La gestión de crisis y la continuidad del negocio: la clave para superar un desastre

En estos momentos en los que aún seguimos sufriendo la crisis sanitaria que ha provocado la COVID-19, reflexionas y te das cuenta que no puedes pensar más que en reafirmarte en lo que siempre has divulgado y no es otra cosa más que resaltar la importancia de la gestión de crisis en una situación de desastre. Si no llevamos a cabo una adecuada gestión de crisis, una buena comunicación o no tenemos un adecuado Plan de Continuidad de Negocio, en adelante PCN, estamos perdidos.

Creo necesaria una reflexión por partes:

Gestión de crisis basadas en ciberataques

Los acontecimientos que se están llevando a cabo, en este tiempo de pandemia, solo me dan que pensar en que la gestión de crisis no ha sido adecuada desde que la COVID-19 llego a nuestras vidas, en que hemos fallado gestionando, quizás, el mayor desastre al que nuestra generación ha tenido que hacer frente.

Hoy en día, estamos muy acostumbrados, porque es la moda, a centrarnos en los escenarios que contemplan ciberataques. Entiendo que los ciberataques son más numerosos, más llamativos, etc. Pero ¿hemos basado nuestra gestión de crisis solo en ellos? ¿Hemos contemplado el impacto de un caso no ciber como una pandemia o una alerta sanitaria del estilo? ¿Estamos preparados para gestionar algo así? ¿Hemos realizado una correcta evaluación de impacto en el negocio?

La comunicación es esencial en una gestión de crisis

Como parte de la gestión de crisis debemos tener un buen plan de comunicación. Debemos conocer ¿Qué debemos comunicar?, ¿Cuándo debemos comunicar?, ¿Cómo debemos comunicar?, Y ¿a quién debemos comunicar? Todo esto es clave para no causar histeria o un impacto desmedido. Los acontecimientos acaecidos en este periodo de pandemia me dan que pensar, ¿se esta comunicado en tiempo y forma la información sobre la COVID-19? La información que se esta comunicando, ¿es la adecuada? Los medios utilizados, ¿son suficientes?

Hoy en día es fácil experimentar las consecuencias de tus acciones en el mundo real, entendiendo como mundo real la unión del mundo ciber y del físico. Si lo haces bien, disfrutarás de tu buen trabajo; si lo haces mal, enseguida tendrás que lidiar con comentarios perjudiciales para tu “bienestar personal, laboral y corporativo”.

5 etapas para gestionar una situación de crisis

Por ello, es imprescindible adoptar una serie de actitudes a la hora de enfrentarse a una situación de crisis: anticiparse a la crisis, prever los diferentes escenarios posibles, conocer tus capacidades y recursos, formar un equipo de gestión de crisis, elaborar los mensajes a transmitir y ser rápido en el tiempo de respuesta.

Por tanto, en un contexto de crisis, será esencial adoptar una postura estratégica, que atienda a las 5 etapas que comento a continuación (5 R):

Reducción

Controla bien a tus usuarios, sondeando sus inquietudes, sus demandas y sus percepciones frente a la crisis establecida.

Respuesta

Coordinando la comunicación tanto a nivel interno como externo, con suma calma se meditará bien el mensaje que se quiere transmitir. No será igual cuando se trate de un error de la empresa que si se trata de un bulo.

Reacción

Primeramente, sería imprescindible contar con un equipo específico de gestión de crisis, con un plan preventivo para hacer efecto a dicha situación. Seguidamente, detectar en dónde está el problema y contenerlo

Recuperación

Deberemos elaborar un plan de actuación que implique el análisis de la pérdida de prestigio y de clientes que hemos sufrido, como de aquellos usuarios que nos han seguido fieles.

Replanteamiento

Una vez subsanado el problema, es efectivo sentar las bases de un plan que recoja toda la experiencia acumulada en la crisis y así poder elaborar un adecuado plan de gestión para que no se vuelva repetir.

La gestión de crisis persigue la contención del desastre con el menor impacto posible.

El Plan de Continuidad de Negocio como herramienta para la gestión de crisis

La gestión de crisis es parte de lo que debemos tener desarrollado dentro de nuestro Plan de Continuidad de Negocio. Esto me hace pensar, ¿hemos estamos preparados para la situación de excepción generada? Durante este tiempo de pandemia se han tomado medidas excepcionales hasta límites nunca vistos como es la cancelación de las clases en todos los niveles educativos, el confinamiento de la población, el teletrabajo, la limitación de la libertad de movimiento de las personas, etc. Muchos son los críticos y retractores, pero considero que para ello debemos hacer reflexión sobre las medidas y los medios para cumplir con ellas. Y es aquí cuando me vienen más preguntas, ¿hemos estamos preparados?, ¿hemos podido seguir la formación en todos los niveles educativos?, ¿las empresas han estado realmente preparadas para poder teletrabajar?, ¿hemos contemplado este escenario real dentro de los posibles en el Plan de Continuidad de Negocio?

Todas estas preguntas me hacen pensar en la importancia de realizar una buena definición del PCN para su posterior implantación. De forma resumida, para tener un buen PCN debemos pasar por las siguientes fases:

Identificación de procesos: debemos hacer un levantamiento de activos y procesos implicados en nuestro negocio, organización, etc., que sean objeto de necesitar continuidad.
BIA (Análisis de Impacto en el negocio): lo siguiente a realizar es valorar como afectaría a nuestro negocio y organización un desastre en los procesos identificados. Con esto obtendremos la información que necesitamos para determinar cuales son los procesos críticos y clave de nuestra organización y nos ayudara a priorizar acciones sobre ellos para protegerlos y garantizar su continuidad.
Análisis de Riesgos: sabiendo cuales son mis activos y procesos críticos a proteger. Debemos determinar que riesgos corren cada uno de ellos para saber por dónde somos más vulnerables.
Escenarios y estrategias: cuando sabemos cuales son nuestros activos y procesos, cuáles son los más críticos y que riesgos tienen, estamos en disposición de establecer los escenarios de riesgo que puedan afectar a mi organización y que estrategias debemos adoptar para protegerlos.
Gestión de Crisis: debemos establecer el mejor plan para gestionar la crisis y como realizar la comunicación. Se debe determinar las personas mas adecuadas para gestionar la situación de crisis, cuales son las partes implicadas, que debemos comunicar, como debemos comunicar, a quien debemos comunicar, en que plazos debemos comunicar, cuando el equipo de gestión de crisis (DRT) entra en acción, hasta cuando está activo este equipo,…
DRP (Plan de Recuperación de Desastres): una situación de desastre no puede ser gestionada, normalmente, siguiendo los procesos y procedimiento de actuación habituales. Por ello se han de desarrollar los procedimientos de actuación y gestión en estos casos.
Plan de pruebas: es necesario probar y practicar todo lo que hemos desarrollado. Podemos tener el mejor PCN pero si no se prueba y de forma periódica se comprueba la utilidad, viabilidad e idoneidad del plan podemos caer en la obsolescencia y que el impacto que supone un desastre sea mucho mayor.

En la “nueva normalidad” que tanto desean los organismos de gobierno, las empresas, los ciudadanos… tendrá que adaptar la gestión de su trabajo, sus servicios y su negocio a escenarios no contemplados hasta la fecha de una forma real.

En mi modesta opinión creo que lo mejor es la capacitación y concienciación de las personas como vía de prevención para protegernos de un impacto mayor. Como decía mi querido Murphy “Si algo malo puede pasar, pasará”. Yo soy creyente de esta afirmación, pero considero que, aunque algo malo vaya a pasar somos capaces de estar preparados para que cuando pase duela lo menos posible. Tengamos en cuenta que el ser humano es el animal con mayor capacidad de adaptación por eso mismo considero que a partir de ahora la forma de trabajar va a cambiar y empezaremos a dar la importancia que se merece a garantizar la continuidad de los servicios, del negocio, al fin y al cabo, un PCN es la herramienta con la que podemos garantizar que en una situación de desastre mi negocio puede continuar aunque sea de forma degradada.

Carlos José García-Gallardo

CyberSecurity Director

Asseco Spain Group

Asseco Poland

Asseco Denmark

Asseco Lithuania

Asseco Nigeria

Asseco Eastern Europe

Asseco Spain Group

Asseco PST

Asseco Georgia

Asseco Central Europe

Slovakia

Czech Republic

Hungary

Asseco Solutions

Germany

Switzerland

Austria

Asseco South Eastern Europe

Albania

Bosnia and Hercegovina

Bulgaria

Croatia

Kosovo

Macedonia

Moldova

Montenegro

Romania

Serbia

Slovenia

Turkey