La Resiliencia, un tema que es tendencia pero pocos aplicamos.

No hay nada mejor que aprender de las experiencias recibidas; sin duda, existe en la actualidad muchísima teoría en temas relacionados a Continuidad de Negocio, Resiliencia, Recuperación de Desastres y Análisis de Riesgos entre otros, sin embargo, considero que muchas de ellas son útiles como marco de referencia, pero no para sustituir lo que uno experimenta al estar liderando una actividad como ésta, sino más bien, para complementar nuestro conocimiento y destreza.

Para mí, la gestión de la Continuidad de Negocios es una de las actividades más sorprendentes y apasionantes; en cada nueva ejecución, nueva consultoría o nuevo cliente, se deja claro que nunca estás del todo preparado, siempre hace falta algo y de verdad, nunca falta el punto pendiente de trabajo a desarrollar, por muy maduro que esté el Sistema de Gestión de la Continuidad de Negocio y por mucho que se haga el esfuerzo por salir librado de fallas nunca falta el “Cisne negro” (te recomiendo leer el libro “El Cisne Negro: El Impacto de lo Altamente Improbable” de Nassim Taleb, 2013); y esto es lo interesante de la gestión, lo delirante de esta carrera.

En mi participación como Consultor Sr. y SME (Subject Matter Expert por sus siglas en inglés) para algunos clientes, tanto en cursos de sensibilización, inducción o entrenamiento de temas específicos en cuanto a Continuidad de Negocios, Riesgos y Seguridad de la Información, cuando hablamos de Resiliencia, muchos dicen que escuchan de eso porque es un tema de tendencia, otros que no lo habían escuchado y algunos que sí saben de lo que trata.

De hecho, la definición que incluye la norma ISO22301 referente a Continuidad de Negocio, menciona que Resiliencia es “la capacidad de adaptación de una organización (o una persona, Yo agregaría) en un entorno complejo y cambiante» y es que en la actualidad estamos en un ambiente tan turbulento que no basta con documentar un excelente Plan de Continuidad de Negocios, tener una Gestión de Crisis adecuada, actualizar nuestro Análisis de Impacto al Negocio, gestionar adecuadamente el Sistema de Gestión de Riesgos o un Sistema de Gestión de la Seguridad de Información o tener documentado y con diagramas definidos del Plan de Comunicación interna, etc.; la realidad es que se requiere de mucho más para ser Resiliente.

En una situación más complicada, cuando los clientes que en ocasiones buscan implementar su Sistema de Gestión de la Continuidad de Negocio, más que por tener una cultura resiliente y que sea un proyecto estratégico, lo realizan por la exigencia en alguna auditoría o regulación y al no no contar con ello, les otorgan un plazo de implementación y enseguida viene la solicitud reactiva de buscar la consultoría inclusive, con otros colegas, amigos o clientes, hablar de temas de este tipo, en la mayoría de las ocasiones, coincidimos que para algunos Ejecutivos representa un gasto inútil. Como lo comenté, solamente, si se trata de un requerimiento que alguna entidad regulatoria externa se los exija a las empresas (como una Comisión Nacional Bancaria y de Valores para las instituciones Financieras), o porque la empresa pertenece a alguna entidad Corporativa en el extranjero (como el cumplimiento en SOX, para las empresas que cotizan en Wall Street), solo así, es como se ven forzados a invertir en este tipo de soluciones, aclarando que hay sus excepciones.

Que bien por el lado de Consultoría, porque son oportunidades de ayudar a este tipo de clientes a cumplir con los requerimientos auditables y regulatorios, resulta en ocasiones complejo implementar un Sistema que no está del todo contemplado como una estrategia de negocio, que otorgue un valor a productos y servicios que están acompañados de planes capaces de poder permitir la continuidad del negocio, ante los escenarios turbulentos a los que el negocio pudiera enfrentarse y que solo será un sistema implementado para evitar la penalización.

Es clave entonces, como Consultores, ayudar a los clientes a entender la importancia de tener Planes y estrategias de continuidad que le den a la organización la Resiliencia necesaria para dar continuidad a su Cadena de Valor y mejor aún, que sea un valor intangible como la Reputación de marca.

Sin duda, como decía Mandela, “La educación es el arma más poderosa que puedas usar para cambiar el mundo” y me refiero con ello a que simplemente la Sensibilización es fundamental, es la herramienta clave que podrá ayudarnos, de acuerdo con la norma ISO22301, a “centrar la atención en un interés individual o una serie de asuntos sobre la Continuidad de Negocio y los objetivos de la organización”.

No se debe dejar por fuera en un Plan de Implementación de un Sistema de Continuidad de Negocio, la Sensibilización para personal de todos los niveles, incluyendo los niveles Ejecutivos de la organización, lo que permitirá ayudarles a saber cómo cambiar su idea de lo que es la implementación de este tipo de Sistemas, que no solo ayudará a cumplir con temas regulatorios, si no mejor aún, ir rompiendo paradigmas de muchos Directivos. Es la Implementación de una Estrategia que debe introducirse en la Misión, la Visión y la cultura organizacional, de tal forma que el valor de marca pueda verse beneficiada al contar con una cultura de Resiliencia.

En adición, una vez implementado un Sistema de Gestión de la Continuidad de Negocio, al realizar pruebas, entre otros elementos que nos permitan demostrar toda la funcionalidad que un proyecto de este tipo representa para la organización, al momento de instituir y manejar indicadores de desempeño del Sistema, demostrará en gran medida a todos los niveles de la organización, la efectividad, funcionamiento y oportunidades que se generan, además de que no se limita únicamente a cerrar temas auditables y de cumplimiento. Como indica el autor al que referí al inicio, Nassim Taleb: “El problema radica en la estructura de nuestra mente: no aprendemos de reglas si no hechos”.

Una recomendación complementaria que doy y que en lo personal me funciona para fortalecer la cultura de resiliencia en las organizaciones es fomentar el uso de la bitácora de “Lecciones Aprendidas” en donde relacionamos el aprendizaje previo de actividades en laboratorio, bitácoras de errores y el cómo se solucionó, análisis de riesgos e impactos y en donde todos los posibles eventos latentes se enlistan; específicamente se trata de mitigar los riesgos a través de nuestras experiencias pasadas, es decir de mis “Lecciones Aprendidas” recibidas de probar el Plan, de mitigar los errores encontrados y volver a probar el plan para observar si funcionaron las medidas de mitigación, realizar o actualizar un RA (Análisis de Riesgos) y un BIA (Análisis de Impacto al Negocio) exhaustivo, entre otro tipo de insumos que tenemos lograremos robustecer nuestros planes, nuestro Sistema y mantenerlos en constante mejora (ciclo de Deming PDCA). Como Nassim Taleb escribe: “Actuamos como si fuéramos capaces de predecir los hechos o peor aún, como si pudiéramos cambiar el curso de la historia”; la realidad, es que estamos en un entorno complejo y cambiante y que no podemos asegurar que siempre será igual.

Concluiría diciendo:

No dejes de capacitarte, ni de capacitar a todas las personas que deben estar inmiscuidas en un Sistema de Gestión de la Continuidad de Negocio.
Lleva tu bitácora de “Lecciones aprendidas”.
En tu planeación de instituir el Sistema de Gestión de Continuidad de Negocio, no dejes a un lado la actividad de sensibilización a todos los niveles de la organización.
Prueba los planes establecidos en todos los escenarios posibles.
Mantén una constante actualización de todos los elementos de tu Sistema de Gestión de la Continuidad de Negocio.
Haz sentir al personal de la organización que este Sistema es parte de su vida laboral, es parte de la cultura organizacional.
Gestiona los cambios a tus planes y escenarios de recuperación.
Incluye planes de Ciberseguridad.
Y finalmente, aplica la resiliencia personal, porque también, estamos sujetos a tener eventos que pongan en situación adversa nuestra vida cotidiana – lección aprendida.

Fuente: DRJ en Español

¿Le podemos ayudar en algo?

Capacitación en ISO 22301

Consuloría para Seguridad, Ciberseguridad, Riesgo de TI y Continuidad de Negocio ISO 27001 – ISO 22301 – ISO 27032 – ISO 31000

Más información