La gestión de una crisis es parte del ciclo de vida de una empresa, y poder superar con éxito una emergencia como la que actualmente afecta a organizaciones de todo el mundo. Es lo que va a distinguir a las organizaciones que la puedan superar, de las que por desgracia no sean capaces de hacerlo.
Las pandemias, el cambio climático, las crisis económicas y las tendencias de consumo son sólo algunas de las amenazas que actualmente pueden afectar dramáticamente a la manera en que una organización hace negocios y consigue superar y afrontar con éxito las distintas amenazas que ponen en jaque a la entidad.
ISO 22316
La resiliencia organizacional es la capacidad de una empresa para absorber y adaptarse a las amenazas que afecten al negocio, sin dejar de cumplir con los objetivos de la organización. La norma ISO 22316, es la que proporciona las pautas para una adecuada implementación de la Resiliencia Organizacional en las empresas. Esta norma, fue publicada en el año 2017, y establece los principios, atributos y actividades que una organización debe considerar para mantener y mejorar su resiliencia.
Por resiliencia organizacional, entendemos la habilidad para adaptarse una organización en un entorno en constante cambio para cumplir sus objetivos y prosperar.
Este estándar, está basado en una serie de principios que son los que posibilitan una exitosa implantación de la misma:
- Comportamiento alineado con la visión, misión y valores de la organización.
- Entendimiento del contexto.
- Absorber, adaptarse y responder efectivamente al cambio.
- Buen gobierno y gestión.
- Diversidad de habilidades, liderazgo, conocimiento y experiencia
- Coordinación de todas las áreas.
- Gestión del riesgo
La visión, misión y valores deben ser compartidos en toda la organización y, además, deben de reflejarse en los objetivos a bajo nivel de todas las áreas, los cuales deben estar siempre alineados con la estrategia de negocio. Es conveniente que éstos sean revisados con periodicidad, con el fin de permitir que puedan estar adaptados según los cambios que se vayan produciendo en la entidad.
Así, la ISO 22316 da pautas para incentivar la capacidad de recuperación de las diferentes organizaciones ante situaciones difíciles o no esperadas.
Esta norma se apoya en otros dos estándares, ISO 22301 (Continuidad de Negocio), ISO 22320 (Gestión de Crisis), de tal forma que entre las tres constituyen las mejores claves para afrontar con éxito cualquier situación de desastre como la que estamos por desgracia viviendo actualmente.
ISO 22301
La ISO 22301 es la norma internacional para la gestión de la continuidad de negocio (GCN). Proporciona una estructura práctica para establecer y gestionar de forma efectiva un sistema de gestión de continuidad de negocio. Esto tiene como objetivo proteger a dicho sistema de amenazas y alteraciones potenciales entre las que entre otras se pueden incluir las siguientes:
- Fallos tecnológicos
- Pérdida repentina de recursos esenciales
- Desastres naturales
- Ataques terroristas
- Otras situaciones de emergencia
Este concepto de gestión de la continuidad de negocio, hace referencia a la capacidad que tienen las empresas para sobrevivir ante un riesgo que se pueda presentar de manera interna o externa, afectando el normal desarrollo de las actividades de la organización. La clave es la habilidad que tiene la entidad, para reaccionar de manera inmediata frente a una amenaza que se produzca y continuar prestando sus servicios de manera “habitual” con el fin de evitar la interrupción y el desarrollo normal de sus labores cotidianas.
En este punto, es igual o más importante, no sólo disponer de un Plan de Continuidad de Negocio (BCP), bien documentado y accesible para las partes interesadas de la compañía, sino que dicho plan debe de ser probado con la suficiente periodicidad, para garantizar, que cuando se produzca un desastre real, la empresa siguiendo las directrices del plan podrá recuperarse según se indique en el mismo de forma efectiva.
Por todo ello, podemos concluir que la ISO 22301 reúne todos los requisitos para llevar a cabo la correcta y adecuada implementación de un Sistema de Gestión de Continuidad de Negocio, el cual deberá identificar las capacidades que tiene una organización para enfrentar cualquier tipo de incidente que se pueda presentar y, además, ofrece plantear diversas opciones que permiten mejorar el negocio de forma constante y realizar una correcta planificación para garantizar la continuidad de la compañía.
En este punto, es fundamental conocer de cuánto tiempo dispone la compañía para recuperar y restaurar las operaciones con la finalidad de evitar pérdidas catastróficas. Aquí juegan una especial importancia, entre otras, las variables siguientes:
- RPO (Recovery Point Objective) o Punto de Recuperación Objetivo: Máxima cantidad tolerable de información que se puede perder en caso de desastre.
- RTO (Recovery Time Objective) o Tiempo de Recuperación Objetivo: Máximo tiempo que transcurre desde que se produce un desastre hasta que se recupera un nivel de servicio previamente acordado
ISO 22320
Finalmente, la Norma ISO 22320 «Protección y Seguridad de los ciudadanos. Gestión de emergencias. Requisitos para la respuesta ante incidentes» se basa en la adecuada detección y activación de avisos, en la gestión a través de un mando y control estructurados, una gestión de la información operativa clara y una coordinación y cooperación con los agentes implicados en la respuesta, que permita dar una respuesta eficaz y adecuada a la crisis planteada con el objetivo de paliar los efectos negativos de la misma y sobre todo de salvar vidas.
Esta norma basa la respuesta a incidentes en los siguientes puntos básicos:
- Establecimiento de una estructura y un proceso de mando y control.
- Definición de procesos para la gestión de la información operativa.
- Requisitos para la cooperación y coordinación entre las distintas organizaciones implicadas.
