fatalismo, termina siendo una manera generalmente aceptada de orientar a alguien a que tome las debidas previsiones y esté listo para “lo que venga”.

No obstante, desde mi rol de profesional de la continuidad, me parece que dicha “filosofía” no es la manera óptima de impulsar la práctica de BCM en una organización, porque plantea como premisa que una posible calamidad futura es el sustento de la acción que se tome en el presente, el problema con esta perspectiva es que si la gente llega a pensar que “eso nunca les va a pasar a ellos”, automáticamente se descarta como sustento y se pierde la fuerza para actuar.

Lo ideal es que, independientemente de lo que el futuro nos depare, el incentivo para estar preparado sea el sabernos preparados para enfrentar cualquier incidente de la mejor manera, con lo cual se genera en la actualidad una sensación de seguridad. De ahí, que uno de los mayores retos que tenemos como principales promotores de BCM, es crear una concientización acerca de los beneficios de comprometerse a estar preparado ante un imprevisto, así como mantener el interés de los involucrados, sea cual sea su nivel de participación o el rol que deban desempeñar ante un desastre.

El dilema

Si las organizaciones no consideran como necesario un programa robusto de continuidad, no debemos anclarnos en la preocupación si en realidad lo requieren o no. Por el contrario, puede ser motivo para ocuparse y nuestro trabajo debe consistir en identificar oportunidades para robustecer el programa de BCM. En mi experiencia, muchas veces se echan a andar iniciativas que comienzan siendo proyectos menores relacionados con posibles contingencias, que si son bien encaminados, terminan siendo los “cómplices” perfectos para impulsar cada vez más la práctica de BCM en la organización.

Tomar ventaja de estos pequeños impulsos es muy positivo y sea cual sea el alcance de estos proyectos que rondan alrededor del BCM, si los ligamos de alguna manera al ámbito de nuestra responsabilidad, debemos mantener como objetivo el utilizar lo que ya existe en la organización, así como reforzar lo que se haya hecho bien anteriormente, de tal manera que paso a paso se vaya incrementando el nivel de madurez del programa y se integre paulatinamente la prevención como cultura en la organización.

Construyendo una visión coherente

A menudo la percepción de los colaboradores es que los planes de continuidad del negocio se actualizan sólo una vez al año, también he llegado a escuchar comentarios que afirman que quienes son los responsables de la gestión y el mantenimiento del programa de continuidad únicamente tienen trabajo cuando sucede una contingencia. El riesgo que encuentro en estas creencias es que se etiqueta al BCM como un proyecto, que por lo mismo tiene un principio y un fin, en lugar de percibirse como algo que es necesario incorporar en todos los niveles de la organización.

Para construir una visión coherente de BCM, las preguntas que se deben enfrentar con total transparencia desde el interior de la organización son las siguientes:

  • ¿Qué pasaría en caso de que una interrupción nos obligara a activar nuestros planes de continuidad del negocio?
  • ¿Seríamos capaces de responder de manera efectiva en el momento de una crisis?
  • ¿Podríamos recuperar los procesos críticos en los plazos convenidos?
  • ¿Somos conscientes de nuestros roles y responsabilidades?
  • ¿Nuestro proceso de respuesta a un evento, nos permitiría mantener y mejorar la reputación de la empresa?

Como proceso de mejora continua

Con el fin de estar seguros de que las respuestas a las preguntas anteriores sean afirmativas, se debe ir más allá de la idea de que la actualización periódica de los planes es suficiente, o es lo único que se debe hacer; reconociendo como fundamental la incorporación gradual de un programa de BCM en la organización. Esta necesidad deriva del hecho de que las organizaciones están en permanente proceso de evolución y de cambio constante bajo bases sustentables: se mueven las personas, los procesos se modifican, se alteran las estructuras organizacionales para alinearse con los mercados o con otras fuerzas externas, también se transforma el entorno tecnológico y el uso de aplicaciones a nivel operativo, sin olvidar el esfuerzo que cada posición dentro de una empresa invierte constantemente para satisfacer las expectativas cada vez mayores de los clientes, lo cual representa un creciente compromiso por garantizar una disponibilidad permanente de los productos y/o servicios, así como de las áreas que son la cara hacia el exterior.

Todos los cambios anteriormente citados en la operación normal de la organización involucran a las personas, los procesos, las instalaciones, los proveedores, las entidades regulatorias, los socios comerciales, los clientes o las herramientas tecnológicas; y estos elementos deben reflejarse a su vez dentro de los acuerdos de continuidad del negocio existentes, si es que estos requieren ser operados o entregados en el momento de una crisis, lo cual no será posible si el programa de continuidad del negocio no contempla un ciclo de mejora continua, independientemente de cuál sea la metodología, práctica o estándar BCM adoptado.

La base de la preparación

Para ayudarnos a evaluar la eficacia de nuestra preparación, debemos ser también conscientes de los riesgos que la organización enfrenta y a la vez asegurar que aquellos riesgos que emergen tienen un monitoreo y son entendidos. Asimismo, es necesario también vigilar el medio ambiente en el que opera la organización. La planificación de escenarios es una forma en la que podemos ayudar a crear conciencia y obtener algunas ideas útiles sobre cómo un cierto incidente puede afectar a la organización.

Es evidente que las organizaciones en general son cada vez más complejas, están incrementando sus interdependencias y a la vez mejorando su eficiencia. Este desarrollo, que a menudo proporciona una ventaja comercial, en muchos casos da lugar a nuevos retos acerca de la comprensión de la naturaleza y del nivel de los riesgos. En particular, desde mi punto de vista, el riesgo de ocurrencia de eventos que pueden resultar en una interrupción parece estar en aumento, ya sea a través de fenómenos naturales, manifestaciones sociales o problemas tecnológicos, por citar algunos. El abanico de riesgos es cada vez más extenso y sus impactos con frecuencia son más complejos y poco comprendidos. Esto debería reforzar lo importante que es estar mejor preparados que antes.

El análisis y las acciones que se destacan a través del planteamiento de escenarios nos apoyan a desarrollar e implementar los recursos necesarios para los planes de continuidad y a promover una cultura de prevención, la cual se ve reforzada cuando se ejercitan las estrategias que han sido implementadas. La complejidad de las pruebas y de los ejercicios va de la mano con el nivel de madurez del programa, pero más allá de este indicador, el beneficio de comprobar que lo que se tiene funciona, propicia un mejor estado anímico, el cual favorece una buena actitud y la seguridad con la cual se puede hacer frente a un evento real, en caso de que así sea requerido.

El mejor aliciente

El que existan tantos cambios a través de todas las vertientes mencionadas, representan el momento perfecto para desarrollar una cultura BCM que vaya más allá de la simple necesidad de dar una respuesta a un problema. El reto es integrar el BCM en nuestro día a día, con el fin de desarrollar programas permanentes que nos permitan contar con mecanismos proactivos de continuidad implementados, que agreguen valor a nuestras operaciones y que mejoren la capacidad de adaptación de nuestras organizaciones, brindando con ello una sensación de seguridad permanente, que puede utilizarse como el motor principal para conducirnos paso a paso hacia integrar la resiliencia como una cualidad inherente.

La sensación de seguridad que brinda el sabernos listos para enfrentar cualquier incidente de la mejor manera posible, es el mejor aliciente para impulsar el desarrollo del programa de BCM, para incrementar su nivel de madurez, promover una cultura de prevención y para conducir a la organización a ser cada vez más resiliente.

Luis Enrique Luviano tiene más de ocho años de experiencia en la administración de la continuidad del negocio, es certified business continuity professional (CBCP) del DRI International e instructor certificado de cursos en español del mismo instituto, también es miembro de Business Continuity Institute (MBCI) y BCMS Auditor/Lead Auditor BS-25999 del BSI. Ha colaborado en áreas relacionadas con el análisis de procesos y administración de proyectos, se desempeñó como director de continuidad en Ixe Grupo Financiero en México y a principios del 2011 presidió el comité de continuidad de negocios en la Asociación de Bancos de México (ABM). Actualmente es el Head Regional de BCM para Latinoamérica, en Zurich Insurance Group.