Archivo de la etiqueta: continuidad de negocio

Katty Córdova: Mi Experiencia como Profesional en Resiliencia

Katty Córdova CBCP Bolivia
Katty Córdova, CBCP, Bolivia

Katty Julia Córdova Manrique trabaja para ATC S.A. en Bolivia. Es profesional con sólida experiencia en el área de Producción de Sistemas, Seguridad de la Información y Continuidad del Negocio, manejo  de problemas e incidentes, operaciones de sistemas, control de calidad y dirección de proyectos orientados al trabajo por objetivos. Katty cuenta con capacidad de liderazgo en equipos multidisciplinarios,  planificación de tareas y organización efectiva del tiempo; habilidades esenciales para el trabajo en Resiliencia.

¿Cómo se involucró en la resiliencia y sus industrias relacionadas (continuidad de negocios, recuperación de desastres, gestión de emergencias, etc.)?

Me involucré por trabajo. Cuando inicié, trabajaba en una entidad financiera que pertenecía a una corporación, y como toda corporación debía seguir los lineamientos que tenía en los diferentes países en los cuales tenía presencia, es así que dicha entidad vio la necesidad de implementar un Plan de Recuperación de Desastres en la sucursal de Bolivia, así como lo había hecho en los demás países, es ahí donde yo me involucré dirigiendo el proyecto.

¿Cuál es su puesto de trabajo actual?

Soy Supervisora de Seguridad de la Información.

¿Cómo describiría su trabajo a alguien que no tiene familiaridad con la industria?

Le diría que mi trabajo consiste en hacer que el negocio de una empresa no se detenga, a pesar de presentarse incidencias o adversidades, debo tener definidos los lineamientos y mecanismos a ejecutar y preparar al personal para que los procesos críticos del negocio sigan disponibles.

¿Cuál considera que es la mejor ventaja de ser un profesional en resiliencia?

Que las buenas prácticas que se aplican y los conocimientos que vas adquiriendo, son aplicables a cualquier rubro.

¿Cuál es su mayor desafío como profesional de la resiliencia?

El concientizar al personal de apoyo. En el caso de los altos mandos es más fácil, porque conocen y son conscientes de la importancia de su negocio, pero en el caso del personal dependiente o de apoyo, cuesta hacer que se comprometan con los planes que se elaboran, sin embargo es un tema de cultura y madurez en el rubro que de a pocos irá mejorando, sobretodo en Bolivia donde el campo de la continuidad del negocio aún no ha sido muy explotado.

¿Cuál considera usted su mayor logro o hito como un profesional de la resiliencia?

Mi mayor hito fue el haberme certificado como CBCP por el DRI. Particularmente fue una satisfacción como persona y ello me abrió muchas puertas a nivel profesional.

¿Por qué considera que la resiliencia y sus industrias relacionadas son significativas?

De un tiempo a esta parte hemos sido testigos de diversos acontecimientos en el mundo, entre ellos: terremotos, inundaciones, atentados y una serie de amenazas que al haberse materializado han puesto en peligro la continuidad de algunas empresas, así como el trabajo de varias personas que por ende se ven afectadas. La resiliencia y sus industrias nos permiten tener definida una estrategia para mitigar el impacto de dichas amenazas materializadas y para poder seguir operando durante y después de la interrupción que se haya presentado.

¿Cuáles considera que son las cuestiones más importantes que enfrentan los profesionales de la resiliencia?

Uno de los mayores retos es el culturizar a las personas, quienes son parte fundamental al momento de ejecutar el plan que se haya elaborado.Otro de los retos es el optimizar el uso de los recursos económicos designados en la recuperación de los procesos críticos identificados.

¿Qué consejo tiene para aquellos que están empezando en este campo?

  • Que sean organizados en su trabajo y documenten todas las decisiones que se tomen cuando se estén preparando las estrategias.
  • El trato con equipos multidisciplinarios es constante, por lo tanto deben saber desenvolverse adecuadamente con las personas.
  • El análisis de riesgos y el BIA son de vital importancia, ya que ello respaldará su trabajo.
  • La resiliencia es algo de nunca acabar, siempre habrá aspectos que mejorar y nuevos riesgos que mitigar asociados a los procesos en estudio.

Thrive Iberoamérica! está publicando perfiles de profesionales certificados que quieran compartir su “Experiencia como un Profesional en Resiliencia”. Para participar, contáctenos al correo kcordero@drii.org

 

DRI INTERNACIONAL ALCANZA LOS 14,000 PROFESIONALES CERTIFICADOS EN TODO EL MUNDO

DRI Internacional, la organización global de certificación y educación en continuidad de negocio, se enorgullece en anunciar su último logro: ya cuenta con más de 14,000 profesionales certificados en continuidad de negocio y resiliencia alrededor del mundo.

“El número cada vez mayor de profesionales certificados refleja que las organizaciones están colocando a la continuidad del negocio y recuperación de desastres como una prioridad de cada vez mayor importancia”, indicó el Gerente General (CEO) y Presidente del DRI Al Berman. “Todos los días en las noticias, estamos viendo el impacto que un desastre puede tener en una empresa y en su fuerza de trabajo, ya sea que se trate de un desastre natural o una amenaza para la seguridad cibernética. Contar con profesionales dentro del personal que sean expertos y entrenados en resiliencia es crucial para cualquier organización para ser capaz de responder adecuadamente y permanecer activa en una crisis”.

Especialmente notables son los incrementos de las certificaciones avanzadas y especializadas. Desde el 2015, el número de certificaciones Master Business Continuity Professional (MBCP) ha aumentado en un 17%. Las credenciales de especialidad para los Certified Healthcare Provider Continuity Professionals (CHPCPs) se incrementó en casi un 13%, mientras que la certificación de riesgos Certified Risk Management Professionals (CRMPs) se incrementó en un 25%.

El DRI certifica tanto a los nuevos profesionales como a aquellos ya experimentados en resiliencia a través de certificaciones diseñadas para un número de campos, incluyendo la planificación de la continuidad del negocio, auditoría de continuidad de negocio, gestión de riesgos, el sector público, y el sector salud. Los cursos de certificación están disponibles en las aulas, en línea y en los locales de las empresas y organizaciones de todo el mundo.

Más allá de certificar personas, el DRI Internacional ahora ofrece acreditación para organizaciones con la designación Hub of Resilience and Resilient Enterprise, así como evaluación de resiliencia organizacional con el Resilient Enterprise Assessment Process. Establecidos para reconocer a las organizaciones que han demostrado un compromiso extraordinario para la preparación y resiliencia, estos son los “estándares de excelencia” oficiales del DRI para las organizaciones. NYU Langone Medical Center fue la primera organización en recibir este reconocimiento, el cual fue presentado en la pasada conferencia DRI2016 el 8 de Marzo, en Atlanta, GA.

Recientemente, la certificación del DRI CBCP fue clasificada como la máxima certificación recomendada para los profesionales de TI en la lista de Tom’s IT Pro’s “Top 5 de certificaciones en Continuidad de Negocio para el 2016“. Business Management Daily también destacó al DRI como uno de sus “3 recursos para ayudar en una crisis”, en parte debido al respeto que han logrado sus certificaciones.

Los profesionales que buscan maneras de continuar su educación profesional también pueden buscar los eventos y conferencias del DRI, incluyendo su conferencia internacional anual, (el próximo año DRI2017 se llevará a cabo en Las Vegas, del 26 de Febrero al 1ero de Marzo del 2017), también están sus eventos regionales de un día como el que tuvo lugar en Houston a raíz de las graves inundaciones, así como los próximos eventos en Queens, Nueva York, y St. Louis, MO, previstos para el otoño. Eventos internacionales previstos incluyen DRI KL2016, organizada por DRI Malasia en Kuala Lumpur los días 23 y 24 de agosto, además del DRI Day en Sao Paulo Brasil, que será el 2 y 3 de junio de 2016, organizado por Daryus.

Retos durante el desarrollo de Disaster Recovery Management

Este artículo se fundamenta en las actividades que he realizado a lo largo de mi experiencia profesional dedicada a gestionar el Proceso de Resiliencia, donde se incluyen proyectos de Continuidad de Negocio y proyectos de Recuperación de Desastres.

Existen teorías de lo que es Continuidad de Negocio y lo que es Recuperación de Desastres. Me he encontrado con algunas empresas de diversos sectores, en las que hay una confusión de lo que son esas teorías, entre un Proyecto de Continuidad de Negocio y lo que es un Proyecto de Recuperación de Desastres; no pretendo contradecir ningún concepto, sencillamente lo diferenciaré de acuerdo a la larga documentación que he generado y que pertenecen a mis Lecciones Aprendidas para actividades, para éste articulo en particular, como Disaster Recovery Manager.

Las experiencias aquí descritas, se mencionan pero no están limitadas, sencillamente comparto algunas que pueden coadyuvar a los lectores para sus propias actividades, y generar sus propias lecciones aprendidas.

Mis Lecciones Aprendidas – Actividades Post prueba de DRP

Una vez terminado el ejercicio de Recuperación de Desastres, con uno de nuestros clientes del sector de aseguradoras, se reportaba vía email el resultado de esta prueba al corporativo en New York y en México, donde personal ejecutivo por parte del Cliente y por parte de nosotros (en ése entonces, laboraba para IBM), con un reporte de resultados completo. La visibilidad del resultado era desde un alto nivel.

Las principales actividades que se realizaban durante esta etapa son las siguientes:

  1. Una vez terminado el ejercicio, debía de existir una notificación vía email, por parte del Cliente para realizar la desactivación del ambiente o en caso de aplicar, el Roll-Back a operación normal (como en el caso de Metlife Brasil).
  2. Una vez recibida la notificación del Cliente, el Disaster Recovery Manager proporcionaba la instrucción a las demás Líneas de Servicio Técnicas para realizar la actividad de desactivación de ambientes (me refiero a ambientes Unix, Wintel, o los que aplicasen de acuerdo a la infraestructura asociada), la cual debía estar acompañada, la evidencia del ambiente y el nombre del Ingeniero técnico que realizó la actividad.
  3. Toda ésta actividad coordinada, por medio del Disaster Recovery Manager debía completar el script de desactivación o Roll-Back según aplique (mismo que ya se había generado y que solo es completar los tiempos de desactivación y seguimiento del orden de actividades), hasta asegurar que todas las tareas estuvieran debidamente completadas y que no exista corrupción de ambientes entre Producción y el ambiente destinado para DRP (Disaster Recovery Program, por sus siglas en inglés).
  4. Ya terminado el evento, un punto fundamental que el Disaster Recovery Manager debía considerar para documentar las evidencias, era que si existió algún problema durante la ejecución y que se resolvió o quedó pendiente, en el reporte de resultados debe de estar muy bien documentado el problema y cómo se resolvió, además de lo que se hará para que no ocurra nuevamente. En caso de no resolverse, se abría un ticket con Mesa de Ayuda para que a su vez, por medio de gestión de Incidentes, se gestionara el seguimiento para la corrección completa del problema, se documente en las lecciones aprendidas, en el procedimiento de la Línea de Servicio que correspondiera en caso de aplicar y por supuesto, para que no volviese a ocurrir el mismo.
  5. La documentación de las Lecciones Aprendidas debe de ser parte fundamental para compartirlo con las Líneas de Servicio y que no volviera a ocurrir el problema, tener el antecedente documentado e identificado y en caso de volver a aparecer, solucionarlo.

Estos puntos mencionados, son algunas actividades que he incluido en éste artículo, los cuales ayudan a formar todo el reporte final de resultados que se entrega al cliente o en todo caso, al archivo de histórico de estas actividades que bien, sirven para futuras auditorías, como evidencia clara de que estamos ejercitando nuestro plan de Recuperación para Desastres.

Mis Lecciones Aprendidas – Actividades de documentación de Lecciones Aprendidas

Caso de otra empresa del mismo giro, de aseguradoras, en particular, la documentación de las lecciones aprendidas fueron divididas en dos secciones:

Temas que salieron bien:

  1. Recuperación los aplicativos dentro del RTO (Recovery Time Objective, por sus siglas en inglés) y RPO (Recovery Point Objective, por sus siglas en inglés) acordados
  2. Definir previamente alcances y matrices de prueba
  3. Involucrar activamente a los usuarios en la revisión de alcances
  4. Establecer al War Room como punto de contacto con los usuarios para canalizar dudas, hallazgos y seguimiento de la prueba
  5. Resolución adecuada de hallazgos menores

Temas que a considerar en el futuro:

  1. Se requiere depurar la lista de aplicaciones en el alcance del Plan de Recuperación en casos de Desastre debido a que:
    1. se identificaron aplicativos que ya están fuera de producción
    2. se identificaron aplicativos duplicados se identificaron aplicativos que están ubicados fuera de GNP Plaza
  2. Se requiere que los aplicativos dentro del alcance del plan inicial estén liberados a Producción; de otro modo no es posible recuperarlos.
  3. Los cambios de la fecha original de ejecución de la prueba de Recuperación para Desastres tuvieron impacto en la participación de los usuarios (cambios de usuarios de último momento, usuarios de vacaciones, etc.)
  4. Concentrar a los usuarios en un punto común para la ejecución de pruebas para mejorar la logística de ejecución
  5. Establecer un mecanismo de notificación al War Room para casos de cambios de participantes de último momento que permita realizar los ajustes requeridos al Grupo Coordinador
  6. Validar que los usuarios agregados por sus gerentes de último momento cuenten con los accesos adecuados a los sistemas alternos previo al inicio de pruebas
  7. Identificar a los usuarios participantes y hacer una validación
  8. Fijar una fecha límite para obtener retroalimentación de las matrices de prueba por parte de los usuarios
  9. GNP requiere reforzar la importancia del flujo de notificación (sólo el 47% de los usuarios se reportó a Service Desk)

Estas lecciones aprendidas, por supuesto que deben ser compartidas con los clientes internos y externos, según el caso, para que todos tengamos conciencia de lo que hacemos y que debemos mejorar.

Mis Lecciones Aprendidas – Consideraciones que no debemos pasar por alto

Como lo comenté anteriormente, el Disaster Recovery Manager deberá obtener las evidencias, issues encontrados y resueltos, issues encontrados y no resueltos, plan de acción de resolución de issues no resueltos, y todo ésto debe de incluirse en el reporte de resultados, el cual, adicional a evidenciar toda la actividad llevada a cabo, se debe de obtener las firmas de las personas que firmaron el plan de ejecución inicial: el Ejecutivo del Proyecto, el punto focal por parte del Cliente, y el Disaster Recovery Manager o Consultor que lideró la actividad.

Recordatorio importante: Si hubo issues abiertos, se da continuidad al Action Plan (Plan de acción) que se estableció en el reporte de resultados, abriendo el ticket correspondiente, en la mesa de ayuda,  hasta el cierre del mismo.

Parte fundamental para el Cliente, dependiendo de éste y del manejo del mismo, es documentar las conclusiones.

Mis Lecciones Aprendidas – Conclusiones en base a cada experiencia

El ejemplo siguiente, expongo algunos de los resultados obtenidos de la prueba del Plan de Recuperación en casos de Desastre (DRP) para uno de mis clientes, lo cual permitieron:

  1. Validar que el Proyecto de Recuperación para Desastres es funcional y está alineado a los objetivos de negocio de la empresa como parte de su programa de Administración de la Continuidad del Negocio.
  2. Validar la correcta funcionalidad de los aplicativos por parte de los usuarios dentro de los procesos de negocio
  3. Identificar aplicativos fuera del alcance y que son requeridos por los usuarios para mantener la operación del negocio

En mi caso, la especialización me ayuda a convertirme en un SME (Subject Matter Expert, Experto en el tema), lo cual indica que estoy especializado en el tema de Continuidad, pero que en mi perspectiva, nada está escrito, no hay verdad absoluta, en cualquier evento puede ocurrir lo inesperado, positivo o negativo. Lo único posible por hacer, es intentar mitigar la devastación del mismo.

Dado este comentario, con otros clientes he concluido lo siguiente – caso Servicio de Administración de Gobierno:

  1. Para la Estrategia de Recuperación y Respaldos, se utilizó la redefinición del Análisis de Impacto al Negocio definido por Modelo de Gobierno.
  2. Se utilizó como marco teórico el código de práctica del estándar británico BS 22301 y los criterios metodológicos que marca el DRII.org.
  3. Se hizo referencia a los servicios de administración y soporte a aplicaciones (Alcance del BIA para las 57 aplicaciones críticas del negocio).
  4. Se encontró que al momento, el Negocio no tiene un sitio de Recuperación definido – se tienen los sitios de Producción en Triara Querétaro y Triara Monterrey. Éstos a su vez, tienen ciertas limitantes si se desean utilizar como Centro de Datos alterno. Tomando en cuenta dos escenarios de recuperación:
    • Sitio Producción Monterrey no disponible, Producción direccionada a Querétaro.
    • Sitio Producción Querétaro no disponible, Producción direccionada a Monterrey.
      • Aplicativos que utilizan Procesamiento desde Monterrey y Querétaro, lo que haría complicada la recuperación si se realizara desde cualquier sitio mencionado.
      • Comunicaciones configuradas que actualmente no son capaces de realizar un Switcheo a una red de Recuperación que permita homologar las configuraciones IPs que actualmente los Aplicativos mantienen en su código interno (Hard Code) y dentro de las mismas Bases de datos (como usuarios y passwords de servicio)
      •  Enlace de Comunicaciones que es utilizado para únicamente comunicar los sitios de trabajo, pero no se cuenta con un enlace dedicado para los Servicios de Resiliencia.
      • Se requiere de espacio suficiente, así como las instalaciones eléctricas, de red, racks entre otros requerimientos físicos, para alojar la infraestructura requerida para recuperar los aplicativos críticos del negocio.
      • No se cuenta con infraestructura de respaldos y restauraciones homologadas en ambos sitios preparada para realizar este tipo de actividades de Resiliencia; además se debe implementar la estrategia de tal modo que se pueda realizar dicha actividad sea en Triara Monterrey o Triara Querétaro.
      • No se tiene un esquema de resguardo de cintas de respaldos de información crítica en un sitio alterno fuera de los centros de datos.
      • No se tiene un esquema de traslado de cintas de un sitio a otro con fines de recuperar datos en el sitio de producción diferente.
      • En caso de contar con Infraestructura en alguno de los sitios como Monterrey y Querétaro, se deberá considerar una administración distinta a la actual, con red distinta y deberá contar con el proceso de cambios implementado para hacer los ajustes que se requieran una vez aplicados en Producción y que estén alineados a la infraestructura que se utilizaría para Recuperación.
      •  No se cuenta con infraestructura dedicada, en línea para recuperarse, misma que deberá estar alineada al RTO establecido.
  5. No se cuenta con réplica de datos, por lo que la estrategia actual de respaldos se vería muy limitada para cumplir con los requerimientos que marca el negocio dentro de los tiempos de punto de recuperación (RPO´s) y el objetivo de recuperación (RTOs). Ello a su vez, comprometería la reputación de la empresa con la posibilidad de ocurrencia alta en los Impactos al Negocio que ya se mostraron en el BIA (Business Impact Analisys, por sus siglas en inglés).
  6. Se utilizó la información previamente validada del BIA, relacionada a los periodos de interrupción, prioridades de recuperación, usuarios responsables, impactos por la no disponibilidad; que son la base para el desarrollo de las mejores estrategias de recuperación; ésta información se deberá confirmar por parte del Negocio.
  7. El Negocio deberá contemplar los insumos requeridos mostrados dentro del Plan de Recuperación para Desastres, para que pueda contar con una recuperación real de servicios requerida por el Negocio. Deberá considerar:
    • Un sitio de Recuperación Alterno (Hot Site o Sitio Caliente)
    • Enlaces y comunicaciones configuradas para el Sitio e Infraestructura de Recuperación ante contingencias.
    • Réplica de Información crítica en modo síncrono que refleje cambios realizados desde el sitio de Producción, al Sitio de Recuperación; entre las que como SME identifico son en modo general:
      • Bases de datos críticas
      • Equipos o configuraciones virtuales
      •   File Systems o Repositorios que utilizan los aplicativos críticos para operar y funcionar correctamente (procesos temporales, localización de archivos de sistema, etc).
    • Infraestructura dedicada donde residan los Sistemas Operativos, Software, Configuraciones, así como accesos especiales como VPN, replica de LDAP y/o Directorio Activo.
    • Procesos de Cambios y Configuraciones que permita controlar por medio de proceso, los cambios que se realicen en Producción y afecten el Sitio e Infraestructura de Recuperación, para que ambos sitios se encuentren en perfecto mantenimiento. A su vez, monitoreo dedicado para la infraestructura de recuperación que complementará éste mantenimiento de tal forma que el sitio de recuperación esté listo para cuando el negocio lo requiera.
  8. Recomiendo tener el Sitio de Recuperación en Tiempo Real (Sitio Caliente), dado que el aplicativo a nivel Negocio y de acuerdo al BIA, demandan cumplir con los RTOs y RPOs definidos en ése análisis. Esta configuración permitirá al Negocio estar alineado con su estrategia de Continuidad, evitando las pérdidas que ya se evaluaron en el BIA, mismas que impactarán directamente al Negocio.
  9. Se debe considerar que no se puede diseñar un Plan de Recuperación en caso de Desastres, debido a los insumos que no se tienen y por ende, no pudiéramos documentarlo apropiadamente de modo que se lleguen a recuperar los requerimientos del Negocio establecidos en el BIA.
  10. Finalmente, se propone realizar un ejercicio de respaldos, el cual consistirá en tomar los tiempos reales que las bases de datos críticas identificadas en la Estrategia de Recuperación, así como los equipos con su información de aplicativo. Esta información será entregada al Negocio como evidencia del tiempo real que se toman a partir de los respaldos efectuados al momento y éstos sean comparados con los tiempos que el negocio requiere referenciados en el BIA.

Finalmente, confirmo que de estas experiencias vividas, es que nada está escrito. Cada profesional de Continuidad de Negocio generará sus propias experiencias, lo que hará más rico el contenido de lo que se vive en esta sorprendente carrera. Sin duda, siempre saldrán cosas nuevas que aprender, aunque el común denominador es, para las lecciones aprendidas, documentar todo ello y no dejar de revisarlas, puesto que algo nos servirá, para mitigar los riesgos de ejecución durante nuestras actividades de resiliencia.


Inline image 1Adrian Sanchez V holds the Informatics Degree with current Master of Managing e-Commerce in progress. Adrian is certified in the following specialties: ITIL, IT Specialist, ISO27001 LI and Business Continuity Professional, with more than 19 years of experience in the Information Technology industry. Adrian has worked for several Companies as Manager and Leader, such as Delivery Services, Assurance, Bank, Pharmaceutical and others sectors in the IT department and supporting complex projects.  Additionally, Adrian is working as Subject Matter Expert, building several solutions for customers, and Business Continuity and Disaster Recovery Consultant. Adrian’s goal is to keep all IT Services, using best practices, in a good shape of Work, Operations and Management, Providing and achieving all Business Targets and Objectives, aligned with the Mission and Company Values.


Image: “Risk down arrow” by Jagbirlehl – Own work. Licensed under CC BY-SA 3.0 via Wikimedia Commons -https://commons.wikimedia.org/wiki/File:Risk_down_arrow.png#/media/File:Risk_down_arrow.png

Marcos conceptuales de comercio electrónico (PARTE III)

Adrian Sanchez Viveros

Este serie de tres entradas analiza el libro El Cisne Negro: El Impacto De Lo Altamente Improbable  por Nassim Nicholas Taleb.

Capítulo 16 – La estética de lo aleatorio

El Cisne Negro lll Las apariencias engañan? El León no es como lo pintan? – frases trilladas, antiguas que bien, de algún modo el autor comenta que la constante es siempre la constante. No hay absolutos; esto lo puedo percibir a lo largo de éste capítulo donde hace mención el autor que al final, las personas que salen airosas son quienes tienen la capacidad de deducir las consecuencias y el grado de importancia de las ideas – el auténtico valor de las mismas son visibles para éstas personas.

Capítulo 17 – Los locos de Locke o las curvas de campana en los lugares equívocos

Se desea estar más o menos en lo correcto, que perfectamente equivocado. El autor comenta perfectamente lo que debe realizar con la teoría – ésta se debe considerar como un medicamento, donde a veces no es requerida o necesaria, o es necesaria y fundamental para lograr el alivio deseado o en el peor de los casos, pudiera hasta ser letal. Las teorías se utilizan con moderación, con precaución y supervisadas por un SME.

Capítulo 18 – La incertidumbre del farsante

Creo firmemente que el ser humano no tenemos la facultad de predecir, si bien, con previos conocimientos, nos damos una idea de las consecuencias, pero debe quedarnos, como seres humanos, muy claro y con los pies en la tierra que nadie puede evitar que el sol salga al día siguiente, no puedo hacer nada si hay vida extraterrestre y nada puedo hacer ante la posibilidad que un Alíen se adueñe de mi cerebro.

Capítulo 19 – Mitad y mitad o como ser ecuánime con el Cisne Negro

El Cisne Negro lll b En un análisis de riesgos que elaboré recientemente para una empresa, comentamos lo importante que era conocer en gran medida éstos mismos – por supuesto que como SME, puedo indicar en mi reporte la probabilidad de ocurrencia Vs la jerarquización de la amenaza de tal modo que, se pueda tener una visibilidad clara de lo que con mayor probabilidad pudiera ocurrir en el Centro de Datos u Centro de Operaciones del cliente. Indica el autor que le preocupan menos los riesgos anunciados y sensacionales, más los maliciosos y ocultos. Se le tiene mayor temor a la diabetes que al terrorismo, por poner o citar un ejemplo. Y creo estar de acuerdo; su terminología me hizo recordar el programa televisivo 1000 formas de morir – donde la introducción del mismo indica que es un milagro que estemos vivos ante la gran cantidad de amenazas probables de ocurrencia – el autor refiere que el tiempo de olvido del hecho de estar con vida es muy poco, dado que es algo de extraordinaria buena suerte, un suceso remoto, una ocurrencia del azar de proporciones monumentales. Preocupemos nuestro tiempo más en los dólares que en los centavos.

Conclusiones – Mi perspectiva.

El Cisne Negro lll cConsidero que, como todos los libros y autores, narran y describen de acuerdo a experiencias vividas, investigaciones, ensayos, entre otras cosas; no es mi postura criticar al autor y su libro, solo retomar los puntos en los que estoy de acuerdo con el tema. Me gusta el enfoque que da al momento de explicar cómo los seres humanos no estamos listos para lo inesperado. En todo sentido, tiene razón – el Cisne Negro, inesperado, que sucede de muy de vez en cuando y que de alguna forma, trae cosas positivas o negativas, sin dejar de ser trascendente, es lo que al ser humano lo tiene poco o nulamente preparado para reaccionar – me queda muy claro con la explicación del autor, donde expone prácticamente lo sucedido de hace 13 años en las torres gemelas. Nadie estaba preparado para lo inesperado, inusual, desequilibrante para la cotidiana vida humana.

Basta recordar mis días en Sun Microsystems, donde en el área de Incident Management, nos percatamos de muchos eventos inesperados al momento de ocurrir la caída del sistema más importante para Radiomovil Dipsa – el modelo 15 K de prepago – y para variar, el Clúster no respondió como debía. El diagnóstico del Ingeniero de Servicio 15 discos dañados y por tanto, levantar el requerimiento inmediato de entrega en el tiempo más corto posible por lo delicado del tema, Radiomovil no podía facturar en su sistema de prepago. Mientras los discos eran solicitados, se intentaba ganar tiempo con el almacén en sitio, para ir reemplazando los discos dañados – mientras que el Ingeniero especialista en HW, ya estaba en camino. Se estimaba que en 45 minutos, tanto la cantidad de discos estuviera en sitio como el Ing. especialista también y así sucedió, tal y como se tenía previsto – al reemplazar todos los discos en una ventana de tiempo otorgada por el tiempo por la criticidad, en horas pico, se estimaba que el problema quedaría resuelto en 2 horas, en lo que los discos eran cambiados y hacían la sincronización completa. Por otro lado, los especialistas en el clúster, que no funcionó, también estaban ya trabajando en línea con soporte de 3er nivel para solucionar el tema. Todo iba de acuerdo al plan de acción trazado en unos minutos, que por experiencias previas, se sabía que se tenía que hacer – pero no se contaba con lo inesperado – 5 discos llegaron DOA (Death of arraving); esto significó que el problema, tardaría más de dos horas en solucionarse. Los 5 discos dañados de fábrica se tuvieron que pedir inclusive prestados de otros clientes, a tal grado que el problema fuera mitigado lo antes posible – la penalización que Dipsa preparaba para Sun, estaba siendo cocinada. Recuerdo en ese evento que si bien, el equipo fue restaurado, el clúster se reparó y de alguna manera, tras negociaciones ríspidas con el Cliente, se dejó claro que siempre la ocurrencia de eventos inesperados suceden y causan un impacto severo tanto en tiempo, dinero y esfuerzo. El diagnóstico Post-mortem que se elaboró debería incluir un plan de mitigación de lo que no funcionó para que ello no volviera a ocurrir. En el sistema que utilizamos para el registro de Incidentes, se quedó guardado en la Base de Datos para tener como referencia el problema y como se solucionó para posibles futuros eventos con otros Clientes. Sun tuvo que pagar una penalización por ello y a su vez, planear el tener un stock con la cantidad de discos similar a las que estaban en los equipos productivos. Así como también, realizar ejercicios programados en periodos más cortos, de simulación de caída de la 15 K, para revisar que el clúster funcionara adecuadamente.

El Cisne Negro lll d .jpgEl autor también hace referencia de las ocurrencias de éxito de Google y de YouTube como Cisnes Negros, así como la caída de la bolsa en los 80s, que si bien, en algunos casos fue negativo el efecto o en otros casos, fue positivo. Recuero también, cuando estuve en los últimos días de Sun, al leer esos párrafos que comentó el autor, cuando sucedió algo parecido en IBM al principio de los 90s, la especulación de mucha gente al ver como despedían personal, uno tras otro. Especialistas, Gerentes, Operadores, de cualquier nivel y rango organizacional, salían de Sun mientras se rumoraba la posible de compra de la compañía por la oferta lanzada por IBM. Los altos ejecutivos de Sun, hicieron una campaña de mitigación del miedo a ser despedido internamente en la compañía, se hicieron eventos de días completos, comida a más no poder, y en cada uno de ellos, la misma frase repetida en correos – no escuchar ni hacer caso de rumores, Sun se reinventará y no se venderá. La reestructura que está viviendo Sun permitirá seguir adelante imbatible – Oh tristeza – lo que en un momento dado decía que no sucedería; un domingo por la mañana, se recibe el email más desconcertante que he leído – Jonathan Schwartz da el anuncio de la venta de Sun a Oracle. Oh My God! Todo se esperaba, menos que Oracle, una empresa dedicada a vender SW, para BD y ERPs, entre al negocio de HW donde no se tiene la vasta experiencia del mercado como un HP o un IBM; en fin, nadie estaba preparado para la noticia después de que nos hicieron entender que Sun no se vendería, al menos hasta el viernes anterior del email enviado por el Ejecutivo.

En el transcurso de ese evento, recuerdo haber leído muchas noticias en Internet acerca de esos rumores, que si IBM, que si HP, en fin. Una serie de expertos en la materia, que como indica el autor, solo hacen referencia a lo ya sabido y sin esperarlo, la empresa fue adquirida por un especialista en SW.

Un punto del cual, me gustó como el autor lo expone, es el caso de aquellos alumnos que siempre tienen impecable su boleta de calificaciones – llena de 10, y en uno u otro caso, manchada por un 9. Lo peor aún, alumnos que en su momento, se jactaron de tener maravillosas calificaciones, al momento de entrar al mercado laboral, se dieron cuenta que no bastaba con la sola muestra de tener dieces inmaculados, les faltaba experiencia. Por tanto, compañeros que conocí como eruditos escolares, me los llegue a encontrar 2 o 3 años posteriores, dedicados completamente al Marketing telefónico, o como administrativo en una oficina de abogados, o como capturistas en una firma de Contadores Públicos; no me explique en cierto tiempo, como eso pudo ocurrir, al paso de los años comprendí que la combinación de elementos, entre una excelente posición académica, y una experiencia profesional casi simultánea al egresar de la universidad, serían de gran utilidad para no entrar en un campo competido, con grandes desventajas; mis excompañeros se parecieron al ejemplo del Pavo, mientras duraron en la escuela, cómodamente, engordando su ego con la boleta en 10, y que al llegar el momento, un rotundo “No te acepto por que no tienes la experiencia”, fue la guillotina que con el tiempo, redujo ese antiguo ego a saber que en el mundo empresarial, no es suficiente para lo real, para vivir las propias experiencias y resolver con toma de decisiones, las situaciones que se vayan presentando.

Ahora que el autor hizo referencia clara de que la experiencia, no es un sentido malo el tenerla, sino más bien, el problema de ello es basar la experiencia solo en lo que se vive, que es de gran utilidad, pero que debemos entender que el conocer y estar conscientes que estamos limitados al poco conocimiento que tenemos de lo impredecible, de lo inesperado, del Cisne Negro – de dejarnos llevar por intentar predecir el futuro por medio de lo que ya conocemos, descuidando el punto de lo que no conocemos y que, mientras menos suceda, más probabilidad es que cuando ello ocurra, será de grandes dimensiones, para bien o para mal.

El Cisne Negro lll eHoy en día, me ha tocado estar trabajando con especialistas en distintas ramas de la Tecnología, de hecho, en muchos casos, para el Plan de Recuperación de Desastres, se integran a distintos expertos en distintas tecnologías y participan en el programa elaborado para recuperar un ambiente tecnológico. En el 2010, recuerdo muy bien que hicimos una prueba de Continuidad de Negocio en conjunto con la Recuperación de Desastres, para uno de los clientes del sector de seguros. Previo a toda la prueba, se hicieron muchos preparativos – Gente que participaría, Logística de localidades, interconexión de sitios alternos al ambiente de Recuperación, script detallado de que harían los especialistas y en qué momento. Todo mi equipo especialista técnico para recuperar el ambiente, estaba preparado, las réplicas sincronizadas, los sitios alternos listos para interconectarse para el ambiente – iniciamos las actividades un Lunes a partir de las 21 horas, de acuerdo con los tiempos establecidos por el negocio (RTO|RPO) y que eran nuestro KPI, para demostrar que estábamos listos. Todo ocurrió de acuerdo al plan, y los usuarios iban Probando, de acuerdo a su script de Negocio, los sistemas recuperados. Todos, participando, los especialistas preparados en el War-room para recibir cualquier posible incidente que pudiera interrumpir el trabajo de la prueba – sin embargo, el miércoles a las 12 horas, después de ir trabajando con la recuperación, sin problemas, hubo un área de negocio que no podía continuar su operación por un horrible error de sistema – Licencia de aplicativo vencida –

Empezamos todos a poner un alto foco a esa resolución sin poder determinar que estaba ocurriendo, hasta el grado de hablar con especialistas de 3er nivel en USA, para determinar la causa, posiblemente por un problema de licencia de producto de los sistemas AS400. Finalmente el tiempo de prueba se agotó, los especialistas no encontraron la falla, un área de negocio no pudo completar su script de recuperación y por ende, de continuidad de negocio, lo que puso en riesgo alto, la calificación final que el usuario estipula para la prueba. Ese día, “panzamos” la prueba pero teníamos que identificar que sucedió, puesto que el cliente se encontraba molesto.

Primero, mi labor fue conseguir un especialista de 2º nivel, experto en AS400 para revisar el script de recuperación que el especialista actual estaba utilizando. En segundo término, tomamos el script, solicité el respaldo que se restaura en cada actividad de ése tipo y realizamos el mismo ejercicio con el especialista de 2 nivel, sin considerar a los Ingenieros expertos que participaron en la restauración del sistema – al siguiente día de recuperación del ambiente, el veredicto del Ingeniero que ejecuto el script fue – Adrián, el script es correcto, he seguido al pie de la letra las instrucciones y funciona adecuadamente – el problema que asumo, es que al final del script, el sistema de tener un IPL, lo que significa, que el sistema entra en un periodo de gracia de 70 días de uso del sistema operativo con licencia temporal – ese era el problema. Volvimos a ejecutar el script, por segunda ocasión y efectivamente, el respaldo no era el problema, la información estaba integra, los equipos perfectamente operando – el problema más bien, fue de ejecución – el Ingeniero en turno, no ejecutó correctamente las instrucciones del manual, omitiendo el paso final de dar IPL a los equipos y por ello, lo que ocurrió fue que el error de Licenciamiento apareció porque no estaba activa la licencia temporal. Adicionalmente, durante el proceso de encontrar que ocurrió, buscando en registros anteriores, me di cuenta que no fue un problema anterior y por ello, no estuvo registrado en las bitácoras de Lecciones aprendidas de los casos anteriores; fue algo inesperado, no contábamos con la omisión del Ingeniero, que provocó que la prueba de esa área de Negocio, comprometiera el resultado final del ejercicio. Se tuvo que repetir la prueba en 15 días posteriores, lo que provocó un desgaste fuerte en los Ingenieros participantes y que, finalmente, conseguí que el especialista de 2º nivel del AS400, pudiera restaurar para de algún modo “asegurar” que ahora, no nos ocurriera de nuevo – y que, previo a cualquier actividad, como tarea adicional, a los especialistas de AS400, tuvieron que realizar cada dos meses, la actividad de restauración y reportarme los resultados. Cosa que durante los 4 años posteriores de ejecución, ese error, estaba de alguna manera, superado y mitigado por las acciones previas tomadas. Sin embargo y como dice el autor, aun así, por muy tranquila que se pueda observar la situación, situación como la del Pavo, no podemos estar seguros de que nada ocurrirá en otro evento. ¿Tanto así, que un ejercicio de continuidad, de verdad, ocurrió un temblor que detuvo la actividad, por 2 horas – como mitigamos ello? Realmente no lo sabría hasta que ocurra.

Finalmente, mi ocupación actual, es seguir asesorando a empresas, acompañándoles en sus actividades de Resiliencia, llevando a cabo las pruebas que sean necesarias, pero me queda claro que, en una actividad real, las comunicaciones, las familias y seres queridos, el tiempo y otros factores, pueden ser situaciones que no tomemos en cuenta en un contrato, ni en las bitácoras de lecciones aprendidas y que al ocurrir, ello no esté cubierto y la alta decepción por parte del cliente al saber que no estuvo listo su plan de recuperación por eventos que no se tenían contemplados, ocurrirá de cierta forma. Pero que de algún modo, también es mi responsabilidad hacer comprender al Cliente que eso no lo sabremos, hasta que ocurra el Cisne Negro.

 

El Cisne Negro lll fAdrian Sanchez V holds the Informatics Degree with current Master of Managing e-Commerce in progress. Adrian is certified in the following specialties: ITIL, IT Specialist, ISO27001 LI and Business Continuity Professional, with more than 19 years of experience in the Information Technology industry. Adrian has worked for several Companies as Manager and Leader, such as Delivery Services, Assurance, Bank, Pharmaceutical and others sectors in the IT department and supporting complex projects.  Additionally, Adrian is working as Subject Matter Expert, building several solutions for customers, and Business Continuity and Disaster Recovery Consultant. Adrian’s goal is to keep all IT Services, using best practices, in a good shape of Work, Operations and Management, Providing and achieving all Business Targets and Objectives, aligned with the Mission and Company Values.

 

Marcos conceptuales de comercio electrónico (PARTE II)

Adrian Sanchez Viveros

Marcos conceptuales de comercio electrónico (PARTE I)

Este serie de tres entradas analiza el libro El Cisne Negro: El Impacto De Lo Altamente Improbable por Nassim Nicholas Taleb.

Capítulo 6 – La falacia narrativa

c1Creo que el autor, como comenta explícitamente, las narraciones pueden ser nocivas y sin un contexto claro, real de la situaciones que se están viviendo, pudiendo provocar en todo sentido, situaciones altamente nocivas que perjudican al ser humano. El problema de la casualidad exagerada no está en el periodista si no en el público.[i] Se preocupan los seres humanos más en los eventos menos susceptibles a ocurrir que por tanto, las narrativas de los periodistas falsos, mal intencionados, utilizan el juego de palabras para esconder o intentar describir el evento.

Capítulo 7 – Vivir en la antecámara de la esperanza

Parte de lo escrito para éste autor, me deja un agradable sabor de boca en algo que estoy completamente de acuerdo – para tener una vida feliz, plena, placentera, se deben extender los pequeños afectos a lo largo del tiempo de la forma más uniforme posible… mejor que una excelente noticia aislada y en medio de un periodo extenso de tiempo. Considerando también, lo contrario, lo perjudicial que es estar recibiendo en pequeñas cantidades, de forma constante, malos efectos a lo largo del tiempo.

El autor considera que se ha presentado el Cisne Negro como una rareza, el suceso importante que no se espera que ocurra. Pero pensemos lo contrario: el suceso inesperado que deseamos desesperadamente que ocurra.[ii]

Capítulo 8 – La suerte a toda prueba de Giacomo

Un punto que me llamó la atención del a reflexión del autor, es que todo lo que ocurre es mera suerte. Explica que la diferencia entre billonarios exitosos y fracasados, aplicando ambos los mismos principios, disciplinas, es la suerte. Por tanto, como seres humanos, desatendemos los riesgos que pudieran existir a nuestro alrededor, de tal manera que existe el fenómeno de riesgo no informado, donde el ser humano, sin pensar lo toma – ello puede provocar la extinción de la especie, como ha indicado la historia. [iii] Esto es, el fruto de la ceguera y la ignorancia ante la probabilidad.

Capítulo 9 – La falacia lúdica o la incertidumbre del estudioso obsesivo

c2Aquí es donde en éste capítulo parte de la explicación que da el autor, refiere a que los estudiosos en la escuela, como me tocó observar, donde existe una relación entre los conocimientos escolares y los sucesos cotidianos, se entromete y oscurece la claridad en la comprensión de lo que está ocurriendo en la vida real. El consejo que el autor determina es que al momento de enfrentarse con incertidumbre, lo mejor es estar con los pies en la tierra, centrados

Capítulo 10 – El escándalo de la predicción

En el desarrollo de éste capítulo, un punto clave que para mí es crucial en la explicación del mismo es que las personas son evaluadas entre lo que realmente saben y lo que creen saber. Es decir, que debemos evitar el predecir, ya que en mucho, pero en mucho, ocupamos nuestro tiempo en predecir lo que ocurrirá con algo, de acuerdo a experiencias vividas, o puntos que de alguna manera, existe un experto que las explique – o peor aún, creemos que sabemos del tema, pero la realidad es que ni en lo más mínimo, llegamos a conocer lo que se esté debatiendo. Por tanto, cosas que en realidad tienen movilidad de ocurrencia, no tienen expertos, a diferencia de cosas que la movilidad es nula, existen expertos que explican las causas y consecuencias, pero que en todo momento, omiten la gran probabilidad de ocurrencia. El autor comenta que no se puede planificar de verdad porque no entendemos el futuro – se pude planificar si se tuviera en cuenta estas limitaciones, solo se requieren agallas. Lo cual y de acuerdo con las actividades que hacemos, efectivamente si bien hay un plan por método, es impredecible saber lo que ocurrirá… al menos, ya estoy preparado con los previos o antecedentes para lo que más ocurrencia pueda suceder y lo que esté en mis mano, lo pueda resolver.

Capítulo 11 – Como buscar caca de pájaro

Para el ser humano, no hay mejor alternativa, como lo explica el autor, es investigar, investigar e investigar – si bien, existe la costumbre humana de referir algún tema que nos acecha, con el experto en la materia – si estoy enfermo voy con el Medico que está experimentado y versado en las enfermedades, éste mismo Medico, realiza consultas de problemáticas del motor de su auto al mecánico; finalmente el mecánico consulta al Medico por algún achaque encontrado. El ser humano se vuelve previsor – de todo lo conocido, se refiere a ello para basar el posible experto que hay en cada uno de nosotros. En mi caso, la especialización me ayuda a convertirme en un SME (Subject Matter Expert), lo cual indica que estoy especializado en el tema de Continuidad, pero que en mi perspectiva, nada está escrito, no hay verdad absoluta, en cualquier evento puede ocurrir un Cisne Negro, positivo o negativo. Lo único posible por hacer, es intentar mitigar la devastación del mismo.

Capítulo 12 – La epistemocracia, un sueño

De acuerdo y en relación al capítulo anterior, en gran medida, la capacidad de las personas es aprender del pasado y para muchos, inclusive fanfarrones, los hace creer en soluciones definitivas. Sin embargo, habrá la sensación de que la solución o información para resolver a partir de la experiencia, le hace falta algo y ello debido a que son distintas situaciones, experiencias, variantes que lo hace inesperado.

Capítulo 13 – Apeles el pintor, o que hacemos si no podemos predecir

c3Tal y como lo describe el autor: Si se lanza la idea de la predictibilidad completa, hay muchas cosas que hacer, siempre y cuando estemos consientes de las limitaciones que tenemos. Saber que no podemos predecir, no quiere decir que no utilicemos provechosamente de la impredecibilidad.[iv]

Capítulo 14 – De Mediocristán a Extremistán, ida y vuelta

Todo es relativo, nada absoluto – según mi entender al autor, considero que siempre habrá poca justicia – en el mundo siempre hay cosas mejores que otras, pero no todas triunfan – el autor expone el ejemplo entre el SO de Microsoft, y el de Apple, que si bien, el del segundo es mejor, el éxito del mediocre SO del primero, es más exitoso. Ahora bien, en todos los ejemplos citados, el ganador es el ganador. Del otro lado de la moneda, el perdedor siempre será el perdedor. Pero el ganador, puede perder en cualquier momento al llegar un nuevo ganador. Nadie se salva – me queda muy claro que, a lo largo de los años, observé como de la noche a la mañana, empresas exitosas fueron desbancadas y eliminadas del mapa, por éste principio que el autor utiliza.

Hoy por hoy entonces, si bien el autor reflexiona que existen hoy en día más y mejores herramientas que nos permiten estar, de algún modo si se puede decir, preparados ante lo inusual, no estamos ajenos a la ocurrencia de éste; entre más raro sea la situación. Menores conocimientos tenemos de la situación; por ende, tenemos menor conocimiento de la crisis que ocurrirá.

Capítulo 15 – La curva de campana, el gran fraude que hay

Dentro de éste capítulo, mi enseñanza más sobresaliente, independientemente de la cantidad de ejercicios que utiliza el autor para ejemplificar como las grandes desviaciones son computadas en la campana de Gauss, me llevo la siguiente expresión del autor que muy acertadamente comentó: Aunque las grandes desviaciones impredecibles son raras, no se puede ignorar como rarezas porque, acumulativamente su impacto es grande.[v]

Continuará . . .

 

[i] Referencia encontrada en la página 130

[ii] Referencia del párrafo 153

[iii] Referencia encontrada en la página 188

[iv] Referencia de la página 285

[v] Referencia encontrada en la P.325

Desarrollando Resiliencia Organizacional

Héctor Miguel Opazo Santis

Caminando recientemente por las calles de Bogotá  junto a Pao, comentaba acerca de las últimas experiencias a nivel gubernamental y privado en las que he estado desarrollando trabajos, tanto aplicativos como de investigación en torno a la Continuidad Operacional bajo situaciones de  crisis y emergencias. En tal sentido, aquellas organizaciones que han venido desarrollando un marco de trabajo adaptativo respecto a las situaciones antes mencionadas, son las que a partir del aprendizaje han obtenido mejores resultados en el tiempo.

Quizás el primer punto de acercamiento a dicho estado es entender bien el fenómeno de la Resiliencia Organizacional y como la mirada de la Continuidad de Negocio aporta en términos superlativos a desarrollar este concepto. Pero un paso antes que esto, es entender bien lo que significa Resiliencia. Se puede entender la Resiliencia como la  condición humana de asumir con determinación situaciones límite y superarlas positivamente, dicho de otra manera, es la capacidad que tienen los seres humanos de poder levantarse a partir de las derrotas o caídas que se tengan en la vida.

Picture 6En tal sentido, las Organizaciones también adoptan formas similares a las personas para enfrentar sus crisis y emergencias, también pasan por períodos de situaciones límites o desastres, cambios y condiciones de estrés que muchas veces colocan a las organizaciones al borde del abismo. La superación de esa condición tiene que ver con la Resiliencia Organizacional. Dicha condición apuntará a aquellas organizaciones capaces de enfrentar este tipo de eventos para reponerse de manera eficiente a situaciones abruptas e inoportunas.

Adicionalmente,  se puede entender la Resiliencia Organizacional como la habilidad organizacional para actuar de manera decisiva y efectiva en respuesta a condiciones disruptivas de incertidumbre, que ponen en peligro la supervivencia de la empresa a largo plazo.

La pregunta que surge de manera frecuente es si todas las organizaciones actúan de igual manera frente a los eventos de crisis o desastres. La respuesta claramente es no, existen cientos de ejemplos ilustrativos de esta aseveración a través del tiempo, y esta conclusión es la que aporta una diferencia significativa respecto a las oportunidades que surgen al enfrentar eventos inesperados.

Las organizaciones saludables no sólo sobreviven a las crisis, o logran adaptarse a ellas, sino que salen fortalecidas, convirtiéndose en organizaciones capaces de sobreponerse a desastres y más aún, aprender de ellos y de cómo estar preparados. Esto en el tiempo constituirá un camino diferenciador que podrá ser transferido a todas las “partes involucradas” de la organización, entre estos: Clientes, Proveedores, Comunidad, Directivos y otros, a través de la confianza, credibilidad y aceptación.

Se puede hablar  de Organizaciones Resilientes, de aquellas que están preocupadas de manera relevante en el establecimiento de  los factores de riesgo y protección, añadiendo que muchos factores pueden convertirse en una causa de protección o bien en una vulnerabilidad que se puede transformar en un riesgo. Esta característica constituye la base del análisis de riesgo y la importancia que puede situar a esta práctica como vital en el desarrollo de la Resiliencia Organizacional.

Sin duda alguna que los cambios organizacionales dados por la movilidad de los mercados, eventos inesperados e incluso por el crecimiento vegetativo que tienen las organizaciones buscando eficiencia y formas de competitividad son un flanco de preocupación para las mismas. Más aún, los cambios inesperados como situaciones exógenas que golpean con una baja frecuencia pero con alto impacto (característica típica de los desastres), son aquellos cambios que han hecho que las organizaciones en algunos casos desaparezcan y en otros hayan generado una pérdida irreparable. Estos cambios con características de desastre son los que las organizaciones deben ver, hacerse cargo y estar atentas.

Detrás de la búsqueda de la Resiliencia Organizacional está la capacidad de las Organizaciones de trabajar en la búsqueda de un marco de trabajo responsable, con recursos comprometidos que puedan salvo guardar los intereses de manera preventiva, o bien mitigando los impactos cuando las crisis y emergencias hayan sido declaradas.

Varios de los conceptos vertidos en esta crónica representan el corazón de los Sistemas de Gestión de Continuidad de Negocios. La gestión de riesgos se hace cargo de manera preventiva de establecer los controles necesarios a fin de poder anticiparse en muchos casos a los desastres, mitigando mediante la reducción del riesgo aquellas vulnerabilidades expuestas. Lo anterior es pilar fundamental para desencadenar la Resiliencia Organizacional.

LuvianoEstar preparados mediante estrategias que puedan hacer frente a condiciones inesperadas de alto impacto, apunta precisamente a lo que pregona la Resiliencia Organizacional, el hecho de conocer que hacer y cómo hacer en caso de verse enfrentado a un desastre es parte de lo que la Gestión de Continuidad de Negocios impulsa.  La capacidad de resistir a un desastre es lo que en el futuro marcará aquellas organizaciones que hayan adoptado las medidas necesarias para hacerlo. Casos existen muchos y de diferente índole.

La adopción de la Gestión de Continuidad de Negocios aparece en el horizonte de las organizaciones más temprano que tarde, haciendo frente de manera coherente y consistente de aquellos aspectos que se deben trabajar a la hora de una crisis y emergencia. Las organizaciones deben estar preparadas para tolerar estos golpes inesperados.

Lo que resulta importante destacar una vez superada la crisis, es la condición de fortalecimiento a la que se ha llegado después de haber pasado por “tiempos de guerra”. Esto constituirá un alma nueva para la organización que entregará retornos en el corto plazo.

Finalmente, el desarrollo de la Resiliencia Organizacional mediante la Continuidad de Negocios como articulador, será la llave para la viabilidad y competitividad en el largo plazo. Quienes han entendido esto, no solo  han pensado en la gestión operacional, sino también han entendido que esto genera valor presente y futuro, que puede ser traspasado a sus clientes otorgando crecimiento y diferenciación.

Héctor Miguel Opazo Santis, es Ingeniero Civil Industrial, Ingeniero en Informática, Magister Business Engineering, con post títulos en Evaluación de Proyectos y Gestión de Sistemas de Información. Es certificado CBCP del DRI International. Con más de 20 años de experiencia en el mundo tecnológico a nivel de consultoría y desarrollo tecnológico aplicado. Ha sido en consultor en Latinoamérica y Estados Unidos de organismos internacionales y bancos de fomento. Se ha desempeñado en cargos gerenciales en diferentes industrias, tales como: consultoría, banca, comercio, salud entre otros. Se ha especializado en dirección de proyectos, negocios electrónicos y evaluación de proyectos de tecnología. Es fundador de Resilience Consultores en Santiago de Chile.

Emprendedor y Profesor titular de la cátedra de E-Business y Gestión Estratégica en la Universidad Andrés Bello donde pública estudios y proyectos asociados. Héctor Miguel puede ser contactado en hmopazo@resilchile.cl

La relación entre la continuidad del negocio y la gestión de riesgos

299e2d84ff68 (1) 22Chloe Demrovsky de DRI International y Jorge Escalera de DRI México presentaron juntos en DRI2015.  Su presentación (titulado en ingles “Toward Resilience: The Relationship Between Risk Management and Business Continuity) es disponible ahora junto con todas las presentaciones del congreso.

Para ver su presentación, visite a MyDRI.