Una de nuestras especialidades en GSS es la formación y sensibilización de nuestros clientes, elaborando playbooks sobre la mayoría de los marcos tecnológicos y empresariales. Uno de los libros de jugadas es el BCP/DRP y la gestión de crisis. Algunas organizaciones introdujeron el concepto de «resiliencia» hace unos años para enfatizar la necesidad de que las organizaciones planifiquen la continuidad y la recuperación ante desastres.
Este breve documento presenta el marco del WEF (World Economic Forum) y hace una crítica sobre lo que creemos que falta o las áreas que requieren más claridad por parte del WEF.
- Resumen del marco del WEF
1.1 ¿Qué es la resiliencia frente a la continuidad del negocio y la recuperación ante desastres?
- La planificación de la continuidad del negocio (BCP, también llamada planificación de la continuidad del negocio y la resiliencia, BCRP) identifica la exposición de una organización a las amenazas internas y externas, y combina e integra los activos duros y blandos para proporcionar una prevención y recuperación eficaces para la organización, al tiempo que mantiene la ventaja competitiva y la integridad del sistema de valores (Elliot et al. 1999).
- Un plan de continuidad del negocio es un plan para continuar las operaciones cuando un lugar de negocios (por ejemplo, una oficina, un lugar de trabajo o un centro de datos) o los sistemas de información se ven afectados por condiciones físicas adversas, como una tormenta, un incendio o un delito, o la disponibilidad de sistemas electrónicos. Un plan de este tipo incluye un plan de recuperación ante desastres que suele explicar cómo la organización recuperaría sus operaciones o las trasladaría a otra ubicación.
- Cualquier evento que pueda afectar negativamente las operaciones debe incluirse en el plan, como la cadena de suministro, la pérdida o el daño de la infraestructura crítica (maquinaria importante o recursos informáticos/de red). Por lo tanto, la gestión de riesgos debe incorporarse al BCP.
- Un plan de recuperación ante desastres está más enfocado que un plan de continuidad del negocio y no necesariamente cubre todas las contingencias para los procesos comerciales, los activos, los recursos humanos y los socios comerciales.
- Una solución de recuperación ante desastres exitosa generalmente aborda todo tipo de interrupciones operativas y no solo los grandes desastres naturales o provocados por el hombre, que hacen que una ubicación no esté disponible. Las interrupciones pueden incluir cortes de energía, cortes del sistema telefónico, pérdida temporal de acceso a una instalación debido a amenazas de bomba, un «posible incendio», un incendio no destructivo de bajo impacto, inundación u otro evento. Un plan de recuperación ante desastres debe organizarse por tipo de desastre y ubicación. Es necesario que contenga scripts (instrucciones) que puedan ser implementados por cualquier persona.
- OCEG define la resiliencia como algo que va más allá de la continuidad del negocio y la recuperación ante desastres. También define la resiliencia operativa como la capacidad de una organización para continuar sirviendo a sus clientes, ofrecer productos y servicios, y proteger a su fuerza laboral frente a eventos operativos adversos anticipando, previniendo, recuperándose y adaptándose a dichos eventos. Este es un elemento esencial de lo que ellos llaman “principled performance” que es la capacidad de alcanzar objetivos de manera confiable mientras se aborda la incertidumbre y se actúa con integridad.
- El WEF lo define como la capacidad de una organización para superar los choques externos y aprovechar las nuevas oportunidades que se le presentan. Para las empresas, la resiliencia no es el resultado de una sola acción o un solo atributo, sino que engloba cinco pilares:
- La resiliencia operativa captura la continuidad del negocio de una empresa en caso de una perturbación.
- La resiliencia estratégica es la capacidad de responder a los cambios en el entorno económico, social y político en el que opera la empresa.
- La resiliencia financiera describe la salud financiera de la organización en relación con su capacidad para capear una crisis.
- La resiliencia social reconoce que la resiliencia de una empresa depende de la resiliencia social y política de las comunidades en las que opera y está interconectada con ella.
- La resiliencia organizacional se refiere a la capacidad de la fuerza laboral, la cultura y la estructura de una empresa para hacer frente de manera efectiva a las interrupciones repentinas.
1.2 Resumen del proceso y las prácticas del WEF
Este marco se basa deliberadamente en cuatro principios clave que serán fundamentales para que las empresas se vuelvan resilientes y sigan siendo resilientes en un futuro volátil:
- La determinación es la voluntad de supervivencia de la organización.
- La comunicación es necesaria para pasar del compromiso basado en principios al desarrollo de la planificación, los objetivos y los procedimientos que hacen que la resiliencia sea viable.
- La agilidad facilita la ejecución para que las empresas puedan adaptarse a los cambios repentinos.
- El empoderamiento permite a las personas asumir la responsabilidad y colaborar con sus pares para enfrentar nuevos desafíos.
Figura 1. Más información sobre los principios.
La gestión de riesgos es definida por el WEF como una función empresarial centrada en la evaluación y el control de las amenazas a las ganancias y el capital y, a menudo, está desconectada de las operaciones diarias. La resiliencia, por otro lado, está entretejida en el espíritu central de una empresa. El desarrollo de la resiliencia consiste en desarrollar la mentalidad de resiliencia y la filosofía operativa. La resiliencia de una empresa no se limita a la función de gestión de riesgos, sino que se extiende a toda la organización y se manifiesta a través de una profunda determinación, una colaboración y comunicación efectivas, y una fuerza laboral ágil y empoderada (véase nuestra respuesta y comentarios).
2.0 Lo que falta en el marco y comentarios
Figura 2. ¿Qué falta?
2.1 Algunos comentarios y observaciones
Esto no pretende ser una crítica al WEF. Entendemos que se trata de un marco introductorio para destacar la importancia de la resiliencia y la continuidad, y no pretende ser un manual detallado sobre cómo implementar y gestionar el marco.
Sin embargo, para poder obtener la aceptación de las organizaciones, es necesario mostrar cómo se ajusta a las prácticas, sistemas y procesos existentes que muchas organizaciones ya han implementado o están en proceso de implementar, y cómo debe abordarse en el proceso de integración:
- El WEF utiliza el término resistir shocks externos; BCP y DRP es más que resistir shocks externos, también involucra eventos críticos internos que son causados también por actos internos.
- El WEF utiliza el término «construir un proceso de resiliencia para resistir futuras perturbaciones»; al igual que el riesgo que no se puede evitar o prevenir, por ejemplo, los desastres naturales, se gestiona estando preparado con una buena continuidad y planificando la recuperación ante desastres con preparación, por lo que resistir es el término incorrecto.
- El WEF dice que la gestión de riesgos es una función empresarial centrada en evaluar y controlar las amenazas a las ganancias y el capital y, a menudo, está desconectada de las operaciones diarias. La resiliencia, por otro lado, está entretejida en el espíritu central de una empresa. Esto no es cierto, la gestión de riesgos es un proceso de gobernanza central para todos los aspectos de un proceso o sistema de organización, desde la tecnología hasta el proceso de negocio. Sí, es cierto que muchas organizaciones no integran el riesgo en la cultura.
- Existe cierta redundancia en las definiciones entre resiliencia, BCP y DRP. Hay mucha duplicación que puede ser confusa para las partes interesadas.
- En nuestro enfoque, mostramos cómo los marcos y enfoques comunes se superponen y se alinean; como el marco de resiliencia OCEG, los controles de gobernanza de COBIT, ISO 27001/2, etcétera.
- Por último, podemos aprender del modelo, especialmente en áreas de resiliencia social, que a menudo faltan en nuestros modelos y marcos.
A continuación, se resumen, en nuestra opinión, los eslabones perdidos y cómo debería alinearse con el marco del WEF.
2.2 Integración y Procesos Clave con Alineación con BCP y DRP
Figura 4. Un modelo BCP que utilizamos gráficamente para explicar BCP.
- Utilizamos un proceso BCP de 7 pasos que funciona en un ciclo de vida de continuidad del negocio.
- Evaluación del valor del negocio en términos de ingresos, reputación y regulación… Aportación importante a la evaluación de riesgos.
- Evaluación de la cadena de valor, los procesos críticos de negocio y las capacidades de protección actuales.
- Creación de escenarios de amenazas con amenazas específicas para diferentes sitios, si existen.
- Creación del perfil de recuperación y matriz de riesgos.
- Decisión sobre el tratamiento del riesgo.
- Producción de BCP y DRP integrados en un centro de gestión de crisis (para ser activado cuando exista una alerta de crisis crítica). Se trata de un grupo de altos directivos y equipos de apoyo identificados en los planes y estrategia para activar el BCP y DRP (véase párrafo con más explicaciones).
- Perfil de recuperación final.
Figura 5. Resumen de implantación de proyecto de DRP.
Figura 6. Descripción general de la implementación del proyecto DRP.
Inicio del proyecto.
-
- Planificación y alcance del proyecto.
- Importante cambio en TI.
- Nuevos requisitos operativos.
- Cambios que requieren presupuesto adicional.
- Confirmación de la selección de la ubicación de recuperación ante desastres.
- Comprender los requisitos empresariales.
- TI con liderazgo operativo: especifica los requisitos de recuperación ante desastres: Objetivo de tiempo de recuperación (RTO) Objetivo de punto de recuperación (RPO). Si se trata de un cambio generado por TI, los requisitos operativos existentes permanecen, pero la solución puede cambiar.
- Definición de la estrategia de recuperación.
- Revisar la estrategia de DR existente, buscar puntos únicos de falla de SPOF (análisis de riesgos), encontrar una solución, revisar con las operaciones, obtener el financiamiento para proceder.
- Desarrollar e implementar la solución.
- Implementación de la solución.
- Actualización/redacción de DRP o planes de recuperación.
- Eliminación de SPOF.
- Actualización del sitio de recuperación ante desastres.
- Realización de la prueba de aceptación.
- Dar el relevo a las operaciones de TI.
- Instalar, configurar e iniciar el centro de recuperación ante desastres.
- Explicación de la gestión de crisis
En casi todas las evaluaciones y auditorías hemos llegado a la conclusión de que este aspecto está ausente tanto a nivel gubernamental como regional, local y empresarial. No puede activarse un plan BCP/DRP sin él.
3.1 ¿Qué es y por qué lo necesitamos?
- La gestión de crisis es más que la planificación de la continuidad del negocio y la recuperación ante desastres. Esta es una parte importante de la planificación y preparación para la gestión de crisis y, por supuesto, de la respuesta de la organización.
- Une la recuperación y la continuidad. El programa de gestión de crisis puede activarse como resultado de cualquier evento que impacte o amenace con afectar la seguridad de los empleados, su imagen o la disponibilidad de procesos de negocio críticos para la provisión de productos y servicios.
- El equipo de respuesta a crisis (puede ser virtual: los equipos seleccionados son llamados a la acción cuando es necesario) debe instituir su respuesta de emergencia rápidamente para controlar el problema. Este equipo debe ser capaz de tomar decisiones informadas rápidamente y los miembros del equipo de asuntos corporativos y comunicaciones deben contar la historia de manera precisa, inmediata, repetidas veces y de manera consistente.
- Muchas organizaciones NO tienen una función o proceso de CM. En las organizaciones actuales se está volviendo más crítico dado el aumento de desastres naturales y pandemias, que en la lista de los 10 principales riesgos para 2023 del WEF, junto con el panorama de amenazas de ciberseguridad, los principales eventos geopolíticos, incluido el terrorismo, lo convierten en una parte importante de la gestión de una empresa u organización.
- Debe haber una estrategia y un plan sobre cómo responder, cuándo responder, cómo activar los planes BCP y DRP.
Figura 7. Ejemplo de amenazas y eventos que requieren activación.
Figura 8. Ejemplo de equipo de gestión de crisis.
Figura 9. Niveles de alerta.
Figura 10. Ejemplo del proceso.
Deja tu comentario