Apuntes sobre continuidad del negocio

Un apagón (el segundo en menos de 24 horas) azotó hoy a la India, dejando sin electricidad por varias horas a más de 600 millones de personas (casi la mitad del país), y sin servicios básicos ni sistemas de transporte públicos —incluyendo la red ferroviaria, y los metros de Calculta y la capital Nueva Delhi—. El suministro eléctrico interrumpido afectó también los hospitales en varias de las ciudades importantes de la India, así como los edificios de oficinas, los que tuvieron que activar sus generadores eléctricos a gasolina (diesel). Uno de los sectores industriales más importantes de la India es el de la tercerización de procesos ( BPO ); específicamente, el de la tercerización de servicios tecnológicos (IT-BPO) —responsable de más del 7% del PBI—. Según el reporte de The Economic Times, empresas como Wipro, Genpact y WNS activaron inmediatamente sus planes de continuidad de negocios, logrando un tiempo de interrupción cero para sus servicios de TI críticos. Fuentes : E

El análisis de impacto al negocio usualmente se confunde con la evaluación de riesgos .  Priti Sikdar , directora de Valsec Solutions de la India, explica la diferencia entre estas dos importantes actividades del ciclo de vida de un programa de Continuidad de Negocios. La evaluación de riesgos (o RA, por las siglas en inglés de Risk Assessment ) tiene que ver con la determinación de la pérdida potencial por causa de una amenaza y el costo de la medida de protección hacia los procesos críticos del negocio, pero sobre todo, los recursos críticos que los soportan. Es decir, cuánto gastar en prevención y protección. Para ello, se necesita saber primero cuáles son esos procesos y recursos críticos. En el análisis de impacto al negocio (o BIA, por las siglas en inglés de Business Impact Analysis ) se busca principalmetente: (a) determinar el impacto que tendría un evento disruptivo en los procesos de la organización —de esta manera, se determinan cuáles son verdaderamente críticos—;

La Ingeniería Sismorresistente  es una disciplina con poco más de un siglo de historia, que a través de los años ha buscado la comprensión y el control del comportamiento dinámico de las edificaciones de cara a terremotos, con el fin de proteger las vidas humanas y —a partir de los últimos 20 años— mejorar el desempeño de las estructuras. La Norma Sismorresistente del Perú ( EO30 ) regula las construcciones en todo el territorio nacional, y define cuatro tipos de estructuras: Categoría A - Edificaciones esenciales : Para hospitales, centrales de comunicaciones, cuarteles de bomberos y policía, subestaciones eléctricas, reservorios de agua. Categoría B - Edificaciones importantes : teatros, estadios, centros comerciales, establecimientos penitenciarios, museos, bibliotecas. Categoría C - Edificaciones comunes : viviendas, oficinas, hoteles, restaurantes, depósitos e instalaciones industriales. Categoría D - Edificaciones menores : el resto. Según el artículo publicado esta sema

Hoy me llegó la noticia del primer certificado ISO 22301 emitido por BSI a nivel mundial. Este mes de julio, la entidad financiera española  Bankinter pasó a ser la primera certificada en el nuevo ISO, publicado en mayo.  Según los requisitos que exige esta norma, el certificado acredita el Sistema de Gestión de Continuidad de Negocio (SGCN) de Bankinter para los procesos de identificación, autentificación y firma de operaciones financieras y sus evidencias electrónicas a través de Internet, Teleproceso Operativo y la infraestructura de routing de Renta Variable para sus centros de Tres Cantos y Alcobendas en Madrid. Fuente : BSI España. (2012, 18 de julio). Bankinter recibe el primer certificado ISO 22301 emitido por BSI . Recuperado de  http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-gestion/Novedades/Noticias-2012/LD-News-Source-/Bankinter-recibe-el-primer-certificado-ISO-22301-emitido-por-BSI/

El peor incendio de un edificio de gran altura registrado en la ciudad de Chicago ocurrió el 6 de diciembre de 2004, a las 6.30 p. m. en la sede principal del Banco La Salle, la que albergaba más de 3,000 empleados. Gracias a los esfuerzos del Equipo de Continuidad de Negocios del banco y de los Coordinadores de Continuidad de Negocios dentro del edificio, las operaciones críticas fueron recuperadas la mañana del siguiente día útil: los clientes no se vieron afectados. El fuego, causado por una falla eléctrica en el techo del piso 29.° del edificio, se extendió al piso 30.°. Las unidades de bomberos y el departamento de policía de Chicago acudieron al lugar en minutos. Tardaron cinco horas en controlar el incendio más grande en un rascacielos en la historia de la ciudad, utilizando más de un millón de galones de agua. Para las 7.30 a. m. del día siguiente, todas las funciones críticas del banco estuvieron operativas en sitios alternos. 750 empleados se reportaron a los sitios a

Hoy en la mañana, viniéndome para el trabajo, escuché en RPP una noticia que contenía dos expresiones relacionadas con nuestra disciplina: plan de contingencia y continuidad del servicio : se trataba de la paralización de los servicios de aeronavegación en todos los aeropuertos del Perú. Huamanlazo (2012) señaló que hoy "el gobierno declaró en emergencia los servicios de navegación aérea, por un espacio de 60 días en todo el territorio nacional, a fin de velar por el normal funcionamiento del servicio público de transporte aéreo en condiciones de seguridad". El plan de contingencia puesto en marcha consistía en la contratación de controladores aéreos del extranjero y el apoyo de la Fuerza Aérea Peruana, con el fin de minimizar el impacto en el servicio de la navegación aérea, sobretodo los días de Fiestas Patrias, en los que hay una mayor demanda de vuelos nacionales e internacionales. Fuente : Huamanlazo, M. (2012, 23 de julio). Corpac garantiza seguridad de oper

Craig Fugate, Administrador de la Agencia Federal para el Manejo de Emergencias ( FEMA ), comenta acerca de la importancia que tuvo el uso de los medios sociales  (como Facebook, Twitter, YouTube, Vimeo, etc.) como herramienta de comunicación, en el terremoto en Haiti de 2010 . El especialista señaló que en desastres realmente mayores (como el de Haiti), la respuesta inicial no viene del gobierno: son los individuos ayudándose unos a otros, tratando de averiguar qué está pasando, encontrando la forma de estar mejor enterados de la situación —incluso mejor que las propias agencias del gobierno—. En este sentido, la FEMA explica que los medios sociales ya están siendo utilizados por las empresas, los individuos y el gobierno, para responder a emergencias y para gestionar las crisis, de múltiples formas: Salvando vidas gracias a una comunicación rápida: Los medios sociales son utilizados para alertar al público sobre situaciones intempestivas de desastre (tornados, terrem

El testimonio de Bill Munro, dueño de Munro Inc. —una compañía de lavado al seco, alquiler de uniformes y vestimenta de seguridad con sede en Beaumont, Texas—, sobre el desempeño de su plan de emergencias, que tuvo que ser activado en septiembre del 2005 ante la inminente llegada del Huracán Rita ; nos deja más de una lección, de cara a incluir en nuestros planes los escenarios y estrategias acordes con una adecuada evaluación de riesgos. A pesar de que Munro Inc. tenía implementado un plan de emergencias rudimentario, este no consideraba el escenario de apagones y la falta de alimentos y suministros —lo que se produjo después del huracán—. Bill tardó una semana en reabrir la empresa. Después del Huracán Rita, Bill tomó medidas para prepararse mejor en el futuro, como por ejemplo: Elaborar un plan para cerrar herméticamente los edificios antes de una evacuación. Preparar un programa de comunicaciones más detallado, que estipule que los empleados se pongan en contacto con

La computación en la nube o cloud computing  ya se está incorporando en los planes de continuidad de negocios, como una estrategia para la recuperación tecnológica ( BCM/IT DRM ).  Bplan Soluciones (2012) hizo una explicación bastante clara respecto de las  tres capas o modalidades de adopción de la computación en la nube : Software como servicio (SaaS) Plataforma como servicio (PaaS)  Infraestructura como servicio (IaaS) No obstante, Lydia Leong en la conferencia sobre Continuidad de Negocios organizada por Gartner en el 2009 recomendaba esta estrategia solamente para la recuperación tecnológica de aplicaciones que ya se encuentren fuera del centro de cómputo, por ejemplo, para aplicaciones web o para ambientes de desarrollo. Por su parte,  Pierre Dorion (2009) señaló que algunas aplicaciones como el correo electrónico, los archivos/carpetas compartidas y las bases de datos para el CRM o el ERP son más fáciles de migrar a la nube, y deberían ser consideradas en primer luga

Las pruebas de escritorio (en inglés: tabletop exercises , desktop exercises , walk-through tests , boardroom level tests ) son un método efectivo (y poco costoso) de ejercitar los planes de continuidad, sin ocasionar una interrupción en la operativa del negocio, elevando aun así, el nivel de preparación de las organizaciones. En este tipo de pruebas, en lugar de simular realmente un desastre, se reúne al equipo de gestión de crisis durante una o dos horas para discutir secuencialmente los pasos a seguir ante un escenario de desastre. En el artículo de Sarah D. Scalet, de CSO Online, se publican seis tips para diseñar una prueba de escritorio efectiva: 1. Decide el nivel de severidad, complejidad y daño del evento de interrupción simulado. 2. Prueba cuan rápido puedes reunir al personal clave para la gestión de la crisis. 3. Involucra a todos durante la prueba. Asigna roles a cada uno. 4. Ten en cuenta que los neófitos en esta clase de pruebas podrían sentirse nervios

Hace unos días, me llegó un comunicado de Centrum Católica dando instrucciones de acción en caso de sismo. Aquí les comparto los números telefónicos de emergencia consignados en dicha comunicación, los que podrían resultar útiles para nuestros planes de emergencia  para las sedes en la ciudad de Lima: Ambulancias Plan Vital: 6271900 Alerta Médica: 2254040 Cardiomóvil: 4370017 Clave Médica: 3134333 Cruz Roja: 2753566 Servimedic: 3326720 San Cristóbal: 4249275 Asistencias públicas Arzobispo Loayza: 6144646 Cayetano Heredia: 4820402 Essalud emergencia: 117 Bomberos Toda emergencia: 116 Central de atención: 2220222 Defensa Civil Callao: 4294811 Lima: 2259898 Policía Escuadrón de emergencia: 105 Vehículos: 3280207 UDE explosivos/rescate: 43130760 Servicios públicos Agua: 3178000 Luz del Sur: 6175000 Edelnor: 5171717 Se puede acceder a una lista más completa de teléfonos útiles en el sitio web de Perú.com .

De acuerdo con el blog del español Jorge García Carnicero, Continuidad no es Seguridad , en mayo del presente año, la  BSi  (British Standards Institution) organizó la V Conferencia Internacional de Continuidad de Negocio en la ciudad de Madrid, con mucha expectativa entre los asistentes por saber más acerca del nuevo estándar  de Continuidad de Negocios, ISO 22301. En la ponencia de Dave Austin, miembro del comité ISO para el desarrollo de la nueva norma, se comentaron los siguientes aspectos claves: La norma es equiparable a la BS 25999-2 , por lo que el esquema estará completo cuando se publique la norma ISO 22313 que contendrá el documento guía, planificada para su publicación en el 2013.  Aparece un nuevo concepto MBCO (Minimum Business Continuity Objective) para guardar coherencia entre las dos normas (22301 y 22313) lo que no ocurría con los anteriores estándares. Se incluyen los "requisitos legales", para adecuar la implementación a la legislación de cada p

El periodista José Ignacio Stark narra su experiencia personal el día del fatídico terremoto en Chile —27/F, como lo han codificado algunos— del 2010 , desde una perspectiva tecnológica, haciendo un análisis crítico de la resiliencia de las redes y los centros de cómputo (datacenters) chilenos. Según señala, los servidores de la Onemi  —lo que para el Perú sería el Indeci — fallaron, y el data center más moderno de Chile se cayó, llevándose consigo a clientes gubernamentales y grandes instituciones, como el Banco de Chile, la Universidad Andrés Bello y los servicios en línea del Ministerio de Obras Públicas, entre otros. El terremoto del 27 de febrero de 2010 no solo dejó a sitios fuera de línea, sino que "desnudó realidades" sobre la supuesta seguridad y estabilidad de la infraestructura de datos chilena. Por un lado, afectó por igual a centros de datos designados "de contingencia" como a los principales. Por otro, dejó en claro que es necesaria la

El plan de emergencia de cualquier recinto o edificio plantea el doble objetivo de (1) proteger a las personas y (2) a las instalaciones / infraestructura ante situaciones críticas, minimizando sus consecuencias. Ante una emergencia, la mejor salvaguarda para los ocupantes es que puedan trasladarse a un lugar seguro, a través de una ruta protegida y en un tiempo adecuado, esto es, realizar una evacuación eficiente. Según el Ministerio de Trabajo y Asuntos Sociales de España, un sistema de evacuación "se conforma por un conjunto de entidades, ocupadas por cierto número de personas con características particulares, que buscan desplazarse desde espacios ocupados hasta otros lugares que constituyen el destino de la evacuación, el cual es, por lo general, una zona cercana al edificio con capacidad suficiente para albergar la totalidad de los ocupantes. Por otro lado, hay ocasiones en que el destino de evacuación puede ser una dependencia más del edificio que reúna condicion

De acuerdo con las mejores prácticas, el contenido del programa de gestión de la continuidad del negocio debe incorporar las siguientes cuatro disciplinas: 1. Security Management Incluye la seguridad física, seguridad de la información, y cualquier otra actividad asociada con salvaguardar la integridad física del personal, la protección de la información y los recursos de la compañía. La regulación peruana hace referencia a planes de emergencia  que las empresas deben mantener por cada sede. 2. Incident Management Incluye la gestión de la crisis; es decir, el comando, el control y la comunicación —con el personal, familiares y contactos de emergencia, así como como la interacción con los medios de comunicación y los grupos de interés ( stakeholders )— durante un evento de desastre. Asimismo, el escalamiento y la activación de la respuesta inicial que puede posteriormente llevar a activar del plan de recuperación del negocio. Incluye también el establecimiento de

Entre noviembre de 2011 y enero de 2012, Continuity Insights y KPMG LLP condujeron un estudio en línea con el fin de determinar el estado actual de los programas de gestión de continuidad del negocio y de los conductores para su desarrollo futuro. El 2011-2012 Global Business Continuity Program Benchmarking Study es un estudio comparativo basado en las respuestas anónimas obtenidas de 685 ejecutivos de empresas públicas y privadas, agencias del gobierno y autoridades, institutos educativos, y entidades sin fines de lucro, de alrededor de 40 países —un tercio de ellos con matrices fuera de los Estados Unidos—; que explora los cambios en el panorama global de la gestión de riesgos, las interdependencias con la cadena de abastecimiento, el uso creciente de la nube, las aplicaciones móviles y los medios sociales, como parte de los programas de gestión de la continuidad del negocio. Principales resultados Integración del programa. 34% de los encuestados sienten que

La recuperación ante desastres ( disaster recovery ) es un concepto desarrollado en los años setentas, a partir de que los administradores de centros de cómputo comenzaron a reconocer la dependencia de sus organizaciones con sus sistemas computarizados. En aquella época, la mayoría de sistemas eran procesos en lote que corrían en grandes computadoras centrales o  mainframes , los cuales en muchos casos podían estar caídos por varios días antes de que se produzcan daños significativos a la organización. A medida que la conciencia sobre de la recuperación ante desastres crecía, y al ser considerados los centros de cómputo como  puntos únicos de falla ( single points of failure - SPOF ), se desarrolló un rubro de servicios que proveía centros de cómputo de respaldo —Sun Information Systems fue uno de los primeros (que luego se convertiría en Sungard Availability Systems) y más importantes proveedores de hot-sites comerciales en los Estados Unidos—. El costo de estos servicios era

El uso de las redes sociales para la notificación y comunicación oportuna de posibles (o inminentes) eventos disruptivos se ha convertido en mandatorio para la continuidad del negocio y la recuperación ante desastres. En el Perú, casi todas las instituciones vinculadas con la alerta y respuesta a situaciones de emergencia ya tienen cuentas en redes sociales, como el Twitter . A continuación, propongo las cuentas que podrían encabezar la lista: indeciperu OGDN_minsa bomberosdelperu RPPNoticias Sismos_Peru_IGP TuiterPulse InfoSismos ¿A quiénes más recomiendas seguir?

En la conferencia sobre Continuidad de Negocios organizada por Gartner en el 2009, Emily L. Walker aconsejó utilizar ejemplos de la vida real, así como simulaciones, para mostrar a la alta dirección ( the C-level ) —el nivel de la toma de decisiones— la forma en que un desastre puede impactar en la rentabilidad y la reputación de la empresa. Para el CEO —la gerencia general—, asociar la preparación con el negocio es crítico para asegurar sus resultados. Fuente : Gartner Business Continuity Management Summit 2009 (abril). Recuperado de  http://www.gartnerinfo.com/bcm2/2009BCMTripReport.pdf

De acuerdo el PECB (2012), la recientemente publicada norma ISO 22301:2012 es, a nivel mundial, la primera norma internacional para la gestión de la continuidad de negocio (GCN), y ha sido desarrollada para ayudar a las organizaciones a minimizar el riesgo ante posibles interrupciones. La norma ISO 22301:2012 especifica los requisitos para planificar, establecer, implantar, operar, monitorear, revisar, mantener y mejorar continuamente un sistema de gestión documentado, con el propósito de prepararse, responder y recuperarse ante eventos que generen interrupciones del negocio. Sin embargo, es importante destacar que si bien el ISO 22301 sería el nuevo referente en lo que a estándares sobre Continuidad del Negocio se refiere —ya que reemplazará la actual norma británica BS 25999—, otros marcos de buenas prácticas y normas están disponibles, como por ejemplo el NFPA 1600:2010, el ASIS SPC.1-2009, el ISO/IEC 27035:2011, PAS 200:2011, ISO 28002:2011, AS/NZS 5050:2010, et