Seguramente en su niñez escucharon el cuento Pedro y el lobo, en otras latitudes también llamado Juanito y el lobo, a este pastorcito le gustaba divertirse a costas de los aldeanos cuando este daba falsas voces de socorro. La gente del pueblo fue dos veces a socorrerlo antes de ignorar sus postreros pedidos, finalmente el lobo devora a las ovejas del pastorcito. A muchos nos enseñaron diversos valores mediante este cuento.
Este cuento ha venido a mi mente en repetidas ocasiones durante el tiempo de la pandemia, particularmente al inicio de esta. Medité en cuántas veces los ejecutivos o los gerentes habrán pensado que les hablaba Pedro, el pastorcito. ¿Cuántas veces habré sido Pedro, aún sin la intención de serlo? ¿Cuántas veces habré sido parte del pueblo?
Recuerdo muchas instancias de análisis de posibles escenarios que podrían interrumpir la prestación de nuestros servicios o afectar las empresas; muchos de los cuales referían a una pandemia (recuerdo puntualmente uno de estos análisis en 2008 en una conocida consultora de sistemas en la que trabaje). En general el comité se inclinaba por escenarios con impactos medios o bajos, pero de remotas posibilidades, con lo cual terminaban siendo probabilidad “baja” e impacto “bajo”; no porque el impacto en sí fuera bajo sino porque pensamos en enfermedades que no habían llegado a Latinoamérica, vale recordar que la gripe aviar (reportada en 2005) era uno de los antecedentes inmediatos. Luego llegaron otras pandemias que se cobraron la vida de cientos de miles de personas en todo el mundo, aun así, en varias de las empresas que tuve el privilegio de trabajar o asesorar no se previó un escenario como el que inició a fines del 2019. Siendo honesto, miro a enero del año 2020 y tampoco lo recuerdo.
Nunca es tarde para comenzar, hoy puede ser un buen día para comenzar o reactivar el proyecto de gestión de continuidad del negocio en su empresa. Lo importante es comenzar.
Tengo el privilegio de servir a las pequeñas y medianas industrias, para varios de nosotros “Pymes”, donde se emplea a la gran mayoría de las personas en general, tanto en Latinoamérica como en otras regiones. Cuando llegamos muchas veces nos sorprende el gran esfuerzo que se realiza para brindar sus servicios y mantenerse operacional. Los principios que comparto aplican tanto a las grandes empresas como a nuestras queridas Pymes.
Algunos conceptos, cuando hablamos de “Gestión de la Continuidad del Negocio” (BCM siglas del inglés) hablamos de un proceso de gestión holístico que cubre tanto la “recuperación del desastre” (DRP siglas en inglés) como el “plan de continuidad del negocio” (BCP siglas del inglés). BCM nos provee un marco de respuestas que nos permite proteger los intereses de la empresa, su objetivo principal es permitir que esta continúe con sus operaciones de negocio bajo determinadas circunstancias.
Estas “determinadas circunstancias” se acuerdan en un comité, con un equipo compuesto por los referentes de las áreas, tanto del lado del negocio como del área de soporte o servicios, debería incluir a sus socios de negocios también llamados proveedores. Es aquí donde nos repartimos los roles, quienes serán del equipo de Pedro, quienes serán del equipo del lobo y quienes serán el pueblo.
En el marco de la certificación como profesionales de seguridad de sistemas de la información (CISSP ISC2 por sus siglas en inglés) una de las áreas de conocimiento y práctica dentro del dominio de operaciones de seguridad refieren a la “Continuidad del Negocio” y la “Recuperación del negocio”. Es nuestra tarea minimizar los efectos de riesgos negativos que puedan afectar a las empresas que servimos. Si hay algo de lo que podemos estar seguros es que tarde o temprano tendremos un evento que cause un impacto negativo, trataremos de contener pérdidas y evitar efectos mayores al negocio. Como profesionales de seguridad de la información necesitamos tener planes para cuando lo impensable ocurra, muchas veces extremos e impredecibles. Buscaremos asegurar que nuestras empresas continúen operando.
Cuando hablamos de “recuperación del desastre” (DRP) nos referimos a minimizar los efectos de la disrupción que un evento negativo cause al negocio, tomando todos los pasos necesarios para asegurar que los recursos, las personas, y los procesos de negocios puedan volver a operar. En términos prácticos el DRP nos ayuda a gestionar los desastres y las ramificaciones, cuando el evento sucedió, no hay vuelta atrás.
En el caso de los “planes de continuidad del negocio” estos proveen los métodos y procedimientos para tratar con interrupciones prolongadas y desastres. En el BCP encontraremos acercamientos más amplios a los problemas, será nuestra hoja de ruta durante la crisis. Con lo cual se piensa antes, tal como los bomberos o personal de respuesta a emergencias, nosotros deberíamos tener esta hoja de ruta diseñada, acordada y conocida por los miembros clave de la empresa. Como diría una vieja pauta comercial “durante una emergencia no hay tiempo para pensar”.
Establecidos algunos conceptos generales, nos toca comenzar la tarea. ¿Por dónde comenzamos? ¿Es un buen momento? ¡Estamos agotados!
Es real que muchos de nosotros estamos “sugestionados” o incluso atravesando alguna de las etapas del cambio o duelo que menciona Kubler Ross. Tal vez esto nos ayude a imaginar posibles escenarios que bajo otra circunstancia no podríamos.
Un ejemplo que me viene a la mente, hace tiempo leí un artículo periodístico sobre el gobierno de Japón que comenzó a prepararse para una eventual guerra contra OVNIS (*). Bajo la luz de los últimos acontecimientos vividos entre 2019 y 2021, ¿alguien se atrevería a desafiar estos planes o evaluaciones de este escenario?
Cada empresa decidirá hasta donde analizarán sus escenarios o condiciones en las cuales sus operaciones podrían verse afectadas. Nuevamente lo importante será comenzar.
Permítanme compartir una de las mejores prácticas como referencia, NIST 800-34 rev.1, la cual si bien aplica específicamente a planes de contingencia de áreas de tecnología (TI) tiene pasos similares para crear un programa de BCP y BCM.
En el primer punto esta guía nos recomienda “desarrollar la declaración de la política de planificación de continuidad”, esta política nos proveerá la guía necesaria para desarrollar un BCP y asignar la autoridad necesaria a los roles que llevarán a cabo las tareas.
En el segundo paso deberemos conducir un “análisis de impacto del negocio” (BIA por sus siglas en ingles), este análisis nos permitirá identificar las funciones y sistemas críticos, incluyendo los roles, con los cuales se determinarán las prioridades. Se identificarán vulnerabilidades y amenazas, y calcularemos riesgos.
Tercer paso, “identificar los controles preventivos”. Conociendo las amenazas, deberemos identificar e implementar controles y contramedidas para reducir los niveles de riesgo.
Cuarto paso, “crear estrategias de contingencia”. A través de la formulación de métodos que aseguren los sistemas y funciones críticas que deberán restablecerse rápidamente.
Quinto paso, “desarrollar un plan de contingencia de los sistemas de información”. Necesitaremos escribir procedimientos y guías para saber cómo la organización puede mantener estos sistemas funcionales aún en estados degradados.
Sexto paso, “asegurarse de evaluar el plan, entrenar a los miembros clave y ejercitar”. Evaluaremos el plan para identificar deficiencias, y conduciremos entrenamientos para preparar a los miembros del equipo en las tareas que esperamos que realicen.
El séptimo y último paso, “asegurarse de mantener el plan”. Necesitaremos actualizar el BCP, este documento debería ser actualizado regularmente.
Una de las mayores dificultades que enfrentamos durante las crisis es aprovechar la oportunidad para aprender. Tener un plan ayuda a mantener el foco, en seguir en la ruta y buscar el mejor camino en vez de estar arreglando el automóvil al costado de la ruta, mientras observo cómo los demás siguen avanzando.
No dejen de creer en Pedro, no había mentido solo que tal vez no supo comunicar su mensaje. El lobo y la peste siguen allá afuera. Es un buen momento para comenzar la gestión de la continuidad del negocio, valdrá el esfuerzo y los ayudará a preservar sus negocios.
“No importa que, espere lo inesperado, y siempre que sea posible sea lo inesperado” (Lynda Barry)
(*) fuente: Diario Perfil. Nota Japón se prepara para una eventual guerra contra los OVNIS
Por Javier Gómez (CISSP) – Fundador & Partner de ITSC SAS