Aquí tienes el artículo de: Noviembre, 2024

Si en tu cabeza y cara se empieza a notar el efecto del tiempo, entonces seguramente recordarás esas pláticas que se sostenían entre colegas, a inicios del siglo XXI, en donde se hablaba de escenarios de riesgos, contingencias y desastres, que parecían más una cuestión de ficción que de la realidad. Pláticas en donde todavía se veía como una posibilidad lejana o como algo imposible de ocurrir o simplemente como que uno se encontraba bajo el efecto de alguna droga (¡para ser francos!), cuando se hacían afirmaciones en las que uno se imaginaba el día en que un atentado de bomba, una manifestación o bloqueo violento, un macro apagón, una inundación grave, un ataque cibernético, los fuertes vientos de un ciclón, una epidemia o pandemia, una guerra por recursos como el agua o el petróleo, o un gran incendio fuera de control, paralizarían nuestras actividades cotidianas en el ámbito del hogar o en nuestros propios centros de trabajo.

Algunos acontecimientos de impacto mundial

Hace no más de 20 años se consideraba a la Planeación de la Continuidad (BCP) y a la Recuperación ante Desastres (DRP), como temas NO fundamentales de la estrategia de una organización o aún del hogar mismo. Incluso hoy en día en plena era post-COVID y en medio de las lecciones aprendidas, hay todavía mentes que siguen pensando que considerar estos dos temas, como algo vital para la supervivencia personal y de las organizaciones, continua siendo secundario. Ante esta actitud, solamente expresaré lo que dijo un director técnico del futbol en México: ¡yo respeto opinión, respeto opinión!

Lo cierto es que acontecimientos como los atentados a las Torres Gemelas en la ciudad de Nueva York, la explosión y fuga de material radioactivo de la planta nuclear de Fukushima Japón, el derretimiento del hielo en los polos norte y sur, el incremento del nivel del mar, la fuerza y frecuencia con la que diversos fenómenos meteorológicos se vienen presentando, el incremento de la temperatura en el planeta, el surgimiento de nuevas enfermedades entre los animales y los seres humanos, los apagones en países como EUA, Alemania, México o Noruega, entre muchas otras situaciones no deseadas, ponen nuevamente en el centro de la atención a los temas de continuidad y recuperación ante desastres. Durante la pasada pandemia del COVID-19, ya fuera porque se contaba con este tipo de elementos estratégicos o porque no se contaba aún con ellos, las organizaciones y las personas vimos drásticamente afectadas nuestras formas de vidas cotidianas e incluso nuestras fuentes de trabajo. Curiosidad me ha causado saber que algunas organizaciones que contaban ya con BCPs y DRPs, jamás contemplaron en sus análisis de riesgos, la posibilidad de tener que operar en contingencia durante tanto tiempo o peor aún, tener que considerar la contingencia como parte de la nueva normalidad. Si debemos o no acostumbrarnos a una nueva normalidad, no es tema de este artículo, pero sí lo es el tema de prepararnos y capacitarnos para enfrentar nuevas situaciones globales (eventos, contingencias y desastres), que aún no hemos ni siquiera imaginado como podrían ser.

Planeación de la continuidad: norma ISO 22301

En el tema de la planeación de la continuidad y la recuperación ante desastres, existen hoy en día diversos marcos de referencia, estándares internacionales, asociaciones especializadas en el tema, certificaciones tanto a nivel individual como organizacional, así como estudios de especialización y expertos en la materia, a partir de los cuales podemos echar mano para prepararnos y capacitarnos para hacer frente de mejor manera, a los eventos que pueden comprometer el logro de nuestros objetivos y metas tanto personales como organizacionales (eventos a los que llamaremos “riesgos”).

Una de las normas o estándares más populares en materia de Sistemas de Gestión de Continuidad del Negocio (SGCN), es la ISO 22301:2019.  En esta norma y algunas otras normas complementarias de la serie 22300 (ej. ISO/TS 22317 - BIA), establecen más allá de los requisitos para implementar un SGCN, conceptos y procesos claves para poder prepararnos y capacitarnos adecuadamente para afrontar con mayor posibilidad de éxito, las amenazas existentes y nuevas que van surgiendo en el camino.

De los conceptos y procesos claves a considerar, se encuentran algunos de los siguientes:

• Continuidad del negocio y recuperación ante desastres.
• Plan de continuidad del negocio o BCP (Business Continuity Plan, en inglés).
• Plan de recuperación ante desastres o DRP (Disaster Recovery Plan, en inglés).
• Análisis de impacto al negocio o BIA (Business Impact Analysis, en inglés).
• Valoración de riesgos o RA (Risk Assessment, en inglés).
• Estrategias de continuidad y recuperación.
• Incidente disruptivo o disrupción.
• Amenazas, vulnerabilidades y riesgos, entre otros.

Una persona y una organización que quieran desarrollar una cultura de continuidad y recuperación ante desastres, deben comprender y aprender a aplicar conceptos, procesos y métodos que permitan identificar y valorar los eventos que pueden comprometer el logro de nuestros objetivos y resultados (riesgos), a través de una adecuada valoración de riesgos. También deben saber identificar y ponderar aquellos aspectos o elementos que puedan ser más sensibles y relevantes para el cumplimiento de las actividades diarias, junto con el impacto que podrían causar a la persona u organización en caso de que se vean afectadas por algún evento adverso; para este propósito se realiza un ejercicio de análisis de impacto al negocio. De la valoración de riesgos se obtiene el análisis de riesgos (matriz de resultados), en donde conceptos como riesgos, vulnerabilidades y amenazas, se mezclan para identificar aquellas medidas de mitigación pero sobre todo aquellas amenazas (escenarios), que serán cubiertos por los planes de continuidad y recuperación. Este último punto es el que hace necesaria la revisión y actualización constante de los análisis de riesgos, derivado de los nuevos fenómenos que venimos presenciando (ej. desastres nucleares, pandemias, ciclones, movimientos sociales, incremento de la temperatura, sequías, entre otros).

De la combinación de los resultados de los dos ejercicios anteriores (el BIA y RA), se pueden establecer las estrategias de continuidad y recuperación más adecuadas junto con la tipificación de los incidentes disruptivos, que de presentarse, detonarán (invocar) los planes de continuidad y recuperación que sean diseñados, implementados y operados en su momento por la organización o por la persona en cuestión.

Business Impact Analysis (BIA): norma ISO/TS 22317

Como ya se dijo anteriormente, dos son los ejercicios (BIA y RA) cuyos resultados son la base para definir las estrategias de continuidad y recuperación, que sean más adecuadas para las organizaciones e incluso para las personas en sus hogares, junto con el desarrollo de los planes y procedimientos necesarios. La norma ISO/TS 22317, es un complemento para el desarrollo de un SGCN con base en la ISO 22301, que proporciona una serie de elementos claves para reproducir el proceso mediante el cual, se analiza el impacto causado por un incidente disruptivo o disrupción en la organización, permitiendo determinar aquellos aspectos que resultarían más críticos y por consiguiente, prioritarios en materia de continuidad y recuperación ante desastres.

La norma ISO/TS 22317 fue elaborada con el fin de proporcionar una orientación detallada sobre cómo establecer, implementar y mantener, un proceso de análisis de impacto al negocio o empresarial (BIA), que sea coherente con los requisitos de la norma ISO 22301 (vea la sección 8.2 BIA y RA). Además, la norma es aplicable a cualquier proceso BIA, sin importar si es parte de un SGCN o un Programa de Continuidad del Negocio (BC Programme).

La norma 22317 tiene como propósitos principales, ayudar a las organizaciones y personas con los siguientes puntos:

1. Proporcionar una base sólida para comprender, desarrollar, implementar, revisar, mantener y mejorar continuamente, un proceso BIA eficaz dentro de la organización (métodos).
2. Proporcionar orientación detallada para planificar, realizar e informar sobre los resultados de un BIA (usos).
3. Ayudar a la organización a realizar un BIA de manera consistente y reflejando buenas prácticas de trabajo (cumplimiento).
4. Permitir una coordinación adecuada entre el proceso BIA y el SGCN o el BC Programme (eficacia).

Reflexión final: ¿ISO 22301 e ISO/TS 22317?

Finalmente se quiere invitar a los lectores de este artículo, a hacer una reflexión seria y profunda, sobre la importancia que debe tener la planeación de la continuidad y la recuperación ante desastres. 

El tema debe ser tratado con la prioridad y formalidad estratégica que el caso requiere. ¡Ya no es broma!, las organizaciones y las personas de hoy deben educarse y prepararse sobre temas relacionados con continuidad y recuperación, particularmente ante la serie de cambios e implicaciones adversas que el clima u otros agentes biológicos, están acarreando a la continuidad de las organizaciones en México y el mundo. Seguir sin hacer nada, siempre será la primera opción y también la más fácil -en mi opinión-, pero es por mucho la peor opción que podemos elegir. Por todo lo anterior, te invito a que adquieras, consultes pero sobre todo estudies, lineamientos como los emitidos y proporcionados por el estándar o la norma ISO 22301 e ISO/TS 22317 en materia de SGCN, ¡seguramente no te arrepentirás de esto y obtendrás muchos beneficios organizacionales y personales!

Si a ti te interesa saber más sobre el tema o cómo podemos apoyarte con el Sistema de Gestión de Continuidad del Negocio o con el Business Impact Analysis (BIA) de tu organización, ¡escríbenos, será un gusto platicar contigo y poder asesorarte!

Referencias y/o consultas

1. International Standard ISO/TS 22317:2021, Security and Resilience - Business Continuity Management Systems - Guidelines for Business Impact Analysis (BIA), 2nd Edition.

2. International Standard ISO/TS 22317:2015, Societal Security - Business Continuity Management Systems - Guidelines for Business Impact Analysis (BIA), 1st Edition.

3. Portal de ISO Standards: https://www.iso.org/standard/79000.html e https://www.iso.org/obp/ui/en/#iso:std:79000:en.