Las empresas frente a las amenazas externas
La norma ISO 22301 se basa en el modelo 'Plan-Do-Check-Act' (PDCA: Planificar, Hacer, Validar y Actuar)
Cómo respondería una empresa ante una situación no prevista que afectara al desarrollo normal de su actividad como un ataque informático, un desastre natural, un incendio en las instalaciones, una interrupción sostenida en las comunicaciones o cualquier otra situación que impacte en las actividades clave de la organización?
Según las estadísticas, dos de cada cinco empresas que han sufrido una situación de este tipo en las que sus actividades clave se han visto afectadas, no vuelven a abrir transcurridos los tres años. Además, una de cada dos sale del negocio después de los dos años.
Con el objetivo de evitar incidentes de este tipo, se han desarrollado las políticas de gestión de la continuidad del negocio. Estas tratan de dar una respuesta óptima frente a las situaciones críticas e inesperadas que pueden alterar el funcionamiento normal de una organización hasta el punto de llegar a ver interrumpida su actividad.
Factores como la creciente dependencia de la tecnología, el incremento de la interdependencia de los proveedores, la mayor competencia e incluso el cambio climático o las amenazas del terrorismo global contribuyen de forma significativa a que las organizaciones vayan tomando conciencia de la importancia de incorporar y mantener sistemas orientados a la continuidad del negocio en su gestión empresarial.
El informe Horizon Scan 2016, creado a partir de una encuesta realizada sobre 568 organizaciones en 74 países, ha permitido identificar cuáles son las diez principales amenazas según las mismas empresas sondeadas, a saber: ciberataques, violación de datos, cortes sobre sistemas IT o comunicaciones, actos terroristas, interrupción de los suministros básicos, disponibilidad de perfiles con habilidades clave o incidencias en la cadena de suministro, climatológicas, de salud o seguridad. A este respecto, es igualmente revelador el hecho de que el 79% de las compañías han experimentado como mínimo un fallo en la cadena de suministro a lo largo de los últimos doce meses.
Todas estas situaciones pueden no llegar a provocar un paro prolongado de las actividades clave, pero sí pueden generar pérdidas económicas millonarias. Por ello, realizar la gestión de la continuidad del negocio implicará identificar los riesgos de una organización y valorar el impacto que dicho riesgo puede tener sobre la actividad de la empresa, con la finalidad de prevenir y/o establecer una actuación planificada que permita dar una respuesta óptima ante una situación disruptiva. Esta actividad dotará, por tanto, de resiliencia a la organización y le permitirá prepararse frente a circunstancias cambiantes que podrían incluso afectar a su supervivencia.
"Realizar la gestión de la continuidad del negocio implicará identificar los riesgos y valorar su impacto sobre la actividad de la compañía”
Esta necesidad creciente por aplicar la gestión de continuidad del negocio ha propiciado la creación de la norma ISO 22301. Esta nueva norma establece un conjunto de requisitos a tener en cuenta para la aplicación de políticas de continuidad del negocio y se basa en el modelo Plan-Do-Check-Act (PDCA: Planificar, Hacer, Validar y Actuar).
A través de este modelo, es posible planificar, establecer, implementar, operar, monitorear, revisar y someter a mejora continua el sistema de gestión de la continuidad del negocio de cualquier organización de forma independiente al tamaño o actividad de esta.
Una vez fijado cómo debe operar el modelo del sistema de gestión de continuidad del negocio en una organización, la norma ISO aborda los distintos aspectos que hay que tener en cuenta para dar contenido al sistema y los agrupa en varios ámbitos (liderazgo, planificación, apoyo, operación, etcétera) que se someterán al modelo cíclico PDCA. El objetivo es que estén siempre actualizados acorde a la realidad cambiante de la organización.
Actualmente, la norma ISO antes mencionada se ha convertido en un referente para la aplicación de políticas de gestión de continuidad del negocio de tal forma que un 51% de las empresas que implementan esta gestión se basan en la ISO 22301. Aquellos sectores en los que hay una mayor penetración de la norma son el sector IT/telecomunicaciones (66%), el sector de servicios profesionales (56%) y el sector financiero (53%).
Si bien esta norma se centra en los requisitos que debe tener un sistema de continuidad del negocio, no establece cómo debe implementarse el sistema. De esto se ocupa la norma 22313, que fija las directrices para la implantación de un sistema de continuidad del negocio y que complementa a la norma 22301.
Por todo ello, se concluye que incidencias que ponen en serio peligro las actividades y el futuro de la empresa son ya una realidad que las organizaciones deben valorar y prevenir a través de la implementación de planes de continuidad de negocio eficientes. De esta forma, podrán asegurar el desarrollo óptimo de sus procesos presentes, así como de los futuros, además de contar con un plan de contingencia que evite la pérdida económica y que permita garantizar su continuidad en el negocio.
Lluís Duch es gestor de Proyectos, Seguridad Pública y Emergencias en Hexagon Safety & Infrastructure.