Archivo de la etiqueta: alta gerencia

La concientización en la Continuidad del Negocio, en un país con baja tasa de Desastres

Reynaldo de la Fuente

A la hora de obtener el compromiso y liderazgo de la alta dirección de las organizaciones para con la gestión de la continuidad del negocio, es necesario que identifiquemos todos los requisitos legales, regulatorios y contractuales que apliquen, así como indicadores y métricas de incidentes y desastres que hayan afectado a las organizaciones en los últimos años.

¿Pero qué sucede cuanto estos indicadores son inexistentes  y los requisitos escuetos y poco exigentes?

A la hora de lograr la concientización de una organización, o una sociedad, el contar con elementos objetivos que permitan lograr la sensibilización de las personas es un elemento  indispensable.

Cuando por ejemplo se realizan campañas de sensibilización en materia de seguridad vial, el indicar cuantos accidentes ocurrieron en el año, y cuantos fueron fatales por no utilizar o cumplir con medidas de seguridad, es un elemento de reforzamiento importante que permite trasmitir un claro mensaje a la audiencia y a los líderes.

En países que están expuestos a desastres naturales frecuentes, la importancia de contar con planes de continuidad del negocio y especialmente planes de emergencia y evacuación es algo que la sociedad rápidamente puede comenzar a valorar y comprender.

No obstante, en un país u organización en la cual no se percibe como real la posibilidad de ocurrencia de un desastre, la realidad es claramente diferente.

¿Pero qué sucedería si esa percepción no es correcta?

Es importante que comencemos por reevaluar esos preconceptos y confirmar si estamos en el paraíso y no ocurre nada…o realmente lo que sucede es que no sabemos nada.

Debemos analizar si los datos conocidos de la realidad son completos, exactos y adecuados, o si en los hechos están ocurriendo diferentes tipos de eventos y desastres, pero no están siendo reportados ni difundidos.

En materia de seguridad vial durante muchos años los países no llevaban indicadores de accidentes, y para muchos podría tenerse una sensación de seguridad, cuando en los hechos un desastre importante estaba afectando a la sociedad de forma continua, sin que esto fuera percibido.

¿Cuantos incendios afectaron la operación de empresas en nuestro país en el último año? ¿Cuántas empresas sufrieron incidentes informáticos o de seguridad que afectaron sus operaciones en el último año? ¿Cuántas empresas fueron afectaras por inundaciones, vientos fuertes, u otro tipo de eventos climáticos en el último año?

Es natural que las empresas no vuelquen esta información de forma voluntaria, ni  hagan difusión de eventos que pudieron haber sido adecuadamente contenidos o no.

Es una responsabilidad de la sociedad en su conjunto, y de los gobiernos, que estos indicadores sean generados, adecuadamente alimentados y difundidos.

¿Es entonces simplemente un tema de reglamentar y exigir que se reporten y difundan los incidentes que afectaron la operativa de las organizaciones?

En muchos países de nuestra América Latina es usual que existan requisitos para las organizaciones de ciertos sectores, en especial el financiero, de contar con planes de continuidad del negocio. No obstante, no es usual que sea un requisito el que se reporten a una autoridad central los eventos e incidentes que afectaron su operativa, y mucho menos que estos indicadores se difundan.

A diferencia de los indicadores generados, los eventos puntuales no necesariamente deberían ser difundidos al Público con los datos de las organizaciones que se vieron afectadas, al margen de que evidentemente generarían una fuerte retroalimentación para los líderes de las organizaciones, sobre la importante de la gestión de la continuidad del negocio.

Antes entonces de convencernos de que en nuestra sociedad no hay grandes problemas que justifiquen la necesidad de  planes de continuidad del negocio, debemos confirmar si no estamos ante una ausencia importante de información, que difunda un mensaje incorrecto de la realidad.

Si luego de ajustar la  vara con la que medimos nuestra sociedad, confirmamos que estamos ante un escenario de baja tasa de desastres, podemos en ese momento continuar analizando otros elementos de la concientización.  Haremos esto en un próximo artículo.

Recomendaciones para la correcta preparación de un BIA

Karol Cordero

Una serie de lecciones aprendidas para hacer una correcta preparación de un análisis de impacto al negocio. Tomarlas en cuenta ayuda a mejorar la eficiencia del BIA y tener resultados exitosos. Si el proceso del BIA no se hace de manera adecuada, los datos arrojados no serán de valor para la organización y por lo tanto, el programa de continuidad de negocio se fundamentará en información errónea y probablemente fallará.

 

Las mejores prácticas profesionales del Disaster Recovery Institute (DRI) International en materia de continuidad de negocio, así como normas internacionales como el ISO 22301:2012, identifican la realización del análisis de impacto al negocio (BIA, business impact analysis), como un proceso clave al implementar un programa de continuidad de negocio (PCN).

De acuerdo con el Disaster Recovery Institute (DRI) International, el BIA busca “identificar los impactos que resultan de las interrupciones del negocio que puedan afectar a la organización, y aplicar técnicas para cuantificar y calificar tales impactos”. Además, “identificar funciones críticas con base en el tiempo, sus prioridades de recuperación e interdependencias, con el propósito de que los tiempos objetivos de recuperación de estas funciones críticas puedan ser establecidos y aprobados”.

Si el BIA se realiza de manera correcta, permitirá obtener la información mencionada anteriormente, mas si el proceso del BIA no se hace de manera adecuada, los datos arrojados no serán de valor para la organización y por lo tanto, el programa de continuidad de negocio se fundamentará en información errónea, lo que probablemente hará que el programa sea poco eficiente, la organización no realice inversiones bien fundamentadas; y a la larga, el programa de continuidad de negocio fallará.

Mi experiencia en la realización de análisis de impacto al negocio en diversas organizaciones, me ha permitido reunir una serie de lecciones aprendidas en su preparación, que al tomarlas en cuenta nos ayudará a asegurar la eficiencia del BIA y tener resultados exitosos. A continuación se describen dichas lecciones aprendidas:

  1. Contar con el apoyo de la Alta Gerencia. Debido a que el establecimiento de la continuidad del negocio debe ser un proceso holístico en la organización, será necesario reunir y obtener información de todas las áreas de la misma. Además, se deberá entrevistar a directivos de alto nivel, quienes usualmente tienen poco tiempo y no necesariamente estarán de acuerdo en brindar la información que se requiere para el BIA. La mejor manera de asegurar influencia sobre toda la organización en el nivel necesario, es contar con el apoyo de la alta gerencia, en un convencimiento de arriba hacia abajo, de modo que la alta gerencia apruebe el proyecto y los recursos necesarios para realizar el BIA. Muestras o evidencias de apoyo son la aprobación de presupuesto, la aprobación de una política de continuidad de negocio, la definición de roles y responsabilidades y la participación activa en el PCN.
  2. Definir el alcance. Con un alcance definido se sabrá en qué se debe enfocar el proyecto BIA. Se deberán definir los procesos de negocio que se desean incorporar en el PCN y así, saber qué funciones de la organización y áreas de soporte involucrar en el proyecto BIA. Un ejemplo de un alcance del proyecto BIA sería los procesos que forman parte de la cadena de valor empresarial y los procesos verticales que los soportan.
  3. Definir objetivos del proyecto BIA. Si se tienen objetivos definidos, se pueden compartir estos objetivos con los involucrados en el proyecto BIA para buscar en conjunto alcanzarlos, y de ese modo, se puede validar el resultado del proyecto, es decir, si el mismo fue eficiente y eficaz. Establecer objetivos SMART (Acrónimo en inglés de: S=specific, M=measurables, A=attainable, R=realistic, T= time), es lo más recomendable, de modo que sean específicos, medibles, alcanzables, realistas y definidos en el tiempo. Un ejemplo de un objetivo SMART sería “Realizar 5 talleres de entrevistas a 10 directivos con el fin de identificar los procesos críticos, en un lapso de 2 semanas.”
  4. Contar con un patrocinador que tenga convicción del beneficio del proyecto BIA. Este patrocinador será el apoyo directo en caso de tener alguna dificultad con algún recurso necesario para el BIA: podrá aprobar gastos, aprobar tiempo de los funcionarios para ser dedicado al BIA y será el enlace directo entre el responsable del éxito del BIA ante la alta gerencia. En mi experiencia, este patrocinador ocupa puestos de alto nivel organizacional, como lo es un subgerente o un director, y por lo general es el responsable del área que tiene a cargo la definición del programa de continuidad de negocio.
  5. Identificar a todos los funcionarios que deberán participar. Para poder planificar correctamente el BIA, con base en el alcance definido, es necesario conocer a todos los funcionarios que deben participar. De esta manera se podrá conocer con quiénes se deberán hacer entrevistas o si será necesario trasladarse a otros sitios para tener un acercamiento oportuno con los involucrados. Por lo general será necesario reunirse con los dueños de los procesos de negocio y soporte que forman parte del alcance (jefaturas) y con dos o tres personas por proceso que sean expertos en el mismo.
  6. Definir una metodología. Debe haber una metodología clara, concisa y basada en la realización de un trabajo analítico y sistemático. De este modo, se tendrá mayor credibilidad en los resultados. En mi experiencia, contar con proveedores de servicio expertos en la realización de BIA o bien con personal interno que haya aplicado previamente metodologías, facilita el proceso, ya que aporta valor y pericia.
  7. Definir criterios de criticidad. Cuando se hace el BIA, se debe hacer una clara distinción entre aquellas funciones que realmente son críticas y las funciones importantes. Usualmente todos los involucrados en el BIA suelen considerar que su función es tan importante que la catalogan como crítica en primera instancia. Por eso es esencial definir con la alta gerencia criterios que permitan tener una guía para evaluar la criticidad de las funciones de manera común y objetiva. Por ejemplo, un criterio de criticidad puede ser: aquellas funciones que se llevan a cabo directamente con servicio al cliente.
  8. Definir la información que se requiere solicitar. Para hacer un BIA de manera eficiente, se debe aprovechar el poco tiempo que se pueda obtener de los dueños de los procesos, por lo tanto es necesario utilizar cuestionarios o guías que precisen la información que se desea obtener. Para conocer previamente qué información se requiere, se deben establecer objetivos claros y organizar nuestro cuestionario para hacer preguntas específicas. Información como el detalle del proceso de negocio, el impacto de su interrupción en el tiempo, los registros de información que utiliza, sus interdependencias y los recursos claves que requieren, son datos básicos que deben ser obtenidos durante el BIA.
  9. Capacitar a los funcionarios que van a participar en entrevistas y concientizarlos de la importancia de la información que van a brindar y para qué se va a utilizar dicha información.  Antes de hacer las entrevistas del BIA, recomiendo hacer una sesión de capacitación sobre los conceptos básicos del BIA. En esta capacitación se debe involucrar a quienes participarán en el BIA y compartirles cuáles son los objetivos del proyecto BIA y cómo la información que provean será la base fundamental para todo el PCN. Concientizar a los involucrados en la importancia de la información que se requiere obtener en el BIA facilita los talleres y entrevistas, ya que los involucrados asumen la responsabilidad de la información que brindarán. En esta concientización se puede adelantar la información que se les estará requiriendo, a fin de que puedan investigarla previo a los talleres y entrevistas.
  10. Invitar a talleres y entrevistas con fechas definidas que permitan hacer compromisos de manera formal. Las entrevistas y talleres deben ser planificados, documentados y definidos con tiempo suficiente para que los dueños de los procesos puedan programar el tiempo solicitado. Debe establecerse un compromiso previo de asistencia y las citas se deben cumplir con puntualidad, con una agenda específica bien definida, controlando el avance de la sesión y asegurando el cumplimiento de los objetivos.
  11. Documentar el proceso y pedir al negocio se recaben firmas de la información que están brindando.  Se debe documentar todo el proceso del BIA, la información obtenida y los participantes. Esta documentación servirá como información base para las actualizaciones del BIA que se deberán realizar al menos una vez al año. Se recomienda también obtener las firmas de los participantes para dar mayor validez a la información brindada y esta pueda ser utilizada de manera formal en la formulación del PCN.

Ser AMIGOS del negocio

Por último, y lo más importante, los responsables de hacer el BIA, deben presentarse como “amigos” del negocio, escuchar y comprender las necesidades de los involucrados, explicarles cómo el PCN pretende facilitar la recuperación de sus procesos ante eventos de interrupción; buscar que los involucrados se comprometan con el proceso del BIA; y lo interioricen en sus procesos y áreas bajo responsabilidad de modo que se obtenga de parte de ellos información verídica, válida, actual y de valor para la organización.

 

Karol Cordero (CBCP, AL BS25999, PMP, CISM, CISA) se desempeña como supervisora en PwC Costa Rica, con especialidad en proyectos de consultoría de continuidad de negocio, gestión de riesgos, seguridad de la información y gobierno de TI. Es graduada en Ciencias de la Computación en la Universidad de Costa Rica y cuenta con una maestría en ingeniería en sistemas con mención en administración de proyectos. Es CBCP del Disaster Recovery Institute (DRI) International y es certificada como instructora del curso BCLS2000 del DRI International para DRI Costa Rica y la región. Cuenta además con certificaciones como CISM y CISA de ISACA y la PMP como administradora de proyectos del PMI. Coordinadora del seminario anual de continuidad de negocio de PwC Costa Rica, instructora de talleres de continuidad de negocio para PwC Costa Rica y con experiencia en la implementación de sistemas de gestión de continuidad de negocio con base en las mejores prácticas del DRII y la norma ISO 22301, BS25999, ISO 27031, BCI; en la industria financiera, sector gobierno y privado, entre otros.

BCM en un país bendecido por Dios

Alexandre Costa Guindani

En muchas organizaciones, la alta gerencia y los administradores son escépticos sobre la ocurrencia de un desastre o de interrupción seria para el negocio. En este artículo se comparten experiencias y tips para obtener el apoyo de la alta gerencia y hacer del tema de continuidad del negocio un tema de interés y compromiso en toda la organización.

 

La administración de la continuidad del negocio (BCM: Business Continuity Management) continúa siendo un tema nuevo para la gente de Brasil. Como lo decía Jorge Ben Jor, un famoso cantante Brasileño, vivimos en un país “bendecido por Dios”, en el cual, los desastres naturales, como los sismos y huracanes, raramente ocurren o inclusive no ocurren.

El no tener de este tipo de eventos ha hecho que la gente, administradores y las compañías consideren que nada malo sucederá, y les genera un sentido de inmunidad hacia los desastres u otras serias interrupciones. Esto ocasiona que las corporaciones brasileñas nieguen sus vulnerabilidades y asuman que no requieren de un programa efectivo de continuidad del negocio.

Algunas de las aseveraciones frecuentemente escuchadas por los responsables de BCM a nivel corporativo incluyen frases como “esto jamás ha sucedido” o “esto nunca nos sucederá a nosotros”. Entonces, ya que nada sucederá, un sistema de continuidad parece una pérdida de tiempo y de recursos.

Estos son algunos consejos para la implementación de BCM para aquellos quienes viven en “países bendecidos” o en países en donde no se cuenta con una cultura BCM:

Sea un misionero

Utilice toda oportunidad para divulgar la administración de la continuidad del negocio, o en caso de contar con ello, el programa corporativo de BCM. Muéstrele a todos, los beneficios que el sistema puede traer a la compañía, ya sean financieros, legales o relacionados con la reputación de la compañía o marca. Sea un maestro en el tema. Estudie, sea un profesional certificado. Fundaméntese en las mejores prácticas, haga buen uso de la oferta disponible de los institutos de BCM y del intercambio de conocimientos.

Comience con algo pequeño

No hay tal como una receta para la implementación de BCM. Lo que funciona para una compañía puede que no funcione para otra, aun y trabajen en la misma industria. La administración de la continuidad del negocio cuenta con un componente cultural complejo y su desarrollo debe ajustarse a los directivos, empleados y tradiciones de la misma corporación. Sin lugar a dudas, el mejor modelo BCM es el que está hecho a la medida, el que es desarrollado internamente por los empleados y sus propios recursos.

La implementación del BCM comienza como un proyecto, y como cualquier otro proyecto, las tareas deben ser entregadas de acuerdo a las fechas establecidas. La velocidad en el cumplimiento de estas tareas dependerá del soporte de la alta gerencia y de la disponibilidad de recursos.

El proyecto puede tomar un periodo largo para mostrar los resultados, ello dependiendo del tamaño de la compañía y del alcance definido. Posiblemente la mejor estrategia sería avanzar lentamente pero con paso firme, con pequeños componentes del proyecto. Esto mantendrá el proyecto vivo y en la mira de la alta gerencia. Comience pequeño, piense en grande y siempre evolucione.

Persuada y fascine

Hay dos cosas que pueden poner en riesgo el desarrollo de un programa de BCM: la falta de apoyo de la alta gerencia y la falta de compromiso de los empleados. Si queremos tener éxito necesitamos probar a la alta gerencia que la implementación de BCM es necesaria y que traerá ganancias reales a la organización.

El apoyo de la alta gerencia es fundamental para BCM. Es por ello que lograr el involucramiento del equipo gerencial es un factor crítico para el éxito. Asegúrese de que ellos conocen lo que es BCM y lo que representa para la compañía. Recuerde que no es posible desarrollar estrategias de continuidad sin inversión y la alta gerencia es quien firmará el cheque. No olvide que la mayoría de los empleados se interesaran en BCM si saben que la alta gerencia apoya esta idea.

Asegúrese de mantener a todos los empleados involucrados en cada fase de la implementación del programa de BCM. Nadie puede desarrollar buenos planes y mantenerlos actualizados si ellos no entienden completamente la razón por la cual lo están desarrollado. La mayoría de las personas considera que es molesto documentar sus actividades y describir sus procedimientos. Algunos inclusive estarán en contra de ello, porque temen que mediante la documentación de su trabajo ellos serán prescindibles. Tenga en mente estos potenciales errores.

Manténgalo simple 

La administración de la continuidad del negocio es un proceso complejo, inclusive para quienes lo dominan. Es necesario hacerlo simple y fácil para todos. Desarrolle modelos y manuales fáciles de entender. Recuerde que aquellos planes extensos y complejos serán inoperantes en situaciones críticas, cuando “menos” puede tener un significado de “más”.

Mantenga a TI cerca

La tecnología de información (TI) ha surgido como una actividad del negocio aparte, con un departamento propio en la mayoría de las compañías, y distanciándose de las actividades de negocio que soportan. Este problema hace más difícil la unión de BCM corporativo y la recuperación ante desastres. Este asunto es principalmente un tema cultural, en otras palabras, las personas somos el problema, no la tecnología. Todos deben conocer cuál es su función en el BCM corporativo y como pueden contribuir efectivamente para su éxito. El asegurase de que el área de TI y el negocio se comprenden mutuamente es parte del trabajo del administrador del BCM, apoyado por la alta gerencia.

Conclusión

Recuerde que los desastres raramente ocurren, pero que aun los pequeños incidentes pueden interrumpir las actividades y servicios de una organización por un periodo prolongado y estos son más frecuentes.

La continuidad del negocio debe ser entendida como una herramienta de gestión indispensable para mantener los servicios en funcionamiento. BCM debe ser conocida como una estrategia de la compañía, con sus directrices claramente definidas y ser del conocimiento de todos.

Realice una evaluación sólida de los riesgos actuales que suceden día a día, observando la cantidad e intensidad de los incidentes y de sus consecuencias. Esta información puede justificar la inversión requerida en un programa de BCM. Piense en ello.

Alexandre Costa Guindani, CBCP,  es responsable de continuidad de negocios en CAIXA, el banco público mas grande en Brasil.  Recientemente publicó un libro acerca de BCM en portugués y puede ser contactado en alexandre.guindani@caixa.gov.br.