Archivo de la etiqueta: resiliencia de organizaciones

Desarrollando Resiliencia Organizacional

Héctor Miguel Opazo Santis

Caminando recientemente por las calles de Bogotá  junto a Pao, comentaba acerca de las últimas experiencias a nivel gubernamental y privado en las que he estado desarrollando trabajos, tanto aplicativos como de investigación en torno a la Continuidad Operacional bajo situaciones de  crisis y emergencias. En tal sentido, aquellas organizaciones que han venido desarrollando un marco de trabajo adaptativo respecto a las situaciones antes mencionadas, son las que a partir del aprendizaje han obtenido mejores resultados en el tiempo.

Quizás el primer punto de acercamiento a dicho estado es entender bien el fenómeno de la Resiliencia Organizacional y como la mirada de la Continuidad de Negocio aporta en términos superlativos a desarrollar este concepto. Pero un paso antes que esto, es entender bien lo que significa Resiliencia. Se puede entender la Resiliencia como la  condición humana de asumir con determinación situaciones límite y superarlas positivamente, dicho de otra manera, es la capacidad que tienen los seres humanos de poder levantarse a partir de las derrotas o caídas que se tengan en la vida.

Picture 6En tal sentido, las Organizaciones también adoptan formas similares a las personas para enfrentar sus crisis y emergencias, también pasan por períodos de situaciones límites o desastres, cambios y condiciones de estrés que muchas veces colocan a las organizaciones al borde del abismo. La superación de esa condición tiene que ver con la Resiliencia Organizacional. Dicha condición apuntará a aquellas organizaciones capaces de enfrentar este tipo de eventos para reponerse de manera eficiente a situaciones abruptas e inoportunas.

Adicionalmente,  se puede entender la Resiliencia Organizacional como la habilidad organizacional para actuar de manera decisiva y efectiva en respuesta a condiciones disruptivas de incertidumbre, que ponen en peligro la supervivencia de la empresa a largo plazo.

La pregunta que surge de manera frecuente es si todas las organizaciones actúan de igual manera frente a los eventos de crisis o desastres. La respuesta claramente es no, existen cientos de ejemplos ilustrativos de esta aseveración a través del tiempo, y esta conclusión es la que aporta una diferencia significativa respecto a las oportunidades que surgen al enfrentar eventos inesperados.

Las organizaciones saludables no sólo sobreviven a las crisis, o logran adaptarse a ellas, sino que salen fortalecidas, convirtiéndose en organizaciones capaces de sobreponerse a desastres y más aún, aprender de ellos y de cómo estar preparados. Esto en el tiempo constituirá un camino diferenciador que podrá ser transferido a todas las “partes involucradas” de la organización, entre estos: Clientes, Proveedores, Comunidad, Directivos y otros, a través de la confianza, credibilidad y aceptación.

Se puede hablar  de Organizaciones Resilientes, de aquellas que están preocupadas de manera relevante en el establecimiento de  los factores de riesgo y protección, añadiendo que muchos factores pueden convertirse en una causa de protección o bien en una vulnerabilidad que se puede transformar en un riesgo. Esta característica constituye la base del análisis de riesgo y la importancia que puede situar a esta práctica como vital en el desarrollo de la Resiliencia Organizacional.

Sin duda alguna que los cambios organizacionales dados por la movilidad de los mercados, eventos inesperados e incluso por el crecimiento vegetativo que tienen las organizaciones buscando eficiencia y formas de competitividad son un flanco de preocupación para las mismas. Más aún, los cambios inesperados como situaciones exógenas que golpean con una baja frecuencia pero con alto impacto (característica típica de los desastres), son aquellos cambios que han hecho que las organizaciones en algunos casos desaparezcan y en otros hayan generado una pérdida irreparable. Estos cambios con características de desastre son los que las organizaciones deben ver, hacerse cargo y estar atentas.

Detrás de la búsqueda de la Resiliencia Organizacional está la capacidad de las Organizaciones de trabajar en la búsqueda de un marco de trabajo responsable, con recursos comprometidos que puedan salvo guardar los intereses de manera preventiva, o bien mitigando los impactos cuando las crisis y emergencias hayan sido declaradas.

Varios de los conceptos vertidos en esta crónica representan el corazón de los Sistemas de Gestión de Continuidad de Negocios. La gestión de riesgos se hace cargo de manera preventiva de establecer los controles necesarios a fin de poder anticiparse en muchos casos a los desastres, mitigando mediante la reducción del riesgo aquellas vulnerabilidades expuestas. Lo anterior es pilar fundamental para desencadenar la Resiliencia Organizacional.

LuvianoEstar preparados mediante estrategias que puedan hacer frente a condiciones inesperadas de alto impacto, apunta precisamente a lo que pregona la Resiliencia Organizacional, el hecho de conocer que hacer y cómo hacer en caso de verse enfrentado a un desastre es parte de lo que la Gestión de Continuidad de Negocios impulsa.  La capacidad de resistir a un desastre es lo que en el futuro marcará aquellas organizaciones que hayan adoptado las medidas necesarias para hacerlo. Casos existen muchos y de diferente índole.

La adopción de la Gestión de Continuidad de Negocios aparece en el horizonte de las organizaciones más temprano que tarde, haciendo frente de manera coherente y consistente de aquellos aspectos que se deben trabajar a la hora de una crisis y emergencia. Las organizaciones deben estar preparadas para tolerar estos golpes inesperados.

Lo que resulta importante destacar una vez superada la crisis, es la condición de fortalecimiento a la que se ha llegado después de haber pasado por “tiempos de guerra”. Esto constituirá un alma nueva para la organización que entregará retornos en el corto plazo.

Finalmente, el desarrollo de la Resiliencia Organizacional mediante la Continuidad de Negocios como articulador, será la llave para la viabilidad y competitividad en el largo plazo. Quienes han entendido esto, no solo  han pensado en la gestión operacional, sino también han entendido que esto genera valor presente y futuro, que puede ser traspasado a sus clientes otorgando crecimiento y diferenciación.

Héctor Miguel Opazo Santis, es Ingeniero Civil Industrial, Ingeniero en Informática, Magister Business Engineering, con post títulos en Evaluación de Proyectos y Gestión de Sistemas de Información. Es certificado CBCP del DRI International. Con más de 20 años de experiencia en el mundo tecnológico a nivel de consultoría y desarrollo tecnológico aplicado. Ha sido en consultor en Latinoamérica y Estados Unidos de organismos internacionales y bancos de fomento. Se ha desempeñado en cargos gerenciales en diferentes industrias, tales como: consultoría, banca, comercio, salud entre otros. Se ha especializado en dirección de proyectos, negocios electrónicos y evaluación de proyectos de tecnología. Es fundador de Resilience Consultores en Santiago de Chile.

Emprendedor y Profesor titular de la cátedra de E-Business y Gestión Estratégica en la Universidad Andrés Bello donde pública estudios y proyectos asociados. Héctor Miguel puede ser contactado en hmopazo@resilchile.cl

La relación entre la continuidad del negocio y la gestión de riesgos

299e2d84ff68 (1) 22Chloe Demrovsky de DRI International y Jorge Escalera de DRI México presentaron juntos en DRI2015.  Su presentación (titulado en ingles “Toward Resilience: The Relationship Between Risk Management and Business Continuity) es disponible ahora junto con todas las presentaciones del congreso.

Para ver su presentación, visite a MyDRI.

La concientización en la Continuidad del Negocio, en un país con baja tasa de Desastres

Reynaldo de la Fuente

A la hora de obtener el compromiso y liderazgo de la alta dirección de las organizaciones para con la gestión de la continuidad del negocio, es necesario que identifiquemos todos los requisitos legales, regulatorios y contractuales que apliquen, así como indicadores y métricas de incidentes y desastres que hayan afectado a las organizaciones en los últimos años.

¿Pero qué sucede cuanto estos indicadores son inexistentes  y los requisitos escuetos y poco exigentes?

A la hora de lograr la concientización de una organización, o una sociedad, el contar con elementos objetivos que permitan lograr la sensibilización de las personas es un elemento  indispensable.

Cuando por ejemplo se realizan campañas de sensibilización en materia de seguridad vial, el indicar cuantos accidentes ocurrieron en el año, y cuantos fueron fatales por no utilizar o cumplir con medidas de seguridad, es un elemento de reforzamiento importante que permite trasmitir un claro mensaje a la audiencia y a los líderes.

En países que están expuestos a desastres naturales frecuentes, la importancia de contar con planes de continuidad del negocio y especialmente planes de emergencia y evacuación es algo que la sociedad rápidamente puede comenzar a valorar y comprender.

No obstante, en un país u organización en la cual no se percibe como real la posibilidad de ocurrencia de un desastre, la realidad es claramente diferente.

¿Pero qué sucedería si esa percepción no es correcta?

Es importante que comencemos por reevaluar esos preconceptos y confirmar si estamos en el paraíso y no ocurre nada…o realmente lo que sucede es que no sabemos nada.

Debemos analizar si los datos conocidos de la realidad son completos, exactos y adecuados, o si en los hechos están ocurriendo diferentes tipos de eventos y desastres, pero no están siendo reportados ni difundidos.

En materia de seguridad vial durante muchos años los países no llevaban indicadores de accidentes, y para muchos podría tenerse una sensación de seguridad, cuando en los hechos un desastre importante estaba afectando a la sociedad de forma continua, sin que esto fuera percibido.

¿Cuantos incendios afectaron la operación de empresas en nuestro país en el último año? ¿Cuántas empresas sufrieron incidentes informáticos o de seguridad que afectaron sus operaciones en el último año? ¿Cuántas empresas fueron afectaras por inundaciones, vientos fuertes, u otro tipo de eventos climáticos en el último año?

Es natural que las empresas no vuelquen esta información de forma voluntaria, ni  hagan difusión de eventos que pudieron haber sido adecuadamente contenidos o no.

Es una responsabilidad de la sociedad en su conjunto, y de los gobiernos, que estos indicadores sean generados, adecuadamente alimentados y difundidos.

¿Es entonces simplemente un tema de reglamentar y exigir que se reporten y difundan los incidentes que afectaron la operativa de las organizaciones?

En muchos países de nuestra América Latina es usual que existan requisitos para las organizaciones de ciertos sectores, en especial el financiero, de contar con planes de continuidad del negocio. No obstante, no es usual que sea un requisito el que se reporten a una autoridad central los eventos e incidentes que afectaron su operativa, y mucho menos que estos indicadores se difundan.

A diferencia de los indicadores generados, los eventos puntuales no necesariamente deberían ser difundidos al Público con los datos de las organizaciones que se vieron afectadas, al margen de que evidentemente generarían una fuerte retroalimentación para los líderes de las organizaciones, sobre la importante de la gestión de la continuidad del negocio.

Antes entonces de convencernos de que en nuestra sociedad no hay grandes problemas que justifiquen la necesidad de  planes de continuidad del negocio, debemos confirmar si no estamos ante una ausencia importante de información, que difunda un mensaje incorrecto de la realidad.

Si luego de ajustar la  vara con la que medimos nuestra sociedad, confirmamos que estamos ante un escenario de baja tasa de desastres, podemos en ese momento continuar analizando otros elementos de la concientización.  Haremos esto en un próximo artículo.

RESILIENCIA DE EMPLEADO

Después de 20 años como asesor certificado a través de DRII y de sobrevivir la Super Tormenta Sandy, se me ha echo perfectamente claro que tenemos una enorme vació en nuestra industria… Resiliencia de Planificación de Empleados.

Como profesionales de BCP hemos dominado el arte de la preparación de negocios. Desafortunadamente, nuestro enfoque siempre ha estado en ‘El Negocio’ y simplemente manteniendoel negocio en marcha y funcionando a través de una interrupción. Sin embargo, a pesar de todos estos años de planificación, de alguna manera hemos dejado a un lado una clave componente… nuestros empleados.

NUNCA ASUMA…

Las empresas asumen que sus empleados siempre van a estar ahí cuando se los necesiten. Asumen que sus empleados estarán preparados para ir a trabajar durante un desastre, porque por eso les estamos pagando. Las empresas asumen ‘oh mismejores10 empleados estarán presente para cuando los necesitemos’. Bueno, en la Costa Este de Long Island durante la Super Tormenta Sandy, rápidamente aprendieron,a las malas, que ese no fue el caso.

¿Qué sucede si el desastre afecta más que el negocio, y afecta los hogares de sus empleados, sus familias y sus seres queridos? ¿Por qué vendrían a trabajar si ellos también han sido personalmente impactados? ¿Qué harías si esto le pasa a más de uno de sus empleados claves al mismo tiempo?

VANIDAD vs LEALTAD

Los dueños de negocios a veces se vuelven egoístas y egocéntricos y de repente una interrupción tiene que ver “conmigo y mi negocio”. Desafortunadamente, más a menudo que no, los desastres afectan a las comunidades enteras, y por lo tanto todos pueden verse afectados de manera adversa tanto al nivel profesional como personal. Como planificadores, es nuestra responsabilidad de garantizar que las empresas entiendan que en la planificación efectiva debemos considerar cómo una crisis puede afectar a todos en nuestro edificio y también a los que nos rodean, tanto como en lo profesional y personalmente. Nos olvidamos de la tensión personal que les imponemos a nuestros empleados bajo tiempos de desastres. Obligándoles a elegir entre sus seres queridos y un cheque de pago.

LA FALTA DE ENFOQUE … ¿VALE LA PENA ?

Parece escaparles a los dueños de negocios,queaunque sus empleados se presenten yse queden durante una crisis, mientras que tienen una crisis personal sucediendo en sus propiascasas, lo más probable es que inadvertidamente le haran más daño a la organización. Su falta de atención y enfoque puede causar que ingresen información incorrecta, lo que puede provocar mayores pérdidas financieras o daños reputaciónales. Los empleados no pueden funcionar adecuadamente si están preocupados acerca de lo que está pasando en sus propioshogares. Lo que es peor, es que los empleados normalmente no se quedarán en el trabajo para recuperar un negocio, si sus familias yhogares también han sidoimpactados por la misma catástrofe . Por lo tanto , una empresa necesita asegurarse de que todoslos empleados esten entrenados y enfocados. Si sus mejores 10 chicos no aparecen, lo que necesita saber es que usted tiene otros 10 chicos que están entrenados, saben qué hacer y dispuestos a remplazar cuando sea necesario.

PREPÁRELOS

Considere la posibilidad de entrenamiento especializado, tanto para las funciones de producción y también entrenamiento en cómo proceder en una recuperación costosa. No asuma que su gente va a estar ahí. Si ellos son tan esenciales, tome medidas para asegurarse de que ellos puedan estar allí. Inclúyalos en sus planes y asegúrese que también estén preparados personalmente en sus propios hogares, pero no se confié que sus empleados estarán allí.

 

Dez B&WDeseré Cardona, is the Chief Executive Officer and founder of CARMA, the Continuity And Recovery Management Associates.  Deseré is a Master Business Continuity Planner (MBCP) certified through the DRII and a veteran in the industry with over twenty years’ experience.  She has worked with Fortune 500 companies such as JP Morgan Chase, Deutsche Bank, and Barclay’s Capital on a global basis. Her expertise includes Project Management, Crisis Management, Awareness Training, Market Data and Trading Floor support, and Client/Vendor Relationship Management. Deseré is a board member of the Long Island Chapter of the Association of Contingency Planners.  She is also a member of the Nassau County (CERT) Community Emergency Response Team.

Los seguros y la continuidad de negocio

José M. Garay

Para muchos empresarios, los seguros patrimoniales que incluyen la cobertura denominada “interrupción del negocio” (business interruption insurance) son suficientes para enfrentar la pérdida de ingresos que podría sufrir el negocio después de un desastre. No obstante, los desafíos que impone un mercado cada vez más exigente, dinámico y competitivo, y en el que los procesos de negocio son altamente dependientes de la tecnología y de la operatividad de terceros, están haciendo que estos empresarios se cuestionen si los seguros son verdaderamente suficientes para garantizar la sostenibilidad de sus empresas.

La cobertura de interrupción del negocio — también conocida como “seguro de rentas de la empresa” o “seguro de lucro cesante”— no se vende de manera independiente, sino que se anexa a una póliza de seguro patrimonial/comercial o de riesgos generales. Tradicionalmente, la póliza principal sólo cubría el daño físico a la empresa producto del desastre, mientras que la cobertura adicional de interrupción del negocio cubre los beneficios que se habrían obtenido si no se hubiese producido la pérdida.

A modo de ejemplo, aquí tenemos dos productos de seguros de interrupción del negocio bastante similares, comercializados en distintas partes del mundo:

Como se aprecia, las pólizas de seguro de interrupción del negocio buscan colocar a la empresa en la situación financiera en la que habría estado si no hubiera ocurrido el desastre, pudiendo llegar a cubrir: (a) las ganancias que se habrían obtenido (basado en estados financieros de meses anteriores);  (b) los gastos fijos o costos operativos (sobre la base de costos históricos); (c) los posibles gastos de reubicación temporal de las operaciones; y (d) el reembolso de los gastos extra para restaurar las operaciones. Pero obviamente, a mayores coberturas y prestaciones, más costosas resultarán estas pólizas.

Desde el punto de vista de los seguros, los planes de continuidad (business continuity plans) permiten reducir los impactos financieros de un evento disruptivo; es decir, permiten disminuir su lucro cesante (cuánto va a costar la empresa interrumpida); y por lo tanto, son un mitigante del riesgo de interrupción. Debido a este efecto mitigante, las empresas que implementan y mantienen vigentes sus planes de continuidad del negocio pueden ahorrar dinero en la contratación y renovación de sus pólizas de seguro de interrupción del negocio.

Hasta aquí hemos analizado cómo se complementan los planes de continuidad del negocio con los seguros de interrupción del negocio desde la perspectiva del empresario que busca protegerse del impacto financiero de una interrupción. No obstante, hoy en día la planificación estratégica de los negocios exige pensar en todo su entorno, y no únicamente en los intereses de sus dueños, inversionistas o accionistas; la sostenibilidad del negocio dependerá de una adecuada priorización y gestión de sus diferentes grupos de interés (“stakeholders”) —los trabajadores de la empresa, los clientes, los proveedores, los socios de negocio, las asociaciones de vecinos, las organizaciones gubernamentales que se encuentren vinculadas, etc.—.

Es ahí es donde la gestión de la continuidad del negocio juega un papel fundamental, implementando mecanismos de prevención y de respuesta ante las interrupciones, logrando así elevar el nivel de preparación de la empresa, asegurando su resiliencia, su supervivencia, y su sostenibilidad en el largo plazo.

Head

José M. Garay, MBA ABCP MCSE MCSD

José M. Garay es magíster en Administración Estratégica de Empresas, y cuenta con más de 14 años de experiencia en el sector financiero peruano, en las áreas de proyectos y gestión de infraestructura de TI, seguridad de información y riesgo operacional. Actualmente, es Jefe de Continuidad del Negocio en Rimac Seguros, la compañía líder del mercado asegurador del Perú. Ha sido instructor desde 1998 en la facultad de Tecnología del Instituto San Ignacio de Loyola.

Sudeban instruye a instituciones financieras en venezuela a implementar proyectos de continuidad operativa

Fredling Pavon 

En la actualidad, no deja de ser significativa la concentración de actividades económicas en nuestras grandes ciudades de Iberoamérica, principalmente aquellas relacionadas estrechamente al sistema financiero de cada país. No obstante en su mayoría, dichas ciudades consolidan una diversidad importante de factores de riesgo, enmarcadas dentro del ámbito social, político, geográfico y ambiental. En Venezuela, concretamente en el valle de Caracas (ubicado dentro de la cordillera de la costa venezolana), es por naturaleza una cuidad de alto riesgo sísmico, de acuerdo a estudios formalizados por la Fundación Venezolana de Investigaciones Sismológicas (FUNVISIS). Por otra parte,  en su condición natural de valle con clima tropical, experimenta constantes  precipitaciones en época de lluvia, previstas entre los meses de Junio y Septiembre de cada año, lo cual incrementa de manera importante, las probabilidades de inundaciones en sectores residenciales, industriales y empresariales  distribuidos a lo largo y ancho de la cuidad. No podemos dejar a un lado el alto clima de tensión socio-política que sufre Venezuela en los últimos años, ésta situación mantiene latente  las probabilidades de manifestaciones en diversos sectores de la sociedad, conformados en esencia por estudiantes, partidos políticos, sindicatos, entre otros.  Caracas concentra al menos el 90% de las instituciones financieras distribuidas a lo largo de su eje central, diagramado por la Línea 1 del Sistema Metropolitano de Transporte Ferroviario (Metro de Caracas).  Gran parte de éstas instituciones, han emprendido proyectos de contingencia tecnológica en centros de datos alternos en la misma cuidad de Caracas, medida que inicialmente podría apoyar una contingencia muy puntual y focalizada dentro todas sus sedes operativas.

En respuesta a esta realidad, la Superintendencia de las Instituciones del Sector Bancario y el gobierno central de Venezuela, instan con carácter normativo y regulatorio a todas las instituciones financieras del territorio nacional, a emprender proyectos que garanticen el debido proceso para la continuidad operativa y resguardo del patrimonio de los  usuarios y clientes del sistema financiero venezolano. Ésta iniciativa, tiene su origen a inicios del año 2012 a través de un comunicado formal emitido a todas las instituciones financieras del país, donde plantea vehementemente la necesidad de implementar un centro de procesamiento de datos alterno como estrategia de recuperación de información y continuidad operativa en caso de desastres, manteniendo como premisa, una distancia de 150 km distancia a cada uno de los centros principales de operaciones. La fecha prevista para la puesta en marcha de éste proyecto se estima al cierre del primer semestre del año 2014, de acuerdo al cronograma de proyecto  acordado entre la banca y el ente regulador.  Como reflexión, podemos comentar que dada la alta concentración en caracas del aparato productivo de la nación, es todo un reto implementar acciones que mitiguen los riesgos de desastres identificados en ésta ciudad, debido a las deficientes condiciones de acceso, infraestructura, factibilidades técnicas y operativas en el resto de las ciudades del país, sin mencionar el limitado acceso a divisas en moneda extranjera para la adquisición de tecnologías que contribuyan a la implementación de proyectos de ésta magnitud.

 

Fredling headshotFredling Pavon

Gerente de Planificación y Proyectos en 100% Banco, Banco Universal – Caracas, Ven Ingeniero de Sistemas, Magíster en Administración de Empresas (MBA), PMP.

Especialista en Implementación de Sistemas Financieros,  medios de pago electrónico y Continuidad de Negocios

Email: FPavon@100x100banco.com

Continuidad de los servicios TI – clave para la sobrevivencia de las organizaciones

Sandra Camacho

Hoy en día la continuidad de nuestras organizaciones depende en gran medida de la continuidad de los servicios de tecnología de información (TI), de tal manera que una adecuada gestión de estos servicios conlleva a aumentar el éxito en el logro de los objetivos de continuidad de las organizaciones. En este artículo, se expondrán los logros y beneficios para la continuidad de negocio logrados en el Banco de la República de Colombia con la implementación de los procesos de gestión de tecnología bajo las mejores prácticas propuestas por ITIL (Information Technology Infrastructure Library), incluyendo los factores de éxito y lecciones aprendidas durante de implantación de las prácticas de ITIL.

 

Contexto de los procesos del Banco

El Banco de la República es el Banco Central de Colombia, por tal razón, tiene funciones constitucionales críticas para el sector financiero del país. Estas funciones son: administrador de las reservas internacionales, banco de bancos, banco, agente fiscal y fideicomiso del Gobierno, emisor de moneda legal, funciones cambiarias, estratega de la inflación objetivo de Colombia, prestamista de última instancia, promotor del desarrollo científico, cultural y social; y rendición de cuentas a los colombianos, siendo su principal objetivo el control de la inflación. Su misión ha sido definida como  “Contribuir al bienestar de los colombianos mediante la preservación del poder adquisitivo de la moneda y el apoyo al crecimiento económico sostenido, la generación de conocimiento y la actividad cultural del país”. El Banco de la República de Colombia tiene presencia nacional a través de 28 sucursales, una en cada ciudad capital del país, con sucursales de oficinas de tesorería en algunas de ellas y presencia cultural en todas ellas.

 

Contexto de los procesos de la dirección general de tecnología

Como es común en todas las organizaciones, para el cumplimiento de su misión, el Banco de la República cuenta con un  alto componente tecnológico con plataformas heterogéneas, diversos sistemas, proveedores y fabricantes, tecnologías “tradicionales” y “de punta”; y con proyectos transversales de modernización, que afectan servicios de misión crítica, convivencia de plataformas “nuevas” y “obsoletas”; lo que exige una gestión altamente eficiente y efectiva y de manera más sobresaliente, una gestión de continuidad. Es así como hoy en día, la continuidad de nuestra organización depende en gran medida de la continuidad de los servicios de tecnología, de tal manera que una adecuada gestión de estos servicios conlleva a aumentar el éxito en el logro de los objetivos de continuidad.

Con este contexto, la misión de la dirección de tecnología del banco es la siguiente: “Contribuimos al cumplimiento de los objetivos del Banco y a la generación de valor a sus áreas, brindando servicios y productos basados en tecnología”, de tal forma, que es necesario que esta base tecnológica tenga un altísimo grado de continuidad; puesto que en general, toda la operación es soportada por alguno de estos servicios. Por otro lado, cualquier inconveniente sobre esta plataforma o la funcionalidad de los aplicativos operativos específicos, puede generar un riesgo sobre la continuidad del negocio.

Como base de la gestión en la dirección general de tecnología del Banco, se cuenta con un  “gobierno de tecnología” fundamentado en el liderazgo, los niveles de autoridad, la  estructura organizacional y los procesos; estos últimos, basados inicialmente en las áreas funcionales y evolucionando hacia procesos transversales. Asimismo, se cuenta con indicadores de gestión que incluyen tanto indicadores estratégicos como de operación, y particularmente, la medición de puntos críticos para la continuidad y la gestión de riesgos; ésta última, dentro del contexto organizacional de la gestión de riesgo operativo y la rendición de cuentas.

Dentro de las mejores prácticas empleadas como fundamentación de esta gestión tecnológica se cuenta con: COBIT para el control gerencial, ISO 9001 para la gestión de la calidad, ISO 27001 para la gestión de seguridad, CMMI para el desarrollo de aplicaciones, PMI para la gestión de proyectos, prácticas profesionales del DRI International (Disaster Recovery Institute International) y del BRCCI para la gestión de continuidad e ITIL para la gestión de servicios.

 

Logros y beneficios del uso de ITIL para la gestión de continuidad de los servicios TI del Banco

¿Cuáles han sido los logros y beneficios de ITIL para el Banco? Básicamente estas buenas prácticas han brindado un apoyo importante en la adecuada gestión de la tecnología de la organización, facilitando la visión transversal de los procesos de TI y permitiendo la operación estandarizada y coordinada de las actividades propias de la gestión de la tecnología, la cual de acuerdo a ITIL, es clasificada en cuatro grandes macro-procesos a saber: Estrategia, Diseño, Transición y Operación.

Estrategia del servicio

Para poder explicar a detalle estos logros y beneficios, los presentaré a través de un recorrido por los cuatro macro-procesos de ITIL. Para identificar estos  beneficios, hemos encontrado que cada uno de ellos nos brinda un aporte importante, e incluso fundamental, para la continuidad de los servicios de tecnología; particularmente, en la realización de una adecuada definición estratégica a través de los procesos estratégicos de gestión financiera, gestión del portafolio y gestión de la demanda, puesto que esto ha facilitado una adecuada gobernabilidad de los servicios al estar enmarcados en la visión estratégica y táctica de la organización y así se engrana esta visión con la operatividad de la gestión de tecnología.

Estas buenas prácticas las hemos sintonizado dentro del engranaje del gobierno de TI del Banco a través de su seguimiento, mediante indicadores de gestión que son revisados mensualmente en los comités de gerencia de TI. Asimismo, están inmersos en los estándares definidos para las arquitecturas,  desarrollo y mejoramiento de nuevos productos, donde se hecho evidente la importancia de una metodología de gerencia de proyectos estructurada y basada en la gestión de la demanda. Por otro lado, han sido fundamentales los adecuados niveles de autoridad y de estructura organizacional que facilitan el acercamiento de estas buenas prácticas a todos los niveles dentro de la organización de TI.

Diseño del servicio

En cuanto a los procesos de “Diseño del  Servicio” y resaltando de manera inicial lo que para nosotros ha sido el punto de entrada, el proceso de “Gestión del Catálogo”. Este proceso nos ha llevado a conocer explícita y transversalmente, a nivel de toda la organización, cuáles servicios están en producción, sus modificaciones, y la salida de los mismos de la operación; lo cual ha permitido tener una visibilidad y control adecuada para la gestión de Continuidad de TI desde diversos frentes fundamentales, como son: las áreas operativas, las personas que operan TI y la gerencia, ya que ha  permitido un acceso ágil a los productos y servicios de TI, especialmente cuando se presenta una crisis o un requerimiento especial sobre alguno de éstos. La contextualización y la interrelación con TI han ayudando incluso a visualizar mejor el contexto y la dependencia de TI de las áreas, lo que les ha facilitado estructurar mejor sus planes de acción dentro de sus planes de continuidad de negocio (BCPs, business continuity plans), para los asuntos relacionados con TI.

Sin embargo, este proceso no tiene sentido si se maneja de manera aislada, y en particular, si el objetivo es garantizar ese adecuado entendimiento entre lo que esperan las áreas operativas y lo que TI está en capacidad de ofrecer. Por tanto, se debe ofrecer al menos, parámetros que deben estar claramente descritos a través de la “Gestión de los Acuerdos de Servicio”. Este proceso es tal vez uno de los procesos que se ha tornado más crítico para la adecuada gestión de continuidad de TI del Banco, frente a lo que se espera para la operación del negocio. En este punto es donde hemos podido especificar de manera concreta y aterrizada para la organización, las expectativas tanto en situación de normalidad como en eventos de crisis. En su primera versión nos concentramos más en la prestación del servicio en estado de normalidad, y hoy en día, hemos incluido un capítulo relacionado con la continuidad, donde hemos especificado explícitamente los tiempos estimados de los objetivos de recuperación de las operaciones (RTO, recovery time objective) y de  información (RPO, recovery point objective), para los casos en los que se presente una falla que afecte el servicio; estableciendo incluso, tiempos por tipo de falla. Este elemento ha permitido llegar a acuerdos importantes con la operación del negocio, ya que eventualmente hemos tenido que cambiar prioridades o incluso iniciar proyectos de aumento de capacidad o de cambios de arquitectura con miras a poder lograr el cumplimiento de los requerimientos del negocio en tiempos objetivo de recuperación. Por otro lado, ha permitido a las áreas operativas revisar sus análisis de riesgos y de impacto al negocio (BIA, business impact analysis), a la luz de un mayor conocimiento sobre la viabilidad de sus estimados de tiempos de recuperación, generando ajustes a sus planes de acción. Es así que cada vez trabajamos más de la mano  en el logro de un BCP realmente viable.

En este mismo sentido, los procesos de diseño relacionados con la “Gestión de Disponibilidad” y la “Gestión de Capacidad”, nos han brindado herramientas clave para poder dar cumplimiento a los “Acuerdos de Servicio”. Estos procesos nos han permitido identificar nuestra capacidad real, de tal manera que hemos podido estructurar planes de acción de TI con una clara especificación de prioridades de atención y conforme a los “acuerdos de servicio”, especialmente cuando se han conjugado una serie de eventos o de situaciones que demandan el uso de los recursos de manera simultánea. Particularmente, ha sido importante tomar en consideración no solo la capa de infraestructura y de telecomunicaciones, sino cada elemento de hardware, los centros de cómputo, de almacenamiento, etc.; siguiendo con las capas de las arquitecturas y llegando a la capa final de aplicación y presentación en lo relacionado con los servicios. Para nosotros ha sido fundamental incluir en estos procesos la capacidad y disponibilidad del recurso humano que administra, realiza el monitoreo y gestiona los servicios de tecnología, así como el concientizar a estas personas de los acuerdos que han sido establecidos con las áreas operativas y la operación del negocio, lo cual ha permitido trabajar de manera más sincronizada en los momentos donde más se ha requerido, es decir, cuando hay una crisis o emergencia.

La gestión de continuidad del negocio, y especialmente la continuidad de TI, no está completa si no se toma en cuenta a los proveedores de servicios. En este punto se tiene en ITIL el proceso de “Gestión de Proveedores”. Para el Banco, ha sido muy importante considerar los asuntos relacionados con la disponibilidad de los servicios ofrecidos, sus planes de acción en caso de falla y el seguimiento a síntomas que puedan generar posibles riesgos para la operación del Banco. Es así que ha sido fundamental la realización de análisis de riesgos de estos proveedores, lo que ha permitido considerar puntos clave de monitoreo y validación del cumplimiento por parte de éstos, ya que pueden tornarse el eslabón más débil para la operación.

En este grupo se encuentran dos procesos adicionales: la “Gestión de Continuidad de los Servicios de TI” y la “Gestión de Seguridad de la Información”, donde hemos enmarcado las mejores prácticas tanto de Continuidad como de Seguridad, como son las prácticas propuestas por DRI International e ISO 27001, respectivamente.

Transición del servicio

Podemos decir que los procesos de “transición” son los que generan más riesgos para la continuidad de TI, puesto que este en este grupo de procesos se encuentran la “Gestión de los Cambios” y  la “Gestión de Despliegue y Liberaciones”. En nuestra experiencia, hemos encontrado que las fallas de TI se han presentado cuando se lleva a cabo algún cambio sobre las arquitecturas o cuando llega un nuevo servicio a producción. Esto a pesar del cuidado en la realización de estas tareas, ya que en muchas ocasiones no se contaba con los niveles adecuados de autorización o de evaluación del impacto o del conocimiento de la dinámica del negocio, para poder así, determinar cómo y cuándo llevar a cabo estas acciones sobre las plataformas de TI, así como el realizar la adecuada notificación a las áreas del negocio involucradas, con el fin de que estas últimas a su vez, tomaran medidas de precaución o informaran de situaciones de negocio que permitieran mitigar el impacto en caso de una falla.

Estos procesos se complementan con la realización de una “Gestión de Activos y Configuración”, que nos ha facilitado el adecuado manejo de los cambios sobre la plataforma, los cuales, como fue comentado anteriormente, han sido la mayor causa-raíz de problemas de continuidad en los servicios de TI. El proceso de Gestión de Activos y Configuración nos ha permitido contar con un nivel adecuado de conocimiento  de los elementos y de la configuración sobre la cual se van a realizar los cambios, facilitando el adecuado análisis de riesgos e impactos sobre la plataforma de TI en el momento de realizar un cambio. Este proceso ha venido a jugar un papel importante para garantizar la Continuidad de los servicios de TI, mediante un control fuerte en las autorizaciones de los cambios, la evaluación de manera juiciosa en caso de llevar a cabo el cambio, el análisis de los impactos sobre las plataformas y sobre la dinámica del negocio; así como entender el cómo se llevaría a cabo el “retorno” del cambio (en caso de identificar que no operara adecuadamente), y entender el mejor momento para la realización del cambio, de acuerdo a la dinámica de los negocios afectados y del nivel de preparación respecto a las “Contingencias Operativas”, en caso de presentarse una situación grave que impida la recuperación en los tiempos estimados. La correcta “Gestión de la Configuración” así como de un adecuado conocimiento de las arquitecturas de la plataforma, permiten tomar decisiones más acertadas sobre dichos cambios.

Operación del servicio

Los procesos de “Operación”, nos han brindado un conjunto de lineamientos para llevar a cabo una gestión eficaz de los servicios una vez que están en operación, y especialmente para la continuidad de TI. La identificación pronta y oportuna de incidentes o eventos que puedan afectar la operación del negocio así como su ágil escalamiento y solución, a través de procesos de “Gestión de Incidentes” y “Gestión de Eventos”, han facilidado llevar a cabo acciones inmediatas de toma de control, evitando impactos mayores sobre la operación del negocio. Asimismo, nos ha permitido evitar la reincidencia de eventos y la corrección definitiva de fallas, a través de la realización juiciosa de análisis causa-raíz, el cual es parte del proceso de “Gestión de Problemas”.

Por otro lado, muchos de los riesgos de continuidad de TI, particularmente las negaciones de servicio o errores de personas que no operan correctamente la tecnología o los productos, son controlados a través de la “Gestión de Acceso”. Este proceso brinda al Banco un control eficiente del riesgo de acceso no autorizados de personas, que a su vez, pueden generar otros riesgos, ya sea de manera  intencional o no intencional para la continuidad de los servicios. Adicionalmente, a través de este proceso podemos identificar la dinámica de los usuarios de los servicios, lo que nos ha brindado información útil para la evaluación del impacto frente a eventuales caídas de los servicios de TI, así como para la identificación de los roles que deben ser convocados en caso de crisis y para la estructuración de un esquema de roles y responsabilidades de titulares y suplentes que permitan soportar la operación, incluso, en casos de problemas operativos que afecten la continuidad del negocio.

Finalmente, a la luz de ITIL existe un proceso para la solicitud automática de “servicios”, el cual nos ha permitido facilitar y aumentar la oportunidad de atención a las áreas operativas, evitando demoras en la petición requerida; minimizando al mismo tiempo, los tiempos que puedan afectar la continuidad de las operaciones.

Es así, como hemos encontrado muchos beneficios en cada uno de los procesos presentados por ITIL, que facilitan la labor de brindar Continuidad de los servicios de TI. Como se comentó al inicio de este artículo, en la medida que las organizaciones dependen cada vez más de la infraestructura de tecnología, de sus servicios y de la información, a nivel operativo, táctico y estratégico, la continuidad de los servicios de TI se convierten en la parte más crítica de la continuidad del negocio.

 

Factores de éxito y lecciones aprendidas

En general dentro de los obstáculos encontrados, principalmente está la visión funcional que tiene cada área de tecnología y que tradicionalmente así ha venido manejando, especialmente porque las estructuras llevan a trabajar en grupos aislados y con pocas interfaces entre sí. Sin embargo, para la superación de este obstáculo se realizó un trabajo conjunto entre los directores de las distintas áreas, encaminado hacia una misión y visión unificada como área de TI y enmarcada dentro de la hoja de ruta definida por la organización.

El cambio en los procesos no siempre ha sido fácil y la necesidad de estandarización de estos procesos viene entonces a jugar un papel importante en su viabilidad. Particularmente en lo que respecta al manejo de excepciones, ya que siempre se presentarán las urgencias, entre otras, las originadas por nuevas reglamentaciones o solicitudes especiales que exigen brindar y llevar a cabo los procesos con mayor prontitud, lo que a su vez dificulta realizar todas las actividades definidas para el proceso. En estos casos, se definieron compromisos para el cumplimiento de elementos que podrían desarrollarse posteriormente; sin embargo, es importante dar el seguimiento y llevar el control de dichos compromisos.

Un factor clave de éxito que hemos aprovechado, es involucrar activa y directamente a los directores de cada una de las áreas, tanto de tecnología como de las áreas operativas clave que participan en los procesos, quienes conscientes de la importancia de la aplicación de las buenas prácticas para la gestión, han trabajado en conjunto y con una visión global del proceso dentro del contexto de la organización.

Adicionalmente, si bien las herramientas de apoyo no es lo primero a tomar en cuenta, si han representado una pieza importante dentro del engranaje de estos procesos, ya que han brindando la trazabilidad necesaria, la base de conocimientos, la identificación y la solución temprana de situaciones que pueden poner en riesgo la continuidad del negocio. Para el caso del Banco, se cuenta con la automatización ofrecida por las herramientas de Hewlett-Packard y Altiris, con las que hemos automatizado los procesos de “Gestión de Incidentes”; “Gestión de Eventos, Alertas y Monitoreo”; “Gestión de Configuración” y “Gestión de Atención de Solicitudes”.

Una adecuada concientización en todos los niveles de la organización y de manera transversal, permitirá que se logre el mejoramiento o incluso, la estructuración de procesos de gestión. Sin esta conciencientización, será un trabajo extenuante y seguramente sin muchos frutos. Por esta razón, cualquier esfuerzo debe comenzar por esta actividad, pero no realizarla solo al inicio, sino continuar con la concientización de manera permanente y en todo nivel, mostrando con hechos concretos el mejoramiento. De esta manera, se logrará incluso que de las personas que antes eran detractoras de este esfuerzo, aporten ideas que serán valiosas para la maduración de los procesos y en nuestro caso, para la gestión del servicio de TI.

A manera de conclusión, es importante resaltar que al brindar un mejor servicio hemos podido brindar también mayor productividad y mejorar la confianza de las áreas operativas y del Banco sobre las acciones de tecnología, lo  que ha permitido minimizar la incertidumbre, incrementar la pro-actividad en la operación, y mejorar la calidad en diseño de los servicios. Esto último, nos ha llevado a minimizar el riesgo de fallas en operación, incrementar la prevención de incidentes en operación, la trazabilidad de lecciones aprendidas y la mejora en el tiempo de diagnóstico y solución, lo que al final, se traduce en niveles adecuados de continuidad de TI y por tanto de continuidad del negocio.

 

Sandra P. Camacho Bonilla tiene más de quince años de experiencia en las áreas de continuidad del negocio, gestión de riesgos y manejo de estándares y políticas de tecnología. Desde hace siete años es la directora de la unidad de soporte y continuidad de tecnología del Banco de la República de Colombia (Banco Central de Colombia). Especializa en “Business Impact Analysis” y  “Emergency Management & Safety Solutions”. Entre sus experiencias ha liderado acciones de planeación, respuesta y recuperación de  operaciones en diversos escenarios de contingencia en el sector financiero, implementación, control y seguimiento de centros de datos alternos remotos. Líder de los procesos de certificación de calidad ISO 9001 y auditor ISO 27001 para el área de tecnología del Banco de la República de Colombia. 

Es certificada en CBCP por el DRI International desde 2001 en Boston, Massachusetts, ITIL versión 3, Auditor ISO 27001 e ISO 9001 y PMP por el PMI desde el 2005. Ingeniería y Maestría en sistemas y computación de la Universidad de Los Andes. Ha sido docente académica de la Universidad de Los Andes, Universidad Javeriana y Universidad Piloto de Colombia así como conferencista en eventos de seguridad informática y continuidad.