Apuntes sobre continuidad del negocio

La cadena de llamadas (o call tree , en inglés) es un procedimiento telefónico que se utiliza para notificar o alertar al personal sobre la ocurrencia de una emergencia en las instalaciones de la empresa, usualmente  en horarios fuera de oficina. El procedimiento general es que (a) una persona llame y entregue el mensaje a un grupo pequeño de personas; entonces, (b) estas personas llaman y pasan el mensaje a otras; hasta que, finalmente, (c) todo el personal relevante ha recibido el mensaje. Para garantizar que la cadena de llamadas funciona, esta debe probarse periódicamente, ya que los números telefónicos errados o los cambios de teléfono pueden obstaculizar su eficacia. Sandesh Sheth, desde su canal en YouTube,  Business Continuity Made Simple , explica cómo implementar y ejercitar las cadenas de llamadas. Fuentes : Risky Thinking. (2012). Call Tree (Definition) . Recuperado de  http://www.riskythinking.com/glossary/call_tree.php Faucheux, M. (2012) . Call Tree

Las organizaciones normalmente implementan el liderazgo necesario para el programa de continuidad del negocio, a través de tres roles: 1. Auspicio ( sponsorship ) - provee y garantiza el soporte organizacional y financiero. 2. Propiedad ( ownership ) - responsabilidad directa del aseguramiento del soporte, así como la ejecución de todo el programa. 3. Custodia ( custodianship ) - responsabilidad de coordinación de las tareas propias de la gestión de la continuidad del negocio, las que son ejecutadas a través de toda la organización. Los roles de auspicio y propiedad del programa actualmente tienden a instancias organizacionales con visibilidad del negocio completo y con experiencia en la administración de riesgos. Con base en esta tendencia, Protiviti (2006) ha desarrollado una lista de auspiciadores y propietarios en orden decreciente de efectividad: Finanzas - El director financiero (CFO - Chief Financial Officer ), o un reporte directo, aportando la visión de rie

Este mes, Andrew MacLeod, consultor de Needhams 1834 (Inglaterra) —un proveedor independiente líder en gestión de riesgos y consultoría en continuidad de negocios, planeamiento y servicios de entrenamiento— compartió las experiencias vividas como parte del proceso de certificación de Needhams al estándar publicado en el mes de mayo, ISO 22301:2012 Societal security – Business continuity management systems – Requirements . MacLeod enfatizó la importancia de contar con acompañamiento de auditores independientes experimentados no necesariamente en certificaciones ISO 22301 —dada su reciente publicación—, sino en procesos de certificación ISO en general. Para Needhams, el proceso se desarrolló en dos etapas: (1) revisión de la documentación del sistema de gestión de continuidad del negocio (BCMS - business continuity management system ); y (2) confirmación de cómo este sistema de gestión se encontraba articulado y cómo estaba siendo implementado. Algunos de los ajustes a que tuvi

Ayer, en una reunión de trabajo, se habló acerca de la dificultad de gestionar y mantener actualizada la documentación propia del programa de continuidad del negocio. Sin duda, este puede ser el talón de Aquiles para sus administradores, si es que no cuentan con mecanismos automatizados para (a) poner a disposición del personal apropiado (antes y durante el evento de interrupción) los análisis de impacto, evaluaciones de riesgos, los planes en sí —directorios y listas de contactos, procedimientos de contingencia, formatos y recursos a utilizar, etc.—, las bitácoras o logs, entre otros documentos; (b) controlar la vigencia del contenido y la periodicidad de su actualización; y (c) descentralizar y hacer seguimiento al cumplimiento de estas actividades. En la misma reunión, se mencionaron dos herramientas disponibles en el mercado —que incluso ofrecían el soporte para todo lo descrito, con el valor añadido de poder custodiar esta documentación en la nube —: Global Continuity y

Todo negocio requiere de bienes materiales para el desarrollo de sus funciones. La ocurrencia de un siniestro que afecte los bienes que forman parte de su aparato productivo o de servicio puede generar un quebranto económico por la pérdida o daño a los bienes mismos. Dependiendo del tipo de actividad que desarrolla el negocio, estos bienes pueden ser: edificios; instalaciones industriales; maquinaria y equipo; mobiliario; materias primas; productos terminados; etc. Los contratos (o pólizas) de seguros permiten cubrir los bienes materiales contra todo riesgo de daño material o pérdida física, indemnizando al cliente por el quebranto sufrido por la pérdida o daño a los bienes asegurados. La semana pasada, el diario  Gestión publicó un artículo relacionado con este tema, en el que se describen algunos productos de seguros, ofrecidos en el Perú, para pequeñas y medianas empresas, por las principales compañías aseguradoras. Aquí os lo comparto: Fuente : Gestión

Conversando hace unos días con un supervisor de la Superintendencia de Banca, Seguros y AFP (SBS), me comentaba que una de las principales debilidades de la gestión de continuidad de negocios en el Perú era la falta de una evaluación a conciencia de los riesgos de interrupción a los que las empresas estaban expuestas. Enfatizaba en la necesidad de evaluar los riesgos desde el punto de vista de la geografía para cada una de las instalaciones o sedes; es decir, de "tropicalizar" la evaluación de riesgos. En el 2011, el Instituto Nacional de Defensa Civil ( Indeci ) publicó su " Atlas de peligros del Perú " . Tanto en formato de aplicación en línea, como en documento descargable, es una herramienta desarrollada gracias al apoyo de instituciones tecno-científicas del país, que puede servir para "tropicalizar" los riesgos de interrupción en todo el territorio nacional, con el propósito de implementar medidas de prevención y/o mitigación de los peligros d

Tanto el nuevo estándar ISO 22301, como su predecesora, la BS 25999, establecen seis elementos que conforman el ciclo de vida del programa de continuidad del negocio. A continuación, una breve síntesis de los entregables y método de implementación, para cada uno de ellos, de acuerdo con las buenas prácticas: 1. Gestión del programa de continuidad del negocio Entregables: • Política de continuidad del negocio. • Procedimiento o manual de mantenimiento/gestión del programa. Metodología : • Soporte de la dirección. • Estructura organizacional. • Roles y responsabilidades descentralizadas. • Establecimiento de partidas presupuestales. • Gestión de las competencias requeridas. • Formalización de una metodología alineada con la gestión de riesgos de la empresa. • Control documental. 2. Entender a la organización Entregables: • Análisis de Impacto al Negocio ( business impact analysis - BIA). • Análisis de Riesgos ( risk assessment - RA). Metodología : • Ide

El huracán Katrina (2005) comprobó que el viejo adagio inglés " cash is king " aún es válido. Ante la falta de servicios de telecomunicaciones o una infraestructura informática que permita procesar tarjetas de crédito u otras formas de pago electrónico, el efectivo sigue siendo la manera más efectiva de adquirir recursos —especialmente, los de mayor escasez y demanda—. Como parte de las estrategias de respuesta a emergencias, se deben considerar los mecanismos para disponer de efectivo de manera segura, para poder satisfacer las necesidades de cara a la recuperación y restauración del negocio. Fuente : Protiviti. (2006). Guide to Business Continuity Management: Frequently Asked Questions (2da edición) .

Las buenas prácticas de recuperación ante desastres exigen mantener los backups de uso crítico fuera de la empresa ( off-site backup ). Tradicionalmente, las empresas implementaron esa costumbre grabando los backups en cintas y enviándolas fuera del sitio para almacenarlas. Mejor práctica de respaldo de base de datos, bajo arquitectura Oracle. En comparación con el respaldo de datos fuera del sitio tradicional, los backups en la nube son más accesibles, se restauran más rápidamente en la mayoría de las circunstancias y brindan una mayor confiabilidad, así como también eliminan los sobrecostos relacionados con el mantenimiento de la infraestructura y operaciones del backup fuera del sitio (Pedregal, 2010). Respaldo  off-site en la nube , bajo una arquitectura de Oracle y Amazon Web Services. De acuerdo con Laura DuBois, vicepresidenta del programa de Storage Software de IDC (2011), cada vez más empresas no buscan solamente respaldar su información en la nube, sino qu

Hoy miércoles 15 de agosto a las 9 p. m., se realizará a nivel nacional el simulacro nocturno de sismo y tsunami , organizado por el Instituto Nacional de Defensa Civil ( Indeci ) —encargado de la supervisión, educación, apoyo y prevención de desastres causados por la naturaleza y por el hombre—. La alcaldesa de Lima, Susana Villarán, presidirá el evento, en el que se simulará un terremoto de 8 grados en la escala de Richter, desde la urbanización Martinete, en Barrios Altos. La fecha del simulacro de hoy, fue escogida por cumplirse cinco años del sismo que causó la muerte a 593 personas; heridas a 1,291; la destrucción de 48,208 viviendas —otras 45,500 quedaron inhabitables y 45,813 fueron afectadas—; el colapso de 14 establecimientos de salud —otros 112 quedaron afectados—. Según el diario El Comercio, Alfredo Murgueytio, jefe del Indeci, declaró que, para el 2013, está “previsto realizar por lo menos un ejercicio sin hora. Solamente remarcando si va a ser en la mañana,

A través de su división Business Continuity and Resiliency Services , IBM lanzó, en el 2011, el Business Continuity Index . Se trata de una herramienta en línea de comparación en la industria ( benchmarking ), basada en el concepto de crowdsourcing , conformada por (a) una encuesta abierta —dirigida a los responsables de la gestión de continuidad de negocios en empresas de todo el mundo—; y (b) un informe que consolida los resultados y los muestra de manera anónima, pero clasificada por rubro, tamaño de empresa, etc.   El propósito es medir los niveles de desempeño y madurez de nuestros programas de continuidad de negocios, y compararlos con organizaciones similares a nivel mundial. Hasta el momento, los resultados arrojan un 64% de empresas que logran un nivel de madurez aceptable; no obstante, el 50% de empresas no tienen:   un responsable de la continuidad del negocio/recuperación ante desastres bien definido y a tiempo completo; un presupuesto específico para contin

Aquellos que gestionan proveedores deben evaluar la resiliencia de estos. Los proveedores comprometidos seriamente con la resiliencia estarán dispuestos a evidenciar la gestión de continuidad de negocios como parte de su estrategia de provisión, así como la inversión en la resiliencia de su propia cadena de suministro. No obstante, este proceso es bidireccional, según lo señala Dave Window, consultor de Continuity 22301 Ltd: si uno quiere que ellos sean transparentes acerca de sus programas de continuidad de negocios, entonces uno también debe ser transparente; y si uno espera que ellos se comprometan a elevar su nivel de preparación ante interrupciones, entonces uno debe demostrarles cierto nivel de compromiso, siendo un contratante estable, estableciendo verdaderas alianzas estratégicas. Nick Wildgoose ( www.supplychainriskinsights.com ) recomienda asegurarse de que los proveedores entiendan que el desafío es para ambas partes, y que una adecuada gestión de continuidad de

Este es el video en español de " RUN. HIDE. FIGHT. Surviving an Active Shooter Event ", creado por el municipio de Houston, Texas ; y auspiciado por el Departamento de Seguridad de los Estados Unidos . Además de ser una manera eficaz de transmitir un plan de contingencia, nos recuerda la importancia de revisar periódicamente las amenazas a las que estamos expuestos.

La revista trimestral Continuity , publicada por el británico  Business Continuity Institute , contiene artículos de actualidad y documentos relacionados con la gestión de la continuidad de negocios. A partir del 2012, además de publicar cada edición en formato PDF, pone a disposición de los interesados una versión en línea. Para ver la última edición, correspondiente al segundo trimestre del año, hacer click aquí .

Ayer en la mañana, la compañía Luz del Sur realizó las pruebas de su recientemente instalada manga de evacuación vertical, en su sede principal en el distrito de San Isidro (Lima). Instalada en el piso 16 del edificio Siglo XXI, la manga de fabricación alemana, de 46 metros de longitud, fue desplegada en casi dos minutos, permitiendo el descenso de más de 40 personas a modo de ejercicio de evacuación. Este mecanismo de escape alterno, recomendado para edificaciones donde las vías de evacuación sean insuficientes o puedan quedar obstruidas en caso de un siniestro, fue provisto por Nemetsa , quienes en el Perú representan al fabricante Axel Thoms . En el lugar, se reunieron funcionarios de varias empresas peruanas, interesadas en ver la manga de evacuación en acción. Para mayor información, consultar  aquí .

Georges Cowan (2011) definió una red social como un servicio diseñado para construir comunidades virtuales (en línea) de personas que comparten los mismos intereses y/o actividades, o están interesadas en explorar intereses o actividades de otras personas. Aunque el concepto de medio social  es más amplio —abarca las redes sociales y también los blogs, los microblogs y los servicios de compartición multimedia—, comúnmente se utiliza para referirse a las redes sociales. El especialista explicó que, a diferencia de las redes sociales personales , las redes sociales empresariales (ESN, siglas del término en inglés, Enterprise Social Networks ) están orientadas a los propósitos de las organizaciones y a las necesidades de sus grupos de interés ( stakeholders ). En este sentido, siendo un canal de comunicación más, hoy en día es clave dentro de los planes de gestión de crisis. Algunas recomendaciones para el uso de los medios sociales durante una crisis son: Identificar

La compañía minera Antamina —una de las extractoras y productoras de cobre, zinc y molibdeno más grandes del mundo— cuenta con dos zonas de operaciones en el Perú: la mina en el Callejón de Conchucos (departamento Ancash) a 4,200 m.s.n.m. y el puerto minero Punta Lobitos, localizado en la ciudad de Huarmey, a 290 km al norte de Lima. El mineroducto de acero de 302 km, que conecta la mina con el puerto, se rompió el pasado 25 de julio en el distrito de Cajacay (Ancash), derramando 45 toneladas de concentrado de cobre. La respuesta a la emergencia de Antamina fue inmediata: con ayuda de los pobladores, 42 toneladas se colocaron en un pozo de emergencia, pero las otras tres "se desparramaron en zonas agrícolas, una piscigranja y canales de regadío que no estaban en uso", según declaraciones del presidente de la comunidad campesina del lugar, Hilario Morán. Si bien, luego de una semana y media, las operaciones de limpieza se encontraban a un 98% de ser culminadas

Conversando ayer con un consultor colombiano, me comentaba que la visión de las auditorías del programa de Continuidad del Negocio, hoy en día, estaba enfocada en tres aspectos clave de la gestión: La evaluación de los resultados de las pruebas del Plan de Continuidad del Negocio. La actualización del plan , a partir de dichos resultados. El reporte periódico que se hace a la alta dirección . Esta visión —"de adelante hacia atrás", según el propio consultor— era la prueba de fuego para cualquier programa.

De acuerdo con las mejores prácticas, parte fundamental del programa de Continuidad del Negocio lo constituyen la capacitación y la concientización a todos los empleados de una organización. La diferencia entre una y otra puede parecer obvia; sin embargo, es bueno revisar algunos conceptos. La capacitación ( training ) debe basarse en un análisis de las necesidades de entrenamiento —a partir de los roles y responsabilidades de los empleados que participan en el Plan de Continuidad del Negocio—, con el fin de dotarlos de los conocimientos y habilidades requeridos. Tip : Se debe mantener registros de todas las charlas, cursos y las calificaciones resultantes; así como de las habilidades y experiencias ganadas, por parte del personal de la organización. Por su parte, las actividades de concientización ( awareness ) buscan (a) crear y mantener conciencia acerca de la importancia de una gestión participativa de la Continuidad del Negocio en la organización, y (b) ampliar las acti

La red social de microblogging (mensajes breves) de más de 140 millones de usuarios —y con un tráfico de 400 millones de "tuits" por día— sufrió, la semana pasada, una caída de varias horas, a causa de un "virus en cascada". La empresa, creada en el 2006, ha venido enfrentando, en los últimos años, problemas de estabilidad y de capacidad para hacer frente al creciente volumen de mensajes. Fuente : Gestión. (2012, 27 de julio). Twitter sufre su segundo apagón en cinco semanas .

Ayer Indeci anunció que el miércoles 15 de agosto a las 9 p. m. se realizará un simulacro nocturno de sismo y tsunami a nivel nacional. El que haya sido programado un día de semana, o día útil, es una excelente oportunidad, según lo señala Defensa Civil, para ejercitar nuestros procedimientos de respuesta y de evacuación, tanto en nuestras casas, como en centros de trabajo, instituciones educativas, centros comerciales, templos, mercados, campos feriales, fábricas y estaciones de transporte. Fuente : RPP Noticias. (2012, 31 de julio). Realizarán simulacro nocturno de sismo y tsunami a nivel nacional . Recuperado de http://www.rpp.com.pe/2012-07-31-realizaran-simulacro-nocturno-de-sismo-y-tsunami-8206-a-nivel-nacional-noticia_507285.html