¿Qué es lo que pasa cuando llega el “Día Cero” en una empresa? ¿Están todos los componentes necesarios para poder sobrevivir? ¿O se hace solo a través de llamadas de emergencia?
Esta vez, NetMedia convocó a la reunión del 2025 de IT Masters Club el pasado 25 de noviembre en el Westin Monterrey Valle, el cual abordó precisamente ese tema: “De la contingencia a la continuidad, el BCP automatizado”.
En primera instancia, la anfitriona y Mónica Mistretta, directora general de NetMedia, le dio la bienvenida a los integrantes de este diálogo, señalando la importancia de los procesos de automatización en este tema, así como los procesos de continuidad.
“¿Cuántas veces al año ponían a prueba su plan de continuidad? Más de la tercera parte nos dijo que no lo habían puesto a prueba todo el año, ¿por qué? Y luego, otra tercera parte dijo que una vez. Estamos ante una realidad en la que el plan de continuidad no debe quedar en un PDF”, destacó como parte de las palabras de bienvenida en donde arrancó con la temática central de la mesa.
Por su parte, Sigifredo Gallardo, CEO de BCMEX, y como invitado especial en esta mesa, señaló en primera instancia el rubro de su compañía así como recalcó la necesidad de poner bajo la mesa el tema de control de daños y automatización de BCP.
De esa manera, arrancó formalmente las preguntas de interacción, en donde los participantes compartieron sus puntos de vista y ofrecieron nuevas formas de mejorar en ese rubro.
BCP y el sueño
Mónica Mistretta, para dar inicio a la mesa arrancó con la siguiente pregunta: ¿Qué parte de su plan de continuidad de negocio les quita más el sueño?
La mayoría de los asistentes, aproximadamente el 70 por ciento, votaron que el último backup del 2021, es decir, recién que llegaron las empresas a adaptarse a la nueva normalidad de la pandemia del Covid 19, por lo que comenzaron las primeras intervenciones.
El primero en hablar fue José Alejandro Mayorga director de Operaciones de IT de Qualtia Alimentos Operaciones, el cual destacó la necesidad de asegurar que la documentación operativa del plan se mantenga viva y que los pasos no queden obsoletos.
“Sería ver una política que establezca una revisión periódica del proceso para garantizar, o sea, una política que incluya desde la vía hasta el BCP. (…). Yo creo que mínimo una vez al año para efectos de garantizar que las aplicaciones críticas sean sigan siendo las mismas críticas”, consideró.
Acto seguido, Héctor Cantú, CIO y director de Proceso de Negocios de Lámina y Placa Comercial destacó los roles fundamentales de los simulacros anuales para actualizar el plan y la importancia de definir responsabilidades por puesto, no obstante, explicó que existen algunas limitantes.
“Estoy de acuerdo con él, pero los simulacros eso es lo que te lo dan. Tienes que tener al menos uno o dos al año y tanto la gente que no debe ser nombres, sino debe ser puesto”, dijo.
Hernán Guerra director de IT de Trayecto, compartió una preocupación sobre la funcionalidad de los simulacros cuando estos se realizan en un ambiente controlado.
“Siempre es bajo un ambiente controlado. […] Lo que a mí me gustaría también tener es qué pasa si el segundo paso (del simulacro) ya no está o si el segundo paso te truena (…) o si existen alternativas dentro del plan para llevarlas a cabo”, mencionó.
En ese sentido, Fulgencio Garza director Global de Servicios IT de Cemex Operaciones México, señaló que en ese caso, el Plan de Continuidad de Negocio es una responsabilidad del negocio y no solo de una tecnología de la información, (TI) sobre todo porque existen amenazas no tecnológicas y refirió por ejemplo el caso de la la contingencia por la gripe porcina en 2010 o incluso, los bloqueos económicos que se están presentando.
“La parte clave es el business y ese no es de TI, el negocio lo tiene que definir. Entonces, el tema es cómo el negocio reacciona hacia una (emergencia)”, explicó.
Por su parte, José Alejandro Mayorga, apoyó la postura de su compañero confirmando que la preparación debe incluir amenazas no tecnológicas como huelgas o cierres de operaciones, es decir, factores humanos.
En su primera intervención, Carlos Grajales, CISO de Mitsui & Co Soluciones de Infraestructura, destacó la inquietud de encontrar e interpretar el plan de continuidad, sobre todo en dónde se ubica la base de datos, ya sea que esté impreso o en una base de datos, para que cuando llegue la emergencia, esté a la mano lo que se tiene que hacer.
“Lo que me quita mucho el sueño es el tema de dónde está (el plan del contingencia), o si no está guardado; dónde está el manual, dónde está la parte impresa. ¿Por qué? Porque ahí te vas a dar cuenta cuando si está actualizado o no está actualizado”, compartió.
Por su parte, Gerardo Martínez, CIO de Value Grupo Financiero, compartió que la práctica constante del plan de emergencia, así como la división de pruebas es lo que garantiza la respuesta efectiva del personal.
“La práctica es lo que va a hacer que nuestra gente pueda responder con más tranquilidad, porque ya sabe cómo hacerlo, ya lo ha hecho, ahora sí con presión de tiempo, con presión de negocio, pero funciona y funciona muy bien”, dijo.
En ese tenor, Héctor Cantú retomó la palabra y consideró que el plan debe identificar la cabeza que lo dispara y quién avisa a los accionistas y clientes, siendo estos temas del propio negocio.
En su intervención, Alejandro García Parra, gerente de IT de Fibra MTY, retomó de nuevo el tema sobre el almacenamiento de ese plan de emergencia, y consideró que realizar una prueba “a la mala” para demostrar al CEO o al encargado del que controla ese área, que la nube no es infalible por sí sola como único método de almacenamiento; de esa manera se pueden garantizar múltiples carriers y operación.
“Así le pudimos demostrar al CEO que el hecho de que un servicio en la nube infalible por sí solo no lo es. Y adicional a eso pues es alinear el el tema informático con el negocio”, compartió.
Eduardo Gaytán, CISO de Cuprum, compartió parte de la forma de operar y dijo que aún están en una fase inicial de creación del plan y su dificultad es que el personal que heredó sistemas no conoce el trasfondo.
“Hay muchas veces que la persona encargada del sistema ni siquiera ella misma tiene todo el conocimiento (…) se han heredado las aplicaciones y no conocen el trasfondo y eso es con lo que actualmente estamos digamos que batallando nosotros”, comentó.
Juan Carlos Balboa, director de Transformación Tecnológica de Vector Casa de Bolsa, también compartió que la preocupación no es solo que el plan levante, sino que funcione, ya que dijo que el sector financiero tiene el beneficio de estar obligado a hacer pruebas DRP frecuentemente, incluso dio a conocer un caso que ocurrió en su compañía.
“La preocupación a veces es que el plan funcione bien. Las primeras pruebas que hacíamos levantaban las cosas, pero no funcionaban (…) Tenía los servidores y el 20 por ciento de los servicios estaba funcionando pero el resto de los servicios se había perdido la conexión”, destacó, al recordar esa anécdota.
En su primera intervención, José Baltazar, gerente de Infraestructura IT de Viakable, consideró que su plan de contingencia debe ser “vivo” y en constante cambio; y que para él, la mayor preocupación era que el plan falle en la ejecución real.
“Para mí esto debe ser un plan vivo que está o debe estar en constante cambio y adecuación. Pero lo que me preocupa es, ¿y si no sale? Eso es lo que estoy haciendo, que todo el mundo sea parte de eso (el plan de contingencia)”, dijo.
Por su parte, Alejandro Gallardo, subdirector de Estrategia de negocio de BCMEX expresó la emoción de que el grupo esté buscando alternativas antes del desastre, lo que va contra la cultura mexicana de solucionar
“Me emociona el hecho de que todos estemos en el mismo canal y estemos viendo en pro de buscar alternativas antes de que suceda. Y es que es un tema de lucha contra nuestra propia cultura”, consideró.
Fulgencio Garza, y platicó una anécdota de un sábado santo donde la subestación falló por calor y la dependencia de una persona clave que sabía cómo resolverlo en minutos, ya que tuvieron que hablarle al técnico de su descanso para que pudiera hacerlo; él empleado lo logró sin quitarse de la pena y en tiempo mínimo.
Fernando Casas, director de IT y CX de Promotora Ambiental, señaló que se debe aplicar la redundancia también a las personas, creando un plan de sucesión para los puestos clave, esto tras la anécdota que compartió Fulgencio Garza.
“Tendríamos que pensarlo igualmente para las personas, ¿no? Porque como bien dicen, es hay una persona clave, pero ¿qué pasa si no puede llegar enferma? Y yo creo que aquí hay que empatar un plan de sucesión a los planes de seguimiento”, dijo.
José Alejandro Mayorga hizo otra intervención con al decir y considerar que no solo con documentar al personal es suficiente para atender un control de daños, sino que se deben practicar y crear como una especie de “gemelos” operativos, y levantan los servicios críticos en sitio alterno cada mes, tal cual dijo, se estaba intentando implementar en su compañía.
Por su parte, Sigifredo Gallardo, destacó que no solo es saber si el plan pueda funcionar ante una situación real o que las personas estén capacitadas, sino que también hay que adelantarse un paso al momento de automatizar los procesos para reducir la posibilidad de error.
“No podemos ya darnos el lujo de actuar reactivamente un incidente (…) Es lo único que nos garantiza que a través del monitoreo y de la observabilidad de los procesos críticos del negocio podamos establecer reglas e incluso nos lleven a automatizar esta parte de los procesos, sobre todo en la parte del DRP”, mencionó.
De esta manera concluyó la primera pregunta de la mesa de diálogo para pasar a la siguiente, la cual está más relacionada con el llamado “Día Cero”.
El caos del “Día Cero”
Dentro de la segunda pregunta, luego de que se cuestionaron sobre el BCP de una empresa, el segundo bloque de la conversación inició con esa pregunta: Si mañana ocurriera el día cero de su organización, ¿sobreviven?
La mayoría de los participantes, es decir, un 70 por ciento, votó que su organización “sobreviviría, pero con muchas llamadas de emergencia”, es decir, a través de la red de apoyo de otros factores como colegas, socios, familia y demás.
Gerardo Martínez, volvió a intervenir y detalló parte de lo que ha hecho, que el éxito de su plan se basa en la cooperación del equipo, realizando pruebas de falla total sin mover fechas, incluso si la gente está de vacaciones.
“Si alguien tuvo que salir, si alguien está de vacaciones, la prueba se realiza y normalmente no tenemos consecuencias mayores, entonces siento que estamos en un buen nivel de tranquilidad cuando hacemos”, mencionó.
En ese sentido, Francisco Gonzalez, director de IT de Dollar General, compartió que el negocio en México es muy joven, por lo tanto, tienen todo en la nube y alta disponibilidad en tiendas, pero reconoció que necesitan madurar la documentación para evitar solo depender de esa herramienta virtual.
“Tenemos la ventaja de que tenemos un par de años operando, entonces realmente nos pasa lo mismo que a Alejandro. Tenemos todo lo todo en la nube (…), pero sí nos hace falta madurar, ir trabajando en conforme vayamos creciendo en toda esta documentación, en todos estos ejercicios”, compartió.
Carlos Grajales, compartió en torno a lo que dijo su compañero anterior, han sobrevivido con llamadas de emergencia a situaciones no tecnológicas, como cierres de plantas por temas gubernamentales o medioambientales.
José Alejandro Mayorga, a comparación de los demás participantes, mencionó que él contestó la pregunta en base a su experiencia pasada, la cual la calificó como un “caos controlado” donde la operación no se detuvo gracias a contar con personal clave, pero con alta dependencia de dicho personal.
“Muchas de las operaciones no se detuvieron precisamente por contar con ese personal clave. Sin embargo, con mucha dependencia del personal, o sea, personal clave cambia, que es el personal que conoce perfectamente el negocio, ahí es donde empiezan los temas”.
Por su parte, Iván Hernandez, director de IT de Canadian Pacific Kansas City, anécdota de la pandemia que forzó a montar medio centro de despacho en tres días, destacando que la flexibilidad, aspecto que es clave ya que el plan rígido no se ajusta al desastre.
“Lo importante aquí yo creo que es la flexibilidad, porque no sabes, aunque estés muy preparado”, destacó.
José Baltazar, destacó que el plan no se puede asegurar hasta que falle en un escenario real; hay que esperar lo inesperado, citando el caso de la pandemia donde la falta de licencias VPN causó llamadas de emergencia.
“No puedo asegurar que mi plan va a funcionar hasta que tenga un escenario real, que afortunadamente no nos ha tocado hasta ahorita, pero en un escenario real pues también hay que esperar lo inesperado”, dijo.
Héctor Cantú, mencionó, respecto al BCP, que tienen un edificio alterno que solo se usa para emergencias, pero en los simulacros siempre hay detalles pequeños que generan caos, como problemas de acceso o desconocimiento de los lugares.
Resiliencia ante la tragedia
El tercer bloque abrió con la siguiente pregunta: ¿Qué práctica o decisión concreta ha hecho que su organización sea más resiliente en los últimos dos años?
El primero que tomó la palabra fue Héctor Cantú, quien destacó que para lograrlo es necesario involucrar al negocio y la dirección general para que ellos definan los procesos críticos y se estructure la continuidad manual (como facturación, nómina, recepción de tráilers en el caso de su negocio, por ejemplo).
“Nosotros lo que hicimos fue estructurar cuál es el el plan y se lo llevé a la dirección general. (Esto) es responsabilidad del negocio (de) cómo manualmente podemos trabajar, qué datos necesitamos para que puedan trabajar y en dónde los vamos a tener para que puedan trabajar de manera manual todos”, señaló.
José Alejandro Mayorga, mencionó en ese sentido que la inversión es la práctica clave, pues el impacto financiero y reputacional de una caída indica el nivel de inversión requerido.
“El tema del dinero es muy relevante. Yo creo que el dinero te lo va a decir precisamente (…) cuánto impacto tiene el negocio por dejar de tener las herramientas para llevar a cabo esa operación”, destacó.
Asimismo, Sigifredo Gallardo, destacó que es fundamental enfocarse en los procesos, y darles un nombre, es decir, “bautizarlos” y después buscar la automatización, que es un paso importante para llegar a realizar los procesos con Inteligencia Artificial (IA).
“La automatización es la antesala para la inteligencia artificial. No podemos llegar a ser inteligencia artificial si no tenemos datos de negocio (…). Uno de los grandes errores que cometemos en muchas empresas es pensar que comprar un sistema o adaptar un sistema que no está alineado al proceso”, señaló.
Carlos Grajales, coincidió con Gallardo, y mencionó que la decisión más importante es darle enfoque y prioridad a la resiliencia en la organización, ya que sin ese enfoque, la infraestructura o la IA no serán efectivas.
“Si no le das un enfoque a la organización, te vas a perder. (…) Vas a tener un plan desactualizado y no lo vas a tener a la mano. Cuando te toca el día cero, empiezas con las llamadas de emergencia”.
Juan Carlos Balboa, en ese sentido destacó que se debe buscar la automatización, pero esta depende de la madurez interna de la organización.
Por su parte, José Alejandro Mayorga, destacó que es verdad el tema de la madurez de la corporación, pero en ese sentido, compartió una situación en su empresa, ya que ante la falta de especialistas internos, decidieron contar con un equipo extendido de proveedores para compartir esa especialización con otras compañías.
“Algo de lo que me di cuenta es que no tenemos especialistas, en algunas de las funciones son menos especialistas de lo que pensamos. Hay que poner a los especialistas precisamente con alguien que comparta esa especialización con otras compañías”, dijo.
En ese sentido, Sigifredo Gallardo, explicó que el área de control de cambios interno debe entender que cualquier modificación a nivel de TI debe ser avisada al área de BCP.
Una definición para la cultura de la resiliencia
Ya para terminar la mesa de diálogo, se le pidió a los participantes que con una palabra, compartieran la respuesta de esta pregunta: ¿Qué palabra describe mejor la cultura de resiliencia en su empresa hoy?
Las palabras más votadas fueron “Adaptabilidad”, “Anticipar” y “Evolución”.
El primero en tomar la palabra fue José Baltazar, quien mencionó que él usó la palabra “Adaptabilidad”, ya que concuerda con la cultura de la empresa, impulsada desde la dirección general, de buscar “qué hacer para ayudar al negocio”.
Por su parte, Francisco Gonzalez, compartió que él la definió como “Evolución”, ya que como negocio joven, se deben buscar todos los días adaptarse y evolucionar con la competencia.
“Es un reto, hay que buscar todos los días, de cómo adaptarse para estar viendo que está haciendo la competencia. Hay que buscar en todas las áreas de cómo estar evolucionando”, mencionó.
Por su parte, Juan Carlos Balboa, destacó que el puso “Anticipar”, ya que tiene que ver más con resiliencia y competitividad, a través del uso de los datos para prever riesgos y tomar acciones correctivas.
“Hablando de resiliencia, yo siento que tiene que ver más con anticipar, ¿no? qué puede suceder, qué pudiera salir mal, cuáles son los riesgos a nivel mundial, a nivel país, y entonces anticipa y toma las acciones correctivas.
Héctor Cantú, destacó que él la ve como una “visión holística”, que implica observar no solo a la competencia, sino también el gobierno y la situación financiera para poder evolucionar.
Eduardo Gaytán, lo calificó como “incipiente”, ya que están en una fase inicial e incluyeron roles especializados en continuidad este año.
“Estamos en una fase inicial, nosotros este año es que incluimos roles especializados en continuidad y pues estamos enfocándonos en el mapeo de procesos críticos del negocio”, compartió sobre el proceso de su empresa.
Iván Hernandez, retomó la palabra y lo calificó como “observabilidad” que están invirtiendo fuertemente en herramientas y usándolas para la causa raíz de incidentes.
José Alejandro Mayorga, mencionó que él lo calificó como “Cliente” ya que consideró que la toma las decisiones de inversión y proceso deben poner al cliente en el centro.
Carlos Grajales compartió que lo calificó como “Enfoque” ya que en su rubro, se están haciendo ajustes para priorizar la continuidad del negocio, no la tecnología.
Por su parte, Fernando Casas, señaló que él lo consideró como “crecimiento” y consideró que la mentalidad mexicana permite por defecto lidiar con crisis y dar resultados se mantengan en crecimiento.
En ese sentido, Hernán Guerra, lo calificó como “indispensable reinventarse” ya que en el sector transporte la resiliencia es básica, y siempre hay que seguir reinventando.
Y para concluir este bloque, Sigifredo Gallardo mencionó que se debe de ver al futuro, y destacó que la IA llegó para quedarse y es crucial entender los procesos del negocio para aplicarla al BCP.
Para finalizar esta última mesa de diálogo, las conclusiones se centran tanto en los hallazgos técnicos y culturales sobre la resiliencia, como en el valor del intercambio de experiencias entre los líderes empresariales.
Es decir, se destaca que la continuidad es un reto de negocio y de ejecución humana, por lo que aunque se hagan simulacros de prevención de desastres, estos se realizan en ambiente controlado y no siempre garantizan la respuesta ante lo inesperado por lo que la práctica constante y la creación de un plan “vivo” son vitales.
Así mismo, frente a un escenario de “Día Cero”. los participantes coincidieron en que la organización entraría en un “Caos controlado”, por lo que la capacidad de respuesta se basa en la flexibilidad del plan, ya que los procedimientos rígidos pueden no ajustarse al desastre real ### Conclusión sobre el Valor del Intercambio (Según Netmedia)
Finalmente, los diálogos no solo sirven para generar reportes para la comunidad de lectores, sino que tienen un alto valor para los participantes.
