La crisis del COVID19 pasará. Quizá ahora nos cueste imaginarlo, pero pasará.
Mientras eso sucede, ahora mismo nos queda una lucha titánica, una lucha que libran fundamentalmente los profesionales sanitarios, bien secundados por las fuerzas del orden y por todos aquellos que trabajan en las denominadas actividades esenciales (alimentación, transporte, etc). Y no tan bien secundados, me temo, y aunque no dudo de la buena voluntad, por nuestros dirigentes políticos de todo tipo.
El futuro inmediato
Y mientras se suaviza la archi-famosa curva, habrá que empezar a trabajar para el futuro inmediato. En el campo sanitario mediante el desarrollo de vacunas y terapias eficaces. Y en la economía, ¡ay, la economía! en esa recuperación que sí que apunta a que va a larga y difícil (ojalá me equivoque), y también habrá que trabajarla y mucho, mucho.
Pero en este artículo quiero irme a un futuro un poco más allá. Un futuro en que las urgencias sanitarias estén ya salvadas y las económicas al menos en vías de alivio.
Una dura lección
Y entonces tocará, si no puede ser antes, demostrar que hemos aprendido algunas lecciones de esta crisis. Y una de esas lecciones que deberíamos aprender es previsión.
Aparte de los más que posibles errores cometidos en la gestión de esta crisis, lo que creo que sí que está muy claro es que no estábamos preparados. No estaba preparado el sistema sanitario, no estaba preparada la cadena de suministro, no estaban preparadas las administraciones públicas, ni siquiera en sus más altas instancias. Y aunque sea consuelo de tontos, tampoco parecían estar preparados la mayor parte de los países. Parece que nos enfrentamos a una imprevisión y, por tanto, a una improvisación, de proporciones planetarias.
Hemos pecado de imprevisión y lo hemos pagado caro. Lo hemos pagado caro, lo estamos pagando caro y lo seguiremos pagando caro durante bastante tiempo.
Algoritmos, sí, pero sobre todo gestión
Y no estoy pensando, aunque también habría que tenerlo en cuenta para el futuro, que seguramente disponemos de algoritmos y datos suficientes para haber detectado el peligro de forma automatizada, mediante Machine Learning y seguramente mediante algoritmos mucho más sencillos, y haber levantado una alerta temprana.
Eso estoy convencido de que es posible, pero, sin renunciar a ello, no estoy pensando siquiera en algo tan sofisticado.
Estoy pensando en gestión, en pura gestión.
Estoy pensando en los métodos y técnicas de la continuidad de negocio.
La continuidad de negocio.
La continuidad de negocio es una disciplina de gestión que se ocupa, precisamente, de identificar de forma temprana riesgos que pueden afectar gravemente al funcionamiento de una organización y, para esos riesgos, tener preparados los mecanismos de prevención, detección y, sobre todo, respuesta en caso de que se materialicen realmente en un desastre.
En el libro 'A Manager's Guide to ISO22301' se nos aporta una definición muy simple, que nos indica que:
Business Continuity Management (BCM) or Business Continuity (BC) [], is essentially a form of risk management that deals with the risk of business activities, or processes, being interrupted by external factors, as distinct from business commercial risks.
¿De qué factores externos, de qué desastres hablamos? Pues de cualquiera que pueda afectar de manera repentina y masiva al normal funcionamiento de la organización: atentados, terremotos, incendios, inundaciones, etc. Un etcétera donde también caben, evidentemente, pandemias.
¿Se trata acaso de una disciplina nueva y por eso los gobiernos no la habían adoptado?
En absoluto. No es nueva en absoluto.
El antecedente de la continuidad de negocio es la llamada recuperación ante desastres que ya se trataba en las áreas de Tecnologías de la Información en los años ochenta. Y ya desde los años noventa existe como tal la gestión de continuidad de negocio. Por ejemplo, el Business Continity Institute se creó en 1994.
Es más, hasta existe normativa internacional al respecto. En concreto la norma fundamental es la ISO 22301 publicada por primera vez en Mayo de 2012 y que ha sido revisada muy recientemente, en Octubre de 2019.
Sin entrar en detalles ni ser demasiado académicos, en esencia lo que se hace como parte de una gestión de continuidad de negocio es:
- Identificar y evaluar los riesgos y el impacto en el negocio
- Establecer una estrategia general de continuidad del negocio
- Desarrollar en detalle los procedimientos de respuesta
- Ejercitar y poner a prueba los mecanismos establecidos
- Revisar y actualizar periódicamente
¿Qué tipo de acciones y mecanismos se establecen en un plan de continuidad de negocio?
Solo a modo de ejemplo, algunas ideas sueltas.
En lo relativo a tecnologías de información, por ejemplo, se establece la realización de backups frecuentes y el almacenamiento físico de las copias en lugares diferentes de donde se han realizado, como una forma de garantizar la nula o escasa pérdida de datos ante un desastre físico (destrucción de servidores o de un centro de proceso de datos) o un ciberataque que comprometiese los datos de la organización. Otra medida es es la redundancia, y con fuerte separación física, de centros de proceso de datos de forma que si uno de ellos queda destruido o inutilizado, toma el control el otro. Hoy en día, con la creciente predominancia de la computación en la nube, puede bastar con asegurarnos (de forma contractual) que nuestro proveedor cloud nos dota de esos mecanismos de seguridad.
A nivel de redes de telecomunicaciones, por ejemplo, también se establecen redundancias. La propia red es redundante en su núcleo. Sin embargo en el acceso de cada cliente, puede ser necesario asegurar también redundancia mediante, por ejemplo, líneas de backup, líneas que en general deberán usar una red diferente. Por ejemplo, si nuestro acceso normal es fijo mediante fibra, disponer de un backup mediante red móvil.
Otra medida, orientada a salvar la destrucción o inutilización física de oficinas es tener disponible la capacidad de teletrabajo, es decir, que los empleados dispongan de ordenadores adecuadamente configurados y redes VPN que permitan acceder a todos los sistemas y datos de su empresa desde sus hogares o desde otra oficina diferente.
Igualmente, y orientado sobre todo a la gestión de crisis y la alta dirección, se prevé la disponibilidad de salas de crisis dotadas de todas las capaces de conectividad y operación para la constitución y funcionamiento de un comité de crisis. En algunos casos, las salas de crisis, y en previsión de destrucción física de oficinas, no están ubicadas en edificios sino en vehículos, como autobuses adaptados.
También es necesario prever la afectación de personas claves. ¿Qué pasa en caso se secuestro, muerte o herida/enfermedad grave de todos o la mayor parte de los directivos de la organización? ¿Quién toma el control? Eso debe estar previsto, regulado, publicado y en el caso de administraciones públicas, probablemente amparado por ley.
Lo anterior no son más que ejemplos. Puede haber muchas otras ideas prácticas y estrategias concretas dependientes en parte de la empresa y sector.
Pero algo común en cualquier caso es que todos esos mecanismos están perfectamente estudiados, definidos y publicados. Y que están dotados los medios técnicos necesarios y, se supone, formados los equipos humanos en lo que hay que hacer.
¿Resultado?
Ante un desastre, no faltan recursos clave (ni humanos ni materiales) y, sobre todo, no se improvisa: simplemente se ejecuta el plan de continuidad que se definió en tiempos 'normales'.
Hacia una continuidad de país
Como una de las lecciones aprendidas con esta crisis del coronavirus creo que nos debemos de llevar que debemos estar más preparados ante nuevas emergencias y tener preparado, en tiempo de calma, un plan de reacción ante emergencias que utilizase la filosofía de los planes de continuidad de negocio pero a nivel estatal e incluyendo las administraciones públicas e instituciones del estado.
Y no caigamos ante el error de prepararnos sólo ante una nueva pandemia vírica. Preparémonos para cualquier incidente grave. Seguramente, el siguiente que suframos no sea esa pandemia vírica. De nuevo, sin pretender ser exhaustivo, sino a bote pronto, deberíamos prepararnos para cosas como:
- Desastres naturales de grandes proporciones: terremotos, tsunamis, etc
- Epidemias, pandemias
- Desastre nuclear
- Guerra o ataque externo
- Ataque terrorista a gran escala
- Ciberataque masivo y/o a instituciones sensibles
- Incendio o ataque a instalaciones clave de naturaleza técnica (ej, energía, telecomunicaciones, transporte. etc) o institucional (Cortes, Palacio de la Zarzuela, Palacio de la Moncloa, etc)
- Ataques/secuestros a personas clave (Familia Real, Gobierno, Autoridades autonómicas, Mandos del Ejército u otras Fuerzas de Seguridad del Estado, etc)
- Etc
En los niveles técnicos, deberíamos tener garantizada la redundancia de recursos clave en elementos como redes de suministro de energía, redes de agua, redes de telecomunicaciones, redes de transporte, centros de proceso de datos clave, datos clave, hospitales, etc).
Además de la redundancia, deberíamos tener la capacidad de restauración rápida del servicio o de incremento rápido de capacidad en estos mismos recursos y servicios. A modo de ejemplo tanto de restauración rápida como de aumento de capacidad, estos mismos días estamos viendo el uso de hospitales de campaña para aumentar la capacidad en camas y UCIs. En el mundo de las telecomunicaciones su usan ya, por ejemplo, las estaciones base móviles para aumentar la capacidad de la red móvil ante eventos como grandes citas deportivas.
Como hemos visto en el caso de la crisis del COVID19, en materia del aumento de capacidad, aparte los recursos materiales, también habría que tener en cuenta el aumento de capacidad rápida en recursos humanos, quizá usando un concepto parecido al de la 'reserva' que se emplea en el ejército, quizá teniendo previstos y procedimentados ya los mecanismos de apoyo entre comunidades autónomas e incluso entre países. Sin negociación durante la crisis. La negociación ya estaría hecha en tiempo de definición del plan.
Visto lo que hemos visto, además, deberían estar identificados aquellos bienes, materiales y equipos clave para los cuales, o hay que tener stock (que no es económicamente deseable, pero puede serlo por seguridad) o hay que, más bien, disponer de mecanismos que garanticen la cadena de suministro y/o la capacidad de reconfiguración de esa cadena de suministro o de la propia producción nacional para orientarse a los bienes urgentes. Estos días hemos asistido al calamitoso fallo de la cadena de suministro para materiales como respiradores, EPIs, mascarillas o batas. No puede volver a pasar. La reconfiguración del sistema productivo o de la cadena de suministro no debe diseñarse durante la crisis: debe estar ya diseñada y durante la crisis sólo ejecutarla y resolver fricciones puntuales.
También deberían estar previstos los mecanismos rápidos de sucesión en el mando o asunción rápida de responsabilidades. No puede haber dudas sobre quién tiene la autoridad en cada momento y sobre qué. Debe quedar claro cuál es la figura o institución al mando en global y de cada asunto concreto y, caso de que las personas concretas se vean afectadas por muerte, secuestro, enfermedad, desaparición, etc, debe estar claro de forma inmediata y sin discusión quién asume cada rol
Habría que tener en cuenta, probablemente, muchos, muchísimos más aspectos, pero creo que se coge la idea. Es más, precisamente una de las labores de un plan de continuidad es identificar todos los riesgos, todos los impactos y todas las medidas a adoptar.
Vamos a hacer finalmente dos ejercicios: uno de optimismo y otro de realismo.
Optimismo...
En el de optimismo, decir que estoy convencido que algunas de las piezas de ese presunto plan de continuidad de país, ya las tenemos.
Confío bastante (estoy casi convencido) de que, por ejemplo, las empresas eléctricas o las de telecomunicaciones, tienen ya sus planes de continuidad de negocio o similares, que tienen sus mecanismos de redundancia, protección y restauración rápida e incluso de un cierto aumento de capacidad. De hecho, y hay que decirlo, no hemos notado en esta pandemia, ningún fallo relevante en este tipo de infraestructuras. Probablemente sólo habría que revisarlos, preventivamente, a la luz de lo visto con el coronavirus y también con una perspectiva más amplia para asegurar de que realmente son adecuados para otro tipo de emergencias.
Aunque seguramente haya que extenderlo mucho más y mejorarlo más, tampoco parece que hayamos reaccionado mal del todo a la necesidad de operar en teletrabajo
Supongo también que el Ejército está especialmente bien preparado para estas situaciones y supongo, aunque no lo conozco, que el mecanismo sucesorio rápido está previsto para el caso de afectación de autoridades (y no me refiero sólo al Rey).
Y me imagino que para algunas casuísticas como ciberataques masivos o a instalaciones clave, guerra o ataque a autoridades, tanto el ejército como supongo los servicios de inteligencia tendrán previstos mecanismos de detección y reacción que probablemente no tenga sentido publicar abiertamente, pero que existirán.
Siendo optimista, quiero pensar, y pienso, que tenemos algunas piezas.
... pero reconociendo que hemos fallado
Pero, sin embargo, está claro que a nivel de materiales y de cadena de suministro hemos mostrado grandes debilidades. Y a nivel de autoridad civil, a nivel de autoridades políticas, a nivel de coordinación y procedimentación de la respuesta, también creo que hemos fallado penosamente. Creo que ha quedado claro que no teníamos un plan, y que con mayor o menor fortuna se ha reaccionado e improvisado sobre la marcha. No dudo de la buena intención, pero sí de la eficacia.
Creo que nuestras administraciones, especialmente la Administración Central, debería de disponer de un plan de continuidad de negocio no sólo propio, sino de país. Un plan que, a su vez, exigiría y coordinaría, los planes de las administraciones autonómicas y los planes de empresas privadas, especialmente las operadoras de infraestructuras o servicios esenciales.
Realismo
Vamos a ser ahora realistas.
No es posible preverlo absolutamente todo. Y no es posible ni prever ni disponer de todos los procedimientos y medios materiales y humanos necesarios para responder absolutamente ante cualquier eventualidad sin que esta nos afecte demasiado. Y si fuese posible, sería demasiado caro.
También es preciso reconocer que un plan de continuidad no se trata igual cuando tienes verdadero temor a un desastre o cuando estás en carne viva por haber vivido uno recientemente, como nos ocurrirá cuando salgamos de esta crisis. En tiempos de calma, los planes de continuidad se suelen relajar, se suelen olvidar y quedar obsoletos y se suele olvidar el ponerlos a prueba periódicamente para ver que siguen funcionando y que todos estamos preparados
Pero lo que creo que no nos podemos permitir, no nos podemos volver a permitir, es volver a improvisar ante una emergencia. Creo que necesitamos un plan de continuidad de pais. Si tuviésemos un plan bien establecido, al menos no perderíamos horas y días preciosos en pensar qué hacer, porque ya tendríamos procedimentado, al menos, cómo empezar. No perderíamos el tiempo en delimitar responsabilidades, porque éstas estarían claras. Y ya estaríamos dotados, al menos de un mínimo de recursos materiales y humanos y sabríamos cómo aumentar de forma inmediata la capacidad si eso es necesario o reconfigurar la capacidad productiva y la cadena de suministro.
Aprendizaje
Ahora toca resolver esta crisis.
Ahora el foco es el sanitario y, en seguida, será el económico e incluso social.
Pero de esta crisis, al menos debemos de llevarnos aprendizajes. Algunos serán específicamente médicos (detección, vacuna y tratamiento del COVID19).
Hay quien dice que a nivel individual el confinamiento también nos hará aprender sobre nosotros mismos y sobre los que nos rodean. Sobre quienes somos y quienes queremos ser.
Es posible y es bonito.
Pero un aprendizaje claro que necesitamos es de gestión. De gestión sobre todo pública. Debemos, como decía en mi artículo anterior, a corto plazo poner el foco en las operaciones.
Y de cara al futuro, deberíamos pensar en protegernos y parece que los conceptos de continuidad de negocio serían de aplicación.
Parece que, como aprendizaje, nos podríamos llevar la necesidad de definir un plan de continuidad de país.
Artículos de este blog relacionados
- COVID19: La hora de las operaciones
- Redes para la generosidad: la historia del hospital, Marisa y Marco Aldany
- Mi apuesta frente a la excepcionalidad: foco y resiliencia
- Una oportunidad para la grandeza
No hay comentarios:
Publicar un comentario