Prácticamente, 9 de cada 10 compañías aseguradoras cuentan con planes de continuidad de negocio. Pero estos últimos también deberían ser contemplados por los mediadores de seguros, ya que existen riesgos, como los de origen cibernético, que podrían llegar a interrumpir su actividad.
Son muchos los factores capaces de interrumpir el normal funcionamiento de una organización: catástrofes o fenómenos naturales, incendios, disturbios sociales, acciones deliberadas de empleados internos, ataques cibernéticos… Hoy en día, el cese de la actividad empresarial es contemplado en el seno de las grandes compañías a través de sus departamentos de Seguridad Corporativa. Algo lógico si se tiene en cuenta que, en la actualidad, la protección de una empresa va más allá de contar con guardias de seguridad privada encargados de controlar los accesos o instalar sistemas de videovigilancia. Desde hace años, la seguridad se pone en práctica con una visión integral que, entre otros cometidos, también contempla la continuidad de negocio.
Para aquellos que no estén familiarizados con un Plan de Continuidad de Negocio o BCP (del inglés Business Continuity Plan), la norma ISO 22301 de Gestión de Continuidad de Negocio lo define como el conjunto de procedimientos documentados que guían a las organizaciones para responder, recuperar, reanudar y restaurar su nivel de operación tras la interrupción de su actividad.
Según la Asociación Española de Normalización y Certificación (Aenor), no solamente las grandes organizaciones pueden verse afectadas por problemas inesperados que provoquen el cese de su actividad. “Las pequeñas empresas también se enfrentan a retos similares. Disponer de un Plan de Continuidad de Negocio permite anticiparse a una situación de crisis y garantizar el normal funcionamiento de su actividad cuando se produzca una interrupción. Igualmente, ayuda a prever qué procesos, activos e información son críticos y cómo protegerlos, determinar los riesgos que pueden poner en peligro la actividad del negocio y señalar las acciones a adoptar en caso de que los mismos lleguen a materializarse”, observan desde Anesdor.
En definitiva, un Plan de Continuidad de Negocio persigue alcanzar la “resiliencia”, que es definida por el diccionario de la Real Academia Española (RAE) como:
- La capacidad de adaptación de un ser vivo frente a un agente perturbador o un estado o situación adversos.
- La capacidad de un material, mecanismo o sistema para recuperar su estado inicial cuando ha cesado la perturbación a la que había estado sometido.
Beneficios de un Plan de Continuidad de Negocio
Así pues, “un Plan de Continuidad de Negocio es adecuado para cualquier organización, independientemente de su tamaño y sector. Sobre todo para las entidades que operan en un entorno de gran riesgo y donde poder seguir trabajando es de vital importancia para los negocios, los clientes y las partes interesadas”, apuntan desde Anesdor. Visto así, y considerando la ingente cantidad de información sensible que maneja –entre ella, la relativa a los datos de carácter personal de los asegurados–, las empresas vinculadas a la mediación que no lo hayan hecho ya deberían empezar a plantearse qué soluciones han de poner en práctica para gestionar de forma segura su organización.
Al respecto, Antonio Febrero, Director de AFA Solutions y ponente en algunas de las jornadas de formación que organiza Senassur, recuerda que:
“Es importante valorar que un Plan de Continuidad de Negocio no es algo exclusivo de las grandes compañías, ya que cada organización debe establecer las medidas necesarias en función de sus necesidades con el objetivo de no ver interrumpida su actividad”.
Volviendo a Anesdor, la asociación hace especial hincapié en que una adecuada gestión de la continuidad del negocio permite a las organizaciones:
- Tener la capacidad de resistir los efectos de un incidente (resiliencia), así como de prevenir o evitar los posibles escenarios originados por una situación de crisis.
- Gestionar la interrupción de sus actividades minimizando las consecuencias económicas, de imagen o de responsabilidad civil derivadas de la misma.
- Adquirir una mayor flexibilidad ante la interrupción de sus actividades.
- Reducir los costes asociados a la interrupción.
- Evitar penalizaciones por incumplimiento de contratos como proveedor de productos o servicios.
- Disponer de una metodología estructurada para reanudar sus actividades después de una interrupción.
- Aumentar su prestigio ante clientes y partes interesadas.
- Posibilidad de disfrutar de ventajas económicas a la hora de contratar seguros empresariales.
Plan de Continuidad TIC
Actualmente, los de origen cibernético representan uno de los principales riesgos a los que deben enfrentarse las organizaciones para evitar el cese de su actividad. En este sentido, basta realizar una búsqueda en Internet para darse de cuenta del daño económico y de reputación que puede ocasionar un ciberataque si consigue alterar el funcionamiento de una entidad y que la misma deje de prestar sus servicios –en algunos casos, esenciales para los ciudadanos– con normalidad.
Por ello, desde el Instituto Nacional de Ciberseguridad de España (Incibe) enfatizan que un Plan de Continuidad de Negocio debe contemplar, a su vez, un Plan de Continuidad TIC, reservado, como revela su denominación, al ámbito de las Tecnologías de la Información y la Comunicación (TIC).
Es vital tenerlo en cuenta, porque, tal y como advierte Antonio Febrero:
“El negocio se ha transformado en los últimos años. Ahora, las empresas deben gestionar distintos servicios basados en infraestructura propia, externa o híbrida con diferentes modelos tecnológicos. Y los ciberdelincuentes, a su vez, van modificando sus técnicas de ataque para evitar ser detectados. La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable”.
De cara a elaborar un Plan de Continuidad TIC, Incibe recomienda:
- Determinar el alcance de los servicios y procesos objeto de la mejora de su continuidad.
- Organizar reuniones con los departamentos implicados y determinar sus necesidades y requerimientos.
- Llevar a cabo reuniones con personal técnico y determinar con qué capacidades y recursos cuentan.
- Identificar los servicios y procesos críticos junto con los activos tecnológicos que los sustentan y sus dependencias.
- Obtener los riesgos a los que están expuestos los servicios y procesos.
- Identificar qué medidas o iniciativas llevar a cabo para que las capacidades tecnológicas sean superiores a las demandas de negocio.
- Elaborar el plan de crisis para identificar las primeras acciones a realizar cuando ocurre un accidente.
- Elaborar los planes de recuperación para cada entorno implicado en el alcance.
- Elaborar las instrucciones técnicas de trabajo para poder llevar a cabo el plan de recuperación.
- Elaborar el plan de mantenimiento e implantarlo.
- Elaborar el plan de pruebas e implantarlo, realizando comprobaciones periódicas para verificar que son correctas.
- Realizar la formación al personal implicado en el plan de continuidad de negocio.
La concienciación, esencial
La moraleja del presente post es que cualquier organización, desde una gran compañía aseguradora hasta una correduría de seguros, no está exenta de ver interrumpida su actividad. Por ello, cobra especial relevancia que la alta dirección de una gran organización o el gerente de una pyme se conciencien en materia de seguridad y que impliquen al resto del personal en materia de continuidad de negocio.
Y por si alguien tuviese alguna duda al respecto, concluiremos recordando que, en su artículo 41 (Requisitos generales de gobernanza), la normativa Solvencia II especifica que “las empresas de seguros y reaseguros adoptarán medidas razonables para garantizar la continuidad y la regularidad en la ejecución de sus actividades, incluida la elaboración de planes de emergencia. A tal fin, emplearán sistemas, recursos y procedimientos adecuados y proporcionados”.
También te puede interesar:
