El pasado 28 de abril se vivió un momento inédito en España. Nuestro país, literalmente, se apagó. No se recordaba una crisis parecida desde hace un lustro, cuando se desató la pandemia del coronavirus. Los semáforos apagados, los ascensores quedaron parados con ciudadanos en su interior, las barreras de los parkings dejaron de funcionar y resultó imposible encender la luz del salón o cocinar en la vitrocerámica.
Una situación más propia de series de televisión apocalípticas que de la realidad. Casi nadie imaginaba un escenario así, pero lo cierto es que sucedió.
Sin embargo, en unas horas, todo volvió a la normalidad. Infraestructuras críticas como hospitales, banca y operadores de telecomunicaciones pudieron en algunos casos continuar con su operativa sin problemas y, en otros, paliar la situación con rapidez. Pero hubo casos en los que no se pudo recuperar la normalidad en un tiempo razonable.
La respuesta no estuvo en la improvisación, sino en la previsión, al haberse puesto hace años en manos de empresas especializadas en la elaboración de los denominados PCN (Planes de Continuidad de Negocio). El acrónimo se describe por sí mismo, pero para lograr mantener la operativa empresarial en un desastre como el que fue el gran apagón hay mucho trabajo detrás.
Un PCN se puede definir como un conjunto de procedimientos y estrategias diseñados para garantizar que las funciones críticas de negocio de una organización puedan continuar operando durante y después de un evento disruptivo, sea este grave o no. Contienen lo que llamamos planes de gestión de crisis, cuyo único objetivo es tratar de evitar la caída de las actividades.
Generalmente, estos planes (tanto los BCP como los de gestión de crisis) incluyen personal, procesos, tecnología, logística, instalaciones y proveedores, y tienen fundamentalmente un objetivo: minimizar el impacto de la interrupción en todas las aristas de la empresa (financiera, operativa, reputacional, legal, etcétera) para no llegar a la fase de parada total de las actividades, algo especialmente importante en corporaciones de corte crítico (hospitales, banca, seguros, telecomunicaciones…), que deben continuar dando servicio al ciudadano para que no se interrumpa el normal funcionamiento del país.
Se habla generalmente de grandes empresas e infraestructuras a la hora de establecer un PCN, pero en el caso particular de España la importancia de las pymes en escenarios de crisis es muy relevante, ya que suponen la mayor parte del tejido empresarial.
Para acometer un plan con garantías se debe contar con un socio especializado y de garantías que se ocupe de todo, para que la corporación pueda centrarse en el ‘core’ de su negocio, en su actividad natural.
La implementación de un software especializado permite no solo documentar estos planes, sino también automatizar el Análisis de Impacto en el Negocio (BIA) que los fundamenta, gestionar dinámicamente las estrategias de continuidad, centralizar toda la información y facilitar la activación y seguimiento coordinado durante una crisis real, asegurando que el plan sea un ente vivo y efectivo.
En el caso de un evento como el reciente apagón, se expusieron de forma crítica múltiples vulnerabilidades, a menudo conectadas entre sí provocando fallos en cadena. La falta de energía puede dejar inoperativos los centros de datos y las infraestructuras críticas.
Además, las redes de voz y datos, tanto internas como externas, pueden verse dañadas si sus nodos o infraestructuras de soporte dependen de la energía eléctrica local sin respaldo adecuado, lo que perjudica a las telecomunicaciones y afecta a los flujos de información entre departamentos y con el cliente.
En infraestructuras de IT vemos cómo la climatización de los centros de datos es vital. Un fallo energético puede provocar sobrecalentamiento y daños en cascada. El apagón de abril generó todos estos escenarios en cadena.
Y hay más daños potenciales, ya que también pueden verse afectados los sistemas de control de acceso, la iluminación de emergencia, gestión del tráfico o los sistemas de producción industrial, todo ello dependiente directamente de la energía y con poca autonomía cuando se corta el suministro eléctrico.
Es una situación que se desarrolla como un dominó, ya que proveedores y clientes clave se ven a su vez afectados, por lo que la situación se agrava exponencialmente. Un PCN debería contemplar todos estos escenarios y aporta soluciones en cada caso, para impedir o reducir las consecuencias.
Desde nuestra experiencia observamos errores recurrentes en la alta dirección porque no se considera que algo tan grave pueda llegar a suceder. Algunos de ellos son la falta de compromiso, considerando los PCN como un trámite o un coste más que una inversión estratégica, así como no adaptar el plan a la realidad específica de la organización, o no mantenerlo actualizado a una realidad cada vez más cambiante. Es también importante la tipología de empresa.
Las grandes son conscientes de la importancia de estos planes, mientras las pymes están mucho menos preparadas frente a desastres, pese a lo importantes que son en el caso de nuestro país.
También hemos visto que se hacen simulacros muy parciales, poco profundos, en lugar de pruebas realistas que validen las estrategias y tiempos de recuperación. Muchas corporaciones tampoco consideran adecuadamente las interdependencias entre procesos, sistemas, personal y terceros, lo que es una panorámica errónea de la realidad.
Tampoco establecen canales de comunicación alternativos y robustos para la gestión de la crisis, lo que dificulta su resolución. Por si esto fuera poco, el personal, en muchas ocasiones, no conoce sus roles y responsabilidades dentro del plan, algo crítico en situaciones de presión.
En paralelo, es interesante tener listo un Plan de Recuperación de Desastres (DRP por sus siglas en inglés). Su misión se centra en la recuperación de la infraestructura tecnológica y los datos tras un incidente. Tiene un enfoque más táctico y tecnológico, más específico, incluyendo redes, aplicaciones e infraestructura tecnológica.
Nuestras soluciones, por ejemplo, permiten gestionar ambos tipos de planes de forma integrada, alineando las necesidades del negocio (BCP) con las capacidades de recuperación tecnológica (DRP).
Recomendamos tener en cuenta algunas particularidades para gestionar la continuidad del negocio durante un episodio de crisis, como contar con un centro alternativo operativo fuera de los grandes núcleos urbanos para minimizar el impacto en caso de caos logístico o colapso de accesos.
También es interesante disponer de generadores eléctricos propios (diésel, baterías industriales o energía fotovoltaica con respaldo), con autonomía suficiente para operar al menos 48-72 horas. Es algo que se vio en los grandes CPDs, hospitales, banca y empresas de telecomunicaciones, que tuvieron energía pese al apagón.
Se hace crítico también disponer de alternativas en el área de comunicación, con sistemas resilientes, como internet satelital, y protocolos offline. Y es que cuando las redes móviles y de fibra dejan de funcionar, tener sistemas de comunicación alternativos es fundamental.
Por otra parte, en una era tan digital como la que vivimos es interesante mantener copias actualizadas en papel de procedimientos críticos, listas de contactos, contratos clave o planes de actuación. Todas ellas deben estar distribuidas en ubicaciones estratégicas, no solo en la sede central.
Todas estas recomendaciones estarán fundamentadas en los análisis previos que deben realizarse en las organizaciones, destacando por encima del resto dos: los análisis de impacto en el negocio (BIA) y los análisis de riesgos.
Ambos ejercicios nos darán toda la información para saber cómo actuar en cada caso, y saber qué procesos se nos pueden caer, cómo se pueden caer, qué consecuencias pueden tener y qué estrategias se deberían ejecutar.
El apagón del 28 de abril nos dejó una lección clara: la interdependencia entre empresas y el bienestar social es innegable. Las organizaciones con PCN no solo salvaguardaron sus operaciones, sino que también ejercieron un rol crucial en la estabilización del país.
En un mundo donde la disrupción es la nueva normalidad, no invertir en continuidad de negocio es una apuesta demasiado arriesgada, no solo para las empresas, sino para el engranaje social. ¿Está su organización preparada para ser parte de la solución en la próxima crisis?
