Apuntes sobre continuidad del negocio

Encontré este video editado por un grupo de universitarios norteamericanos, como propuesta para sensibilizar y concientizar respecto de la continuidad del negocio. ¡Muy divertido!

En su presentación para Latin America CACS, Álvaro Rodríguez de Roa Gómez (SGS) definió a los modelos de madurez como herramientas para realizar diagnósticos (análisis de brechas o gap analysis ) del estado actual en el que se encuentra una organización, contra un estándar o buena práctica, en materia de Continuidad del Negocio. Permiten cuantificar el nivel de cumplimiento y de madurez de la organización, respecto de la norma o práctica de referencia, y proponer los pasos a seguir con el objeto de aumentar dicho nivel de cumplimiento, chequear el grado de madurez de los mismos, los controles existentes e identificar la existencia de riesgos que puedan afectar la interrupción de la actividad del negocio y minimizar sus impactos en caso de la materialización de un evento de interrupción. Existen diversos modelos de madurez — BCMM (Virtual Corporation), CM 2 (ContinuitySA),  CERT-RMM (Carnegie Mellon University), Business Continuity Index (IBM),  Organizational Resilience Maturit

A todos nos gustan las infografías, ¿cierto? Pues aquí comparto la publicada en el sitio web ISO 27001 & ISO 22301 , que explica de manera muy ilustrativa las semejanzas y diferencias entre la norma ISO 22301 y su predecesora, la BS 25999-2. Fuente : Kosutic, D. (2012). ISO 22301 vs. BS 25999-2 – Infografía . ISO 27001 & ISO 22301. Recuperado de http://blog.iso27001standard.com/es/2012/05/22/iso-22301-vs-bs-25999-2-infografia/

En abril del 2009, la Superintendencia de Banca, Seguros y AFP (SBS), publicó los circulares G-139-2009 y G-140-2009 , referidos a la Gestión de Continuidad del Negocio y Gestión de Seguridad de la Información, respectivamente. El circular G-139-2009 es de cumplimiento obligatorio para las empresas del sector financiero peruano, incluidos los bancos, cajas municipales de ahorro y crédito, financieras, compañías de seguros y administradoras de fondos de pensiones (AFP); y tiene como propósito definir los criterios mínimos para elevar el nivel de preparación de las organizaciones para poder hacer frente a eventos externos que puedan interrumpir sus actividades críticas, así como contar con la capacidad para recuperar dichas actividades en el menor tiempo posible. Basado en la norma BS 25999, el circular establece cinco fases, como parte del sistema de gestión de continuidad del negocio:  Fuente : Morales, A. (2011, abril). Circulares G-139-2009 y G-140-2009 de la Superinten

Dejan Kosutic (2012) respondió a la pregunta "¿Cómo encaja la continuidad del negocio en la gestión corporativa?", indicando que la continuidad del negocio es parte de la gestión integral de riesgos en una compañía y que tiene áreas superpuestas con la gestión de seguridad y tecnologías de la información. El diagrama habla por sí solo. Fuente : Kosutic, D. (2012). Conceptos básicos sobre ISO 22301 . Recuperado de http://www.iso27001standard.com/index.php?option=com_content&view=article&id=421:sto-je-iso-22301&catid=9

En su guía de buenas prácticas, el Business Continuity Institute (BCI, 2010) incluyó este interesante glosario de términos relacionados con la disciplina de Continuidad del Negocio: Aceptación del riesgo Decisión administrativa para no tomar ninguna acción de mitigación del impacto de un riesgo en particular. Actividad Proceso o conjunto de procesos realizados por una organización (o en su nombre) que produce o apoya uno o más productos o servicios. Actividad urgente Término utilizado para cubrir actividades de apoyo de productos y servicios que necesitan hacerse en una escala de tiempo muy corta. Otros términos como "inmediato" o "tiempo crítico" también pueden utilizarse, pero sólo “crítico” implica actividades menos urgentes que también son menos importantes. Activo Cualquier elemento que tiene valor para la organización. Gestión de la Continuidad del Negocio (GCN) Proceso holístico de gestión que identifica amenazas potenciales a la organ

Francisco Guzmán Cárdenas Técnico Ingeniero Mécanico A partir del artículo publicado hace unos días en el diario Gestión , acerca del riesgo latente de cortes de suministro eléctrico en el Perú, entrevistamos al especialista en Mantenimiento Industrial, Francisco Guzmán Cárdenas: ¿Qué opina sobre la advertencia del presidente del Comité de Operación Económica del Sistema Interconectado Nacional (COES)? FGC: La suspensión del gaseoducto para las centrales termoeléctricas de Chincha, las cuales aportarían una cantidad importante de energía para el sistema interconectado nacional, no afectará el abastecimiento energético en la ciudad de Lima; sin embargo, limitará la reserva de energía. Tenemos una ciudad que crece verticalmente, donde el desarrollo de infraestructura para la generación eléctrica no ha crecido en paralelo a las necesidades de la nación. Debemos confiar en el correcto mantenimiento de las centrales hidroeléctricas, esperar que la naturaleza sea amigable con n

Jorge García Carnicero   compartió en el ISO 22301 Spanish Group , hace unos días, un interesante artículo acerca del apetito de riesgo ( risk appetite ) en el contexto de la continuidad del negocio, bajo el nuevo marco normativo de la ISO 22301. Desde la perspectiva del riesgo operacional , según mi colega Renzo Vásquez, el apetito es la cantidad de riesgo tratado que la organización está dispuesta y preparada a asumir o retener. Dicho apetito va a responder a varias métricas —las que sean importantes para la alta dirección—; no siendo todas, necesariamente, cuantitativas, sino que también pueden considerarse las de medición cualitativa. Por otro lado, estos niveles de aceptabilidad de riesgo deben ser revisados periódicamente. Zawada y Rupert (2012) opinaban que la integración de este concepto en el sistema de gestión de la continuidad del negocio era necesaria por dos razones: La organización debe establecer su apetito para todos los tipos de riesgos a los que está e

En marzo de 2010, en la  WhyFLOSS Conference Madrid 2010 , José Manuel Ballester —Cátedra de Buen Gobierno de la Universidad Deusto (España)— realizó una ponencia acerca de la continuidad del negocio, como elemento clave en la gestión de empresas. El especialista señaló que la diferencia entre el éxito y el fracaso para una organización podría estar en su capacidad para mantener las operaciones críticas, durante y después de un acontecimiento desastroso, tanto como la velocidad de respuesta en que se puede reestablecer su funcionalidad completa. En este sentido, Ballester recomendaba el uso de software libre, debido al bajo costo de que representaban para la implementación y mantenimiento de las infraestructuras tecnológicas alternas. Continuidad de negocio usando Software libre from EOI on Vimeo . Fuente : Ballester, J. M. (2010, marzo).  Continuidad de negocio usando Software libre . Cátedra de Buen Gobierno.  Universidad Deusto, España. Recuperado de  http://vimeo.com

Nick Balletta iba en el tren PATH que se dirigía a la ciudad de Nueva York, cuando el primer avión se estrelló contra las torres del World Trade Center, el 11 de septiembre del 2001. "Todo el mundo se quedó paralizado", dice Balleta, Gerente General (CEO) de TalkPoint , una empresa de tecnología de comunicaciones localizada a tres cuadras de la Zona cero . "Ni siquiera sabía dónde se encontraban mis trabajadores". TalkPoint tomó esa experiencia verdaderamente en serio. La compañía ahora prueba su red de contactos telefónicos de los empleados dos veces al año; sus centros de cómputo fueron trasladados hacia afueras de áreas metropolitanas para mayor seguridad; y una vez al año, todos los empleados trabajan desde locaciones remotas para simular una situación de emergencia. Balleta agrega que nadie en la empresa se opone a la preparación "extra": "Muchas de las personas que trabajaban aquí el 11 de septiembre todavía siguen aquí. Ha quedado mar

El Reino Unido es uno de los referentes más importantes respecto a programas de continuidad del negocio. Desde 2001, el Chartered Management Institute - CMI   viene realizando encuestas anuales a organizaciones británicas, cuyos resultados nos brindan una visión comparativa útil, con la que podemos hacer benchmark  y encaminar mejor nuestros programas. En su último reporte , publicado en marzo, una de las estadísticas más interesantes fue el ranking histórico de interrupciones 2007-2012. En él se observa que los eventos climáticos/ambientales, la pérdida de la infraestructura de TIC (Tecnología de la Información y Comunicaciones) y la pérdida de personal clave siguen encabezando la lista de amenazas que afectan la continuidad de las operaciones en las empresas en dicho país. Fuente : Woodman, P. & Pearson, G. (2012, marzo). Planning for the worst: The 2012 Business Continuity Management Survey . Recuperado de http://www.bcifiles.com/BCMReport2012.pdf

Después del primer atentado terrorista contra el World Trade Center , en 1993, la empresa de servicios financieros Morgan Stanley  llegó a la conclusión de que su plan de preparación ante desastres no era tan bueno: aunque ningún empleado falleció, se necesitaron 4 horas para evacuar a todos —algunos tuvieron que bajar a pie 60 pisos de escaleras o más hasta llegar a un lugar seguro—. A raíz de este evento, Morgan Stanley rediseñó un plan multidimensional ante desastres, revisando con más detalle sus operaciones y evaluando los riesgos potenciales; pero principalmente, realizó prácticas frecuentes de dicho plan para preservar la seguridad de sus empleados en caso de otro desastre. El 11 de septiembre del 2001 , luego del atentado al edificio Uno del World Trade Center, personal de seguridad de Morgan Stanley ordenó la evacuación de los 3,800 empleados de los edificios Dos y Cinco; tardando solamente 45 minutos para llegar a un lugar seguro. Lamentablemente, 13 empleados fallecieron

En el mes de agosto, 43 muertos y más de 1200 enfermos fue el resultado de un brote del virus del Nilo Occidental ( West Nile Virus - WNV ) en 47 de los Estados Unidos de América. El brote fue finalmente contenido, esparciendo pesticidas por aire para erradicar a los mosquitos agentes del contagio —a pesar de la preocupación de la población—. Technical Response Planning Corporation publicó un artículo, a raíz de este evento, en el que resalta que las medidas preventivas pueden (a) limitar las implicaciones de un brote, y (b) minimizar situaciones potenciales de pandemia . De acuerdo con su recomendación, las empresas deben documentar y formalizar medidas preventivas para contener brotes virales, a través de planes de respuesta ante amenazas de pandemia  (Pandemic Response Plans - PRP) .  Los PRP son anexos específicos a los planes de respuesta a emergencias que buscan establecer y preservar la continuidad del negocio ante el evento de un brote pandémico, a nivel de la poblac

Muchas de las interrupciones de la infraestructura tecnológica (TI) se originan por incidentes simples, tales como cortes del suministro eléctrico o actualizaciones de software. Sin embargo, muchos ambientes de TI, hoy en día, requieren alta disponibilidad y necesitan arquitecturas resilientes capaces de minimizar los tiempos de interrupción. En este video, IBM explica su estrategia para proveer esta disponibilidad continua, a través de la tecnología de virtualización. La recuperación ante desastres basada en la nube asegura el tiempo de recuperación de una estrategia de dedicada,  al costo de una estrategia de recuperación compartida .