Como en otras compañías, la pandemia de COVID-19 ha puesto a prueba a los profesionales de continuidad de negocio de Gentera, obligados a asumir nuevos desafíos para garantizar su operatividad. Fernando Martín Gómez Villarreal, director de Seguridad de la entidad bancaria mexicana, comparte su experiencia con los lectores de ‘Segurilatam’.
A finales de febrero de 2020 se declaraba el caso cero de coronavirus en México. En el equipo de continuidad de negocio de Gentera hacía dos meses que veníamos preparando el documento sobre qué hacer cuando tuviéramos que enfrentarnos a la pandemia.
En un principio, se restringieron los viajes a China. Y, poco a poco, se hizo lo mismo con Corea del Sur, España, Italia, Japón y Reino Unido. Posteriormente, se elaboraron protocolos de aislamiento por si algún colaborador hubiese viajado a Europa o EEUU. Finalmente, registramos el primer caso a nivel nacional y poco después en Perú, donde también operamos.
Escenarios previsibles
Cuando revisamos nuestras estrategias de continuidad de negocio tenemos claro qué hacer si no se puede acceder a las instalaciones. Se clasifica al personal crítico, aquel que maneja tareas indispensables para seguir operando. Y que, llegado el momento, debe trasladarse a nuestro Centro de Operaciones Externo, preparado con los lugares, computadoras y aplicativos actualizados junto a las bases de datos necesarias y actualizadas para que cada persona pueda laborar como si nada hubiera pasado. Esto lo practicamos dos veces al año para cada proceso crítico. Y, además, realizamos una prueba que integra, al menos, el 80% de dichos procesos.
Asimismo, cada año tenemos nuestra prueba DRP (Disaster Recovery Plan), la cual considera la posibilidad de que nuestra información se pierda producto de algún problema en la infraestructura de TI. O incluso debido al secuestro de un servidor, con información clave para seguir operando, por un ransomware.
Y en lo relativo a los proveedores críticos, hacemos revisiones documentadas de planes de continuidad de negocio de cada uno de ellos. Incluso dos o tres en el caso de los más críticos. De esta forma, la actividad se encuentra dividida por si uno de los proveedores no puede operar.
Todo lo expuesto son casos que, de alguna forma, los profesionales de continuidad de negocio tenemos en el radar con experiencia probada en situaciones como los sismos, donde no se puede entrar al inmueble, o cuando grupos sociales no dejan entrar a las instalaciones de algún corporativo u oficina. También experiencia en el manejo de contingencias de proveedores estratégicos que se ven en bancarrota o tienen un problema legal. Y, por último, en los casos en los que, por algún tema de software o hardware (que no tienen palabra de honor), es necesario usar nuestro DRP.
Cuando hablábamos de una pandemia nos limitábamos a pensar en tener un ‘backup’ de respaldo para cada ejecutor de un proceso crítico
¿Una pandemia?
Lo anterior era previsible. Pero cuando hablábamos de una pandemia nos limitábamos a pensar en tener un backup de respaldo para cada ejecutor de un proceso crítico. Y también en cuando México enfrentó el virus H1N1, proceso que incluía la compra de cubrebocas, gel antibacterial o grandes cantidades de Tamiflu.
Por otro lado, a finales de febrero la alta dirección enviaba un mensaje de tranquilidad: la COVID-19 era una enfermedad cuya tasa de mortalidad era de solo el 2%, todos íbamos a ser eventualmente infectados como si fuese una gripe y la mayoría saldríamos adelante.
En ese momento, el diagnóstico parecía el correcto. Pero, días después, el mundo iba a empezar a entender qué era la COVID-19. Cuando todos se contagiaban al mismo tiempo, por la alta tasa de virulencia, ocasionaba la saturación de la infraestructura hospitalaria. Y, por ende, ponía en peligro al 20% de la población que, se estimaba, iba a necesitar los servicios médicos. Por ello, confinar a la población fue la decisión de la mayoría de los gobiernos. Acompañada de esta resolución, llegaron las prohibiciones de ir a la escuela, el cine o los restaurantes, de viajar… Y, de repente, la economía se paralizó.
Decisiones corporativas
Pero, ¿qué pasaba a nivel de empresa? Tuvimos que empezar a trabajar y, sobre todo, confiar en trabajar a distancia. A nivel equipo de plan de continuidad de negocio, a finales de febrero ya teníamos teletrabajando a todo nuestro personal crítico a través de VPN, lo cual aseguraba unas conexiones seguras entre los hogares y los sistemas principales. De promedio, habilitamos cuatro backups por puesto.
Cuando hablábamos de procesos críticos de soporte a la operación estábamos más que cubiertos. Pero parte de esta nueva enseñanza fue considerar que toda nuestra operación, no solo una oficina o sucursal, iba a estar afectada, para lo cual teníamos siempre un inmueble al cual poder trasladarse. Pero pensar que era algo que implicaba modificar sustancialmente la operación, se nos había escapado del radar.
En ese momento sabíamos que, así como para los gobiernos la prioridad era asegurar que la infraestructura hospitalaria no se saturara, nuestro objetivo era no enfermarnos todos al mismo tiempo dentro de un inmueble, ya que eso ponía en riesgo la operación. Además, debíamos considerar que no era lo mismo la sede corporativa, con unas 1.500 personas, que una oficina de servicio con unas 25. La decisión fue mandar a todo el corporativo a su casa y que se quedara el 3% del personal en las oficinas centrales con las medidas de higiene adecuadas.
Debemos ser conscientes de que la siguiente crisis puede ser algo totalmente nuevo en este mundo cada vez más cambiante y complejo
A nivel operación, se pudo lograr que el 50% del personal practicase teletrabajo. Y limitar que el 50% restante no tuviera que visitar a los clientes con la frecuencia habitual. Para ello, se aceleró el proceso de contactabilidad, algo que en el pasado parecía imposible. Pero, con mucho trabajo y esfuerzo, se logró contactar con el 95% de los clientes vía mensajes para avisarles y mantenerles informados de cómo íbamos a operar, del estatus de su crédito, de sus beneficios, etc. Y se redujeron las visitas más del 80%.
A nivel de comité de crisis, en el pasado ya habíamos practicado diversos escenarios, lo cual ayudó, sobre todo al principio, a ponerle orden a la contingencia. Nos permitió planear sobre qué era lo importante y a disgregar la operación para proteger a nuestros colaboradores. Y, a la vez, a poder seguir operando y hacerle frente a la crisis económica que azotaba a nuestros clientes, por lo que rápidamente reaccionamos para ofrecerles beneficios acordes a las necesidades del momento.
En lo relativo a nuestros colaboradores, se implementó el teletrabajo y se activó un plan de comunicación para informar sobre cómo operar a distancia, cómo cuidarse o cómo operar en la calle. Y se ofreció un seguro COVID para ellos y sus familiares.
Entre otras acciones, también se gestaron las estrategias de liquidez ante la crisis y los planes de comunicación para todas las audiencias (autoridades, colaboradores y clientes). De manera sistemática, se atendieron las visitas de las autoridades a nuestros inmuebles, ya que a nivel municipio se tenían discrepancias respecto a los estados y la federación sobre las medidas de higiene a aplicar. Por ello, hubo particularidades que cubrir, lo que implicó la cohesión de áreas como Protección Civil, Jurídico, Relaciones Laborales y Operaciones para hacer un frente común y no permitir el cierre de ningún inmueble.
Salir fortalecidos
Esta pandemia nos ha enseñado a los profesionales de la continuidad de negocio cómo se debe planear este tipo de situaciones. Y a nadie se nos olvidará incluir todo lo expuesto en nuestros manuales y protocolos. Seguramente, como seres humanos y ejecutivos saldremos fortalecidos de esta crisis. Y seguiremos preparándonos para atender la siguiente. Probablemente, con mayores herramientas. Pero siempre conscientes de que la siguiente puede ser algo totalmente nuevo en este mundo cada vez más cambiante y complejo.
