Blog

La pandemia COVID-19 está afectando al mundo de una forma que la mayoría de nosotros ni imaginaba, obligando a las organizaciones públicas y privadas a enfrentar muchos desafíos para mantener sus operaciones.
Indudablemente, la crisis del COVID-19 nos plantea que hay muchas cosas para mejorar en lo que a capacidad de respuesta se refiere y en estos aspectos nos enfocaremos, ya que históricamente los momentos de crisis han sido un catalizador fundamental para mejorar los enfoques metodológicos que guían a las organizaciones en sus prácticas de gestión y la planificación de la continuidad del negocio no ha sido una excepción.

Los atentados del 11S del 2001 dejaron en claro que las organizaciones tenían que prepararse para responder ante cualquier tipo de contingencias, incluso las inimaginables, lo que derivó en un cambio muy importante en los enfoques metodológicos aplicados hasta ese momento para desarrollar soluciones de continuidad del negocio. Más adelante, en el 2008, a raíz de la crisis financiera en USA, dónde el 85% de los servicios básicos eran brindados por empresas privadas, se puso en evidencia la necesidad de contar con un marco de referencia que permitiera, en este caso al gobierno, evaluar la calidad de las soluciones de continuidad operativa con que contaba las empresas críticas del país, lo que impulsó la aplicación del estándar desarrollado por el British Standards Institution, BS 25999, que más tarde dieran lugar a la Norma ISO 22301. La idea pues, es tratar de identificar el aprendizaje que está dejando la crisis del COVID-19 en relación a este tema.

La planificación de la continuidad del negocio busca desarrollar las capacidades de prevención y respuesta de las organizaciones ante las contingencias. Pero dado que trabajar en la prevención siempre tiene un grado de incertidumbre importante, debido a que la identificación y el análisis de riesgos no son ciencias exactas, la mayoría de las organizaciones se focalizan en desarrollar sus estrategias de respuesta, que es lo correcto. Realizada esta salvedad, igualmente comparto la siguiente información: el reporte del Business Continuity Institute (BCI) “Horizon Scan Report” correspondiente al año 2018, incluye un artículo específico en relación a las pandemias “Case Study: Pandemics”. El informe del año 2019 por su parte, menciona como “Cisne Negro” (sucesos de baja probabilidad pero alto impacto) los “brotes de enfermedades” y finalmente, el informe del año 2020, recoge las evaluaciones de riesgos realizadas por las organizaciones participantes, considerando los 12 meses anteriores, donde se ve que el riesgo “incidentes asociados a la salud” figura como el de mayor exposición, ocupando el primer lugar, desplazando al riesgo “interrupciones de IT y telecomunicaciones”, que históricamente encabezaba la lista, a un segundo lugar. Cabe acotar que, al momento de realizarse ese estudio, ya habían comenzado los contagios del COVID-19. Aparentemente los avisos estaban, pero no los escuchamos.

Enfocándonos en la capacidad de respuesta que están teniendo las organizaciones a la crisis del COVID-19, vemos que el nivel de éxito alcanzado es muy variado e indudablemente se han podido identificar varias oportunidades de mejora. Estas no siempre tienen que ver con aspectos técnicos o metodológicos, sino que también ha incidido muchas veces el enfoque con que las organizaciones han trabajado en la planificación de la continuidad de sus operaciones.
Un problema que enfrentaron varias de ellas es que desarrollaron sus planes con el objetivo fundamental de satisfacer requerimientos de cumplimiento, lo que las llevó muchas veces a adoptar una perspectiva muy parcial en relación a la capacidad de recuperación real que buscaban garantizar. Dicha “parcialidad” puede observarse en las etapas de la contingencia cubiertas por los planes, el entrenamiento del personal involucrado, la disponibilidad o no de los recursos requeridos para ejecutar las estrategias y planes definidos y/o el nivel de actualización de estos.
Esto evidencia que las organizaciones no siempre son conscientes de la importancia real de poder garantizar la continuidad de sus operaciones, lo que también se suele reflejar en la falta de compromiso de parte de la alta gerencia en el tema. En algunos casos estas estrategias son, o se visualizan, como muy puntuales o que no reflejan las expectativas de la organización en relación al tema; tanto que ahora mismo, hay varias organizaciones en la región en las que los equipos de Continuidad Operativa no están participando en la gestión de la crisis del COVID-19, ni siquiera como asesores.

Por otro lado, en lo que a capacidad de gestión de la crisis se refiere, si bien esta situación colocó a las organizaciones en un escenario no imaginado para la mayoría, en líneas generales aquellas que habían trabajado en la planificación de la continuidad operativa, contaron con un nivel de preparación y desempeño muy superior que el resto, si bien hay aspectos a mejorar, fundamentalmente asociados a poder mantener las actividades, usualmente de respuesta inmediata, por más tiempo. Por ejemplo, el seguimiento de la situación del personal; las medidas de protección de datos, que suelen enfocarse al momento del incidente y poco más; y las estrategias de comunicaciones internas y externas, que no suelen ser pensadas para mantenerse tanto en el tiempo. En relación a este último punto, adicionalmente en este caso, está siendo muy importante tener la capacidad de realizar el seguimiento de la prensa, fundamental en relación a los informes emitidos por el gobierno, tarea que no siempre estaba considerada.

Si analizamos ahora la capacidad real que han tenido las organizaciones de recuperar sus operaciones, se han registrado problemas inherentes a la naturaleza de esta situación, muy difíciles de resolver y otros que tienen más que ver con la calidad de las estrategias y planes definidos, más sencillos de atender.

Dentro de los aspectos inherentes a la situación, más allá de la prolongación en el tiempo, que agrava cualquier problema, la cuarentena nos desafía a tener que recuperar el negocio sin contar con todo el personal, al menos en forma presencial, lo cual es muy difícil para muchas organizaciones y por otro lado, nos quita uno de los recursos más críticos del negocio, que pocas veces está listado en los Business Impact Analyisis (BIAs), que son los clientes (este es un caso muy puntual, al margen del cual, los BIAs, está siendo de mucha utilidad para todas las organizaciones). Estos dos factores han sido la causa de muchos de los ajustes que se han debido realizar: el primero en relación a la forma de operar, surgiendo como alternativas el Teletrabajo (“Home Office”) y/o la “digitalización” de la función de ventas y delivery y el segundo, buscando la adecuación a la demanda real a satisfacer en este momento, teniendo en cuenta no solo la variación en la cantidad de clientes, sino también en sus necesidades.

En relación al teletrabajo, pese a que en muchos casos es una excelente opción, su implementación puede presentar problemas, tanto desde el punto de vista tecnológico como del personal, ya que no todos están acostumbrados a trabajar de esta forma y adicionalmente lo deben hacer en un momento complejo, de incertidumbre y preocupación (otro aspecto inherente a la situación). Además, se debe tener en cuenta que esta modalidad de trabajo nos puede obligar a modificar procedimientos que se realizaban de manera presencial, con registros físicos, como ser revisiones, validaciones, autorizaciones, etc. De todos modos, contar con un Sistema de Comprobantes Fiscales Electrónico (Facturación Electrónica), el alto grado de bancarización en el país y la Firma Digital reglamentada, están siendo de gran ayuda en ese sentido en este momento.

En relación a los aspectos metodológicos, la principal debilidad se registra en los planes diseñados para responder antes ciertas situaciones específicas, si bien este enfoque no es sugerido desde el 2001. El problema radica en que es prácticamente imposible considerar todas las posibles contingencias a enfrentar y esta pandemia es un ejemplo. Las estrategias de respuesta no deben atender a “qué sucedió” sino que se deben diseñar teniendo en cuenta “cómo quedó la organización”, en términos de la disponibilidad o no de sus recursos críticos. De esta forma, las estrategias se logran independizar de lo sucedido y tienen más capacidad para adaptarse a la realidad.

Otro problema que están teniendo varias organizaciones en el manejo de la crisis del COVID-19, es poder garantizar un nivel de seguridad y control adecuado en su operación en contingencia, sobre todo si han debido improvisar estrategias de respuesta. Por diversas restricciones, en muchos casos las operaciones en régimen de contingencia cuentan con un nivel de seguridad y control inferior al habitual, el cual probablemente fue aprobado bajo el supuesto de que estas no se extenderían mucho en el tiempo. La situación actual, por lo tanto, puede significar una mayor exposición a riesgos de lo esperado, generando brechas de seguridad, por ejemplo en relación a las políticas de conexión de dispositivos propios a la red corporativa (“Bring Your Own Device -BYOD), uso de Zoom como herramienta para realizar video conferencias, explotación de debilidades de los accesos remotos habilitados, así como el potencial aumento de robo de identidad (Phishing¹).

Reflexión: ¿y después qué?

Para enfrentar esta situación ocasionada por la crisis del COVID-19, prácticamente todas las organizaciones han debido modificar su forma de operar, o lo deberán de hacer en un futuro cercano si quieren garantizar su sustentabilidad a largo plazo. Y si bien todo lo antes mencionado genera un espacio de mejora en lo que a planificación de la continuidad operativa se refiere, queda claro que esta adaptación implica una serie de cambios que exceden por completo a esta práctica.
Las organizaciones capaces de gestionar los cambios e innovar ágilmente, adaptándose con un perfil de riesgos gestionado, están teniendo y tendrán una ventaja significativa sobre el resto. Esta capacidad o comportamiento se denomina “resiliencia corporativa” y si bien se puede presentar naturalmente en algunas organizaciones, es posible desarrollarla metódicamente.
La resiliencia corporativa busca mejorar el posicionamiento de la organización para poder anticipar y explotar cualquier tipo de cambio, incluso los derivados de una crisis, pero no solamente estos, tratando de adaptarse para prosperar, no solo para “sobrevivir”. El foco en este caso pasa a ser que la organización permanezca en el tiempo siendo relevante, viable y competitiva, respondiendo positivamente al cambio.

Por todo lo anterior, creo que este es el gran aprendizaje que nos está dejando la crisis del COVID-19, la resiliencia corporativa es un enfoque más amplio que la planificación de la continuidad de las operaciones, que lo complementa, no lo sustituye y nos ofrece lo que toda organización realmente quiere: un futuro próspero.

Lo invitamos a acceder al artículo completo y a participar de una encuesta que le permitirá conocer su nivel de madurez en relación a la planificación de la continuidad del negocio y resiliencia corporativa haciendo clic en la imagen debajo.

Graciela Ricci
CISA, CGEIT, CRISC – Directora de Unidad Valor y Gestión

¹ El termino Phishing es utilizado para referirse a uno de los métodos más utilizados por delincuentes cibernéticos para obtener información confidencial como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de la víctima, en forma fraudulenta.