BCP
Uno de los escenarios que siempre se sugiere
incluir en el Plan de Continuidad del Negocio (BCP) por sus siglas en Ingles,
es el de la pandemia, de hecho aparece referenciado en Wikipedia https://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio
los otros escenarios que se deberían contemplar en un buen plan de BCP SON
al menos la ausencia de cualquiera de los tres pilares (Gente, Procesos y
Tecnología), el estándar ISO 22301 Gestión de Continuidad del Negocio que
especifica los requisitos para el sistema de gestión de continuidad del
negocio, define el BCP como "La capacidad de continuar la prestación de
productos o servicios en los niveles predefinidos aceptables tras incidentes de
interrupción de la actividad" y esta claramente orientado al negocio, tal
como el DRP está orientado a la tecnología.
Las organizaciones que realizaron de manera
juiciosa el ejercicio del BCP, seguro pudieron responder de manera más
planeada, tranquila y organizada a los retos que empezaron a plantear las
decisiones de los diferentes gobiernos respecto al COVID-19, las que no, bueno reaccionaron,
se apalancaron con las soluciones de tecnología que ya tenían implementadas
para dar accesos por VPN a sus servicios, seguramente el acceso por VPN no es
novedad en muchas de las grandes y medianas compañías, pero la cantidad de
usuarios que las están usando hoy en día si que se volvió una novedad, y esto
causo colapsos no solo en las áreas de TI mientras asignaban accesos por VPN's hasta el límite de
sus capacidades, sino que los canales de Internet se congestionaron, no por la
salida de tráfico desde la organización hacia internet, sino por el ingreso de
los usuarios que buscaban como realizar sus actividades normales para cumplir
con su trabajo, literalmente el tráfico se invirtió de sentido.
Días después de este nuevo panorama en las
organizaciones, empiezan a surgir las preguntas de rigor, la gente se conecta,
pero realmente están siendo productivos ?. Adicional a ello se empiezan a
plantear monitoreos sobre servicios e infraestructuras de seguridad que en
inicio no estuvieron diseñados para soportar ese número de usuarios, o para monitorearse a ese nivel de detalle, el buen uso de
herramientas como Team's, One Drive, Google Drive o de otros repositorios institucionales es hoy una duda comun,
las afectaciones desde la seguridad de la información ante este nuevo panorama
aún no están claras, los usuarios accediendo a los recursos de la organización
desde equipos que no cumplen los requisitos mínimos de seguridad, la falta de
trazabilidad sobre los recursos de la organización que están quedando
almacenados en estos equipos, la productividad que es muy complicada de medir
de manera presencial, el stress de funcionar en modo virtual, algunos mandos
medios enseñados a su micro gerencia medida por el tiempo que dura la gente
sentada en su puesto de trabajo, en donde tenian más control de las actividades de sus colaboradores, la necesidad de trabajar en un sitio que no está diseñado para
ello y muchas otras consecuencias de este cambio abrupto para todos nosotros tendrán
que empezar a decantarse, a medirse, a mejorarse
El ejercicio del plan de continuidad se debe
complementar con el DRP, con el plan de emergencias y adicionalmente con el
plan de comunicación de crisis, la realización de un BCP a conciencia, serio y
no solo por cumplir, debería ser un ejercicio obligatorio dentro del proceso de
gestión de riesgos para cualquier organización y los escenarios deberán incluir
riesgos que hasta inicio de año se consideraban posibles, pero poco probables,
la responsabilidad de darle continuidad al negocio no es de un solo gerente o
del director de riesgos, la responsabilidad de la continuidad del negocio es
principalmente del comité directivo y es él, el que tiene que asumir esta
responsabilidad y garantizar los recursos para realizar estos ejercicios de
manera profesional y planead, lamentablemente muchas organizaciones no van a
tener oportunidad de enmendar el error de no haberse tomado en serio su BCP,
para las demás las lecciones aprendidas demostraran que cualquier escenario en
realidad puede suceder más temprano que tarde.
Las organizaciones deberán ahora
intentar mudar a la fuerza a escenarios de prestación de servicios digitales y
a condiciones de teletrabajo eficientes, escenarios que tuvieron años para
desarrollar de manera lenta y coordinada, pero la pandemia nos enseñó que la
lentitud en la adopción de nuevas tecnologías y teletrabajo fue un error que se
puede terminar pagando hasta con la propia existencia (de las organizaciones),
esperar que esta al menos sea una lección aprendida para las organizaciones que
logren sobrevivir a este gran reto.
