Con la digitalización sistemática de los negocios durante todo este siglo, y en mayor medida desde la aparición de la COVID-19, nuevas técnicas y herramientas de comunicación han surgido para hacer frente a un nuevo modelo híbrido de trabajo que conlleva no tener que realizar siempre la actividad laboral desde los centros de trabajo. Para garantizar la comunicación efectiva entre integrantes de un equipo, no es suficiente con adquirir las herramientas más avanzadas en usabilidad, sino que se debe estudiar cómo las personas se adaptan a esta modalidad e interactúan con sus equipos de la forma más eficiente posible. Las metodologías ágiles son esquemas de trabajo que tratan de optimizar los procesos y la distribución de estos dentro de un equipo. Una organización puede perder hasta el 11,4 % de su inversión por una mala gestión de proyectos y alcanzar hasta el 67 % en proyectos fracasados, según el informe del Project Management Institute (PMI) Pulse of the Profession 2020.

Las metodologías ágiles han ido surgiendo desde 2001 [1] para solucionar las ineficiencias generadas ante la aplicación de esquemas tradicionales (o en cascada) en la programación software. La metodología en cascada estructura y divide a cualquier proyecto en fases muy bien definidas: análisis de requisitos, diseño, implementación, pruebas y mantenimiento. Este procedimiento lineal tiene la premisa de no comenzar con la siguiente etapa si no se ha validado la anterior, por lo que cualquier modificación relevante en el proyecto generará una pérdida de tiempo e inversión (directamente proporcional con el grado de avance del proyecto).

Rubén Lazarte [2]  – Jefe de la Oficina de Tecnologías de la Información (OTI) · Ministerio de Energía y Minas de Perú, especifica siete criterios para definir qué tipo de metodología utilizar. En síntesis, Rubén trata de justificar por qué, para proyectos de soluciones cuyos requisitos son fijos (términos de la solución claramente definidos) y/o sus componentes cuentan con un alto grado de criticidad, es recomendable el uso del desarrollo en cascada. Las soluciones en cascada se adoptan en casos en los que el contrato requiere establecer unos precios y fechas límites fijas y/o la dedicación de los equipos del cliente es limitada. Por otra parte, dado que la metodología ágil busca mayoritariamente optimizar la eficiencia y los tiempos dedicados, requiere que el equipo responsable posea mucha experiencia en el ámbito del proyecto y capacidad de reacción ante cambios.

A continuación, voy a adaptar las pautas principales de esta filosofía de trabajo a mi experiencia en consultoría.

01 – Las personas y las interacciones antes que los procesos y las herramientas

Se deben anteponer las personas (sus ideas y capacidad de ocurrencia de estas) antes que la búsqueda e investigación individual y exhaustiva acerca de un nicho específico.

En mi primer año como consultor he podido comprobar cómo, tratando con un equipo multidisciplinar, en muchas ocasiones, el éxito de la resolución del problema consiste en preguntar y saber cómo formular las preguntas. El valor de disponer de un equipo con diversidad de perfiles es que, cuando se presentan dudas, contar con un compañero más experimentado en el equipo permite, no solo la resolución más ágil de una duda puntual, sino tener una visión más completa y prevenir así futuras dudas o planteamientos sobre el proyecto.

02 – El software en funcionamiento antes que la documentación exhaustiva

En el ámbito del desarrollo software, en el que mayoritariamente están adoptadas estás metodologías, se debe priorizar el funcionamiento del programa y el correcto estudio de todos sus casos de uso, realizando las pruebas pertinentes, antes que la documentación exhaustiva.

La consultoría en Continuidad de Negocio lleva a muchos profesionales a elaborar documentación, toda bajo una estructura normativa (ya sea siguiendo una normativa interna o la internacional, ISO22301), salvaguardando su coherencia y cohesión para aumentar el grado de fiabilidad y confianza que percibe el lector (a veces, principiante en el sector de la Continuidad de Negocio).

Al aplicar la premisa de priorizar el funcionamiento antes que la documentación exhaustiva, en el ámbito de la Consultoría de Continuidad de Negocio, nos encontramos que la documentación debe ser elaborada con claridad y sencillez, priorizando su operatividad en el momento de una crisis, sin incluir información innecesaria. Se debe asegurar que el documento “funcione” y sea completo, que incluya la información necesaria para su cometido por encima de una documentación muy detallada pero poco útil a nivel operativo.

03 – La colaboración con el cliente antes que la negociación contractual

En mi experiencia he observado como el éxito del proyecto depende en gran medida de la correcta aclaración de los términos y actualización de estos (comunicaciones eficientes y periódicas con el cliente). He comprobado cómo (al menos, en el área de Continuidad de Negocio) la aclaración de los términos contractuales es ligeramente más sencilla que en el sector de la programación.

Aun así, un aspecto clave en cualquier proyecto, es la celebración de reuniones de seguimiento periódicas y, además, conviene reservar de manera consensuada todas las fechas de estas reuniones en la reunión de arranque del proyecto (kick-off), con el fin de asegurar el compromiso de ambas partes y el avance en la dirección correcta en todo momento.

04 – La respuesta ante el cambio antes que el apego a un plan

Directamente asociado con el punto anterior, se encuentra este pilar que debemos valorar en el momento de aplicar las metodologías ágiles dentro de un equipo de consultoría. Como ya se ha especificado, las metodologías ágiles son una gran opción de proyectos cuyo resultado final y/o alcance es incierto, ya que el resultado final del proyecto depende en gran medida de las validaciones y decisiones parciales tomadas por el cliente en las reuniones de seguimiento programadas.

Por esta razón, Rubén Lazarte ya razonaba que los integrantes del equipo deben contar con unas competencias ya consolidadas y una idea muy clara del sector. En el momento de ejecutar un cambio (solicitado directa o indirectamente por el cliente), se debe disponer de una trazabilidad y documentación de las ideas expresadas en cada informe, a fin de mostrar agilidad y eficacia discerniendo claramente los cambios y homologaciones requeridas para que el sistema completo mantenga su coherencia. Este punto es muy relevante en el ámbito de la consultoría en general y, en particular, en la de Continuidad de Negocio, pues independientemente de la organización, ciertos documentos iniciales (Análisis de Impacto al Negocio, Estrategias de Continuidad de Negocio) sirven de base para el resto de los documentos que se desarrollarán posteriormente. Para garantizar la armonía del sistema completo, los profesionales deben manejar una visión muy clara de la situación estructural de este y proceder rápidamente a su actualización cuando se produzcan cambios.

Personalmente y a modo de evolución de esta metodología, añadiría un quinto elemento que considere el modelo de trabajo existente en la actualidad tras la existencia de la COVID-19. En la actualidad la mayoría de las organizaciones desarrollan su actividad en un modelo completamente remoto o bien híbrido.

05 – Metodologías ágiles en tiempos de pandemia y posteriores

En el desarrollo de software es muy común la cultura de “divide y vencerás”. Esto trata de resaltar la importancia de realizar un correcto diseño de la arquitectura de un proyecto antes de desarrollar cualquier código, identificando claramente las partes y componentes que deben formar parte de este. Esta granularidad, además de aportar valor en la organización y distribución de tareas en un equipo, también permite al consultor acotar su rendimiento y conocer la eficacia de sus procedimientos empleados. Esto es porque, como un consultor se dedica principalmente a generar ideas (identificar problemas y diseñar soluciones), no siempre le es sencillo ser consecuente con su trabajo.

La división granular de un proyecto en tareas lo más sencillas posibles está directamente asociada al concepto de Mínimo Proyecto Viable (MVP por sus siglas en inglés, “Minimum Viable Project”). La búsqueda de un MVP, semejante a la técnica prueba y error, permite a todo el equipo realizar un ejercicio de brainstorming, desarrollándose así una retroalimentación conjunta que mejorará indudablemente el resultado y enfoque del proyecto mínimo operativo.

Esta manera de trabajar, además de permitir estructurar las ideas, dificultades y tiempos requeridos para cada componente en la cabeza del desarrollador, también permite la distribución eficiente de tareas dentro de un equipo (exactamente estas estrategias son las que debe tomar el perfil tecnológico actual conocido como DevOps). La Continuidad de Negocio es un proceso que afecta de manera transversal a toda la organización, por lo que es muy valorable la disposición de diversos perfiles (tecnológicos y de negocio) dentro del equipo. Esto, unido a la correcta dirección por parte del gerente o líder del proyecto, permitirá clasificar el conjunto de tareas y asignar estas a los miembros del equipo en función de sus competencias valorando la afinidad personal de cada uno (en nuestro equipo se ha hecho un ejercicio por identificar las principales competencias, fortalezas y preferencias de cada uno).

En la modalidad de teletrabajo, nos acostumbramos a trabajar con personas que no conocemos de manera presencial y con las que no es fácil compartir un café, lo que complica, en ocasiones, la generación de confianza. En el marco del trabajo ágil, la metodología Scrum propone la ejecución de reuniones diarias breves (30 minutos) donde se presentan las tareas realizadas, las pendientes de realizar por cada miembro del equipo y las dificultades encontradas. De esta manera se mantiene una comunicación continua entre compañeros y se facilita la integración y cohesión del equipo. Este modelo de trabajo aporta, además de seguridad y confianza en las relaciones del equipo, una mayor libertad para compartir problemas.

En mi experiencia durante mis estudios de grado y posteriormente en el trabajo de consultoría, el propio hecho de redactar y estructurar una duda me ha permitido frecuentemente resolverla por mis propios medios; igual que preguntar, afirmar y explicar ideas erróneas (aun siendo consciente de sus defectos), que, aplicándose dentro de una reunión scrum, permite la posibilidad de diálogo e intervención libre de todos sus miembros. Esta es la base de las metodologías ágiles: dar el poder a todos los integrantes del equipo para investigar, identificar, probar e implementar las soluciones requeridas, mejorando el nivel de eficacia y rendimiento, motivación, compromiso y desarrollo de la creatividad. Por todo esto, las metodologías ágiles, además de mejorar la eficacia en la distribución y ejecución de proyectos (comunicaciones corporativas), permite que se establezcan unas relaciones personales más libres, transparentes y dinámicas.

[1] RedHat. (2022). ¿Qué es la metodología ágil? Obtenido de https://www.redhat.com/es/devops/what-is-agile-methodology#:~:text=En%20concreto%2C%20las%20metodolog%C3%ADas%20%C3%A1giles,equipo%20para%20ofrecer%20mejoras%20constantes

[2] Lazarte, R. (s.f.). 2018. Obtenido de https://www.linkedin.com/pulse/siete-criterios-para-definir-cu%C3%A1ndo-usar-metodolog%C3%ADa-ruben/?originalSubdomain=es

Ariana Parra

Al iniciarme en la consultoría me vi en la necesidad de convertirme en líder ante los ojos del cliente. Esto me llevó tiempo y dedicación, hubo días más fáciles que otros; sin embargo, puedo decir que valió la pena lo aprendido, no solo en el ámbito profesional sino en el personal. A continuación, enumero los 10 aspectos que considero clave para asegurar los resultados y las expectativas:

01 – Pon al cliente en el centro de todo

El cliente es la persona que va a usar el producto/servicio y por ende es el responsable. Si no hay clientes no hay negocio. Cada cliente demanda una metodología, adaptarse a sus medios de comunicación, lineamientos de formato, dependencias jerárquicas, etc.; eso es solo el principio.

El cambio es lo único que tenemos seguro en estos tiempos, si lo vemos desde la perspectiva correcta hay un sinfín de aprendizaje. Se necesitará contar con un método de trabajo propio que podamos incorporar de manera oportuna ante los distintos clientes en los diferentes sectores.

02 – Trabajar en ciclos de tiempos determinados y cortos

Uno de mis errores más frecuentes al principio fue asumir que podía trabajar con varios clientes al mismo tiempo. Resultado, una pérdida de tiempo total. La planificación es una herramienta importante y en eso sí que soy buena. Seleccionar bloques de tiempos cortos, aproximadamente de 2 horas por tarea, diferenciando cada cliente fue lo que me ayudó a sacar el trabajo de forma efectiva sin descuidar ninguno de los proyectos en los que estaba involucrada. Sobre todo, funciona cuando tenemos tiempos limitados para generar entregables.

Una técnica recomendada y útil es Pomodoro. Consiste en dividir la tarea en bloques de tiempo corto buscando la mayor concentración mientras se esté trabajando para luego recompensarlo con una pausa.

03 – Haz puntos de control con regularidad

Las reuniones de evaluación y seguimiento de resultados son el corazón de la mejora continua. Esto me permite evaluar los métodos de trabajo, su eficacia y determinar cómo progresar. No involucrarse al máximo ante las reuniones con los clientes es un gran impedimento para el avance. La retroalimentación puede generar incomodidades y frecuentemente se ventilan asuntos que no son tan fáciles de reconocer o de solucionar.

Os comparto una tabla con preguntas sencillas y a la vez eficaces que utilizo como herramienta de evaluación y mejora.

04 – Observa y analiza

El objetivo es doble. Por un lado darnos cuenta de qué es lo que funciona y replicarlo y por otro observar lo que no y desecharlo. Es nuestra responsabilidad darnos cuenta, evolucionar y cambiar lo que ya no es útil dentro de los procesos. Involucrarnos en las actividades, hablar con los equipos y preguntarles cómo van las cosas, qué está funcionando bien y en qué cosas podríamos estar estancados o con problemas. Toda esta información vale oro. Los aprendizajes que podamos obtener nos sirven para replicarlo ante los otros proyectos en curso.

05 – Equilibra entre el trabajo de descubrir sobre el producto/servicio y el trabajo de generar la entrega

Centralizar exclusivamente el esfuerzo en aprendizaje y entendimiento muchas veces nos lleva al estancamiento e inclusive a la desmotivación. Inevitablemente tenemos que generar el entregable al cliente. Repetidamente, me pasó que invertía mucho trabajo en la primera etapa de entendimiento, lo cual es normal en la curva de aprendizaje.

Sin embargo, al tiempo me di cuenta que dedicar tiempo excesivo es una barrera para avanzar en los entregables hasta culminar con el objetivo deseado. Encontrar el equilibrio es una tarea diaria. Cada vez soy más consciente del cuidado necesario con la inversión del factor tiempo y delimitarlo en las distintas etapas de los proyectos.

06 – Haz menos investigación, pero más frecuentemente

Cada vez que me involucro en un nuevo proyecto mi primera reacción es leer toda la información que internet genera acerca del mismo. Con el tiempo esto lo dejaba a un lado y ya nunca más lo “googleaba”… ¡error!

Mantenernos informados de las noticias actualizadas de los clientes es un plus que debemos cuidar.

07 – Trabaja y entrega de manera progresiva

De nada sirve trabajar hasta el final de la entrega, si durante el proceso de desarrollo el cliente no ha validado los avances. La experiencia me ha demostrado que parte culminada, parte que hay que mostrar al cliente esperando su aprobación para continuar. Puede generar mucha frustración avanzar una idea hasta el final y que no esté acorde con lo esperado o que no vaya alineada con la visión del cliente.

En la imagen que acompaña este punto, expongo un ejemplo para una semana de trabajo con el método Sprint de la metodología agile Scrum.

08 – Transparencia total

En consultoría, a pesar de que el trabajo muchas veces es individual, solo no puedes y esa es la realidad. El trabajo diario es complementario entre dos equipos: el del cliente y el interno. Cuando se aborda una nueva forma de trabajo, muchas personas se resisten, ya que han aprendido a trabajar de una manera, son buenos haciéndolo, y les ha funcionado bien. ¿Por qué deberían cambiar?

Imagínate, llega alguien externo y te dice que debes cambiar, que es necesario realizar cambios. Aquí es donde la transparencia se torna importante. A medida que se despliegan nuevos objetivos, asegúrate que queda claro por qué estas implementando algo nuevo. En cualquiera de los casos, lo importante es que la información sea clara, disponible y pública.

09 – Revisa tu estructura de incentivos

Todos tenemos motivaciones distintas y en los equipos de trabajo juega un factor crucial. Los equipos optimizarán el trabajo gracias a incentivos. Esto va de la mano con la organización y lo que esta quiera fomentar. Es importante la evaluación de métricas para saber si los incentivos están funcionando o habría que adaptarlos a la situación actual de los empleados.

Para mí, es quizá el criterio más importante para asegurar que los equipos se sienten comprometidos y motivados con su trabajo.

A continuación, comparto una matriz para medir el nivel de madurez de un equipo.

10 – Haz el trabajo de descubrimiento

Lograr el aprendizaje continuo es tarea de todos, enfocarnos en la curiosidad para estar alerta y disponibles a aprender. Buscar la visualización del aprendizaje como un componente del trabajo relacionado al descubrimiento. Esto deberá convertirse en el día a día entre los equipos, junto con las tareas relacionadas a entregas, teniendo la prioridad que merece, y la implicación, que deberá tomarse seriamente. Es clave para construir equipos y organizaciones vigentes.

Tras ser consciente de todas las lecciones aprendidas que fui descubriendo en este ámbito de trabajo, ahora aplico estos aprendizajes en distintos parcelas de mi vida. Agradezco, haber entrado en este sector, a Cobser Consulting por su confianza, al súper equipo de trabajo con el que cuento y las personas con las que trabajo en cada proyecto. Sin cada una de las partes, como un solo conjunto, nada tendría sentido.

Es una experiencia retadora que me invita a estar en constante evolución.

Jacob Vega Varo

Este mes de octubre tiene lugar el Mes europeo de la Ciberseguridad. Una campaña coordinada por la Agencia de Ciberseguridad de la Unión Europea (ENISA) con el apoyo de la Comisión europea y los Estados miembros. La campaña tiene como objetivo concienciar a la ciudadanía y las organizaciones sobre la relevancia de la ciberseguridad. Los temas principales este 2020 son las ciberestafas y las habilidades digitales.

En línea con los objetivos del Mes europeo de la Ciberseguridad este artículo pretende reflexionar acerca de los principales modelos o sistemas de ciberseguridad implantados para proteger los activos de información de las organizaciones, y si estos están consiguiendo ser lo suficientemente seguros para proteger la actividad empresarial en el ecosistema actual, cada vez más digital e hiperconectado.

El Ransomware es el principal enemigo por batir, este malware en cierta manera se podría equiparar al COVID-19 en el ámbito de los activos de información. Partiendo de este símil, quisiera evaluar las medidas de control que la mayoría de los departamentos de seguridad de las empresas ya sea pública o privada, están adoptando de manera generalizada para proteger sus organizaciones ante un ataque de ransomware.

Si nos fijamos en los acontecimientos más recientes relacionados con ataques ransomware y la mayoría de los anteriores, se tratan de organizaciones muy relevantes del tejido empresarial, que me consta cuentan todas ellas con políticas, sistemas de gestión certificados, aplican mejores prácticas, disponen de procedimientos técnicos, profesionales cualificados, medios y tecnología de vanguardia (minería de datos, procesos de monitorización continua, sistemas de correlación, detección temprana, controles automáticos, etc.) para defender sus activos.

Todo este conjunto integrado de acciones encaminadas a prevenir, responder y contener un ataque es muy necesario, pero se está evidenciado insuficiente. Los cibercriminales consiguen acceder a los sistemas core de las compañías y el número de víctimas no para de crecer.

Ante esta situación, debemos interpelarnos: ¿A día de hoy existe una “vacuna” eficaz contra esta “pandemia” del Ransomware / COVID-19? y, una vez las medidas de seguridad han sido todas sorteadas y he sido contagiado/atacado por un ransomware, el dictamen es positivo ¿cuál es el tratamiento/plan que he previsto para seguir con el fin de recuperarme en el menor tiempo e impacto/consecuencias posible?

Ciberseguridad y Ciberresiliencia

Vemos como las estrategias de ciberseguridad en la protección de la información y los DR tradicionales (Disaster Recovery) no son suficientes para contrarrestar de manera eficaz las amenazas que van apareciendo. Se requiere crear un marco de acción que combine la protección y la recuperación con estrategias de anticipación e identificación de riesgos adecuadas. Este es el enfoque que adopta la ciberresiliencia y, en esencia, la resiliencia organizacional.

La ciberresiliencia combina las mejores prácticas vinculadas a la seguridad de la información, la continuidad de negocio y otras disciplinas de gestión del riesgo y resiliencia operacional para crear una estrategia de negocio más alineada con las necesidades y objetivos de la empresa digital actual.

Ciberresiliencia y Continuidad de Negocio

La ciberseguridad y la ciberresiliencia están íntimamente relacionadas con la Continuidad de Negocio. Un ciberataque que afecte a la seguridad de la información puede generar consecuencias graves para las organizaciones que van desde la filtración de datos confidenciales (afectación a la confidencialidad de la información) hasta la parada prolongada de los servicios (afectación a la disponibilidad de la información).

La Continuidad de Negocio es capacidad de una organización para continuar proporcionando sus productos y servicios en un marco de tiempo aceptable con una capacidad predeterminada en caso de que se produzca una disrupción. (ISO22301)

Una disrupción del servicio tiene consecuencias nefastas para las organizaciones, pudiendo poner en riesgo su viabilidad si afecta a procesos críticos de la organización. Por ello, es fundamental la generación de un Plan de Continuidad de Negocio que garantice una respuesta correcta a la disrupción de servicios críticos en el caso de que la materialización de una amenaza.

En el panorama actual existen numerosas amenazas que pueden poner en riesgo la continuidad de un negocio como desastres naturales, acciones no intencionadas o ciberataques deliberados.

No todas las amenazas son ciberamenazas ni todos los ciberataques ponen en riesgo la continuidad de negocio. Sin embargo, es esencial tener en cuenta los informes de referencia de análisis de riesgos y amenazas para los próximos años:

• El BCI Horizon Scan 2020 sitúa los ciberataques, el clima extremo, las interrupciones en la tecnología de la información y las telecomunicaciones como las principales amenazas para el próximo año 2021.
• Los ataques cibernéticos continúan causando interrupciones, según indica IBM en el Cyber Resilient Organization Report según este informe basado en una encuesta, realizada por el Instituto Ponemon, en los últimos cinco años se ha observado una reducción en la capacidad de las organizaciones para contener los ataques mientras ocurren.

Por ello, es necesario apostar por la anticipación, la detección temprana y la posesión de un plan de recuperación rápida ante una ciberinterrupción que me garantice el menor impacto en el negocio.

Partiendo de la premisa de que el Negocio debe seguir funcionando, una estrategia de ciberresiliencia ha de considerar completamente plausible que su organización sea víctima de un ciberataque. Su éxito dependerá de la capacidad que aporte a la organización de detectar lo antes posible el ciberincidente y de lo capaz que sea de minimizar los tiempos entre la respuesta al incidente y la recuperación de sus sistemas de información.

La ciberresiliencia es un enfoque coordinado que ofrece la forma de minimizar el impacto en el negocio de un ciberataque, de proteger los sistemas de información y recuperar rápida y de manera fiable los sistemas de TI.

Tras conocer muchas de las soluciones tecnológicas del mercado de la ciberseguridad, en muchos casos gracias a la experiencia de trabajo con nuestros clientes y a la experiencia de otros colegas de profesión, me queda meridianamente claro que no existe un único producto que en sí mismo sea capaz de ganar la batalla contra el ransomware.

Sino más bien, como dice IDC en su informe sobre el estado de la resiliencia de las TI 2019 existen tecnologías clave que una organización puede emplear para afrontar una posible interrupción en las actividades como consecuencia de un ciberataque.

Las cinco tecnologías fundamentales a las que hace alusión el informe para que las organizaciones puedan crear un entorno resiliente son:

1. Automatización y orquestación para la recuperación de plataformas y datos de aplicaciones. Dotar de una solución que permita la recuperación de las plataformas críticas de manera orquestada, pudiendo definir y verificar fácilmente la secuencia de recuperación de los sistemas.
2. Protección perimetral en forma de copia a prueba de fallos contra la propagación del malware. La protección del perímetro creando un entorno aislado físicamente que permita la salvaguarda de datos críticos en un entorno protegido y offline.
3. Tecnología de almacenamiento inmutable o WORM para evitar que los datos se corrompan o se borren. Discos de grabación de datos con acceso exclusivo de lectura una vez grabada la información para evitar la manipulación de estos.
4. Copias de momentos determinados y verificación de datos eficientes para identificar rápidamente los datos recuperables. Instantáneas de datos, junto con la posibilidad de verificar la coincidencia de los datos de origen con los que van a ser almacenados.
5. Informes reglamentarios y garantías de seguridad. Contar con un sistema eficaz de informes que evite posibles sanciones.

Así como las nuevas tecnologías están ofreciendo posibilidades infinitas de negocio, al mismo tiempo aparecen nuevas amenazas que pueden hacer tambalear una organización. Esta era digital para las organizaciones que quieran sobrevivir en el futuro, demanda más que nunca abordar la seguridad y la continuidad como integrantes del mismo proceso.

Referencias:

ISACA (2015): Glosary of terms. English-Spanish. ISACA

ISO 27001. Sistemas de Gestión de Seguridad de la Información (2017)

ISO 22301: Sistema de Gestión de la Continuidad de Negocio (2019)

BCI Horizon Scan 2020

IDC estado de la resiliencia de las TI 2019

IBM Cyber Resilient Organization Report

Referencias útiles

Glosario de términos sobre ciberseguridad: https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_glosario_ciberseguridad_metad.pdf

https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ciberseguridad_gestion_riesgos_metad.pdf

UE – https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/bcm-resilience/it-continuity-home

Mes Europeo de la Ciberseguridad: https://cybersecuritymonth.eu/

Imagen 1: Designed by Freepik
Imagen 2: Designed by Freepik
Imagen 3: Designed by rawpixel.com / Freepik

Krysthiam Díaz Ayasta

Mis inicios en Continuidad de Negocio me llevan al año 2007. Desde que me inicié en esta disciplina, siempre mantuve una relación cercana con la disciplina de Seguridad de Información. Es más, solía pensar que la Continuidad de Negocio representaba una parte acotada del ámbito que cubre la Seguridad de Información.

Con el pasar de los años, y gracias a la posibilidad de participar en muchos proyectos de Continuidad de Negocio, esa idea inicial desapareció por completo. La Continuidad no es una parte acotada simplemente, sino que representa una disciplina con músculo suficiente como para justificar la definición e implantación de un Sistemas Gestión certificable (ISO 22301: 2019).

Es en el año 2015 cuando, como parte de una evaluación de riesgos de continuidad (parte de los procesos a realizar durante la implantación de un Sistema de Gestión o Programa de Continuidad de Negocio), revisé el reporte que suele publicar BCI (The Business Continuity Institute) respecto a las amenazas más relevantes que se identifican para el futuro (ver “Horizon Scan 2015: Survey Report” para mayor detalle). En dicho reporte se indicaba que las ciber amenazas ocupaban, por primera vez, la cima dentro de las amenazas que generaban mayor preocupación.

Desde aquella vez hasta la fecha, la evolución que han sufrido dichas ciber amenazas ha sido exponencial, tanto es así que dentro de muchas organizaciones se habla más de Ciberseguridad que de Seguridad de Información.

Si hacemos una búsqueda en España de ambos términos, y los comparamos, creo que nos podemos hacer una idea de cómo la Ciberseguridad ha ganado un espacio específico en la agenda de todos los Comités Directivos de las diferentes organizaciones.

Dicho crecimiento ha generado que haya también mayor demanda de herramientas, marcos de trabajo, e inclusive legislación, que permita no sólo a las organizaciones privadas, sino también a las instituciones públicas, entender y gestionar las ciber amenazas presentes en su entorno.

En respuesta a dicha demanda, e identificando la importancia que tiene asegurar la ciberseguridad de la infraestructura crítica de un país, se elabora un marco de trabajo en Estados Unidos. Dicho marco de trabajo, conocido como Framework for improving Critical Infrastructure Cybersecurity[1], fue elaborado por el NIST (National Institute of Standards and Technology), con el fin de brindar una guía voluntaria basada en diferentes estándares, guías y buenas prácticas existentes[2], que permita que las organizaciones e instituciones públicas gestionen de mejor forma y reduzcan los riesgos de ciberseguridad.

Si volvemos al ámbito local, es INCIBE – Instituto Nacional de Ciberseguridad[3], una de las instituciones más avocadas al desarrollo de una cultura de ciberseguridad, la cual pone a disposición de todos infografías, recursos, guías y kits de aprendizaje; además de colaborar de manera directa con el Gobierno en la elaboración de reglamentos y normativas relacionadas.

Este año, en septiembre, se ha publicado a través del Boletín Oficial del Estado (BOE) la última actualización del Código de Derecho de la Ciberseguridad[4], documento que busca compilar toda la legislación española que afecte a la ciberseguridad, con el objeto de mejorar el conocimiento y facilitar la aplicación de una normativa que afecta a una materia tan cambiante en el tiempo.

El documento mencionado cubre aspectos asociados a los diversos marcos normativos existentes en el país:

• Normativa de Seguridad Nacional
• Infraestructuras Críticas
• Normativa de Seguridad
• Equipo de Respuesta a Incidentes de Seguridad
• Telecomunicaciones y Usuarios
• Ciberdelincuencia
• Protección de Datos
• Relaciones con la Administración

Vale indicar que la ciberseguridad se ha convertido en un objetivo prioritario en las agendas de los gobiernos, buscando no sólo asegurar la seguridad nacional, sino también brindar a sus países un ciberespacio y sociedad digital confiable. España participa de manera activa en todas las instituciones internacionales en donde la ciberseguridad posee un lugar destacado, como son los foros de Naciones Unidas o la Unión Europea; la protección del ciberespacio no es una tarea de sólo un individuo, sino que requiere de la generación de sinergias para enfrentar las ciber amenazas a través de respuestas colectivas.

Esto último se ve reflejado con claridad en la Estrategia Nacional de Ciberseguridad[5] definida por el gobierno español, la misma que plantea de manera general 5 grandes objetivos:

• Seguridad y resiliencia de las redes y los sistemas de información y comunicaciones del sector público y de los servicios esenciales
• Uso seguro y fiable del ciberespacio frente a su uso ilícito o malicioso
• Protección del ecosistema empresarial y social de los ciudadanos
• Cultura y compromiso con la ciberseguridad y potenciación de las capacidades humanas y tecnológicas
• Seguridad del ciberespacio en el ámbito internacional

Otra institución que también participa de manera activa en el aseguramiento del ciberespacio es el Centro Criptológico Nacional – CCN CERT[6]. Aquí encontramos una lista exhaustiva de todo el marco legal nacional e internacional aplicable a la gestión de la ciberseguridad (https://www.ccn-cert.cni.es/sobre-nosotros/marco-legal.html), entre los que se mencionan también parte de las guías señaladas anteriormente.

Si bien es cierto, que parece existir regulación y normativa suficiente, para gestionar las diferentes amenazas presentes en nuestro ciberespacio, es necesario tener en cuenta el constante cambio que el mismo sufre en cortos periodos de tiempo. Eventos como la actual pandemia, en muchos casos, han significado para los ciber delincuentes nuevas oportunidades de conseguir vulnerar la seguridad de gobiernos, de servicios esenciales presentes en el sector público y privado, y de los ciudadanos; por lo que se hace indispensable una constante evolución de todo el marco regulatorio y legal, que se adecúe a esta dinámica.

[1] Este documento ha sido actualizado el 2018 (versión 1.1) y se encuentra disponible para descarga desde la página web del NIST (https://www.nist.gov/cyberframework/new-framework)

[2] Parte de las guías consideradas incluye la ISO/IEC 27001, COBIT, NIST SP 800-53, entre otras

[3] INCIBE (https://www.incibe.es/)

[4] Código de Derecho de Ciberseguridad – Boletín Oficial del Estado (https://www.boe.es/legislacion/codigos/codigo.php?id=173&nota=1&tab=2)

[5] Estrategia Nacional de Ciberseguridad 2019- Boletín Oficial del Estado (https://www.boe.es/boe/dias/2019/04/30/pdfs/BOE-A-2019-6347.pdf)

[6] CCN-CERT (https://www.ccn-cert.cni.es/)

Imagen 1: Designed by pikisuperstar / Freepik
Imagen 2: Google Trends
Imagen 3: Business vector created by freepik – www.freepik.com

Stefany Gallosa Loja

Seguramente debes haber enfocado tu atención en este artículo porque eres un profesional que se desempeña en un campo ajeno a la ciberseguridad y que no tiene interés por ser un experto en ella. Sin embargo, es probable que el tema haya despertado tu curiosidad debido a que cada vez con mayor frecuencia se publican noticias asociadas a ciberataques perpetrados en diversas compañías, sin importar su tipo de industria, ubicación, tamaño, entre otras características.

Con el incremento de los ciberataques –definidos por el NIST (National Institute of Standards and Technology) como ataques dirigidos al uso del ciberespacio de una empresa con el propósito de interrumpir, deshabilitar, destruir o controlar maliciosamente un entorno informático; o destruir la integridad de los datos o robar información controlada– también se ha incrementado en nuestro contexto actual la relevancia de la ciberseguridad, que explicándolo de manera simple, es la disciplina encargada de prevenir los ciberataques en las organizaciones.

El incremento de dicha relevancia puede evidenciarse de diversas formas, por ejemplo, si acudimos a Google Trends (la herramienta de Google que muestra tendencias de las búsquedas que se realizan en este explorador) vemos que, en España, la palabra ciberseguridad ha tenido un ritmo de búsqueda continuo y constante en 2020 y ha estado asociada a cursos de formación en ciberseguridad. Adicionalmente, las ofertas de estudios y programas enfocados en este ámbito crecen de manera vertiginosa, tanto las impartidas por universidades como por escuelas de negocio. Si a lo mencionado anteriormente le sumamos los 42.997 ciberincidentes ocurridos en 2019 y el incremento de las vulnerabilidades a causa del teletrabajo en el contexto COVID, nos damos cuenta de que ahora más que nunca estamos presenciando un boom de la ciberseguridad.

Un par de preguntas que podrían surgirnos llegados a este punto es ¿nosotros qué tenemos que ver? ¿En qué nos atañe este boom si no nos desarrollamos profesionalmente en este campo? La respuesta es que nos incumbe mucho más de lo que pensamos. Como consecuencia de este incremento, el conocimiento de ciberseguridad se convierte en cultura general para los profesionales de hoy, independientemente de su especialidad. Por ello, te daré a conocer las pinceladas mínimas indispensables para sobrevivir en este mundo ciber sin ser ni remotamente un experto.

Las 2 palabras clave para entender este conjunto de pinceladas son HÁBITOS SALUDABLES. ¡Sí, aunque te parezca increíble! Sabemos que alimentarnos bien, tener calidad de descanso y actividad física, gestionar correctamente nuestras finanzas, entre otros aspectos son fundamentales para tener una vida sana. Entonces, ¿por qué no crear hábitos saludables tecnológicos? De esta manera contribuiremos con nuestra “salud tecnológica”, previniendo las posibles “infecciones” ocasionadas por virus cibernéticos que proliferan en nuestro entorno día tras día y de las que podríamos ser víctimas si no incorporamos y mantenemos como parte de nuestra rutina, prácticas saludables de ciberseguridad.

Este conjunto de prácticas saludables de ciberseguridad es agrupado en un término conocido como “ciberhigiene” cuyo fin es crear un ámbito digital alrededor del usuario que sea lo más “limpio y saludable” posible. A continuación, te muestro aquellas que definitivamente deben formar parte de tu rutina saludable tecnológica:

• Actualiza el sistema operativo y el antivirus periódicamente. No omitas las actualizaciones cuando te aparecen mensajes emergentes en tus dispositivos, esto mejorará en gran medida la seguridad de tu equipo.
• Gestiona tus contraseñas adecuadamente. Esto incluye no repetirlas en un sitio u otro, especialmente para servicios sensibles como banca online. Además, es fundamental ponerlas difíciles para que las probabilidades de acceso a tus cuentas disminuyan (recuerda que, si ya se ha accedido a una cuenta tuya, el acceso a las demás es cuestión de tiempo). La recomendación general es que combinen mayúsculas y minúsculas, números, símbolos y no se relacionen con aspectos personales. Si esta gestión se te hace muy liosa, te recomiendo acudir a gestores de contraseñas especializados, en España hay unos cuantos con planes gratuitos muy buenos como LastPass y Dashlane.
• Brinda tus datos solo si tienes claro cuál es el tratamiento que se va a dar a tu información. Un ejemplo habitual es compartir tu dirección de correo electrónico personal, tómate el tiempo de leer las condiciones de tratamiento de tus datos antes de hacerlo.
• Asegúrate de eliminar tu historial cuando navegues en un dispositivo o red pública y quita de tus registros aquellas redes wifi a las que no te conectes usualmente.
• Elimina aplicaciones o programas que ya no utilices. Muchas veces menos, es más.
• Emplea dispositivos externos que sean fiables para ti y bloquea tus dispositivos siempre que no los estés usando. Esto cobra mayor relevancia en un esquema de trabajo presencial, pero construir el hábito mientras estamos teletrabajando nos asegurará mantenerlo cuando la situación cambie.
• No te dejes seducir por publicidad engañosa, bien sea publicidad que aparece mientras navegas por la web o bien sea publicidad que llega a tus correos de trabajo o personales, nunca abras enlaces ni descargues archivos desconocidos (menos si llegan a tu bandeja de spam o no deseado)

Estas prácticas saludables de ciberseguridad son accesibles para todos aquellos que no somos expertos informáticos, tienen coste cero y lo mejor es que sus beneficios en el mantenimiento de nuestra “salud tecnológica” a medio y largo plazo hacen que merezca la pena incluirlos en nuestra rutina. No olvides que los hábitos saludables tecnológicos incrementan nuestra seguridad digital y la de nuestro colectivo, así que cuando los hayas asentado, difúndelos con otros para que la conciencia en este tema se incremente.

Si te ha interesado la ciberseguridad, te has venido arriba con el tema y quieres profundizar un poco más, te recomiendo que revises las publicaciones que tiene INCIBE (Instituto Nacional de Ciberseguridad) en su página web y para familiarizarte con la terminología puedes acceder al framework desarrollado por el NIST.

Imagen Principal:  Vector de Fondo creado por rawpixel.com – www.freepik.es

Tras hacer uso de la norma de referencia de Continuidad de Negocio ISO 22301, en numerosos clientes y proyectos de continuidad, siempre había echado de menos una mayor especificación de los requerimientos de las Estrategias de Continuidad. La actualización de esta norma de octubre de 2019, a mi modo de entender, acertadamente, incorpora varios nuevos requerimientos en este sentido. Además, agrega un nuevo enfoque hacia Soluciones de Continuidad o recursos necesarios que soportan las diferentes estrategias, entendiendo como posibles recursos todos aquellos edificios, centros de trabajo, instalaciones, sistemas de información, soluciones TIC, personal subcontratado, distribución geográfica, etc. necesarios para recuperar la actividad crítica.

Partir de un análisis de impacto de negocio formal y particularizado a la realidad de la actividad de la organización, donde se identifiquen los procesos y recursos críticos y se determinen sus necesidades de recuperación (MTPD, RTO, RPO) es un factor clave en el diseño de las estrategias de continuidad que garanticen el mantenimiento de la actividad crítica.

En muchas ocasiones este trabajo de análisis y valoración de los procesos críticos para la organización no se ha completado, o bien se ha realizado con muy buena voluntad, pero con poca estrategia metodológica, lo que deriva en una evaluación basada en criterios sin soporte formal. Sin duda alguna, los responsables de determinar los requisitos de tiempo e impacto son los propietarios del proceso de negocio y será el departamento de IT quién use estos valores para implantar soluciones de recuperación alineadas con las demandas del negocio.

En este sentido, la situación actual que estamos atravesando por causa del COVID-19 reclama una revisión de la apreciación del riesgo y el análisis BIA, y la necesidad de considerar la experiencia obtenida por el personal y las diferentes partes interesadas durante este proceso de continuidad una vez superada la crisis del coronavirus.

Salvado este punto, podemos afrontar con garantías el proceso de definición e implantación de la estrategia de continuidad de negocio global de la organización y las estrategias de recuperación específicas en cada una de las fases del proceso (prevención/detección, gestión de la crisis, recuperación y vuelta a la normalidad).

Empezaba el artículo haciendo alusión a uno de los apartados de la norma de referencia donde más cambios se han introducido, en particular al apartado 8.-Operación del Sistema de Gestión de Continuidad de Negocio y más concretamente el subapartado 8.3 Estrategias de Continuidad de Negocio que ha pasado a denominarse Estrategias y Soluciones de Continuidad de Negocio.

Diferencias de la Estrategias de continuidad según publicaciones de la norma:

Los cambios y nuevos requisitos que se introducen en este apartado se podrían resumir en un nuevo enfoque hacia “estrategias y soluciones”, donde las soluciones soportan las estrategias específicas de continuidad de negocio y el paso de medidas de protección y mitigación a la necesidad de precisar estrategias y soluciones antes, durante y después de una disrupción.

A la hora de evaluar posibles estrategias de recuperación, debemos diferenciar bien las medidas a implantar antes del incidente, que serán aquellas que van encaminadas a reducir la probabilidad y el impacto de este, de las estrategias durante el incidente, cuya finalidad será la recuperación de la actividad crítica al nivel de servicio preestablecido y, por último, las estrategias de vuelta a la normalidad, que permitirán restablecer la operativa normal minimizando los riesgos y costes imprevistos.

El contexto actual del COVID-19 pone de manifiesto la importancia de desarrollar estrategias específicas en cada etapa del proceso de Gestión de Crisis y Continuidad de Negocio.

Las medidas de prevención o de preparación en la mayoría de las organizaciones han sido insuficientes (con excepción del antiguo alumno que abandonó su carrera de Harvard para iniciar la que es hoy una de las empresas tecnológicas más valiosas del mundo), pues la realidad ha desbordado cualquier estimación previa. Por consiguiente, las estrategias de continuidad en la mayoría de los casos no están alineadas con un escenario de estas dimensiones y, por tanto, la estrategia (por mandato legal) se ha reducido a trasladar a los empleados a trabajar desde sus casas.

En la etapa actual de continuidad del negocio en la que la inmensa mayoría de las compañías están desprovistas de estrategias y soluciones específicas, y ante la paralización estrepitosa de la actividad económica mundial, la estrategia de vuelta a la normalidad cobra un protagonismo especial y valoraremos, una vez superada la crisis sanitaria, si ha significado una ventaja competitiva para aquellas organizaciones que hayan sabido anticipar la mejor solución para restablecer su operativa y aquellas organizaciones más maduras en resiliencia.

Probablemente, una de las primeras acciones a realizar por todas las organizaciones tras esta pandemia, sea la aplicación de todas las lecciones aprendidas en la revisión de las estrategias y soluciones (antes, durante y después) que permita proteger a los empleados y la actividad crítica del negocio.

Mi recomendación para todos los compañeros que formen parte en esta tarea, es abordar estos tres momentos de aplicación de estrategias por separado, evaluando al menos tres alternativas por estrategia para cada proceso crítico y escenario de indisponibilidad.

Cada alternativa debe ser cuantificable económicamente frente a la cobertura de riesgo que ofrece, de manera que la dirección estratégica tenga la posibilidad de seleccionar para cada proceso crítico la solución que considere más adecuada.

En resumen, queda por delante un trabajo importante de adecuación de nuestras estrategias y de las soluciones de continuidad de negocio, que va a demandar tiempo e implicación de toda la organización, pero si algo debe motivarnos para abordar esta tarea es que en el futuro solo las organizaciones que posean mayor facilidad para adaptarse a lo inesperado serán aquellas que sobrevivan.

Los que trabajamos en la disciplina de Continuidad de Negocio, solemos tomar como guía base la información que nos brindan los estándares y buenas prácticas relacionadas, en concreto, los estándares ISO y algunas guías desarrolladas por institutos especializados en la materia, tales como DRII y BCI. En ese sentido, quiero comenzar este artículo recordando algunos términos importantes, que más adelante haré referencia:

Análisis de Impacto al Negocio (BIA) – “process of analysing activities and the effect that a business disruption can have upon them”

Máximo Período Tolerable de Interrupción (MTPD) – “time it would take for adverse impacts, which can arise as a result of not providing a product/service or performing an activity, to become unacceptable”

Mínimo Objetivo de Continuidad de Negocio (MBCO) – “minimum level of services and/or products that is acceptable to an organization to achieve its business objectives during a disruption”

Tiempo de Recuperación Objetivo (RTO) – “period of time following an incident within which a product or service or an activity is resumed, or resources are recovered”

Nota: Las definiciones han sido obtenidas de la plataforma online de ISO conocida como Online Browsing Platform (OBP) y han sido dejadas de manera intencional en su idioma original.

Muchas de las personas y colegas con los que he tenido la suerte de conversar y compartir respecto a esta disciplina, coincidimos en que el BIA brinda la base para la implementación de un Sistema de Gestión de Continuidad de Negocio (SGCN), ya que nos permite hacer un diagnóstico de la organización e identificar con claridad cuáles son los órganos vitales de ésta.

El BIA brinda la base para la implementación de un Sistema de Gestión de Continuidad de Negocio (SGCN)

Sin embargo, para muchas organizaciones, es precisamente este proceso el más tedioso y engorroso de todos los procesos del SGCN, lo que muchas veces impide realizar buenos diagnósticos: el poco involucramiento de la alta dirección, la confusión entre importante y prioritario (o crítico), el ser demasiado superficial (o general) en el análisis o el caer en exceso de granularidad, entre otros aspectos, influyen negativamente.

Pero en este artículo no quiero enfocarme en los riesgos y puntos clave para lograr realizar un proceso BIA de manera eficiente y eficaz, sino en cómo nuestro entorno, y particularmente el que estamos pasando la mayoría de los países en los momentos presentes, nos obliga a revisar y reevaluar los resultados obtenidos a través del BIA.

Si nos vamos a la recomendación del estándar elaborado para la realización de un BIA, la ISO 22317:2015, encontraremos que en su punto 5 nos indica que el éxito de un BIA dependerá de la correcta identificación de nuestros clientes y partes interesadas, anticipando sus reacciones ante un incidente disruptivo (el texto original: “identifying customer and other interested parties, and anticipating their reactions to a disruptive incident”).

Me voy a quedar con la parte final del punto al que hago referencia, es decir, incidente disruptivo (o disrupción). Este concepto se define como un incidente, ya sea anticipado o no, que causa una desviación negativa no planificada en los objetivos de la organización relacionados con la entrega de sus productos y servicios. La pregunta que hago en este punto es la siguiente: ¿alguna organización podría haber anticipado el evento y los impactos que viene generando de manera global el Covid-19? Ya en varios países de Latinoamérica se hablaba de una definición diferenciada de las variables de recuperación del BIA, considerando escenarios de afectación individual (p.e. incendio, inundación, caída del centro de datos) y afectación sectorial (p.e. terremoto, huracán, ataque cibernético al sistema financiero); pero ¿dónde dejamos la afectación global? Creo que aquí se presenta el primer punto ciego de nuestros análisis, pero no el único.

Mientras escribía este artículo, pensaba en la posibilidad de definir, dependiendo del entorno de la organización y del grado de exposición que esta pudiera tener, nuestras variables de recuperación (entiéndase MTPD, RTO, MBCO) considerando 03 “macro escenarios”:

Creo que la actual pandemia, ha hecho evidente que los tiempos de recuperación para estos 3 macro escenarios pueden variar de manera dramática y, por tanto, la estrategia que debemos implementar para tener una respuesta. Precisamente es en este punto, en el diseño de las estrategias de recuperación, que encuentro el siguiente punto ciego. Ya los ciberataques, por el impacto que generan, han hecho que se piense en no sólo la definición de estrategias de respuesta individuales, sino también en el diseño e implementación de estrategias conjuntas a nivel sectorial, buscando salvaguardar las operaciones de cientos de empresas involucradas en las diversas cadenas productivas. Será el Covid-19 el motivo para que, los gobiernos, piensen en establecer estrategias de respuesta para amenazas similares; y ¿cómo extrapolamos ese escenario a las organizaciones? Creo que esto podría abrirnos un bonito debate, dónde tengamos que poner en una balanza las necesidades de cada parte interesada y definir, en conjunto, la estrategia aplicable ante coyunturas similares.

Existen un par de términos que todos los relacionados a la disciplina de Continuidad conocemos: los cisnes negros y los rinocerontes grises. La verdad es que no sé si este Covid es un cisne negro o un rinoceronte gris, creo que podríamos encontrar matices de ambas definiciones en lo que venimos experimentando. Por un lado, conocemos que los virus existen desde hace mucho tiempo y vienen generando un impacto constante a nivel global; por otro lado, tenemos que los impactos del Covid-19 han escalado a niveles jamás pensados.

Dejando la terminología de lado, es claro que el BIA es una base interesante y valiosa que permite a las organizaciones priorizar y enfocar sus acciones en lo más urgente; sin embargo, es una base poco útil si no se engrana con una adecuada gestión de crisis y liderazgo de la situación. Una disciplina como la Continuidad busca minimizar la improvisación y la incertidumbre, pero no la hace desaparecer, pues no es su cometido.

Al final, creo que es necesario que los gobiernos, las organizaciones y nosotros mismos (a nivel personal), revisemos nuestros BIAs; es hora de poner un poco de orden, diferenciar con claridad lo importante de lo urgente y rediseñar nuestras estrategias de continuidad.

En repetidas ocasiones nos encontramos con organizaciones en donde no existe un lenguaje homologado entre las unidades de negocio, que propicie un entendimiento común de la terminología empleada. Un ejemplo muy habitual de esto se da cuando utilizamos los dos términos que componen el título de este artículo: “incidente” y “crisis”.

Por ello, intentaremos clarificar a qué nos referimos cuando hablamos de un incidente y a qué, cuando hablamos de una crisis.

Partiendo de definiciones estándar, nos referiremos a la plataforma en línea que la ISO pone a nuestra disposición (ver ISO 22300:2018 OBP – Online Browsing Platform):

Incidente – “situation that might be, or could lead to, a disruption, loss, emergency or crisis”

Crisis – “unstable condition involving an impending abrupt or significant change that requires urgent attention and action to protect life, assets, property or the environment”

Al leer ambas definiciones (las dejamos a propósito en inglés, para no caer en interpretaciones erróneas), podemos deducir que los incidentes dan origen a una crisis, principalmente aquellos que no son gestionados de manera adecuada y oportuna. En palabras simples, la crisis es un tipo de incidente que tiene la capacidad de impactar significativamente a la organización. Para ello, dicho incidente debe cumplir con criterios específicos que consideran el impacto que viene causando a nivel operativo, de imagen, en el ámbito legal o regulatorio, entre otros, según aplique al contexto particular de la organización.

Este último párrafo nos lleva a reflexionar y preguntarnos lo siguiente: ¿Puede una organización establecer sus propios criterios para indicar qué es crisis y qué no? La respuesta es un ¡Sí! con absoluta convicción.

La lógica aplicable para la definición de los criterios de crisis también será particular a cada organización. Es decir, no siempre deben cumplirse todos los criterios definidos, para algunas organizaciones puede ser suficiente uno de ellos para declarar una crisis. La definición de estos criterios debe realizarse de forma natural, cubriendo los ámbitos aplicables al entorno de la organización, asegurando con ello un entendimiento general de los mismos.

Pero, para estructurar una completa respuesta a la crisis, no solo basta con definir criterios claros y difundirlos a nivel organizacional. También es necesario establecer una estructura de roles y personas que sea capaz de tomar decisiones y enfrentar lo inesperado; porque al final siempre vamos a tener que gestionar cierto grado de incertidumbre y es clave tener esas funciones establecidas con antelación. En efecto, hablamos en este punto de la necesidad de contar con un Comité de Crisis.

La conformación y definición de este Comité debe realizarse de acuerdo con el tamaño de la organización y con la complejidad de su estructura organizativa, buscando salvaguardar la flexibilidad necesaria para gestionar las crisis que se presenten.

¿Qué puede generar crisis en las organizaciones?

Cuando hablamos de criterios, podemos hacernos una idea inicial de a qué nos referimos. Incidentes con alto impacto relacionados a emergencias (salvaguarda de vidas), imagen, paralización de procesos, paralización de servicios TI, entre otros, podrán derivar la necesidad de gestionar crisis de diferentes ámbitos.

Esto nos lleva a identificar con claridad que la Gestión de Crisis es una disciplina transversal a la organización, como “la punta del iceberg” en lo que respecta a la toma de decisiones asociadas a la gestión de cualquier crisis que se genere. Por ello, es importante ejercitarla con una frecuencia determinada, con el objetivo de obtener aspectos de mejora que colaboren con la conformación de equipos interdisciplinarios dentro de la organización, y no nos quedemos solo con “islas” especializadas en cada tema. Esto permitirá la generación de sinergias entre equipos y asegurará una respuesta efectiva de la organización.

¿Un incidente netamente tecnológico puede generar una crisis de reputación? Tenemos varios ejemplos en el último tiempo que nos indican la respuesta. Por eso, se resalta en la gráfica la necesidad de contar con canales bidireccionales de comunicación no sólo para informar hacia arriba, sino también para coordinar lateralmente con los otros equipos que se vean involucrados en la crisis.

Cada vez que hay un incidente que parece no estar bajo control, ¿debo convocar a todos los Comités?

La propuesta mostrada en la gráfica busca evitar ello, tratando de definir comités de crisis intermedios conformados por personas con suficiente poder de decisión para gestionar la solución del incidente, y dependiendo de los impactos que viene generando, ir involucrando a los diferentes comités especializados, teniendo como rector final al Comité de Crisis Corporativo.

Estos Comités serán los encargados de evaluar la situación y los impactos que vaya generando el incidente, tomar decisiones con dicha base, informar a las partes interesadas (según se tenga identificado en el Plan de Comunicación en Crisis), y dar seguimiento a cada una de las acciones tomadas, para evaluar su idoneidad y tomar las acciones correctivas que competan.

La gestión de crisis repetirá estos pasos hasta lograr que la crisis haya sido controlada y que la organización haya podido volver a la normalidad de operación. Es fundamental recordar que la gestión de crisis debe concluir con la ejecución de un proceso de mejora continua, donde se identifiquen los aspectos de mejora aplicables a dicha gestión y se establezcan los roles responsables de su implementación.

Existen estándares internacionales y normativa de referencia (ISO 22320, ISO 22301, BS 11200), además de casos de estudio de prestigiosas organizaciones, que nos brindan una base sobre la cual desarrollar la estructura de gestión de crisis de nuestra organización. Sin embargo, tomar dichas referencias para realizar una revisión documental no es suficiente si queremos asegurar la articulación y mejora en el tiempo de nuestra estructura de respuesta, es necesario ejercitar dichos mecanismos a través de ejercicios y simulacros en donde participen dichos comités, buscando desarrollar conocimiento en cada uno de los roles responsables y generando las sinergias necesarias entre los mismos, con el fin de lograr una respuesta ordenada y eficiente de la organización cuando afronte los diferentes escenarios de crisis a los que está expuesta.