Estás en Chile y esta vez, el temblor es mucho más fuerte de lo usual, de hecho, es un terremoto. O estás en España y hubo una inundación. Quizás estás en República Dominicana o Argentina y hubo un atentado terrorista. O estás en México y hubo un apagón nacional. Lo cierto es que en tu empresa ya no tienen acceso a sus sistemas críticos y la información esencial para operar no está disponible. A pesar de la situación, hay una cadena de partes interesadas que piden respuestas inmediatas. Los teléfonos no dejan de sonar.
Un incidente capaz de paralizar la organización es difícil de prever. Puede tratarse de incendios, hackeo, tsunamis, sequías extremas, caídas de servidores, borrado de datos, huelgas, muerte o enfermedad de personal clave, multas, clausuras, entre otros. Esto es incontrolable en ocasiones, lo que sí se puede prever es cómo reaccionar, y disponer de un BIA (Business Impact Analysis) nos ayuda a lograrlo.
El análisis de impacto al negocio o BIA es una herramienta que nos lleva a identificar los procesos vitales, cuánto tiempo se puede estar sin ellos y cuánto tiempo puede pasar antes de considerar irrecuperable el negocio. El BIA nos ayuda a pensar en todo y a planificarlo antes de que suceda, de modo que estemos preparados para enfrentar la contingencia eficazmente. Según Valora Data, 9 de cada 10 organizaciones chilenas no dispone de un plan de continuidad de negocios. Esto explica por qué, ante la más mínima crisis, el país puede colapsar.
Disponer de un BIA hará la diferencia entre la desorganización total y el dominio de la situación. Para hacerlo, partiremos por:
Clave 1: Identifica tus procesos
No todos los procesos son igual de importantes, ¿cuál es el corazón de tu negocio? Dependiendo de ello, elegirás la producción, recepción de suministros, atención al cliente, control de calidad o la facturación. ¿Cómo sabrás identificar cuál es crítico? Escribe todos los procesos de tu negocio y ordénalos en un flujo. Por ejemplo, si tienes una panadería, estos serían los procesos:
- Compra de insumos (harina, levadura, etc.).
- Producción (amasado, horneado).
- Venta (presencial/delivery).
- Cobranza y facturación.
- Limpieza.
Una vez hayas reconocido todos los procesos, será más fácil identificar cuáles de ellos son críticos para el funcionamiento del negocio.
Clave 2: Reconoce los procesos críticos evaluando diferentes criterios
¿Qué pasa si un proceso del negocio se detiene? Por ejemplo, si el proceso de hornear pan se detiene, no habrá producto que vender y los clientes se irán. Por lo tanto, es crítico. Por otro lado, la limpieza de los hornos es muy importante, pero si ese proceso se detiene por un día o varios, el horneado y las ventas podrían continuar.
Con el fin de tener un panorama más completo de la criticidad de un proceso, es importante que se identifiquen las consecuencias administrativas, legales, financieras, operativas y reputacionales de una interrupción. Por ejemplo, cuánto dinero perderías si un sistema deja de funcionar. Si vives de las ventas, como en los call centers o retails, puedes conocer qué pasaría si los sistemas de pago fallan, cuántos millones perderías por cada hora y cuántos nuevos clientes/contratos dejarías de conseguir. Entre septiembre de 2022 y mayo de 2023, el Banco Falabella de Chile presentó fallas variadas en sus sistemas digitales que perjudicaron a los usuarios. Ante esta situación, el SERNAC inició un Procedimiento Voluntario Colectivo que dejó como resultado que Falabella compensara a los clientes afectados. Las consecuencias de no atender la crisis a tiempo abarcan varios aspectos del negocio.
Conocer el impacto de las interrupciones considerando diferentes criterios ayuda no solo a prepararte con tiempo, sino a conseguir ayuda externa y justificar inversiones en respaldos y soluciones y capacitaciones.
Es crucial que respondas:
- ¿Hay multas o penalizaciones por incumplimiento?
- ¿Cuánto costará reparar/reemplazar lo dañado?
- ¿Podemos operar en modo manual/emergencia? ¿A qué costo?
- ¿Cuántos clientes se verán afectados directamente?
- ¿Qué tan mala sería la opinión del cliente?
- ¿El problema se va a viralizar en redes sociales?
Según datos del estudio Does language matter. The impact of language on the customer journey, de CSA Research, el 80% (de encuestados) afirma que la experiencia que ofrece la empresa es tan importante como los productos y servicios que vende y que el 78% de los clientes abandonaría una marca tras una mala experiencia.
Clave 3: Define los tiempos y puntos de recuperación de los procesos críticos
Si el desastre o contingencia se hacen presentes, necesitas saber en cuánto tiempo la organización para recuperarse y cuánto puedes perder sin que haya una catástrofe. El RTO (recovery time objective – objetivo de tiempo de recuperación) es el tiempo máximo que puede estar inactivo un proceso o sistema crítico antes de que el impacto sea considerable para tu negocio. En un hospital, si el sistema de historias médicas falla, debe reestablecerse inmediatamente porque hay vidas en peligro; podemos hablar de un RTO de minutos. Si es una empresa que fabrica zapatos la máquina principal se avería, puedes disponer de un RTO de horas para hacer las reparaciones y evitar incumplir con un cliente importante.
Igualmente el RPO (recovery point objective – objetivo de punto de recuperación) será un dato necesario, y te ayudará a saber la cantidad máxima de datos que tu negocio puede permitirse perder si ocurre un desastre. Por ejemplo, una tienda en línea puede tener un RPO de 1 hora, es decir, acepta perder los pedidos de la última hora, puesto que suele tener backups cada 60 minutos.
Para que veas la diferencia entre el RTO y el RPO, te presentamos esta tabla:
| Disrupción | RTO (tiempo de recuperación) | RPO (pérdida de datos) |
|---|---|---|
| Ataque de ransomware | ¿Cuánto tiempo máximo podemos operar en modo manual antes de que el cliente se vaya a la competencia? | ¿Cuántos datos (transacciones, documentos) estamos dispuestos a ingresar manualmente? |
| Caída de servidor de e-commerce | ¿En cuánto tiempo debemos restaurar la web para evitar cancelaciones masivas de pedidos?» | ¿Aceptamos perder pedidos de la última hora? ¿O necesitamos recuperarlos todos? |
| Terremoto (infraestructura dañada) | ¿Cuántos días podemos detener la producción sin incumplir contratos clave? | ¿Necesitamos recuperar datos hasta el minuto previo al desastre, o basta con los de ayer? |
| Error humano (borrado de datos) | ¿Cuánto tiempo nos tomará reconstruir la base de datos desde el último backup? | ¿Qué registros son irrecuperables si se pierden)? (contratos firmados hoy) |
| Corte de energía prolongado | ¿Cuántas horas de inactividad son tolerables antes de que los productos perecederos se echen a perder? | ¿Los datos generados durante el apagón pueden digitalizarse después? |
| Falla en facturación electrónica | ¿Cuánto tiempo tenemos para solucionarlo antes de recibir multas del SII? | ¿Podemos permitirnos perder alguna factura emitida hoy? |
| Huelga de transportistas | ¿Cuántos días de stock tenemos para seguir vendiendo sin nuevos insumos? | ¿Esta disrupción afecta datos o solo operaciones físicas? |
| Caída de sistema de pagos | ¿En cuánto tiempo debemos habilitar pagos alternativos para no perder ventas? | ¿Aceptamos que algunas transacciones recientes se pierdan y deban rehacerse? |
Durante el terremoto de 2010 en Chile, el sector exportador reconoció retrasos en la cadena logística. Puertos que no estaban operativos en su totalidad tuvieron retrasos en los despachos de carga de alimentos. Además, hubo una merma en la fruta que perdió la cadena de frío.
Clave 4: Incluye a todos los equipos (no solo a TI)
El BIA no es solo para tecnología de la información. RR. HH, Operaciones, Finanzas, Logística… todos son importantes y tiene mucho que aportar. Reúnete con ellos y pregunta: si el sistema falla, ¿cómo se vería afectada tu área? ¿qué se necesita para que trabajes en modo emergencia?
Y esta no es una clave, pero es igualmente importante: prepárate sin prejuicios y sin pensar el típico “esto no me va a pasar”. Cuando ya esté listo, revísalo y actualízalo cada año o cuando sucedan incidentes relevantes. Además, ponlo en práctica mediante simulacros, de modo que el BIA no sea un documento sin vida sino un garante de protección y continuidad en los momentos más difíciles, y que, gracias a la prevención, te hará sentir mejor desde ya.
0 comentarios