Etiquetas
Seguridad

Ejemplos de planes de contingencia: una guía paso a paso para ayudar a su compañía a prepararse para lo inesperado

Vehículo de remoción de nieve del aeropuerto

Las compañías a menudo se definen por cómo lidian con eventos que están fuera de su control. Por ejemplo, la forma de reaccionar ante una tecnología disruptiva o hacer frente a un cambio repentino en los mercados puede marcar la diferencia entre el éxito y el fracaso.

La planeación de contingencias es el arte de prepararse para lo inesperado. Pero, ¿por dónde empezar y cómo separar las amenazas que podrían causar un daño real a su negocio de las que no son tan críticas?

Estas son algunas definiciones importantes, mejores prácticas y ejemplos estables para ayudarle a crear planes de contingencia para cualquier cosa que enfrente su negocio.

¿Qué es un plan de contingencia?

Los planes de contingencia empresarial, también conocidos como “planes de continuidad de negocio” o “planes de respuesta a emergencias”, son planes de acción para ayudar a las organizaciones a reanudar las operaciones comerciales normales luego de una interrupción involuntaria. Las organizaciones crean planes de contingencia para ayudar a enfrentar diversas amenazas, incluidos desastres naturales, tiempo de inactividad no planeado, pérdida de datos, filtraciones de red y cambios repentinos en la demanda de los clientes.

Un buen lugar para comenzar es con una seria de preguntas hipotéticas que presenten los peores escenarios para los que deberá tener un plan. Por ejemplo:

  • ¿Qué sucede si un activo crítico se avería y causa retrasos en la producción?
  • ¿Y si sus tres ingenieros principales renunciaron al mismo tiempo?
  • ¿Y si el país donde se construyen sus microprocesadores fuera víctima de una invasión repentina?

Los buenos planes de contingencia priorizan los riesgos que enfrenta una organización, delegan la responsabilidad a los integrantes de los equipos de respuesta y aumentan la probabilidad de que la compañía se recupere por completo luego de un evento negativo.

Cinco pasos para crear un plan de contingencia sólido

1. Haga una lista de riesgos y priorícelos según probabilidad y gravedad.

En la primera etapa del proceso de planeación de contingencia, los stakeholders hacen una lluvia de ideas sobre una lista de riesgos potenciales que enfrenta la compañía y realizan un análisis de riesgos de cada uno. Los miembros del equipo analizan los posibles riesgos, analizan el impacto de cada uno y proponen cursos de acción para aumentar su preparación general. No necesita crear un plan de gestión de riesgos para cada amenaza que pueda enfrentar su compañía, sino solo de aquellas que sus responsables de la toma de decisiones evalúan como altamente probables y con un impacto potencial en los procesos comerciales normales.

2. Cree un informe de análisis de impacto empresarial (BIA)

El análisis de impacto empresarial (BIA) es un paso crucial para comprender la forma en que las diferentes funciones comerciales de una compañía responderán a eventos inesperados. Una forma de hacerlo es observar cuántos ingresos de la compañía genera la unidad de negocio en riesgo. Si el BIA indica que es un porcentaje alto, lo más probable es que la compañía quiera priorizar la creación de un plan de contingencia para este riesgo empresarial.

3. Haga un plan

Para cada amenaza potencial que enfrenta su compañía con una alta probabilidad de ocurrir y un alto impacto potencial en las operaciones comerciales, puede seguir estos tres sencillos pasos para crear un plan:

  • Identifique los factores desencadenantes que pondrán en marcha un plan: por ejemplo, si se acerca un huracán, ¿cuándo activa la tormenta su curso de acción? ¿Cuando está a 50 millas de distancia? ¿A 100 millas? Sus equipos necesitarán una orientación clara para saber cuándo comenzar a ejecutar las acciones que se les asignaron.
  • Diseñe una respuesta adecuada: la amenaza para la que se preparó su organización ha llegado y los equipos están entrando en acción. Todos los involucrados necesitarán instrucciones claras y accesibles, protocolos que sean fáciles de seguir y una forma de comunicarse con otros stakeholders.
  • Delegue la responsabilidad de manera clara y justa: como cualquier otra iniciativa, la planificación de contingencias requiere una gestión eficaz de proyectos para tener éxito. Una forma comprobada de abordar esto es crear un gráfico RACI. RACI significa responsable, encargado, consultado e informado y es un proceso ampliamente utilizado para ayudar a los equipos e individuos a delegar la responsabilidad y reaccionar ante las crisis en tiempo real.

4. Consiga la aceptación de toda la organización y sea realista en cuanto a los costos

A veces puede ser difícil justificar la importancia de invertir recursos en prepararse para algo que quizá nunca suceda. Pero si los acontecimientos de estos últimos años nos mostraron algo es que tener planes de contingencia estables es invaluable.

Pensemos en los problemas en las cadenas de suministro y la escasez crítica que provocó la pandemia o en el caos en las cadenas de suministro globales provocado por la invasión rusa de Ucrania. Al momento de convencer a los líderes empresariales del valor de contar con un Plan B estable, es importante considerar el panorama general: no solo el costo del plan sino también los costos potenciales en los que se incurre si no se implementa ningún plan.

5. Pruebe y reevalúe sus planes periódicamente

Los mercados y los sectores cambian constantemente, por lo que la realidad a la que se enfrenta un plan de contingencia cuando se pone en marcha puede ser muy distinta de aquella para la que se creó. Los planes deben comprobarse al menos una vez al año y deben realizarse nuevas evaluaciones de riesgos.

Ejemplos de planes de contingencia

A continuación se presentan algunos escenarios modelo que demuestran cómo diferentes tipos de empresas se prepararían para enfrentar los riesgos. El proceso de tres pasos que se describe aquí se puede emplear para crear plantillas de planes de contingencia para cualquier amenaza que enfrente su organización.

Un proveedor de red que enfrenta una interrupción masiva

¿Y si su actividad principal principal fuera tan crítica para sus clientes que el tiempo de inactividad de unas pocas horas pudiera resultar en millones de dólares en pérdidas de ingresos? Muchas redes de Internet y celulares enfrentan este desafío cada año. Aquí hay un ejemplo de un plan de contingencia que los ayudaría a prepararse para enfrentar este problema:

  1. Evaluar la gravedad y la probabilidad del riesgo: un estudio reciente de Open Gear (enlace externo a ibm.com) mostró que solo el 9% de las organizaciones globales evitan las interrupciones de la red en un trimestre promedio. Junto con lo que se sabe sobre estos ataques (que pueden causar millones de dólares en daños y tener un costo inconmensurable en la reputación del negocio), este riesgo debería considerarse tanto altamente probable como muy grave en términos del daño potencial que podría causar a la compañía.
  2. Identificar el desencadenante que pondrá en marcha su plan: en este ejemplo, ¿qué señales deberían observar los responsables de la toma de decisiones para saber cuándo estaba comenzando una posible interrupción? Estas pueden incluir violaciones de seguridad, desastres naturales inminentes o cualquier otro evento que haya precedido a interrupciones en el pasado.
  3. Crear la respuesta correcta: los líderes de la organización querrán determinar un objetivo de tiempo de recuperación (RTO) y un objetivo de punto de recuperación (RPO) razonables para cada categoría de servicio y datos a la que se enfrente su compañía. El RTO generalmente se mide con una métrica de tiempo simple, como días, horas o minutos. El RPO es un poco más complicado, ya que implica determinar la antigüedad mínima/máxima de los archivos que se pueden recuperar rápidamente de los sistemas de copia de seguridad para restaurar la red a sus operaciones normales.

Una compañía de distribución alimentaria se enfrenta a una escasez inesperada

Si su actividad principal tiene cadenas de suministro complejas que atraviesan diferentes regiones y países, monitorear las condiciones geopolíticas en esos lugares será fundamental para mantener el buen estados de sus operaciones comerciales. En este ejemplo, veremos a un distribuidor de alimentos que se prepara para enfrentar la escasez de un ingrediente muy necesario debido a la volatilidad en una región que es crítica para su cadena de suministro:

  1. Evaluar la gravedad y la probabilidad del riesgo: los líderes de la compañía estuvieron siguiendo las noticias de la región de donde obtienen el ingrediente y están preocupados por la posibilidad de disturbios políticos. Dado que necesitan este ingrediente para fabricar uno de sus productos más vendidos, tanto la probabilidad como la gravedad potencial de este riesgo se califican como altas.
  2. Identificar el detonante que pondrá en acción su plan: estalla la guerra en la región, cerrando todos los puertos de entrada y salida y restringiendo severamente el transporte dentro del país por vía aérea, terrestre y ferroviaria. El transporte de sus ingredientes será un desafío hasta que la estabilidad regrese a la región.
  3. Crear la respuesta correcta: los líderes comerciales de la compañía crean un plan de contingencia doble que les ayude a enfrentar este problema. En primer lugar, buscan de forma proactiva proveedores alternativos de ese ingrediente en regiones que no son tan propensas a la volatilidad. Estos proveedores pueden costar más y puede tomar tiempo hacer el cambio, pero cuando se tiene en cuenta el costo total de una interrupción general de la producción que se produciría en caso de guerra, el costo vale la pena. En segundo lugar, buscan una alternativa a este ingrediente que puedan usar en su producto.

Una red social sufre una filtración de datos de sus clientes

Los gerentes de una gran red social conocen un riesgo de ciberseguridad en su aplicación que están trabajando para solucionar. En caso de sufrir un ataque antes de solucionarlo, es probable que pierdan datos confidenciales de los clientes:

  1. Evalúan la gravedad y la probabilidad de riesgo: califican la probabilidad de este evento como alta, ya que, como red social, son un objetivo frecuente de ataques. También califican la gravedad potencial del daño a la compañía como alta, ya que cualquier pérdida de datos confidenciales de los clientes los expondrá a demandas.
  2. Identifican el desencadenante que pondrá su plan en acción: los ingenieros informan a los líderes de la red social de que se detectó un ataque y que la información confidencial de sus clientes se vio comprometida.
  3. Crear la respuesta correcta: la red contrata a un equipo de respuesta especial para que acuda en su ayuda en caso de un ataque y les ayude a proteger sus sistemas de información y restaurar la funcionalidad de la aplicación. También cambian su infraestructura de TI para que los datos de los clientes sean más seguros. Por último, trabajan con una firma de relaciones públicas de renombre para preparar un plan de divulgación y mensajería para tranquilizar a los clientes en caso de que su información personal se vea comprometida.

El valor de la planeación de contingencias

Cuando las operaciones comerciales se ven interrumpidas por un evento negativo, una buena planeación de contingencia brinda estructura y disciplina de respuesta para una organización. Durante una crisis, los responsables de la toma de decisiones y los empleados a menudo se sienten abrumados por la acumulación de eventos que escapan a su control, y contar con un plan de respaldo exhaustivo ayuda a restablecer la confianza y a que las operaciones vuelvan a la normalidad. 

A continuación, se presentan algunos beneficios que las organizaciones pueden esperar de planes de contingencia sólidos:

  • Tiempos de recuperación mejorados: las compañías con buenos planes se recuperan más rápido de un evento disruptivo que las compañías que no se prepararon.
  • Reducción de costos financieros y de reputación: los buenos planes de contingencia minimizan el daño financiero y de reputación de una compañía. Por ejemplo, si bien una filtración de datos en una red social que comprometa la información del cliente podría dar lugar a demandas, también podría causar daños a largo plazo si los clientes deciden abandonar la red porque ya no confían en que la compañía mantendrá segura su información personal.
  • Mayor confianza y mejores ánimos: muchas organizaciones utilizan planes de contingencia para mostrar a los empleados, accionistas y clientes que han pensado en cada posible eventualidad que pueda ocurrir en su empresa, dándoles la confianza de que la compañía tiene en mente sus intereses.

Soluciones para planes de contingencia

IBM Maximo Application Suite es una solución integrada basada en la nube que ayuda a las compañías a responder rápidamente a las condiciones cambiantes. Combinando el poder de la inteligencia artificial (IA), el Internet de las cosas (IoT) y analytics avanzadas, permite a las organizaciones maximizar el rendimiento de sus activos más valiosos, prolongar su vida útil y minimizar los costos y el tiempo de inactividad.

Autor

Mesh Flinders

Staff Writer

IBM Think