Continuidad de negocio, o cómo evitar que Ecuador se detenga

Continuidad de negocio - Daniel Mena

Terremotos, inundaciones, cortes energéticos, interrupciones logísticas, fallos tecnológicos o ciberataques pueden paralizar en cuestión de minutos la actividad de una empresa. Las organizaciones deben tener en cuenta esto y determinar cuánto tiempo necesitarían para recuperar sus operaciones esenciales en caso de sufrir un evento inesperado. Contar con un Plan de Continuidad de Negocio (PCN) permite responder con orden, reducir las pérdidas y proteger la confianza de clientes, empleados y proveedores.

El principio que rige a toda empresa, independientemente de dónde opere, es entregar sus productos o servicios a tiempo, atender a sus clientes, pagar los salarios, gestionar los inventarios, proteger la información y mantener sus servicios disponibles. Ese compromiso parece sencillo… hasta que ocurre una interrupción.

Un corte eléctrico, una carretera bloqueada por un deslizamiento, una planta inundada, la caída de los sistemas informáticos, el fallo de un proveedor crítico o un ciberataque, e incluso el no cumplimiento normativo, pueden tener el mismo resultado, que no es otro que la paralización de procesos esenciales para el negocio. Y cuando esto pasa, las consecuencias no se limitan a la cuenta de resultados. Una interrupción también puede deteriorar la reputación de la empresa, debilitar la confianza del mercado, tensionar la relación con los trabajadores y comprometer su capacidad para recuperarse en el futuro.

Cuando detenerse no es una opción

Para el tejido empresarial ecuatoriano, estos riesgos no son teoría. El país se encuentra expuesto a fenómenos naturales y climáticos a los que se suman, cada vez con más fuerza, las amenazas asociadas a la digitalización y de la dependencia tecnológica, o simplemente a los cambios que conllevan las nuevas normativas.

Ante estas situaciones, la pregunta que deben hacerse los empresarios es ¿cuánto tardarían en volver a operar y qué nivel de servicio mínimo podrían garantizar mientras gestionan la emergencia? Tengamos en cuenta que las respuestas en los negocios no se pueden, o cuando menos no se deben, improvisar en el momento en que la crisis haya comenzado. Han de estar previamente definidas y formar parte del plan estratégico a seguir por los responsables de la toma decisiones y de su ejecución.

Del documento a la capacidad de respuesta

Durante años, muchas organizaciones pensaban que hablar de continuidad de negocio era referirse a un documento que estaba archivado y que se actualizaba solamente cuando lo exigía una auditoría. Sin embargo, contar con un plan por escrito no es sinónimo de que una empresa esté preparada para responder. ¡Nada más lejos de la realidad! Un PCN debe planearse como un procedimiento vivo, dinámico, conectado con la operativa real de la organización y evaluado periódicamente. Su utilidad está que las personas conozcan sus responsabilidades, los procedimientos estén actualizados y que los recursos previstos funcionen cuando sean necesarios.

Para ello, el primer paso es identificar qué procesos son realmente críticos, ya que no todas las actividades tienen la misma prioridad ni afectan de la misma forma si dejan de funcionar. Veamos, en una entidad financiera, por ejemplo, lo imprescindible es garantizar las pasarelas de pago y los canales de atención al cliente. Por su parte, una empresa de logística pondrá el foco en la trazabilidad de rutas y el cumplimiento de entregas; en una industria alimentaria la prioridad será mantener la cadena de frío, el abastecimiento y la producción; mientras que en una clínica, la asistencia médica y el acceso seguro y continuo al historial de los pacientes son los puntos críticos.

Este análisis de impacto en el negocio nos obliga a responder con honestidad a preguntas concretas tales como ¿qué procesos no pueden detenerse durante más de dos horas sin provocar consecuencias graves?, ¿qué sistemas, profesionales y proveedores se encargan de cada uno de ellos? o ¿qué alternativas existen si falla el recurso principal o no se cumple con algún requerimiento o normativa? En función de las respuestas habrá que definir la estrategia y los tiempos de recuperación, los procedimientos y los canales de comunicación.

Recordemos que la continuidad no consiste en evitar todos los riesgos, porque es algo imposible. Su objetivo es reducir la incertidumbre y evitar que cualquier imprevisto derive en una respuesta desordenada y sin control.

Más resiliencia empresarial para los negocios de Ecuador

Ecuador ha vivido situaciones que muestran cómo una crisis en las infraestructuras públicas puede trasladarse rápidamente a la actividad privada. Según el Global Facility for Disaster Reduction and Recovery (GFDRR), en noviembre de 2024 el país afrontó su peor sequía en 60 años, con cortes de energía de hasta 14 horas diarias y pérdidas industriales estimadas en 7.500 millones de dólares.

Las organizaciones que tenían planes de continuidad prepararon de inmediato espacios alternativos para trabajar, pusieron en marcha el trabajo remoto y activaron fuentes de energía alternativa. Por el contrario, los menos previsores se enfrentaron a paradas totales. Esta realidad nos obliga a mirar la continuidad pensando tanto a corto como a largo plazo, para saber con precisión cómo funcionará la empresa si algo no responde como debiera.

Un PCN eficaz, por tanto, debe integrar tecnología, personas, procesos y terceros. Una compañía puede disponer de sistemas internos avanzados, pero continuar siendo vulnerable si depende de un único proveedor crítico y no cuenta con un plan B para reaccionar. Un ejemplo claro lo tenemos en el incidente de CrowdStrike de 2024, que puso de manifiesto hasta qué punto una interrupción tecnológica puede extenderse a organizaciones y servicios de sectores dispares. Del mismo modo, encontramos casos en los que la compañía puede contar con protocolos de emergencia que nadie ha probado nunca. En estos casos, la probabilidad de que fallen en el momento decisivo es muy alta. Lo mismo ocurre con el respaldo de datos, que si nadie sabe qué sistemas deben recuperarse primero, se perderá un tiempo muy valioso.

Para el tejido empresarial ecuatoriano esto es especialmente importante por la diversidad de sectores expuestos, que van desde la producción agrícola al comercio, pasando por el financiero, energético, sanitario, turismo o las telecomunicaciones, por citar algunos. Cada uno tiene riesgos distintos, pero todos comparten una misma necesidad de mantener la confianza del cliente cuando el entorno se vuelve incierto.

Qué debe contener un PCN

Para implantar un PCN eficaz y medible, es recomendable adoptar una estructura de gobernanza basada en estándares internacionales como la ISO 22301, que ayuda a las organizaciones a prepararse, responder y recuperarse ante interrupciones mediante un enfoque estructurado.

Para aterrizar este plan, primero hay que definir quién hace qué y formar un comité de crisis liderado por la gerencia y las áreas clave de la compañía, como finanzas o asesoría legal, para, acto seguido, designar a los equipos operativos donde se encuentran los departamentos de TI, logística o Recursos Humanos, que son quienes ejecutarán las acciones sobre el terreno. Después, hay que traducir los planes en métricas técnicas obligatorias para cada proceso crítico, lo que implica fijar los objetivos de tiempo máximo de recuperación y de punto de recuperación; este último calcula la cantidad máxima de información que la empresa se puede permitir perder. Aunque lo ideal es no perder nada, no todos los procesos requieren los mismos tiempos ni el mismo nivel de protección, por lo que estas métricas deben ajustarse a las necesidades reales del negocio.

Asimismo, hay que establecer un calendario obligatorio de pruebas y simulaciones que permita resolver escenarios hipotéticos y evaluar si la infraestructura alternativa responde con la rapidez esperada, si los equipos conocen sus funciones, etc. Finalmente, la dirección debe supervisar la salud del sistema periódicamente mediante indicadores clave de gestión que evalúen el porcentaje de procesos críticos validados, el estado de las brechas detectadas en los simulacros y el grado de confianza de los acuerdos de nivel de servicio con los proveedores esenciales.

Sin embargo, para sostener esta metodología y estructura de indicadores, plazos y revisiones se hace indispensable el uso de la tecnología, puesto que la gestión sobre hojas de cálculo dispersas se convierte en un riesgo en sí mismo debido a que la información suele llegar tarde, estar incompleta o desactualizada. Y, en una crisis, no contar con visibilidad 360º deriva en un problema mayor.

El valor de las herramientas de GRC

En mi trabajo con organizaciones ecuatorianas he comprobado que la tecnología solo aporta valor cuando se integra en la operativa diaria. Uno de los proyectos que mejor resume este aprendizaje es el de Banco Guayaquil, una de las instituciones financieras más sólidas del país, con más de 11.000 puntos de servicio a nivel nacional. Fue el primer banco privado de Ecuador en certificarse en ISO 22301, la norma internacional de continuidad de negocio, sumándola a la ISO 27001 que ya mantenía en seguridad de la información. El reto era unificar ambos sistemas de gestión —seguridad y continuidad— en una única plataforma, sin multiplicar herramientas ni romper la trazabilidad entre ellos. Al centralizar el análisis de impacto en el negocio, los planes de continuidad, los ejercicios y la evidencia de auditoría en un mismo entorno, el banco hizo más ágil su camino hacia la certificación y redujo los tiempos de implementación. 

La lección es directamente aplicable a cualquier organización: cuando la información está dispersa y las responsabilidades no están claras, cualquier respuesta se ralentiza. Las plataformas tecnológicas de GRC (Gobierno, Riesgo y Cumplimiento) aportan un valor real a lo descrito con anterioridad en tanto que permiten centralizar la matriz de riesgos, conectar las amenazas directamente con los procesos operativos, automatizar el seguimiento de los planes de acción y visualizar la resiliencia de la empresa en tiempo real. Evidentemente, no sustituyen el criterio de un equipo de profesionales, pero sí ponen a su disposición información ordenada y basada en datos para facilitar la toma de decisiones.

Por este motivo, la continuidad no puede quedarse en el área de TI, o verse como un listado de puntos a cumplir para superar una auditoría, sino que tiene que formar parte de la agenda de la dirección. Si un proceso crítico falla, las consecuencias serán financieras, operativas, legales y reputacionales. Los responsables de continuidad y resiliencia necesitan hablar el lenguaje del negocio, y los directivos, a su vez, deben entender la continuidad como una inversión en estabilidad, no como un gasto.

Conclusión

Una crisis siempre genera incertidumbre. La diferencia está en si la empresa debe improvisar todas sus decisiones o si dispone de la capacidad necesaria para seguir operando cuando detenerse no es una opción.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *