APD A MENOS DE UN METRO DE TI
Dicen que de toda crisis deben sacarse lecciones aprendidas y que es mucho mejor aprender de los errores de los otros que no tener que sufrir los resultados en nuestras propias carnes. Por eso creo que es un buen momento para hacer una reflexión sobre lo que hemos aprendido hasta el momento por esta crisis del Coronavirus y para preparar a nuestras empresas de cara al futuro.
Para ello, voy a focalizar estas lecciones aprendidas en cuatro campos de actuación que considero imprescindibles: i) Continuidad de los negocios; ii) gestión de riesgos; iii= seguridad de la información y iv) privacidad.
Tras la experiencia vivida y las lecciones (esperemos que) aprendidas, considero que estos cuatro temas no pueden faltar en nuestra hoja de ruta
Con referencia al primero, es evidente que, una vez volvamos a establecer la actividad empresarial, un tema que deberemos abordar es la elaboración y/o actualización de nuestros planes de continuidad de negocio, en los que se deberán incluir, entre otros recursos, un inventario actualizado de los activos claves de la empresa que contemple al personal, clientes, proveedores, servicios, suministros…, el nivel de concentración de los mismos y su replanteamiento dentro de la estrategia de la compañía; protocolos de actuación en caso de activarse la situación de emergencia; los niveles de servicio y periodos de recuperación mínimos; los sistemas tecnológicos acordes necesarios para hacer frente a las situaciones críticas, y los sistemas, canales y protocolos de comunicación con empleados y terceros.
Si bien muchas empresas teníamos planes de continuidad de negocio y planes de contingencias, no solo informáticas, más o menos formalizados, la situación generada por el coronavirus nos ha hecho reflexionar sobre la necesidad de tenerlos perfectamente actualizados y operativos, que contemplen, tanto desde el punto de vista de los posibles acontecimientos como de las respuestas a los mismos, el amplio abanico de necesidades y posibilidades tecnológicas, operativas y estructurales y que integren a todo el contexto de la empresa y de sus principales grupos de interés y negocios colindantes. Probablemente, cuando se restablezca cierto nivel de normalidad en nuestros negocios, será uno de los temas importantes a abordar por parte de las compañías.
En segundo lugar, deberemos rediseñar nuestros sistemas de gestión de riesgos, incluyendo en los mismos la evaluación de la exposición a riesgo, los posibles impactos en el negocio y las acciones para mitigar estos últimos, derivados de eventos como la pandemia del coronavirus y de otros ‘cisnes negros’ parecidos. Hasta este momento, había teorías ampliamente implantadas sobre la gestión de riesgos que indicaban que las mayores acciones a emprender por parte de las empresas en el control y mitigación de los riesgos debían ir encaminadas a aquellos riesgos con mayor probabilidad de ocurrencia, mientras que aquellos más remotos, como los derivados de catástrofes naturales, las acciones a emprender debían ir encaminadas al aseguramiento a través de terceros (seguros contingentes, sistemas replicados en terceros,…). La situación actual nos ha demostrado que las empresas también debemos prepararnos internamente para mitigar los efectos de aquellos riesgos de baja probabilidad pero con alto impacto, por lo cual merecerán la atención de la alta dirección de las compañías en la gestión de esos riesgos en un futuro.
La situación nos ha demostrado que las empresas también debemos prepararnos internamente para mitigar los efectos de aquellos riesgos de baja probabilidad pero con alto impacto
Como tercer punto, tenemos la necesidad de seguir reforzando los sistemas de seguridad de la información y la defensa a los ciberataques, tanto en el entorno de trabajo de la empresa, como en los sistemas alternativos de trabajo y comunicación establecidos para los casos de contingencia y continuidad (conexión a sistemas en remoto, teletrabajo, …), ya que los ciberdelincuentes siguen estando al acecho también y, muy especialmente, en estas circunstancias. Por este motivo será imprescindible revisar los niveles de vulnerabilidad de estos nuevos entornos y sistemas de conexión y canales de negocio, y establecer los sistemas de seguridad adecuados al nivel de riesgo y exposición existente.
Y, por último, aunque no menos importante, debemos seguir preservando la privacidad de los datos de empleados, clientes, inversores, proveedores… En estos momentos los datos que se pueden manejar en el entorno empresarial, especialmente los referidos a salud, así como los medios y la urgencia con la que han de gestionarse los mismos, hacen que sea de vital importancia el que la empresa tenga establecidos todos los procedimientos y sistemas, técnicos y legales, necesarios para preservar los derechos de privacidad de las personas.
Con la recuperación de la actividad empresarial tendremos muchos temas que abordar y aspectos que priorizar. Tras la experiencia vivida y las lecciones (esperemos que) aprendidas, considero que estos cuatro temas no pueden faltar en nuestra hoja de ruta.