Etiquetas
Seguridad

Ejemplos de planes de contingencia: una guía paso a paso para ayudar a su empresa a prepararse para lo inesperado

Vehículo quitanieves del aeropuerto

Las empresas suelen definirse por cómo afrontan los acontecimientos que escapan a su control. Por ejemplo, la forma de reaccionar ante una tecnología disruptiva o de afrontar un cambio repentino en los mercados puede marcar la diferencia entre el éxito y el fracaso.

La planificación de contingencias es el arte de prepararse para lo inesperado. Pero, ¿por dónde empezar y cómo separar las amenazas que podrían causar un daño real a su empresa de las que no son tan críticas?

A continuación encontrará algunas definiciones importantes, buenas prácticas y ejemplos sólidos que le ayudarán a elaborar planes de contingencia para cualquier cosa a la que se enfrente su empresa.

¿Qué es un plan de contingencia?

Los planes de contingencia empresarial, también conocidos como "planes de continuidad del negocio" o "planes de respuesta a emergencias", son planes de acción para ayudar a las organizaciones a reanudar su actividad normal tras una interrupción involuntaria. Las organizaciones elaboran planes de contingencia para hacer frente a diversas amenazas, como catástrofes naturales, paradas imprevistas, pérdida de datos, violaciones de la red y cambios repentinos en la demanda de los clientes.

Un buen punto de partida es plantear una serie de preguntas del tipo "qué pasaría si..." que propongan los peores escenarios para los que necesitarás un plan. Por ejemplo:

  • ¿Y si un activo crítico se avería y provoca retrasos en la producción?
  • ¿Qué pasaría si sus tres mejores ingenieros dimitieran al mismo tiempo?
  • ¿Y si el país donde se fabrican sus microprocesadores fuera invadido de repente?

Los buenos planes de contingencia priorizan los riesgos a los que se enfrenta una organización, delegan responsabilidades en los miembros de los equipos de respuesta y aumentan la probabilidad de que la empresa se recupere totalmente tras un acontecimiento negativo.

Cinco pasos para elaborar un plan de contingencia sólido

1. Elaborar una lista de riesgos y ordenarlos por prioridad en función de su probabilidad y gravedad.

En la primera fase del proceso de planificación de contingencias, las partes interesadas elaboran una lista de posibles riesgos a los que se enfrenta la empresa y analizan cada uno de ellos. Los miembros del equipo debaten los posibles riesgos, analizan el impacto del riesgo de cada uno y proponen líneas de actuación para aumentar su preparación general. No es necesario crear un plan de gestión de riesgos para cada una de las amenazas a las que se enfrenta la empresa, sino sólo para las que los responsables de la toma de decisiones consideren muy probables y con un impacto potencial en los procesos empresariales normales.

2. Realizar un informe de análisis de impacto empresarial (BIA)

El análisis del impacto empresarial (BIA, por sus siglas en inglés) es un paso fundamental para comprender cómo responderán las distintas funciones de una empresa ante acontecimientos inesperados. Una forma de hacerlo es ver cuántos ingresos genera la unidad de negocio en riesgo. Si el BIA indica que se trata de un porcentaje elevado, lo más probable es que la empresa quiera dar prioridad a la creación de un plan de contingencia para este riesgo empresarial.

3. Elaborar un plan

Para cada amenaza potencial a la que se enfrente su empresa y que tenga tanto una alta probabilidad de producirse como un alto impacto potencial en las operaciones comerciales, puede seguir estos tres sencillos pasos para elaborar un plan:

  • Identificar los factores desencadenantes que pondrán en marcha un plan: por ejemplo, si se acerca un huracán, ¿cuándo desencadena la tormenta su curso de acción? ¿A 80 kilómetros? ¿a 160 kilómetros? Sus equipos necesitarán una orientación clara para saber cuándo deben empezar a ejecutar las acciones que se les han asignado.
  • Diseñar una respuesta adecuada: la amenaza para la que se preparó su organización ha llegado y los equipos están entrando en acción. Todos los implicados necesitarán instrucciones claras y accesibles, protocolos fáciles de seguir y una forma de comunicarse con otras partes interesadas.
  • Delegar la responsabilidad de manera clara y justa:  como cualquier otra iniciativa, la planificación de contingencias requiere una gestión eficaz de proyectos para tener éxito. Una forma eficaz de abordar esta cuestión es crear un gráfico RACI. RACI son las siglas en inglés de responsable, aprobador, consultado e informado, y se utiliza ampliamente en la gestión de crisis para ayudar a equipos y personas a delegar responsabilidades y reaccionar ante las crisis en tiempo real.

4. Conseguir la aceptación de toda la organización y ser realista en cuanto a los costes

A veces puede resultar difícil justificar la importancia de dedicar recursos a prepararse para algo que quizá nunca ocurra. Pero si algo nos han enseñado los acontecimientos de estos últimos años es que contar con planes de contingencia sólidos tiene un valor incalculable.

Piense en los problemas de la cadena de suministro y la escasez crítica provocada por la pandemia o el caos de las cadenas de suministro mundiales provocado por la invasión rusa de Ucrania. Cuando se trata de convencer a los directivos del valor de contar con un sólido Plan B, es importante tener en cuenta el panorama general, no solo el coste del plan, sino los costes potenciales en los que se incurriría si no se pone en marcha ningún plan.

5. Probar y reevaluar los planes periódicamente

Los mercados y los sectores cambian constantemente, por lo que la realidad a la que se enfrenta un plan de contingencia cuando se pone en marcha puede ser muy distinta de aquella para la que se creó. Los planes deben ponerse a prueba al menos una vez al año, y deben realizarse nuevas evaluaciones de riesgos.

Ejemplos de planes de contingencia

Estos son algunos escenarios modelo que demuestran cómo se prepararían distintos tipos de empresas para hacer frente a los riesgos. El proceso de tres pasos que aquí se describe puede utilizarse para crear plantillas de planes de contingencia para cualquier amenaza a la que se enfrente su organización.

Un proveedor de red se enfrenta a una interrupción masiva

¿Y si su actividad principal fuera tan importante para sus clientes que un tiempo de inactividad de tan sólo unas horas pudiera suponer una pérdida de ingresos de millones de dólares? Muchas redes de Internet y de telefonía móvil se enfrentan a este reto cada año. He aquí un ejemplo de plan de contingencia que les ayudaría a prepararse para afrontar este problema:

  1. Evaluar la gravedad y la probabilidad del riesgo: un estudio reciente realizado por Open Gear (enlace externo a ibm.com) concluyó que solo el 9 % de las organizaciones mundiales evitan cortes de red en un trimestre medio. Teniendo en cuenta lo que se sabe sobre estos ataques (que pueden causar daños de millones de dólares y repercutir de manera inconmensurable en la reputación empresarial), este riesgo tendría que considerarse tanto muy probable como muy grave en términos del daño potencial que podría causar a la empresa.
  2. Identificar el factor desencadenante que pondrá su plan en marcha: en este ejemplo, ¿qué señales deberían haber observado los responsables de la toma de decisiones para saber cuándo empezaba una posible interrupción? Pueden ser violaciones de seguridad, catástrofes naturales inminentes o cualquier otro suceso que haya precedido a cortes de suministro en el pasado.
  3. Crear la respuesta adecuada: los líderes de la organización querrán determinar un objetivo de tiempo de recuperación (RTO) y un objetivo de punto de recuperación (RPO) razonables para cada categoría de servicios y datos a la que se enfrente su empresa. El RTO suele medirse con una métrica temporal simple, como días, horas o minutos. El RPO es un poco más complicado, ya que implica determinar la antigüedad mínima/máxima de los archivos que pueden recuperarse rápidamente de los sistemas de copia de seguridad para restablecer el funcionamiento normal de la red.

Una empresa de distribución alimentaria se enfrenta a una escasez inesperada

Si su actividad principal tiene cadenas de suministro complejas que atraviesan diferentes regiones y países, vigilar las condiciones geopolíticas en esos lugares será crucial para mantener la salud de sus operaciones comerciales. En este ejemplo, veremos a un distribuidor de alimentos que se prepara para hacer frente a la escasez de un ingrediente muy necesario debido a la volatilidad en una región crucial para su cadena de suministro:

  1. Evaluar la gravedad y la probabilidad del riesgo: los responsables de la empresa han seguido de cerca las noticias en la región de donde se abastecen del ingrediente y están preocupados por la posibilidad de que se produzcan disturbios políticos. Dado que necesitan este ingrediente para fabricar uno de sus productos más vendidos, tanto la probabilidad como la gravedad potencial de este riesgo se califican como altas.
  2. Identificar el factor desencadenante que pondrá su plan en marcha: estalla la guerra en la región, se cierran todos los puertos de entrada y salida y se restringe gravemente el transporte dentro del país por aire, carretera y ferrocarril. El transporte de sus ingredientes será un reto hasta que vuelva la estabilidad a la región.
  3. Crear la respuesta adecuada: los directivos de la empresa crean un doble plan de contingencia para hacer frente a este problema. En primer lugar, buscan proactivamente proveedores alternativos de este ingrediente en regiones que no sean tan propensas a la volatilidad. Puede que el cambio a estos proveedores cueste más y lleve tiempo, pero si se tiene en cuenta el coste global de una interrupción general de la producción que se produciría en caso de guerra, el coste merece la pena. En segundo lugar, buscan una alternativa a este ingrediente que puedan utilizar en su producto.

Una red social sufre una vulneración de los datos de sus clientes

Los responsables de una gran red social conocen un riesgo de ciberseguridad en su aplicación que están trabajando para solucionar. En caso de que sufran un hackeo antes de solucionarlo, es probable que pierdan datos confidenciales de sus clientes:

  1. Evaluar la gravedad y la probabilidad del riesgo: califican la probabilidad de que se produzca este suceso como alta, ya que, como red social, son blanco frecuente de ataques. También califican la gravedad potencial del daño a la empresa como alta, ya que cualquier pérdida de datos confidenciales de los clientes los expondrá a demandas.
  2. Identificar el factor desencadenante que pondrá su plan en marcha: los ingenieros hacen saber a los dirigentes de la red social que se ha detectado un ataque y que la información confidencial de sus clientes se ha visto comprometida.
  3. Crea la respuesta adecuada: la red contrata a un equipo de respuesta especial para que acuda en su ayuda en caso de ataque y les ayude a proteger sus sistemas de información y a restablecer la funcionalidad de las aplicaciones. También cambian su infraestructura de TI para que los datos de los clientes estén más seguros. Por último, trabajan con una empresa de relaciones públicas acreditada para preparar un plan de divulgación y mensajes que tranquilicen a los clientes en caso de que su información personal se vea comprometida.

El valor de la planificación de contingencias

Cuando las operaciones empresariales se ven interrumpidas por un acontecimiento negativo, una buena planificación de contingencias dota a la respuesta de una organización de estructura y disciplina. Durante una crisis, los responsables de la toma de decisiones y los empleados suelen sentirse abrumados por la acumulación de acontecimientos que escapan a su control, y contar con un plan de respaldo exhaustivo ayuda a restablecer la confianza y a que las operaciones vuelvan a la normalidad. 

He aquí algunos beneficios que las organizaciones pueden esperar de unos planes de contingencia sólidos:

  • Mejora de los tiempos de recuperación: las empresas que cuentan con buenos planes se recuperan antes de un acontecimiento disruptivo que las que no se han preparado.
  • Reducción de los costes financieros y reputacionales: unos buenos planes de contingencia minimizan los daños tanto financieros como de reputación de una empresa. Por ejemplo, aunque una vulneración de datos en una red social que ponga en peligro la información de los clientes podría dar lugar a demandas judiciales, también podría causar daños a largo plazo si los clientes deciden abandonar la red porque ya no confían en que la empresa mantenga a salvo su información personal.
  • Mayor confianza y moral: muchas organizaciones utilizan los planes de contingencia para demostrar a los empleados, accionistas y clientes que han contemplado todos los posibles contratiempos que puedan afectar a su empresa, lo que les da la confianza de que la empresa tiene en cuenta sus intereses.

Soluciones para planes de contingencia

IBM Maximo Application Suite es una solución integrada basada en la nube que ayuda a las empresas a responder rápidamente a las condiciones cambiantes. Al combinar el poder de la inteligencia artificial (IA), el Internet de las cosas (IoT) y los análisis avanzados, permite a las organizaciones maximizar el rendimiento de sus activos más valiosos, alargar su vida útil y minimizar los costes y el tiempo de inactividad.

Autor

Mesh Flinders

Staff Writer

IBM Think