A principios del siglo XXI…
¿Quién no recuerda aún esas pláticas que se sostenían entre colegas a principios del siglo XXI, en materia de riesgos, contingencias y desastres que podrían presentarse, que parecían más de ciencia y ficción que la realidad? Conversaciones en donde todavía se veía como una posibilidad lejana o como un cuento de extraterrestres o como algo imposible de ocurrir en el contexto de ese entonces o simplemente como que andaba uno bajo el efecto de algún tipo de droga (¡para ser francos!), cuando se hacían aquellas afirmaciones en las que uno se aventuraba a imaginar el día en que un atentado de bomba, una manifestación o bloqueo violento, un macro apagón, una inundación grave, un ataque cibernético, los vientos huracanados o un gran incendio fuera de control, paralizarían nuestras actividades cotidianas ya fuera en el ámbito del hogar o en nuestros propios centros de trabajo.
Te invitamos a leer:
La mejor información de la industria en la Revista Con Mantenimiento Productivo
Responsabilidad Social Digital, lo nuevo
Fue hace no más de 20 años cuando se consideraba a la planeación de la continuidad y a la recuperación ante desastres, como temas NO fundamentales de la estrategia de una organización o aún del hogar mismo. Incluso hoy en día en plena era COVID-19, hay todavía mentes que siguen pensando que considerar estos dos temas, como algo vital para la supervivencia personal y colectiva, continua sin ser prioritario. Como dijo un famoso director técnico de futbol en México: “¡yo respeto opinión!”.
Lo cierto es que similar a lo que pasó el 11 de septiembre con las Torres Gemelas en la ciudad de Nueva York, durante el año 2020, nuevamente los temas de continuidad y recuperación ante desastres volvieron a adquirir relevancia. Ya fuera porque se contaba con este tipo de elementos estratégicos o porque no se contaba aún con ellos, las organizaciones y las personas vimos drásticamente afectadas nuestras vidas cotidianas e incluso nuestras fuentes de trabajo, por razones de pandemia. Curiosidad me ha causado saber que algunas organizaciones que contaban ya con sus planes BCP y DRP, jamás contemplaron en sus análisis de riesgos, la posibilidad de tener que operar en contingencia durante tanto tiempo o peor aún, tener que considerar la contingencia como parte de la nueva normalidad. Si debemos o no acostumbrarnos a una nueva normalidad, no es tema de este artículo, pero sí lo es el tema de prepararnos y capacitarnos para enfrentar nuevas situaciones globales (ej. eventos, contingencias y desastres), que aún no hemos ni siquiera imaginado como podrían ser.
Planeación de la continuidad: ISO 22301
En el tema de la planeación de la continuidad y la recuperación ante desastres, existen hoy en día diversos y muy ricos marcos de referencia, estándares internacionales, asociaciones especializadas en el tema, certificaciones tanto a nivel individual como organizacional, así como estudios de especialización y expertos en la materia, a partir de los cuales podemos echar mano para ilustrarnos, prepararnos y capacitarnos para hacer frente de mejor manera a los eventos que pueden comprometer (a los que llamaremos más adelante “riesgos”), el logro de nuestros objetivos y metas tanto organizacionales como personales.
En este artículo, utilizaré como referencia una de las normas o estándares más conocidos y populares en materia de Sistemas de Gestión de Continuidad del Negocio o SGCN (Seguridad y Resiliencia), que es la ISO 22301:2019. En esta norma y algunas otras normas complementarias de la serie 22300 (ej. ISO/TS 22317 [BIA]), se establecen más allá de los requisitos para implementar un SGCN, conceptos y procesos claves para poder prepararnos y capacitarnos adecuadamente para afrontar con mayor posibilidad de éxito, las amenazas existentes y nuevas que vayan surgiendo en el horizonte.
De los conceptos y procesos claves a considerar y que debemos aprender para adquirir una cultura de continuidad y recuperación ante desastres, se encuentran algunos de los siguientes:
- Continuidad del negocio y recuperación ante desastres.
- Plan de continuidad del negocio o BCP (Business Continuity Plan por sus siglas en inglés).
- Plan de recuperación ante desastres o DRP (Disaster Recovery Plan por sus siglas en inglés).
- Análisis de impacto al negocio o BIA (Business Impact Analysis por sus siglas en inglés).
- Valoración de riesgos o RA (Risk Assessment por sus siglas en inglés)
- Estrategias de continuidad y recuperación.
- Incidente disruptivo o disrupción.
- Amenaza, vulnerabilidad y riesgo.
Una persona y una organización que quieran desarrollar una cultura de continuidad y recuperación ante desastres, deben comprender y aprender a aplicar conceptos, procesos y métodos que permitan identificar y valorar los eventos que pueden comprometer el logro de nuestros objetivos y resultados (riesgos), a través de una adecuada valoración de riesgos. También deben saber identificar y ponderar aquellos aspectos o elementos que puedan ser más sensibles y relevantes para el cumplimiento de las actividades diarias, junto con el impacto que podrían causar a la persona u organización en caso de que se vean afectadas por algún evento adverso; para este propósito se realiza un ejercicio de análisis de impacto al negocio. De la valoración de riesgos se obtiene el análisis de riesgos (matriz de resultados), en donde conceptos como riesgos, vulnerabilidades y amenazas, se mezclan para identificar aquellas medidas de mitigación pero sobre todo aquellas amenazas (escenarios), que serán cubiertos por los planes de continuidad y recuperación. Este último punto es el que hace necesaria la revisión y actualización constante de los análisis de riesgos, derivado de los nuevos fenómenos que venimos presenciando (ej. desastres nucleares, pandemias, ciclones, movimientos sociales, calentamiento global, entre otros).
De la combinación de los resultados de los dos ejercicios anteriores (el BIA y RA), se pueden establecer las estrategias de continuidad y recuperación más adecuadas junto con la tipificación de los incidentes disruptivos, que de presentarse, detonarán (invocar) los planes de continuidad y recuperación que sean diseñados, implementados y operados en su momento por la organización o por la persona en cuestión.
Cambio climático: implicaciones para el mundo actual
Es de todos sabido que el planeta está experimentando cambios en su comportamiento climático, mismos que están alterando significativamente nuestra relación e interacción con la naturaleza y sus fenómenos (conciencia ambiental). Y es también de todos sabido que de acuerdo con la información histórica que hasta ahora se tiene, este tipo de cambios climáticos no son nuevos y se han venido presentando en diferentes etapas dentro de la historia de nuestro planeta tierra. Existen voces en el mundo que indican que la actividad económica o la acción inconsciente del ser humano contemporáneo, está acelerando e incluso acentuando los cambios en el clima, mismos que han venido derivando en eventos que están afectando con mayor frecuencia e intensidad, nuestra estabilidad y bienestar social. Determinar con certeza si el cambio climático es una realidad o no, es tarea de los científicos, pero generar conciencia sobre el tema y saber cómo actuar mediante una adecuada preparación y capacitación, es tarea de todos los que habitamos esta tierra. Más aún, asegurarnos de poder dejarle a las generaciones que aún no han nacido y a la infancia de hoy, un planeta que puedan estas, seguir habitando y disfrutando como nosotros lo hemos podido hacer hasta ahora, es una prioridad y una responsabilidad social que todos debemos abrazar (sustentabilidad).
La planeación de la continuidad y la recuperación ante desastres, debiera ser una materia que las nuevas generaciones tendrían que estudiar durante su etapa de formación escolar, para crecer con esta cultura y no tener que preocuparse más por que sea un aspecto a considerar en la sociedad futura; de la misma manera, así como las generaciones actuales debieran también tomar algún curso básico para instruirse de manera adecuada en la materia y con esto poder asegurar su sobrevivencia en el presente.
Las amenazas humanas (ej. ciberataques) y no humanas (ej. desastres naturales) a nivel global están en un proceso acelerado de diversificación e intensificación, como diariamente lo podemos constatar al escuchar las noticias. La capacidad del ser humano de prever, organizarse y responder a estas amenazas de manera oportuna, no está siguiendo el mismo ritmo acelerado. Mientras la política y la economía sigan siendo los únicos argumentos válidos para tomar decisiones, la sociedad y el ambiente seguirán pagando las facturas de esto. Es un hecho innegable que el clima del planeta cambia y que los efectos de estas alteraciones están teniendo su efecto sobre nuestras actividades diarias y sobre las condiciones de vida del ser humano. Así pues, más allá de la polémica que ocasiona este tema, el hecho es que el clima del planeta está cambiando notablemente y con este, los riesgos a los que están expuestos los individuos, las sociedades, las naciones y sus organizaciones públicas y privadas. No hacer nada ante esta situación no es la opción correcta, así que debemos pensar seriamente en aprender a mitigar riesgos e implementar planes de continuidad y recuperación ante desastres.
Manejo de riesgos, contingencias y desastres
En días pasados al interactuar con el personal de un cliente, pude notar que ante la actual contingencia por la pandemia de COVID-19 -cuya duración ha sido demasiado prolongada para una contingencia, como lo puede ser la ocurrencia de un terremoto o un aviso de bomba-, o el actual desastre por la pandemia de COVID-19 –que en materia de salud y economía nos encontramos padeciendo, por los daños ocasionados en el mundo-, hay personas y organizaciones que han perdido de vista la diferencia entre lo que debe ser una “operación en condiciones normales” y una “operación en condiciones extraordinarias”.
Recordemos que los planes de continuidad y recuperación ante desastres, se invocan y operan cuando un incidente disruptivo interrumpe las actividades normales y solamente durante este tiempo, debiendo después ejecutarse el plan de vuelta a la normalidad. Y dependiendo de la tipificación del incidente disruptivo, se pueden detonar solamente los planes de respuesta a emergencias (para manejo de contingencias y como parte de los planes de continuidad y recuperación, por ej. evacuación de instalaciones) o todos los planes de continuidad y recuperación (para manejo de desastres, por ej. plan de evaluación de daños, de comunicación, de emergencias, de manejo de crisis, de salvamento, etc.). No se debe confundir la presencia de un incidente en operación normal (mientras no sea un incidente mayor), con un incidente disruptivo que nos lleva a operación extraordinaria. En el primer caso, se habla de que es la disponibilidad la que se está viendo afectada y son las actividades, roles, planes y mecanismos habituales los que se ejecutan para resolver esta situación; mientras que en el segundo caso, se habla de que es la continuidad la que se está viendo afectada y son las actividades, roles, planes y mecanismos extraordinarios los que se ejecutan para responder ante tal situación.
Aunque tanto en la operación normal como en la extraordinaria se gestionan riesgos, es bajo el paraguas de la continuidad que cuando uno de estos riesgos se materializa, implica que la amenaza relacionada a este riesgo se ha presentado, ocasionando según su naturaleza, desde una situación de contingencia regularmente de temporalidad corta, hasta daños y afectaciones lo que conlleva a la declaración de un desastre y a la eventual recuperación. Así pues, es importante no confundir conceptos como: incidentes disruptivos, riesgos, contingencias y desastres que se presentan en condiciones de operación extraordinaria, con los incidentes y riesgos que se presentan en condiciones de operación normal. Finalmente y para fortalecer estos conceptos, resumiremos las principales características para diferenciar cada uno de estos conceptos:
- Riesgos: eventos de incertidumbre que comprometen los objetivos y resultados esperados, siendo causados por amenazas del entorno.
- Contingencias: situaciones de emergencia causadas por un evento disruptivo, que requieren mayormente de acciones preventivas, reductivas y correctivas para su atención.
- Desastres: situaciones extraordinarias causadas por un evento disruptivo y en donde han ocurrido ya daños o afectaciones materiales y/o humanas, que requieren mayormente de acciones represivas y correctivas para su contención y recuperación.
Reflexión final: continuidad de las organizaciones
Como resultado de este pequeño artículo, queremos invitar a los lectores a hacer una reflexión seria y profunda, sobre la importancia que debe tener la planeación de la continuidad y la recuperación ante desastres, contra los efectos que está teniendo el cambio climático en nuestro planeta tierra.
El tema debe ser tratado con la prioridad y formalidad estratégica que el caso requiere. ¡Ya no es broma!, las organizaciones y las personas de hoy deben educarse y prepararse sobre temas relacionados con continuidad y recuperación, particularmente ante la serie de cambios e implicaciones adversas que el cambio en el clima, está acarreando a la continuidad de las organizaciones en el mundo. Seguir sin hacer nada, siempre será la primera opción y también la más fácil -en mi opinión-, pero es por mucho la peor opción que podemos elegir. Te invito a que adquieras, consultes pero sobre todo estudies, lineamientos como los emitidos y proporcionados por el estándar o la norma ISO 22301:2019 en materia de SGCN, ¡seguramente no te arrepentirás de esto y obtendrás muchos beneficios personales y organizacionales!
Consultas y referencias bibliográficas
1. International Standard ISO 22301: Security and resilience – Business Continuity Management Systems – Requirements. Published in Switzerland by ISO. Second edition, 2019-10.
2. Technical Specification ISO/TS 22317: Societal security – Business Continuity Management Systems – Guidelines for business impact analysis (BIA). Published in Switzerland by ISO. First edition, 2015-09-15.