La gestión de riesgos después de la pandemia

Por María Camila Arévalo J., el 14 de agosto, 2020

2-1

Al hablar de gestión de continuidad de negocio existe inicialmente la necesidad de plantearse ¿qué es lo que el negocio necesita cuidar?, ¿qué puede amenazar el negocio?, y posteriormente preguntarse ¿cómo debe hacer el negocio para permanecer ante la materialización de amenazas?, estas preguntas, aunque básicas, pueden establecerse para iniciar la preparación de un plan que integre múltiples factores para llevar a cabo la continuidad de los procesos de una organización, y por ende mantener la operación ante adversidades sin que la operación falle o cese definitivamente. 

En primer lugar, se abordará un enfoque frente a los riesgos a los cuales puede verse expuesta una organización y que de alguna forma pueden o tienen la relevancia dada sus probabilidades de ocurrencia, pues bien, sea este el momento para considerar algunas situaciones que pueden afectar materialmente a una organización. 

En el siguiente especial usted encontrará la manera en la que deben actuar las empresas al momento de enfrentarse a una amenaza como la que estamos viviendo con la llegada del coronavirus (COVID-19)

La continuidad del negocio se define como la capacidad de una organización para prevenir, atender, recuperar y restaurar las funciones críticas del negocio ante un evento, de tal forma que continúen, sin importar las circunstancias.

La gestión de la continuidad del negocio se establece como un proceso sistemático que define una organización para determinar cuáles son los impactos potenciales que pueden afectar la continuidad de la operación de un negocio, proporcionando los lineamientos para determinar y desarrollar las estrategias encaminadas a:

  • Pro-actividad de gestión de riesgos.
  • Determinación de respuestas eficaces, eficientes y flexibles para salvaguardar los intereses de las partes interesadas.
  • Establecer los procedimientos necesarios para cubrir las necesidades de las partes afectadas e involucradas ante un incidente.
  • Mantener gobernabilidad, reputación e imagen de la organización ante eventos materializados.

La gestión de la continuidad del negocio, involucra al gestor de riesgos como un actor relevante en la creación de valor para la organización, aportando una visión diferente, objetiva y centralizada en las necesidades del negocio.

Por su parte, el DRP (Disaster Recovery Plan, por sus siglas en inglés) se define como el conjunto de acciones encaminadas a restablecer las operaciones del negocio (Servicios TI) de manera preventiva ante la ocurrencia de un incidente que comprometa los activos de información.

Elementos de un BCM

Para establecer la gestión de la continuidad del negocio es importante considerar los siguientes:

  • Activos: personas, información, servicios, aplicaciones, entre otros.
  • Amenaza: eventos no deseados que pueden resultar en un daño o indisponibilidad en los activos, estos eventos pueden ser voluntarios, accidentales o fortuitos, ejemplos: incendios, terremotos, atentados terroristas, etc.
  • Vulnerabilidad: hace referencia a debilidades propias (o internas) de un activo de información que puede ser aprovechada por una amenaza.
  • Impacto: se considera como el efecto resultante de la ocurrencia de un evento sobre las operaciones de la organización.
  • Probabilidad: es la posibilidad de que ocurra un evento en un tiempo determinado.

Estructuración de un plan 

Para determinar un plan de continuidad del negocio o recuperación de desastres se consideran aspectos como: la definición de una metodología, la organización de un plan, la definición y dirección de los esfuerzos, y los requerimientos del personal para ejecutarlo. 

Determinación de los Riesgos

El entendimiento del negocio es la base fundamental para la determinación de los riesgos y su nivel de exposición, para establecer un adecuado contexto del BCM el nivel de riesgo se entenderá sobre los procesos y actividades de misión crítica, considerando las opciones por los cuales estos puedan verse interrumpidos.  

Dentro de esta etapa, se identifican los recursos sobre los cuales las actividades de misión crítica son soportadas como personas, tecnológica, información, suministros, proveedores, entre otros; estableciendo las vulnerabilidades y el impacto que pueden llevar si el riesgo se materializa presentando una interrupción en la operación.

Como resultado de esta fase, se establecen los posibles escenarios o eventos que puedan materializarse, se determina su nivel de severidad a través de una evaluación de los riesgos, probabilidad e impacto, esto permitirá establecer las estrategias más adecuadas para su mitigación.

Determinación de las estrategias

Para el establecimiento de las estrategias en el plan de continuidad del negocio se consideran claves los siguientes elementos:

  • Establecer las prioridades para implementación de las estrategias. Considerando el análisis de riesgos y el BIA, pueden determinarse las prioridades de implementación de las estrategias.
  • Evaluación de las estrategias planteadas. Las estrategias de mitigación consideran en sí unos requerimientos técnicos y funcionales que deben ser contemplados dentro de su evaluación.
  • Evaluación de los requerimientos físicos y humanos. Identificar los elementos físicos necesarios para el correcto funcionamiento de la estrategia, así como las necesidades del personal, su perfil y disponibilidad.
  • Desarrollar un análisis final de costo/beneficio de las estrategias.  Establecer el costo de implementación de las estrategias del plan de continuidad, evaluando dichos costos en comparación con los riesgos y necesidades evaluadas previamente.
  • Contar con el apoyo de la Alta Gerencia y definir mecanismo efectivo de reporte.  La alta gerencia y personas interesadas del negocio deben conocer acerca de las estrategias y contar con su apoyo; así mismo, es relevante determinar un proceso de reporte y comunicación periódico que permita consolidar las expectativas de los mismos, así como prever la comunicación oportuna de inconvenientes y situaciones que requieran de solución. 

Descargue la guía gratuita para gestionar un plan de continuidad de negocio, según la ISO 22301

Temas:Gestion de RiesgoCOVID-19Pandemia

Comentarios