No hay nada mejor, que aprender de las experiencias recibidas; sin duda, existe en la actualidad muchísima teoría en temas relacionados a Continuidad de Negocio, Resiliencia, Recuperación de Desastres, Análisis de Riesgos, entre otros temas relacionados, sin embargo, considero que muchas de éstas, son útiles como marco de referencia, pero no para sustituir lo que uno experimenta al estar liderando una actividad como ésta (o cualquier experiencia recibida), sino más bien, para complementar nuestro conocimiento y destreza.

Para mí, sin duda, la gestión de la Continuidad de Negocios es una de las actividades más sorprendentes y apasionantes porque en cada nueva ejecución, nueva consultoría, nuevo cliente, se deja claro que nunca estás del todo preparado – siempre resulta que hace falta algo, que no se documentó aquello, que se recomienda buscar acá o allá, requieres de mantenerte en constante aprendizaje, entre otras cosas. Y de verdad, nunca falta el punto pendiente de trabajo a desarrollar (por muy maduro que este el Sistema de Gestión de la Continuidad de Negocio), y por mucho que se haga el esfuerzo por salir librado de fallas, nunca falta el “Cisne negro” (te recomiendo leer el libro “El Cisne Negro: El Impacto de lo Altamente Improbable” de Nassim Taleb, 2013); y esto es lo interesante de la gestión, lo delirante de esta carrera.

En mi participación como Consultor Sr. y SME (Subject Matter Expert por sus siglas en inglés) para algunos clientes, tanto en cursos sensibilización, de inducción o entrenamiento de temas específicos en cuanto a Continuidad de Negocios, Riesgos y Seguridad de la Información – cuando hablamos de resiliencia, en particular, muchos dicen que escuchan de eso porque es un tema de tendencia, otros que no lo habían escuchado y algunos, si comentan a que se refiere el tema.

De hecho, la definición que incluye la norma ISO22301 referente a Continuidad de Negocio, menciona que Resiliencia es “la capacidad de adaptación de una organización (o una persona, Yo agregaría) en un entorno complejo y cambiante». Y es que, en la actualidad, es una realidad, que estamos en un ambiente turbulento y que no basta con documentar un excelente Plan de Continuidad de Negocios, el tener una Gestión de Crisis adecuada, el actualizar nuestro Análisis de Impacto al Negocio, el gestionar adecuadamente el Sistema de Gestión de Riesgos o un Sistema de Gestión de la Seguridad de Información, el tener documentado y con diagramas definidos del Plan de Comunicación interna, etc.; la realidad es que se requiere de mucho más para ser resiliente.

En una situación más complicada, cuando los clientes, que en ocasiones buscan implementar su Sistema de Gestión de la Continuidad de Negocio, más que por tener una cultura resiliente y que sea un proyecto estratégico, es porque, en alguna auditoria, efectuada por una autoridad competente, le exige, por regulación, tener un Plan de Continuidad implementado, con identificación de Procesos críticos, Tiempos de Recuperación Objetivo, Recursos y Personal crítico, Sistemas, Aplicaciones y Servicios, entre otros aspectos. Y por no contar con ello, les otorgan un plazo de implementación y enseguida, viene la solicitud reactiva de buscar la consultoría. Inclusive, con otros colegas, amigos o clientes, hablar de temas de este tipo, en la mayoría de las ocasiones, coincidimos que, para algunos Ejecutivos, ello representa un gasto inútil. Como lo comenté, solamente, si se trata de un requerimiento que alguna entidad regulatoria externa se los exija a las empresas (como una Comisión Nacional Bancaria y de Valores para las instituciones Financieras), o porque esta empresa pertenece a alguna entidad Corporativa en el extranjero (como el cumplimiento en SOX, para las empresas que cotizan en Wall Street), solo así, es como se ven forzados a invertir en este tipo de soluciones (y aclaro que hay sus excepciones, por supuesto).

Que bien por el lado de Consultoría, porque son oportunidades de ayudar a este tipo de clientes, a cumplir con los requerimientos auditables y regulatorios. Resulta en ocasiones complejo, implementar un Sistema que no está del todo contemplado como una estrategia de negocio, que otorgue un valor a productos y servicios que están acompañados de planes capaces de poder permitir la continuidad del negocio, ante los escenarios turbulentos a los que el negocio pudiera enfrentarse y que solo será un sistema implementado para evitar la penalización.

Es clave entonces, como Consultores, ayudar a los clientes a entender la importancia de tener Planes y estrategias de continuidad, que le den a la organización la resiliencia necesaria para dar continuidad a su cadena de valor, a su negocio, y mejor aún, que sea un valor intangible (como la Reputación de marca).

Sin duda, como decía Mandela, “La educación es el arma más poderosa que puedas usar para cambiar el mundo”. A que me refiero con ello: sencillamente a que la Sensibilización es fundamental, es herramienta clave que podrá ayudarnos, de acuerdo con la norma ISO22301, a “centrar la atención en un interés individual o una serie de asuntos sobre la Continuidad de Negocio y los objetivos de la organización”.

No se debe dejar por fuera, en un Plan de Implementación de un Sistema de Continuidad de Negocio, dentro del proyecto, la Sensibilización para personal de todos los niveles (incluyendo los niveles Ejecutivos de la organización; por muy apretada que sea su agenda), que nos permitan ayudarles a saber cómo cambiar su idea de lo que es la implementación de este tipo de Sistemas, que no solo ayudara a cumplir con temas regulatorios, si no mejor aún y rompiendo paradigmas de muchos Directivos, es la implementación de una estrategia que debe introducirse en la Misión, la Visión y la cultura organizacional, de tal forma que, el valor de marca puede verse, en mucho, beneficiada al contar con una cultura de Resiliencia.

En adición, una vez implementado un Sistema de Gestión de la Continuidad de Negocio, al realizar pruebas, entre otros elementos que nos permitan demostrar toda la funcionalidad que un proyecto de este tipo representa para la organización. Al momento de instituir y manejar indicadores de desempeño del Sistema (como lo menciono en mis cursos y en mis alumnos de Máster: “lo que no se mide, no se controla”), demostrará en gran medida a todos los niveles de la organización, la efectividad, funcionamiento y oportunidades que se generan, además de que no se limita únicamente a cerrar temas auditables y de cumplimiento. Como indica el autor al que referí al inicio, Nassim Taleb: “El problema radica en la estructura de nuestra mente: no aprendemos de reglas si no hechos”.

Una recomendación complementaria que doy, y que no dudo que muchos lectores realizan (quizá otros no, porque así lo he observado en campo), y que en lo personal me funciona, para fortalecer la cultura de resiliencia en las organizaciones, es fomentar el uso de mi bitácora de “Lecciones Aprendidas”. Y es así, porque esta especialidad que relaciona mucho el aprendizaje previo de actividades en laboratorio, bitácoras de errores y como se solucionó, análisis de riesgos, de impactos, donde todos los posibles eventos latentes se enlistan y creo que sirven de buen ejemplo, donde parte de los estudios, planes, etc. específicamente se trata de mitigar los riesgos a través de nuestras experiencias pasadas. Es decir, de mis “Lecciones Aprendidas” recibidas de probar el Plan, de mitigar los errores encontrados, y volver a probar el plan para observar si funcionaron las medidas de mitigación, realizar o actualizar un RA (Análisis de Riesgos) y un BIA (Análisis de Impacto al Negocio) exhaustivo, entre otro tipo de insumos que tenemos para poder robustecer nuestros planes, nuestro Sistema, y mantenerlos en constante mejora (ciclo de Deming PDCA). Como Nassim Taleb escribe: “Actuamos como si fuéramos capaces de predecir los hechos o, peor aún, como si pudiéramos cambiar el curso de la historia”; la realidad, es que estamos en un entorno complejo y cambiante y que no podemos asegurar que siempre será igual.

Concluiría diciendo:

✔ No dejes de capacitarte, ni de capacitar a todas las personas que deben estar inmiscuidas en un Sistema de Gestión de la Continuidad de Negocio.

✔ Lleva tu bitácora de “Lecciones aprendidas”.

✔ En tu planeación de instituir el Sistema de Gestión de Continuidad de Negocio, no dejes a un lado, la actividad de sensibilización a todos los niveles de la organización.

✔ Prueba los planes establecidos, en todos los escenarios posibles – recuerda que, en muchas ocasiones, las contingencias que más daño ocasionan a las empresas son los de menor impacto, pero con mayor probabilidad de ocurrencia.

✔ Mantén una constante actualización de todos los elementos de tu Sistema de Gestión de la Continuidad de Negocio.

✔ Haz sentir al personal de la organización, que este Sistema, es parte de su vida laboral, es parte de la cultura organizacional.

✔ Gestiona los cambios a tus planes y escenarios de recuperación.

✔ Incluye planes de Ciberseguridad (alguna ocasión, con un cliente del sector financiero, escuche mencionar a uno de sus gerentes decir, que su área de Seguridad lógica y de la Información, no era requerida para temas de Continuidad de Negocio – debería leer un poco más, como el reporte del BCI: “BCI Cyber Resilience Report 2018_Web”).

✔ Y finalmente, aplica la resiliencia personal, porque también, estamos sujetos a tener eventos que pongan en situación adversa nuestra vida cotidiana – lección aprendida.