Foto: EFE/EPA/Ralph Lauer/Archivo
La madre naturaleza nos sigue recordando cuán vulnerables somos los seres humanos ante su imponderable furia, así como también son vulnerables las organizaciones para las cuales laboramos o lideramos. La tormenta invernal Uri, la cual azotó gran parte del estado de Texas durante el mes de febrero del presente año, tristemente nos hizo ver lo poco (o nada…) preparado que estaba nuestro estado en materia de contingencias y desastres naturales. Millones de hogares y empresas tejanas sufrieron embates por la falta de servicio eléctrico y agua potable durante aproximadamente una semana.
Esto provocó sendos efectos devastadores en nuestras vidas, tanto desde el punto de vista emocional, como financiero. Los miembros de la alta gerencia de la empresa administradora y monitoreadora del sistema estatal de redes eléctricas (grid), Electric Reliability Council of Texas, Inc. (Ercot), fueron colocados sobre la palestra y forzados a renunciar a sus cargos, simplemente señalados como incapaces de administrar eficientemente la red energética del principal productor de energía de la unión americana.
Se estima que Ercot administra cerca de un 90% de clientes tejanos domésticos e industriales, de una población aproximada de 25 millones de clientes. Pasará un largo tiempo antes de que tengamos el saldo final del los efectos que Uri causó en nuestra economía … Y en nuestras vidas.
Desde el punto de vista organizacional, toda empresa que provea servicios profesionales y productos esenciales para la comunidad, debe estar respaldada por un sistema y proceso eficiente (y comprobado) de continuidad del negocio ante la incidencia de desastres naturales (o provocados) que comprometan la continuidad de sus operaciones, sus finanzas, sus empleados, y a la comunidad a la que sirve.
Existen varias regulaciones y legislaciones, tanto federales como estatales, que “obligan” a ciertos tipos de organizaciones a mantener un estricto control interno en materia de procesos financieros, operacionales y tecnológicos. Me refiero a legislaciones tales como la de Sarbanes Oxley (SOX) ó Payment Card Industry (PCI). Empresas cotizantes en Wall Street deben legalmente adherirse a los rigores de SOX. Así mismo, empresas públicas, privadas, sin fines (sin ánimos) de lucro, o gubernamentales, son objeto de las leyes de cumplimiento de PCI si estas cobran y procesan datos personales de un cliente que efectúa sus pagos mediante una tarjeta de crédito.
Cualquier organización que deba o desee demostrarle al mundo cuán sólido es su sistema de control interno acude a procesos de certificación profesional/industrial. Estos certificados son emitidos por institutos internacionales reconocidos que acreditan y certifican ciertas áreas de negocio. Tal es el caso de International Organization for Standardization (ISO), quien en el año 2005 publicó conjuntamente con el International Electrotechnical Commission (IEC) una certificación en materia de seguridad computacional. Me refiero al estándard ISO/IEC 27001, y más específicamente al ISO 27001:2013. Para recibir la acreditación y certificación ISO 27001:2013, la organización aspirante debe tener un plan eficiente, documentado, y comprobado (auditado) de “Business Continuity Planning” (BCP) que contemple la recuperación y re-establecimiento de los procesos operativos y computarizados del negocio ante cualquier eventualidad ó desastre natural (o provocado). Este componente del BCP es denominado “Disaster Recovery Plan” (DRP).
Un DRP bien diseñado e implantado suele contener, a lo mínimo, procedimientos específicos para el respaldo de la información/datos magnéticos/software, pruebas de restauración de los datos y medios magnéticos, prioridades de restauración de procesos, árbol de llamadas/contactos de empleados/suplidores/clientes, y un hotsite (o sitio alterno) en el que se pueda continuar la operación de la empresa ante la inhabilidad del centro de datos primario de ejecutar los procesos computarizados.
Los respaldos de información y software deben ser sujetos a pruebas de restauración de manera de garantizar que dichos datos sean recuperables y capaces de continuar con la operativa de la empresa. De lo contrario, de nada sirve contar con respaldos de datos si estos no pueden ser verificados.
Una organización estará más capacitada en servir a sus clientes, con menos interrupciones, si establece programas eficientes que no solo reduzcan las posibilidades de pérdidas financieras, sino también fallas o interrupciones prolongadas en el servicio.
Texas, espero hayamos aprendido la lección. Resiliencia con eficiencia.