Archivo de la etiqueta: apoyo

La concientización en la Continuidad del Negocio, en un país con baja tasa de Desastres

Reynaldo de la Fuente

A la hora de obtener el compromiso y liderazgo de la alta dirección de las organizaciones para con la gestión de la continuidad del negocio, es necesario que identifiquemos todos los requisitos legales, regulatorios y contractuales que apliquen, así como indicadores y métricas de incidentes y desastres que hayan afectado a las organizaciones en los últimos años.

¿Pero qué sucede cuanto estos indicadores son inexistentes  y los requisitos escuetos y poco exigentes?

A la hora de lograr la concientización de una organización, o una sociedad, el contar con elementos objetivos que permitan lograr la sensibilización de las personas es un elemento  indispensable.

Cuando por ejemplo se realizan campañas de sensibilización en materia de seguridad vial, el indicar cuantos accidentes ocurrieron en el año, y cuantos fueron fatales por no utilizar o cumplir con medidas de seguridad, es un elemento de reforzamiento importante que permite trasmitir un claro mensaje a la audiencia y a los líderes.

En países que están expuestos a desastres naturales frecuentes, la importancia de contar con planes de continuidad del negocio y especialmente planes de emergencia y evacuación es algo que la sociedad rápidamente puede comenzar a valorar y comprender.

No obstante, en un país u organización en la cual no se percibe como real la posibilidad de ocurrencia de un desastre, la realidad es claramente diferente.

¿Pero qué sucedería si esa percepción no es correcta?

Es importante que comencemos por reevaluar esos preconceptos y confirmar si estamos en el paraíso y no ocurre nada…o realmente lo que sucede es que no sabemos nada.

Debemos analizar si los datos conocidos de la realidad son completos, exactos y adecuados, o si en los hechos están ocurriendo diferentes tipos de eventos y desastres, pero no están siendo reportados ni difundidos.

En materia de seguridad vial durante muchos años los países no llevaban indicadores de accidentes, y para muchos podría tenerse una sensación de seguridad, cuando en los hechos un desastre importante estaba afectando a la sociedad de forma continua, sin que esto fuera percibido.

¿Cuantos incendios afectaron la operación de empresas en nuestro país en el último año? ¿Cuántas empresas sufrieron incidentes informáticos o de seguridad que afectaron sus operaciones en el último año? ¿Cuántas empresas fueron afectaras por inundaciones, vientos fuertes, u otro tipo de eventos climáticos en el último año?

Es natural que las empresas no vuelquen esta información de forma voluntaria, ni  hagan difusión de eventos que pudieron haber sido adecuadamente contenidos o no.

Es una responsabilidad de la sociedad en su conjunto, y de los gobiernos, que estos indicadores sean generados, adecuadamente alimentados y difundidos.

¿Es entonces simplemente un tema de reglamentar y exigir que se reporten y difundan los incidentes que afectaron la operativa de las organizaciones?

En muchos países de nuestra América Latina es usual que existan requisitos para las organizaciones de ciertos sectores, en especial el financiero, de contar con planes de continuidad del negocio. No obstante, no es usual que sea un requisito el que se reporten a una autoridad central los eventos e incidentes que afectaron su operativa, y mucho menos que estos indicadores se difundan.

A diferencia de los indicadores generados, los eventos puntuales no necesariamente deberían ser difundidos al Público con los datos de las organizaciones que se vieron afectadas, al margen de que evidentemente generarían una fuerte retroalimentación para los líderes de las organizaciones, sobre la importante de la gestión de la continuidad del negocio.

Antes entonces de convencernos de que en nuestra sociedad no hay grandes problemas que justifiquen la necesidad de  planes de continuidad del negocio, debemos confirmar si no estamos ante una ausencia importante de información, que difunda un mensaje incorrecto de la realidad.

Si luego de ajustar la  vara con la que medimos nuestra sociedad, confirmamos que estamos ante un escenario de baja tasa de desastres, podemos en ese momento continuar analizando otros elementos de la concientización.  Haremos esto en un próximo artículo.

La continuidad de mi negocio y de mis proveedores críticos

Héctor Opazo

Se ha puesto a pensar,  ¿qué pasaría si su proveedor de servicios tiene un desastre?, ¿cómo le afectaría a su negocio?, ¿están realmente nuestros proveedores preparados para soportar un desastre y seguir entregando un servicio aceptable?

 

Durante mis años de trabajo profesional, donde he revisado muchos contratos de diferente índole, con diversos proveedores de servicio, me he encontrado que el control habitual que pide mi cliente a su proveedor se basa principalmente en un acuerdo de nivel de servicio o SLA (Service Level Agreement) y multas asociadas al incumplimiento de estos SLAs. Más allá de lo señalado, lo que uno evidencia, después de una crisis, es que nunca estas consideraciones tendrán el efecto reparador completo para el negocio.

Todo esto nos lleva a pensar en cuan rigurosos debemos ser a la hora de contratar un servicio crítico y como la continuidad de negocio es un factor relevante en la selección del proveedor.

A raíz de esto surgen muchas otras preguntas, tales como: ¿nos involucramos en las pruebas y planes de continuidad de negocio de nuestros proveedores?, ¿están realmente nuestros proveedores preparados para soportar un desastre y seguir entregando un servicio aceptable?, ¿puedo asociar las multas al proveedor con el costo total de la crisis?

 

Estableciendo una metodología

En mi experiencia, si es posible responder estas y otras preguntas mediante el establecimiento de un proceso riguroso de licitación de proveedores, calificación y posterior adjudicación del servicio. Es posible evaluar el riesgo de mi proveedor en términos de continuidad de negocio mediante ciertos controles preventivos. Figura 1 ilustra los pasos necesarios que usted deberá tener en consideración.

La forma habitual de solicitar información a los proveedores en un proceso de licitación de algún servicio, es a través de una solicitud de propuesta RFP (Request For Proposal). La respuesta a este RFP nos servirá para obtener la información necesaria por parte de los diferentes oferentes, y así poder evaluar las fortalezas y debilidades de cada proveedor.

1. Solicitar los planes de continuidad de negocio del proveedor

Se deberá solicitar los planes de continuidad de negocio actualizados del proveedor. Usted deberá recibir la última versión del plan y verificar que tenga coherencia con lo que declara cuando responda su solicitud de propuesta (mediante un RFP). Recuerde ser explícito en el RFP que enviará a su proveedor, para solicitar información respecto a los planes de continuidad de negocio.

2. Evaluar la madurez del plan de continuidad de negocio del proveedor

De acuerdo a su juicio experto en continuidad de negocio, a sus propios planes de continuidad de negocio y a los que ha revisado a lo largo de su carrera profesional, evalué de manera cuantitativa el nivel de madurez del plan de su proveedor. Analice también los aspectos que desee resaltar en el plan, poniendo énfasis en las estrategias de recuperación que su proveedor declara tener implementadas. El tener su Tiempo Objetivo de Recuperación (RTO, recovery time objective) definido en su plan continuidad de negocio, le permitirá establecer una métrica de cumplimiento para su proveedor.

3. Solicitar al proveedor los resultados de sus pruebas de recuperación

Recopile la información que su proveedor le ha entregado respecto a las pruebas realizadas, las observaciones que ha recabado, las evidencias y todo lo referente al resultado de dichas pruebas de recuperación. A partir de lo anterior, formule un cuadro de evaluación con esta información, dando especial énfasis al RTO declarado en el plan de continuidad de negocio y los tiempos de recuperación observados. Considere además el tipo de prueba y los escenarios que su proveedor está probando.

4. Formular un modelo que permita evaluar al proveedor en términos de sus planes de continuidad de negocio y pruebas de recuperación

De acuerdo con los antecedentes recibidos y a las evaluaciones parciales realizadas, usted está en condiciones de proponer un esquema de evaluación. Le sugerimos diseñar una matriz de variables y ponderaciones que incluya los distintos aspectos de su evaluación, descritos anteriormente. Puede ponderar si el plan de continuidad de negocio está completo, su consistencia, las estrategias, el desarrollo del plan y otros elementos asociados, según la importancia que usted le otorga. También incorpore los distintos factores de las pruebas y resultados obtenidos. Lo importante es que usted tendrá elementos cuantitativos asociados a la existencia de planes de continuidad de negocio de su proveedor y a las pruebas que su proveedor realiza habitualmente.

5. Asociar la evaluación de su proveedor con una métrica

El resultado de la evaluación que usted realizó por concepto de continuidad del negocio debe generar un ponderador o métrica. Esta métrica es la calificación que usted asigna para determinar la capacidad de reacción y cumplimiento ante un desastre por parte de su proveedor crítico.

A modo de ejemplo, si su proveedor no tiene planes de continuidad de negocio o no realiza pruebas de recuperación, este tendrá una métrica lo suficientemente alta que le indica el grado de riesgo si usted le adjudica el servicio. Por el contrario, si tiene un plan de continuidad de negocio bien establecido, actualizado y con pruebas periódicas, el ponderador será bajo en términos de que su proveedor está desarrollando la continuidad del negocio como elemento garantizador del servicio que usted está contratando.

Esta métrica deberá considerarla en el cálculo del valor tradicional de las multas que usted (o el equipo que genera los contratos en su compañía) está acostumbrado a aplicar para servicios tercerizados (outsourcing).

Opazo f

6. Establecer el acuerdo y el formato de la multa en el contrato vigente

Una vez determinado el valor final de la multa a aplicar, incluya este valor en el contrato de servicios que su proveedor firmará. Su proveedor deberá estar en acuerdo respecto al procedimiento que usted ha aplicado y deberá entender a plenitud el valor del incremento de la multa, en caso de incumplimiento de servicio.

Con estos pasos usted estará evaluando el desarrollo de planes de continuidad de negocio por parte de su proveedor crítico.

 

Durante la prestación del servicio

Posterior a la selección de un proveedor y durante la relación comercial que mantendrá a través del tiempo, recomiendo de manera proactiva verificar en campo el cumplimiento de la oferta que usted recibió y que adjudicó, incluyendo el riesgo por continuidad de negocio. Además, usted podrá ajustar la evaluación que hace del proveedor.

Para cumplir con lo anterior, le sugerimos tener en cuenta las siguientes tres actividades:

A. Participe de las pruebas de los planes de recuperación de su proveedor

Solicite a su proveedor que usted sea parte de sus pruebas. Debe comunicar los beneficios que puede obtener él por la incorporación de usted como observador en sus pruebas. Su proveedor debe entender que para usted, él es estratégico y crítico, por tal motivo, es una buena práctica observar cómo se ejecutan sus pruebas y la trasparencia de estas.

B. Audite y evalúe los resultados de las pruebas de recuperación. Ajuste la métrica del proveedor

Con lo que usted pudo observar en las pruebas de recuperación de su proveedor, usted deberá de ser capaz de re evaluar estas consideraciones en su evaluación y estar listo para poder ajustar su métrica.

Ajuste su nueva métrica a partir de las observaciones y hallazgos evidenciados en el paso previo. Con esta información, usted podrá ir generando evaluaciones cuantitativas a tomar en consideración en futuros contratos, respecto de las multas reales y cómo se desarrolla la continuidad de negocio de su proveedor.

C. Realice una retroalimentación de manera permanente hacia su proveedor

A partir de toda esta información recopilada y ajustada, dé retroalimentación de este trabajo a su proveedor. Esto le permitirá confrontar sus evaluaciones con la realidad que su proveedor declara. Mantenga siempre informado a su proveedor de la forma cómo lo está evaluando respecto a sus planes de continuidad de negocio vigentes.

 

Beneficios mutuos y valor agregado

Todo este modelo desarrollado, le permitirá a usted y a su proveedor mejorar en varios aspectos. Primero, su foco estará centrado en que el servicio realmente se entregue por parte de su proveedor, independiente de las multas existentes. Segundo, incorporará el riesgo asociado a la existencia de planes de continuidad de negocio de su proveedor. Su proveedor sabrá ahora con certeza que usted está preocupado de su continuidad, la está cuantificando e incorporando en el contrato. Tercero, esta preocupación será de valor agregado no solo para usted en términos de tener proveedores preparados para enfrentar crisis o desastres, sino además, usted tendrá un proveedor que saldrá fortalecido de este contrato, generando valor agregado en su oferta.

Finalmente, usted debe tener siempre en consideración lo siguiente:  “La valoración de la pérdida real del negocio afectado es mucho más que el costo directo derivado de la pérdida. Involucra también otros conceptos, tales como: lucro cesante, costo de reputación, pérdida de clientes, por mencionar algunos. “

 

Héctor Miguel Opazo Santis, es ingeniero civil industrial en Chile, ingeniero en informática, con estudios de Magister Business Engineering, post títulos en evaluación de proyectos y gestión de sistemas de Información. Es certificado CBCP del DRI International. Con casi 20 años de experiencia en el mundo tecnológico a nivel de consultoría y desarrollo tecnológico aplicado. Ha sido consultor en Latinoamérica y Estados Unidos. Se ha desempeñado en cargos gerenciales en diferentes industrias, tales como: consultoría, banca, comercio entre otros. Se ha especializado en dirección de proyectos, negocios electrónicos, continuidad tecnológica y evaluación de proyectos de tecnología. Consultor asociado de Resilience Chile. Profesor titular de la cátedra de e-business en la universidad Andrés Bello donde evalúa proyectos de innovación tecnológica. Opazo puede ser contactado en hmopazo@resilchile.cl.

BCM en un país bendecido por Dios

Alexandre Costa Guindani

En muchas organizaciones, la alta gerencia y los administradores son escépticos sobre la ocurrencia de un desastre o de interrupción seria para el negocio. En este artículo se comparten experiencias y tips para obtener el apoyo de la alta gerencia y hacer del tema de continuidad del negocio un tema de interés y compromiso en toda la organización.

 

La administración de la continuidad del negocio (BCM: Business Continuity Management) continúa siendo un tema nuevo para la gente de Brasil. Como lo decía Jorge Ben Jor, un famoso cantante Brasileño, vivimos en un país “bendecido por Dios”, en el cual, los desastres naturales, como los sismos y huracanes, raramente ocurren o inclusive no ocurren.

El no tener de este tipo de eventos ha hecho que la gente, administradores y las compañías consideren que nada malo sucederá, y les genera un sentido de inmunidad hacia los desastres u otras serias interrupciones. Esto ocasiona que las corporaciones brasileñas nieguen sus vulnerabilidades y asuman que no requieren de un programa efectivo de continuidad del negocio.

Algunas de las aseveraciones frecuentemente escuchadas por los responsables de BCM a nivel corporativo incluyen frases como “esto jamás ha sucedido” o “esto nunca nos sucederá a nosotros”. Entonces, ya que nada sucederá, un sistema de continuidad parece una pérdida de tiempo y de recursos.

Estos son algunos consejos para la implementación de BCM para aquellos quienes viven en “países bendecidos” o en países en donde no se cuenta con una cultura BCM:

Sea un misionero

Utilice toda oportunidad para divulgar la administración de la continuidad del negocio, o en caso de contar con ello, el programa corporativo de BCM. Muéstrele a todos, los beneficios que el sistema puede traer a la compañía, ya sean financieros, legales o relacionados con la reputación de la compañía o marca. Sea un maestro en el tema. Estudie, sea un profesional certificado. Fundaméntese en las mejores prácticas, haga buen uso de la oferta disponible de los institutos de BCM y del intercambio de conocimientos.

Comience con algo pequeño

No hay tal como una receta para la implementación de BCM. Lo que funciona para una compañía puede que no funcione para otra, aun y trabajen en la misma industria. La administración de la continuidad del negocio cuenta con un componente cultural complejo y su desarrollo debe ajustarse a los directivos, empleados y tradiciones de la misma corporación. Sin lugar a dudas, el mejor modelo BCM es el que está hecho a la medida, el que es desarrollado internamente por los empleados y sus propios recursos.

La implementación del BCM comienza como un proyecto, y como cualquier otro proyecto, las tareas deben ser entregadas de acuerdo a las fechas establecidas. La velocidad en el cumplimiento de estas tareas dependerá del soporte de la alta gerencia y de la disponibilidad de recursos.

El proyecto puede tomar un periodo largo para mostrar los resultados, ello dependiendo del tamaño de la compañía y del alcance definido. Posiblemente la mejor estrategia sería avanzar lentamente pero con paso firme, con pequeños componentes del proyecto. Esto mantendrá el proyecto vivo y en la mira de la alta gerencia. Comience pequeño, piense en grande y siempre evolucione.

Persuada y fascine

Hay dos cosas que pueden poner en riesgo el desarrollo de un programa de BCM: la falta de apoyo de la alta gerencia y la falta de compromiso de los empleados. Si queremos tener éxito necesitamos probar a la alta gerencia que la implementación de BCM es necesaria y que traerá ganancias reales a la organización.

El apoyo de la alta gerencia es fundamental para BCM. Es por ello que lograr el involucramiento del equipo gerencial es un factor crítico para el éxito. Asegúrese de que ellos conocen lo que es BCM y lo que representa para la compañía. Recuerde que no es posible desarrollar estrategias de continuidad sin inversión y la alta gerencia es quien firmará el cheque. No olvide que la mayoría de los empleados se interesaran en BCM si saben que la alta gerencia apoya esta idea.

Asegúrese de mantener a todos los empleados involucrados en cada fase de la implementación del programa de BCM. Nadie puede desarrollar buenos planes y mantenerlos actualizados si ellos no entienden completamente la razón por la cual lo están desarrollado. La mayoría de las personas considera que es molesto documentar sus actividades y describir sus procedimientos. Algunos inclusive estarán en contra de ello, porque temen que mediante la documentación de su trabajo ellos serán prescindibles. Tenga en mente estos potenciales errores.

Manténgalo simple 

La administración de la continuidad del negocio es un proceso complejo, inclusive para quienes lo dominan. Es necesario hacerlo simple y fácil para todos. Desarrolle modelos y manuales fáciles de entender. Recuerde que aquellos planes extensos y complejos serán inoperantes en situaciones críticas, cuando “menos” puede tener un significado de “más”.

Mantenga a TI cerca

La tecnología de información (TI) ha surgido como una actividad del negocio aparte, con un departamento propio en la mayoría de las compañías, y distanciándose de las actividades de negocio que soportan. Este problema hace más difícil la unión de BCM corporativo y la recuperación ante desastres. Este asunto es principalmente un tema cultural, en otras palabras, las personas somos el problema, no la tecnología. Todos deben conocer cuál es su función en el BCM corporativo y como pueden contribuir efectivamente para su éxito. El asegurase de que el área de TI y el negocio se comprenden mutuamente es parte del trabajo del administrador del BCM, apoyado por la alta gerencia.

Conclusión

Recuerde que los desastres raramente ocurren, pero que aun los pequeños incidentes pueden interrumpir las actividades y servicios de una organización por un periodo prolongado y estos son más frecuentes.

La continuidad del negocio debe ser entendida como una herramienta de gestión indispensable para mantener los servicios en funcionamiento. BCM debe ser conocida como una estrategia de la compañía, con sus directrices claramente definidas y ser del conocimiento de todos.

Realice una evaluación sólida de los riesgos actuales que suceden día a día, observando la cantidad e intensidad de los incidentes y de sus consecuencias. Esta información puede justificar la inversión requerida en un programa de BCM. Piense en ello.

Alexandre Costa Guindani, CBCP,  es responsable de continuidad de negocios en CAIXA, el banco público mas grande en Brasil.  Recientemente publicó un libro acerca de BCM en portugués y puede ser contactado en alexandre.guindani@caixa.gov.br.