Cómo mitigar riesgos

por Atalait el Feb 16, 2018, 6:00:00 PM

mitigar riesgos

Actualmente estar preparado para una contingencia es vital para cualquier empresa. Sismos, robos, hackeos, incendios, paros laborales, en fin, un sinnúmero de amenazas son las que rodean el contexto de cualquier compañía.

Un buen Plan de Continuidad de Negocios, debe contar con la información suficiente para poder estar preparado contra cualquier contingencia y mitigar riesgos lo antes posible.Una buena labor de prevención es fundamental para estar preparado antes, durante y después de que los riesgos se materialicen.

Identifica amenazas y calcula tus riesgos

El contexto y el entorno de una empresa se encuentra en constante cambio y debido a esto, es necesario identificar constantemente, cuáles son las amenazas a las que te encuentras expuesto, para, a partir de este análisis, estar preparado.

Existen amenazas de tipo ambiental que son aquellas que no involucran al hombre, como son sismos, huracanes, tornados, y todo evento creado por la naturaleza. Las operativas abarcan negligencia humana, ausencia de personal y son desencadenadas por el hombre, considerando las de salud como las pandemias dentro de este rubro.

Dentro de los sociales se encuentran los robos, inundaciones provocadas, plantones, problemas de carácter político, amenazas de bomba y todas aquellas generadas por eventos sociales. Las tecnológicas son por ejemplo la falla de aplicaciones, la pérdida de datos, el hackeo, falla de redes, falla de energía eléctrica y todas aquellas que afecten al entorno de TI de las empresas.

Es importante realizar una investigación para conocer qué tanto puede afectar la materialización de una amenaza a tu empresa. Está información puede ser histórica, generarse a través de entrevistas, o cualquier medio disponible informativo que sea de fuente fidedigna y confiable.

A partir de esta información debes definir el nivel de afectación que las amenazas puedan suponer si se llegaran a materializar. El valor se puede establecer calculando la probabilidad de que se materialice la amenaza por el impacto generado sobre la empresa, generando las llamadas matrices de riesgo o de calor.

A partir de dicho análisis se le asignan tratamientos a los riesgos, siendo estos tratamientos los siguientes:

Aceptar: consiste en no hacer nada, simplemente dejar que todo pase, muchas veces porque el tratamiento al riesgo sería más costoso que el impacto que generaría la ocurrencia de este o porque no se puede hacer nada para evitarlo.

Transferir: consiste en trasladar el riesgo a un tercero, por ejemplo, contratar una póliza de seguro, con el objetivo de que alguien más se haga cargo de proteger edificios, bienes, etc.

Mitigar: tiene que ver con mejorar las medidas que ya se tienen establecidas, con el fin de reforzarlas y tratar de que el impacto sea menor en caso de que se presente alguna afectación.

Planifica con tiempo

Como hemos mencionado, el Plan de Continuidad de Negocios presentará los procedimientos necesarios para ser implementados en caso de una contingencia. Estos procedimientos podrán ser ejecutados por las áreas críticas, para abarcar los procesos que son vitales para que la empresa funcione en una contingencia.

Para empezar, debe haber un grupo que dirija este plan, así que lo primero que se debe hacer es que se designe una estructura de gobierno que se encargue de dirigir y operar, cuando ocurra una situación de contingencia y se activen los planes. Ellos serán los responsables de coordinar las acciones, operar y evaluar el correcto funcionamiento antes, durante y después de una contingencia. Dentro de la estructura de gobierno se encuentran comités y equipos que se dividen las tareas necesarias a realizar.

calculando el impacto financiero

Posteriormente deberás generar las políticas que regirán los planes. Dichas políticas deberán ser específicas y delimitar todos los lineamientos a considerar dentro de tus planes. Es importante señalar que antes de ser publicadas, estas políticas deberán ser aprobadas por la alta dirección de la empresa y difundidas a todo el personal, para su conocimiento y correcta ejecución.

Adicionalmente, deberás definir los criterios para activar y desactivar los planes, en donde precisarás cuales son los parámetros que vas a considerar para tomar la decisión de la activación de los planes en una situación de contingencia.

Posteriormente, dependiendo de lo que definiste en tu estrategia de recuperación, deberás elaborar los protocolos de operación antes, durante o después de la ocurrencia de una contingencia, colocando diagramas de flujo que faciliten el entendimiento de los gobiernos de continuidad, previamente definidos.

Además, será necesario considerar como se realizará la comunicación en una situación de contingencia, ¿a quiénes voy a informar, que voy a informar?, ¿quiénes van a ser los que van a informar?, ¿qué mensajes se deben dar considerando la audiencia y los escenarios?, ¿cómo voy a manejar las redes sociales en una situación de contingencia?

Todo esto con el fin de poder mantener una comunicación continua y mantener control sobre la información que se maneja sobre la empresa en una situación de contingencia.

Mantén contacto con proveedores críticos

En caso de que exista una dependencia total o parcial hacia los proveedores se deben tomar medidas importantes para establecer al momento de contratación de sus servicios cláusulas que te protejan en caso de que exista una contingencia. 

Para esto primero debes tener una base de datos actualizada de tus proveedores con información de contacto y ubicación las 24x7x365, con proveedores suplentes identificados en caso de que el principal no pueda responder y en conjunto con las áreas legales de la empresa, es importante definir niveles de servicio, o SLA (por sus siglas en inglés Service Level Agreement).

Los SLA pueden considerar cláusulas con % de disponibilidad de los servicios prestados por el proveedor a la empresa y anexos sobre continuidad y recuperación, en caso de que el proveedor, solo o en conjunto con la empresa en cuestión, incurra en una situación de contingencia que pueda afectar la prestación del servicio.

Los porcentajes de disponibilidad deben negociarse. Entre más grande sea este porcentaje, mayor será el costo, sin embargo, sin importar el costo, la disponibilidad puede tener un alto valor si estos proveedores son críticos para la operación de la empresa.

También se puede llegar a solicitar a los terceros que cuenten con un Plan de Continuidad de Negocios o un Plan de Recuperación de Desastres, para que los proveedores estén preparados en caso de que ocurra una contingencia e incluso, sería una buena práctica involucrar a los proveedores en las pruebas que se lleven a cabo anualmente.

También es importante que tengas siempre en cuenta que los proveedores de servicios básicos son críticos para cualquier empresa. Dentro de estos se encuentra el gobierno, los sistemas de agua y energía eléctrica, recolección de basura, gas, entre otros.

Para solventar las faltas de cumplimiento de estos proveedores puedes prepararte, como, por ejemplo, para las fallas de energía eléctrica, el invertir en una planta de energía, si se llega a cortar el suministro sería una recomendación; o con los gobiernos es recomendable mantener una buena comunicación; o para sistemas de agua o gas, se puede invertir en plantas generadoras de agua o gas, en caso de ser necesario.

Capacita a tu personal

Esta etapa tiene que ver con dos aspectos centrales: capacitación y difusión o concientización, pues es donde se crea conocimiento sobre el tema de continuidad, se despierta el interés de la audiencia y se crea conciencia en la necesidad de crear una cultura de manejo de riesgo, continuidad y seguridad dentro de las operaciones diarias de la empresa. 

Este proceso contempla el generar materiales y manuales, para realizar sesiones de capacitación y difusión a los empleados sobre su participación dentro de los planes. Todo esto con el objetivo de que el personal conozca los beneficios, para sí mismos y para la empresa, de tener una cultura de la continuidad.

Sigue estos consejos para mitigar riesgos y prepárate para identificar amenazas. No esperes a que se materialicen los riesgos para tener un plan porque puede ser muy tarde.

Los sismos de Septiembre 2017 y su afectación en México