La continuidad del negocio se ha convertido en un tema recurrente en los tres últimos años
Acontecimientos inesperados, como la pandemia del COVID-19 o la guerra de Ucrania, han puesto de manifiesto la delicada operación de muchas compañías que de repente han visto como sus habituales procedimientos de trabajo han quedado alterados.
Covid-19 como punto de partida
La realidad de la situación generada por la pandemia hace tres años demostró que la inmensa mayoría de las compañías no se habían planteado la posibilidad de que este riesgo se materializara. Podríamos incluso ir un poco más lejos y afirmar que aquellas que lo consideraron, lo hicieron asignándoles valores de poca probabilidad e incluso cuantificando su impacto económico —que no humano— como razonablemente asumible.
Lo cierto es que cuando en marzo de 2020 el mundo entero fue confinado, las señales de alarma ya llegaron demasiado tarde. De la noche a la mañana, millones de empresas vieron reducidas, cuando no interrumpidas, sus actividades sin saber siquiera cómo afrontar ese nuevo escenario que se mostraba ante ellas.
No en vano, muchas organizaciones carecían de un Plan de Continuidad que tuviera en consideración la posibilidad de que, por ejemplo, los empleados no pudieran desplazarse a las oficinas durante días o incluso semanas.
Planes de continuidad improvisados
Las soluciones en muchos casos fueron improvisadas y sin las debidas precauciones. Los más intrépidos se lanzaron a desplegar mecanismos como el teletrabajo —conexiones remotas junto al despliegue de servicios en la nube, sistemas de videoconferencia, etc.— que suponían nuevos riesgos que ni siquiera se paraban a estudiar. Y ahí comenzaron a materializarse otros riesgos, principalmente asociados a la ciberseguridad.
Sin embargo, no todo se redujo a este tipo de contingencias. Apenas un par de años después la guerra de Ucrania volvió a poner sobre la mesa un tipo de eventualidad cuya probabilidad, antes remota, se convertía ahora en certeza.
Las vulnerabilidades de las infraestructuras críticas, las cadenas logísticas o los organismos gubernamentales pusieron en liza la necesidad de evaluar cómo reaccionar frente a un posible ataque que afectara a la operatividad de las empresas o los servicios al ciudadano.
Nuevos riesgos, nuevos planes
Ciertamente resulta sencillo hacer planes cuando todo marcha bien. Siempre es más atractivo pensar en cómo hacer crecer el negocio o cómo conseguir los objetivos que pararse a reflexionar sobre qué ocurrirá si las cosas se torcieran o incluso qué podría ocasionar que los objetivos no se consiguieran. Sin embargo, son precisamente estas preguntas las que toda compañía debe hacerse cara a afrontar sus propios riesgos. Riesgos que de materializarse pueden poner en serios problemas a una organización.
Los eventos inesperados, como hemos podido comprobar en los últimos meses, se han multiplicado: incidentes naturales, decisiones geopolíticas, errores en equipos y sistemas globales o incluso actos de terrorismo o de guerra.
Hace unos meses, sin ir más lejos, por ejemplo, leíamos sobre la posibilidad, remota o no, de que una tormenta solar —que tendría lugar en los próximos cinco años— afectara a redes de transporte que hacen uso de elementos metálicos, como oleoductos o redes de telecomunicaciones. Los ejemplos desafortunadamente son numerosos.
A cualquiera de nosotros se nos ocurrirían ejemplos para ilustrar esta situación, desde los habituales ciberataques —como el ocurrido a Colonial Pipeline—, a los fallos en los suministros de energía, alteraciones en las cadenas de producción de microchips, errores en las actualizaciones del software de redes sociales o incluso erupciones volcánicas, exceso de emisiones de gases contaminantes o simplemente actos de guerra. Pareciera como si estuviéramos asistiendo a un cambio en las probabilidades de materialización de estos riesgos, hasta ahora considerados por muchos como marginales.
Revisando los Planes de Continuidad
Sin embargo, la gran mayoría de los planes de continuidad apenas recogen con la debida importancia la probabilidad de que estos eventos ocurran. Según algunos estudios, más de un 60% de las compañías están actualmente redefiniendo sus Planes de Continuidad para hacer frente nuevos escenarios: riesgos en las cadenas de suministros, incendios, cortes de energía, pandemias, eventos medioambientales, etc.
La redefinición de los Planes de Continuidad no es una tarea que debe tomarse a la ligera. Trae consigo un nuevo análisis del alcance del plan junto con una revisión del funcionamiento de la propia organización. De hecho, el resultado deber ser consistente con la determinación de una nueva estrategia de continuidad y un plan de respuesta ante contingencias que incluya riesgos hasta ese momento considerados marginales.
En el mundo actual, el entorno es mucho más cambiante, complejo y, sobre todo, está más interconectado. Por ejemplo, la propagación de riesgos entre organizaciones es infinitamente más rápida y sus consecuencias globales tienen mayor impacto. Por eso mismo, revisar e interrelacionar los Planes de Continuidad con terceras partes debe ser una prioridad máxima.
Bien es cierto que todo este proceso lleva su tiempo y esfuerzo minucioso, pero merece la pena. Eso sí, que a nadie se le ocurra pensar que, sin un Plan de Continuidad, los empleados de una compañía sabrán cómo actuar ante una emergencia o que una mera póliza de seguro cubrirá sus pérdidas en caso de un incidente serio.
Las consecuencias de esa decisión, llegado el momento, podrían llegar a ser también desastrosas.
