Cloud Híbrida
Ciberseguridad
Data & AI
IoT y Conectividad
Business Applications
Intelligent Workplace
Pequeña y Mediana Empresa
Salud
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Gestión de crisis en continuidad de negocio: cómo responder cuando los sistemas fallan
Qué es la gestión de crisis en el contexto de la continuidad de negocio
La gestión de crisis es la disciplina que rige la toma de decisiones y la comunicación de la empresa durante una interrupción activa. Opera en el espacio entre la detección y la recuperación: el intervalo en el que se ha activado el plan de continuidad del negocio (BCP), en el que los equipos técnicos trabajan para restaurar los sistemas y cuando el liderazgo debe tomar decisiones trascendentales con información incompleta y tiempo limitado.
■ Lo que distingue a las empresas que gestionan las crisis de forma eficaz de las que no lo hacen rara vez es la sofisticación de su tecnología. Casi siempre es la calidad de su preparación.
- ¿Quién tiene la autoridad para declarar un incidente de continuidad?
- ¿A través de qué canal se transmite esa declaración?
- ¿Quién se comunica con los clientes, con los reguladores, con los medios de comunicación, con los empleados, y qué dicen?
El punto débil más frecuente: la comunicación de crisis
El plan de comunicación de crisis es uno de los componentes más sistemáticamente descuidados de la gestión de la continuidad del negocio (BCM).
Las empreas invierten en infraestructura de respaldo, tecnología de replicación y automatización de la recuperación, y luego descubren, en el momento en que más lo necesitan, que su plan de comunicación de crisis da por sentada la disponibilidad de sistemas de correo electrónico que están caídos, listas de contactos almacenadas en sistemas inaccesibles y protocolos de comunicación que solo conocen personas que no están disponibles.
Si la comunicación de crisis depende de sistemas que fallan durante la crisis, no hay un plan de comunicación de crisis: hay un procedimiento para tiempos de calma.
Por tanto, una gestión eficaz de crisis requiere:
- Un equipo de gestión de crisis designado previamente con funciones claras.
- Un canal de comunicación independiente de los sistemas que probablemente se vean afectados.
- Marcos de mensajería preaprobados para diferentes tipos de incidentes.
- Ejercicios de simulación periódicos que pongan a prueba no solo la recuperación técnica, sino también el proceso de toma de decisiones humanas en situaciones de estrés.
⚠️ ¿Cuándo fue la última vez que el equipo de gestión de crisis realizó un simulacro con altos cargos y los departamentos clave (comunicación, legal, IT…) para evaluar la toma de decisiones y comunicación bajo presión?
El punto débil más frecuente: la comunicación de crisis
Existe una dimensión de la interrupción organizativa que no aparece en los cálculos de RTO/RPO, que no se recoge en las métricas técnicas de recuperación y que a menudo está ausente de las revisiones de los programas de BCM: el impacto en la confianza.
Cuando una empresa no logra mantener sus servicios, comunicarse de forma transparente con las partes (empleados, clientes, socios, accionistas y reguladores, proveedores...) o recuperarse dentro de los plazos a los que se ha comprometido implícita o explícitamente, además de operativo el daño pasa a ser reputacional.
Diversos estudios sobre comunicación corporativa y gestión de la reputación ponen en relevancia de manera significativa y de alto impacto la reputación corporativa como activo estratégico.
Los desarrollos posteriores en la teoría de las partes y la comunicación de crisis convergen en una conclusión que debería ser fundamental para la gobernanza de la gestión de la continuidad del negocio: la rapidez y la calidad de la comunicación durante una crisis determinan los resultados reputacionales tanto como, y en ocasiones más que, los hechos técnicos del propio incidente.
■ Las empresas que se comunican de forma proactiva y transparente durante una interrupción reconociendo el incidente, describiendo su alcance con honestidad, proporcionando plazos de recuperación realistas y manteniendo informadas a las partes interesadas a medida que evoluciona la situación suelen salir de las crisis con su reputación menos dañada que las organizaciones que se comunican de forma reactiva, mínima o inexacta.
Este último grupo a menudo se encuentra con que el fallo de comunicación se convierte en la noticia, eclipsando el incidente original.
Reputación y confianza en la continuidad del negocio: conexiones críticas
- La confianza de las partes involucradas o afectadas se ve mermada más rápidamente por un fallo de comunicación que por un fallo técnico.
- Una comunicación transparente y oportuna durante una interrupción denota competencia organizativa, no debilidad.
- La comunicación posterior al incidente (qué se hizo, qué se aprendió, qué cambió) reconstruye la confianza de forma más eficaz que el silencio.
- La gobernanza de la gestión de la continuidad del negocio (BCM) debe incluir explícitamente una dimensión de riesgo reputacional en su metodología de análisis de impacto en el negocio (BIA).
- El CISO, el director de comunicaciones y el consejero general (o equivalentes) deben formar parte de la estructura de gobernanza de la gestión de la continuidad del negocio (BCM), y no ser meros receptores pasivos de actualizaciones técnicas.
Esto tiene una implicación estructural directa en cómo se diseñan los programas de BCM. El riesgo reputacional debe incluirse en la metodología del BIA; no como una idea de último momento, sino como una dimensión de impacto primaria junto al impacto financiero y operativo.
La pregunta es: "¿Qué concluirán nuestros clientes, socios y reguladores sobre nosotros si estamos inactivos durante tanto tiempo y cómo lo gestionamos?”.
■ La resiliencia organizativa, la capacidad de la empresa para absorber las interrupciones, adaptarse y salir adelante con su posición estratégica intacta, es, en última instancia, una cuestión de confianza.
Y la confianza se construye antes, mediante con una preparación visible y una respuesta competente, y no se después con disculpas y análisis retrospectivos.
Las copias de seguridad como punto de partida, no como destino
Las copias de seguridad empresariales cumplen un propósito valioso: recuerdan a las organizaciones una disciplina que, a pesar de décadas de promoción, sigue practicándose de forma inconsistente.
La regla 3-2-1 (tres copias de los datos, en dos tipos de soportes diferentes, con una copia fuera de las instalaciones) dista de ser universal. Las tareas de copia de seguridad siguen fallando en silencio. Los procedimientos de restauración siguen sin probarse hasta el momento en que más se necesitan.
Pero la contribución más profunda de las copias de seguridad, si se entiende correctamente, es sacar a la luz la conversación que la copia de seguridad inicia pero no completa.
- La copia de seguridad es la respuesta a una pregunta: ¿podemos recuperar nuestros datos?
- La gestión de la continuidad del negocio responde a una pregunta diferente y más amplia: ¿puede nuestra empresa sobrevivir y funcionar durante y después de una interrupción?
- La ciberresiliencia responde a una tercera: ¿estamos preparados para anticipar, absorber y adaptarnos a condiciones adversas como capacidad sistémica?
- Y la resiliencia corporativa, el más amplio de estos conceptos, pregunta: cuando la interrupción haya terminado, ¿seremos más fuertes, más fiables y estaremos mejor preparados que antes de que comenzara?
Se trata, por tanto, de marcos anidados:
- La copia de seguridad respalda la recuperación.
- La recuperación es un componente de la continuidad del negocio.
- La continuidad del negocio es una dimensión de la ciberresiliencia.
- La ciberresiliencia es un pilar de la resiliencia corporativa.
Por tanto,
- Una empresa que invierte únicamente en copias de seguridad construye únicamente un pilar.
- Una empresa que comprende cómo se conectan estas capas e invierte en consecuencia construye una arquitectura, y las arquitecturas sobreviven a lo que los componentes aislados no logran.
La cuestión no es si dispone de una copia de seguridad. La cuestión es si la empresa cuenta con una arquitectura para la supervivencia, y si la ha probado.
Continuidad como ventaja competitiva y capacidad estratégica
Existe un momento en toda interrupción (un corte de electricidad, un ataque de ransomware, un fallo crítico del sistema) en el que se revelan dos tipos de empresas:
- Las que entran en pánico: funciones poco claras, comunicaciones improvisadas, procedimientos de recuperación sin probar, ansiedad creciente entre las partes interesadas.
- Las que actúan: umbrales de activación predefinidos, equipos de crisis capacitados, manuales de recuperación probados, comunicación proactiva con las partes interesadas.
La diferencia entre estos dos tipos de empresas está en la gobernanza y la preparación.
Las empresas que actúan no se limitan a sobrevivir a las interrupciones. Las aprovechan. Cada incidente, ejercicio y análisis posterior contribuye a su adaptabilidad y ciberresiliencia, a mejorar su capacidad de respuesta.
Con el tiempo, estas empresas desarrollan una ventaja acumulativa: sus capacidades de continuidad se vuelven más sólidas, sus equipos ganan en confianza, sus partes interesadas confían más en ellas y su recuperación es más rápida.
Desde esta perspectiva, la continuidad del negocio deja de ser coste operativo o un requisito de cumplimiento y se convierte en una inversión estratégica en la capacidad de la empresa para actuar ante la adversidad y preservar su posición competitiva, sus relaciones y su reputación intactas.
Las empresas que comprenden esto no esperan a la próxima interrupción para poner a prueba su preparación. La están poniendo a prueba ahora, mejorando continuamente y tratando la resiliencia como una capacidad organizativa fundamental, no como una póliza de seguro que se guarda en un cajón hasta que se necesita.
La verdadera pregunta para el liderazgo no es: ¿tenemos un plan de continuidad del negocio? Es: ¿tiene nuestra organización la cultura, la gobernanza y la capacidad probada para actuar cuando más importa?
