PROPUESTA DE SISTEMAS DE CONTINUIDAD DEL NEGOCIO (BCP/DRP) ANTE EMERGENCIAS, ENFOCADO A LAS VULNERABILIDADES TECNOLÓGICAS, HUMANAS, FÍSICAS EN LAS PYMES DE IBARRA.
Franklin Sosa.
Universidad Técnica del Norte, Facultad de Ingeniería en Ciencias Aplicadas, Ibarra, Ecuador.
El Ecuador es un país que está expuesto a riesgos adversos, por la presencia de amenazas; naturales, condiciones antrópicas, exposición a desperfectos tecnológicos, rechazo a régimen político o socio cultural que puede ocasionar un impacto catastrófico en las organizaciones, donde no se toman acciones preventivas. Si tomamos en cuentas estas afectaciones a nivel de impacto productivo, podríamos mencionar que muchas organizaciones dejaran de existir, ya que no podrán soportar y recuperarse de acuerdo al impacto que se haya presentado.
Las organizaciones que en el Ecuador se preocupan por no solo mantener un plan de emergencia o de autoprotección, y consideran mantener un Sistema de Continuidad del Negocio son muy pocas, debido a que en la actualidad, solo se cumple con los requerimientos técnicos legales mínimos, que conllevan a cumplir acciones muy limitadas.
Las organizaciones que mantienen un enfoque de continuidad son las de servicios e intervención financiera y de soporte tecnológico e informáticos, por la complejidad y criticidad de mantener esos recursos operables, que en un principio eran requerimientos obligatorios, pero que posteriormente se analizaron para asegurar operaciones de escenarios críticos.
El resto de organizaciones, no tiene claro que nivel de impacto podría conllevar el que se genere un evento adverso de grandes magnitudes, no se cuenta con una cultura preventiva y se carece de métodos cuantitativos que permitan entender la importancia de aplicar un sistema BCP y DRP a través de un análisis de vulnerabilidad que garantice una resiliencia.
Este tipo de opinión se valoró en una muestra de las empresas Pymes de Ibarra, para poder sugerir una herramienta que permita evaluar de forma cuantitativa la vulnerabilidad y posteriormente sugerir la aplicación de la propuesta de sistemas de BCP y DRP, para continuidad del negocio que sea efectiva a la realidad de la organización de acuerdo al nivel de impacto expuesto.
Se buscó aplicar en estas organizaciones y sector, ya que la ciudad de Ibarra se encuentra en etapa de crecimiento Industrial según datos INEC 2013, y al encontrarse en esta situación el enfoque de prevención es muy limitado, además los controles por los entes gubernamentales no son continuos dejando una brecha para la toma de decisión por parte de los empresarios de forma voluntaria en aplicar o no, este tipo de sistemas, y creando un nivel de vulnerabilidad importante, que no es tomado en cuenta en la organización.
El aplicar la propuesta del sistema de continuidad del negocio, frente a vulnerabilidades, permite mostrara al empresario el nivel de impacto al que se encuentra y permite sugeririr en base a un nivel de fases de aplicación del BCP y DRP, que acciones debe tomar.
La propuesta, permite tener una identificación de las amenazas de acuerdo a la relación comparativa con la evaluación de las vulnerabilidades existentes y obtener un nivel de impacto cuantitativo, que permita a las organizaciones, poder decidir las acciones que se debe tomar para evitar consecuencias catastróficas que antes no las consideraban. Este Sistema consta del siguiente modelo sugerido, como se muestra en la figura 5.1:
La aplicación de este Sistema donde se determina el impacto que podría tener por la vulnerabilidad frente a las amenazas existentes, permite proponer la aplicación del sistema BCP, DRP basado en seis fases para la aplicación que genere la continuidad del negocio, basada en tiempos y recursos. Para que sea efectivo esta propuesta debe existir el nivel de involucramiento de mayor importancia por parte del personal y la dirección, luego sobre los recursos físicos como la infraestructura y ciertos aspectos tecnológicos que se requiere, y finalmente la generación de instrucciones, descriptivos de estrategias contenidas en un plan, como se muestra en la figura 5.2.
Para determinar que amenazas y que riesgo se tienen, se usa la referenciación con respecto a la ubicacióon, y condiciones propias de la actividad económica de la organización. Se utiliza los mapas de amenazas existentes en las zonas donde están ubicadas las empresas por situación geográfica, proporcionado por el instituto Geofísico de la EPN. (Escuela Politécnica Nacional) Como se muestra en el mapa 5.3.
La identificación de las amenazas para las organizaciones, está basada a la presencia en base a la zona Geográfica, tipo de actividad o de modificación del entorno, aspectos sociales por tendencias culturales o políticas, en fin a las variables presentes, como se detalla a continuación en la figura 5.4.
Para determinar el nivel de impacto se considera mediante una ecuación la relación del riesgo asociado expuesto por el giro de actividad económica de la organización, calculado por el método de evaluación William Fine, y por el nivel de vulnerabilidad que se determinó mediante una matriz heurística de relación, determinada por las variables de preparación frente las amenazas.
Por qué implementar la propuesta en un muestreos de las pymes de Ibarra
La aplicación en las empresas Pymes de Ibarra se denotaron de la siguiente manera:
1.- Selección de las muestras por actividad Económica; en este proceso se determinaron los riesgos
asociados que estas se encuentran de acuerdo a su nivel de riesgos.
En el proceso de selección de las organizaciones se estableció realizarlo sobre una muestra de las empresas PYMES de Ibarra, tomando en cuenta este segmento por ser organizaciones que se encuentran en un crecimiento, y que en su mayoría carecen de una administración enfocada a la prevención, y más solo a cumplir requerimientos técnicos legales.
2.-Analizar cumplimiento técnico legal a cumplir referente al tipo de organización y amenazas expuestas. En el Ecuador los requerimientos técnicos legales referentes a sistemas de prevención, son requerimientos generales que no se enfocan a las actividades económicas de la organización y que solo se piden en función al tamaño, y número de personas expuestas como el caso del Plan de Mitigación y prevención de riesgos contra incendios publicado en el registro oficial 114, documento que expresa condiciones a cumplir en función de prevenir incendios y cómo actuar frente a un proceso de evacuación, centrándose específicamente en implementación de sistemas e insumos.
Existe otro tipo de normativa reguladora desarrollada por la Secretaria de Gestión de Riesgos, que se enfoca a las acciones a tomar en base a los eventos adversos que se generan por causa antrópicas y naturales. Este tipo de normativa se enfoca más a los sistemas de respuesta de generación de un COE (Comité de Operaciones ante Emergencias), pero no trata en dar lineamientos particulares en las organizaciones, dejando a libre decisión que las empresas coloquen o no temas de prevención sobre todas las amenazas que puedan existir.
La regulación en normas de prevención para afrontar las diferentes emergencias que se plantean en las organizaciones que se hacen mención con carácter regulatorio se enfocan a un control de existencia general y no se enfocan a lo particular, se mencionan recomendaciones principalmente para empresas que manipulan y procesos productos químicos, dejando en un vacío a las otros segmentos de empresas de diferentes actividades económicas. A demás no se detallan métodos claro para realizar evaluaciones de las amenazas y riesgos que le permita saber a qué situación de riesgo se exponen.
3.-La determinación del segmento y sector para el análisis, se realizó bajo el criterio personal, donde se relacionó que en la ciudad de Ibarra las empresas se encuentran en etapa de crecimiento Industrial según datos INEC 2013, y que van a carecer algunas de cumplir con los requerimientos legales exigibles en este tema de prevención ante eventos adversos y que adem´as en temas de legislación no cubren todas las amenazas existentes y en las que estas organizaciones se ven expuestas. La selección de un muestreo sobre las empresas PYMES, permite conocer la situación de las organizaciones que se encuentran en un crecimiento en sus recursos económicos, productivos, de infraestructura, y que muchas de ellas dejan al final el cumplir con sistemas de prevención ante emergencias.
4.-La importancia de implementar esta propuesta, permitirá conocer el nivel de impacto expuesto de las organizaciones de una forma cuantitativa y relacionando información de amenazas y riesgos por ubicación de zona geográfica, riesgos asociados al giro de negocio de la organización y vulnerabilidades existentes. Las cuales permitirá a los directivos de las organizaciones poder conocer su situación y tomar decisiones, en las que se sugieren la aplicación del modelo de continuidad del negocio, que no solo abarca en diseñar planes o instrucciones a seguir, ya que se debe contar con involucramiento del personal en ciertas responsabilidad, adquirir y mejorar infraestructura y aplicación de las diferentes estrategias para minimizar el tiempo de paro ocasionado por la eventualidad y poder generar la recuperación con un enfoque resiliente.
Conclusiones
Se concluye que la propuesta del sistema de continuidad del negocio, es aplicable para cualquier tipo de organización, que permite cuantificar las vulnerabilidades frente a las amenazas y riesgos, permitiendo tener de una manera particular cual es el impacto que estas podría sufrir y proporcionando la estructura para tener soluciones claras que se enfocan en asegurar la permanencia y sostenibilidad de estas organizaciones frente a los eventos adversos, con las fases centradas en un modelo de resiliencia.
Este sistema de evaluación de vulnerabilidades, aplicado a la atenuación por medio del BCP y DRP, es aplicable a toda organización PYMES, e incluso a organizaciones consideradas como grandes empresas, ya que la propuesta se enfoca en una evaluación y luego en aplicación de compromisos de acuerdo al tamaño y actividad econ´omica, donde la distribución para lograrlo, se centra en el 60% del personal, 35% en la infraestructura y 5% en los detalles e instrucciones de los planes que garanticen la continuidad del negocio.
La aplicación del BCP / DRP, se enfocan en aplicar instrucciones ordenas, con niveles de compromiso enfocadas en acciones, antes, durante y después de los eventos adversos, donde ya se generaron escenarios que permitan tomar en cuenta que procesos son los más sensibles y que acciones se toman, de esta menara reducir el tiempo de para y de reactivación de la organización.