Glosario de términos de la BCI
En su guía de buenas prácticas, el Business Continuity Institute (BCI, 2010) incluyó este interesante glosario de términos relacionados con la disciplina de Continuidad del Negocio:
Actividad
Proceso o conjunto de procesos realizados por una organización (o en su nombre) que produce o apoya uno o más productos o servicios.
Activo
Cualquier elemento que tiene valor para la organización.
Alta dirección
Persona o grupo de personas que dirigen y controlan una organización al más alto nivel. En grandes organizaciones, se le conoce como la "Junta directiva", "Directores", "Ejecutivos" o "Altos directivos". En organizaciones pequeñas, la alta dirección puede ser los propietarios o un solo propietario.
Amenaza
Causa potencial de un incidente no deseado que puede resultar en daños a individuos, activos, a un sistema u organización, el ambiente o la comunidad. Algunas amenazas, como el mal tiempo, se les conoce como “peligros”.
Análisis de Impacto al Negocio (BIA - Business Impact Analysis)
Proceso de analizar las funciones del negocio y el efecto que una interrupción pudiera causar sobre ellas.
Análisis de requerimientos de continuidad
Proceso de recopilar información en la fuente para reanudar y continuar las actividades del negocio a un nivel requerido para apoyar las obligaciones y objetivos de la organización.
Análisis de Riesgos (Evaluación de Riesgos, RA - Risk assessment)
Proceso formal, pero bastante subjetivo, de identificación, análisis y evaluación de riesgos.
Auditor
Persona con la competencia suficiente para conducir una auditoría. Para una auditoría de la GCN, normalmente se requiere un auditor con calificaciones formales y específicas a la disciplina.
Auditoría
Proceso sistemático, independiente y documentado para obtener evidencia auditable, y evaluarla objetivamente para determinar el grado en que se cumplen los criterios de auditoría. Los primeros equipos de auditoría son gestionados por la misma organización para revisar la gestión y otros propósitos internos, y pueden formar la base para la declaratoria de conformidad de la organización. Los segundos equipos de auditoría son gestionados por entidades que tienen interés en la organización como los clientes u otras personas o entidades en su nombre. Los terceros equipos de auditoría son gestionados por organizaciones auditoras externas, como las que proporcionan certificaciones o conformidades a una norma.
Auditoría Interna
Ver “Auditoría” y en particular “los primeros equipos de auditoría”.
Cadena de Suministro
Proceso articulado que inicia con la adquisición de materias primas y se extiende a través de la entrega del producto o servicio hasta el usuario final a lo largo de diferentes medios de transporte. La cadena de suministro puede incluir proveedores, vendedores, plantas de fábricas, proveedores logísticos, centros internos de distribución, distribuidores, mayoristas y otras entidades que llevan el producto o servicios al usuario final.
Capacitación
Actividades implementadas antes de un incidente que pueden utilizarse para apoyar y mejorar la mitigación de la respuesta y la recuperación de una interrupción. Se le conoce también como “Preparación”.
Ciclo de vida de la Gestión de la Continuidad del Negocio
Conjunto de actividades de la Continuidad del Negocio que colectivamente cubren todos los aspectos y fases del programa de GCN.
Consecuencia
Ver “Impacto”.
Continuidad del Negocio
Capacidad táctica y estratégica de una organización para planificar y responder a incidentes o interrupciones del negocio, a fin de continuar las operaciones a un nivel aceptable predefinido.
Cumplimiento
En el contexto de los sistemas de gestión, es el cumplimiento de un requisito normativo.
Dirección para la Continuidad del Negocio
Conocido también como el Comité Directivo, es un grupo de gestores que dan aviso, guía y dirección al programa de GCN.
Documento
Información y su medio de soporte —bien sea físico, magnético, electrónico u óptico, disco de computador o imagen—.
Ejercicio
Proceso para ensayar los roles de los integrantes de los equipos y del grupo de trabajo, y probar la recuperación o continuidad de los sistemas de una organización (por ejemplo, tecnología, comunicaciones, gestión de crisis) para validar competencia y capacidad para la continuidad del negocio.
Equipos de Continuidad del Negocio
Son los equipos estratégicos, tácticos y operativos que responderán a un incidente y contribuirán de manera significativa a redactar y probar el Plan de Continuidad del Negocio (PCN).
Facilidad
Planta, maquinaria, equipo, propiedad, edificaciones, vehículos, sistemas de información, medios de transporte y otros ítems o infraestructura o planta y sus sistemas relacionados, que tienen una función o servicio distinto y cuantificable.
Gestión de riesgos
Generalmente incluye el Análisis, tratamiento y la evaluación de riesgos.
Impacto
Evento que tiene la capacidad de provocar la pérdida de o la interrupción de las operaciones, servicios o funciones de la organización, el cual, si no se administra, puede escalar y convertirse en una emergencia, crisis o desastre.
Integridad
Garantizar y salvaguardar la exactitud e integridad de los activos, en particular los registros de datos.
Interrupción
Evento que interrumpe las operaciones o procesos normales del negocio bien sea de manera anticipada (huracanes, inestabilidad política) o imprevista (bloqueos, ataques terroristas, fallas tecnológicas, o terremotos).
Invocación
Declaración de que una organización necesita activar su Plan de GCN para continuar entregando sus productos y servicios claves.
Máxima Pérdida Tolerable de Datos (MPTD)
Pérdida máxima de información (electrónica y otros datos) que puede tolerar una organización. La edad de la información podría hacer imposible la operación de recuperación o el valor de los datos sería sustancialmente alto como para poner en riesgo la viabilidad del negocio.
Máximo Período Tolerable de Interrupción (MPTI)
Es la duración después de la cual la viabilidad de la organización estará afectada de manera irreparable si la entrega del producto o servicio no puede ser reanudada.
Mejoramiento continuo
Proceso de mejoramiento del sistema de la Gestión de la Continuidad del Negocio para lograr mejoramientos consistentes con la política de la Gestión de la Continuidad del Negocio de la organización.
Mitigación
Limitación gestionada de una consecuencia negativa o de un incidente particular.
No Cumplimiento
Incumplimiento al requerimiento de una obligación o expectativa acordada.
Objetivo
Meta general consistente con la política que una organización establece para sí misma.
Organización
Grupo de personas y facilidades con arreglos y responsabilidades, autoridad y relaciones (por ejemplo compañía, corporación, firma, empresa, institución, institución de caridad o asociación). Una organización puede ser pública, privada o sin ánimo de lucro.
Partes interesadas (grupos de interés, stakeholders)
Individuo o grupo de individuos con intereses en el desempeño o éxito de una organización Por ejemplo clientes, socios de negocio, empleados, accionistas, propietarios, la comunidad local, personal de primera respuesta, gobierno y entes reguladores.
Peligro
Ver “Amenaza”.
Pérdida
Consecuencia negativa.
Plan de Continuidad del Negocio (PCN)
Conjunto de documentos de procedimiento e información desarrollada, compilada y mantenida a disposición para utilizarlo durante un incidente para capacitar a la organización para continuar con la entrega de sus productos y servicios críticos a un nivel aceptable predefinido.
Planificar, Hacer, Verificar, Actuar (PDCA - Plan, Do, Check, Act)
El modelo ISO utilizado como estructura en todos los sistemas estándar de gestión, incluyendo el SGCN.
Política
Intenciones y directrices de una organización expresadas por la Alta Dirección. La política de la GCN debe ser consistente con la totalidad de las políticas de la organización y proveer la base para los objetivos de la Continuidad del Negocio.
Preparación
Ver “Capacitación”.
Prevención
Medidas contra amenazas específicas que habilitan a la organización evitar una interrupción.
Procedimiento
Forma específica de ejecutar una actividad. Todos los procedimientos deben estar documentados.
Proceso
Conjunto de actividades interrelacionadas que transforman entradas en salidas.
Producto o Servicio
Salida de un proceso. Si al producto se le denomina servicio, depende de la existencia de un elemento físico a la salida. El servicio es el resultado de al menos una actividad necesariamente realizada en la interface entre el proveedor y el cliente y, generalmente, intangible.
Punto Objetivo de Recuperación (RPO - Recovery Point Objective)
Objetivo para el estado y disponibilidad de datos (electrónicos e impresos) en el inicio del proceso de recuperación.
Recursos
Activos, personas, habilidades, información, tecnología (incluye planta y equipo), locales, suministros e información (electrónica o no) que una organización posee para tener la disponibilidad de utilizar cuando sea necesario, para operar y alcanzar sus objetivos.
Registro
Documento que indica los resultados obtenidos o la evidencia de las actividades desarrolladas.
Resiliencia
Habilidad de una organización para resistir al ser afectada por un incidente.
Riesgo
Combinación de probabilidad de un evento y su consecuencia. La GCN se concentra en “Amenazas” e “Impactos” antes que en “Riesgos”.
Sistema de Gestión
Sistema para establecer la política y los objetivos y para alcanzar esos objetivos (por ejemplo ISO 9001:2008).
Sistema de la Gestión de la Continuidad del Negocio (SGCN, BCMS - Business Continuity Management System)
Parte o la totalidad del sistema que implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio.
Tiempo Objetivo de Recuperación (RTO - Recovery Time Objective)
Objetivo de tiempo dentro del cual se reanuda la entrega de un producto o servicio luego de una interrupción.
Tratamiento de riesgos
Selección e implementación de medidas para mitigar los riesgos.
Fuente:
The Business Continuity Institute [BCI]. (2010). Guía de buenas prácticas 2020: Una guía de gestión para la implementación de Buenas Prácticas en la Gestión de Continuidad del Negocio. Reino Unido: Autor.
Aceptación del riesgo
Decisión administrativa para no tomar ninguna acción de mitigación del impacto de un riesgo en particular.
Proceso o conjunto de procesos realizados por una organización (o en su nombre) que produce o apoya uno o más productos o servicios.
Actividad urgente
Término utilizado para cubrir actividades de apoyo de productos y servicios que necesitan hacerse en una escala de tiempo muy corta. Otros términos como "inmediato" o "tiempo crítico" también pueden utilizarse, pero sólo “crítico” implica actividades menos urgentes que también son menos importantes.
Término utilizado para cubrir actividades de apoyo de productos y servicios que necesitan hacerse en una escala de tiempo muy corta. Otros términos como "inmediato" o "tiempo crítico" también pueden utilizarse, pero sólo “crítico” implica actividades menos urgentes que también son menos importantes.
Activo
Cualquier elemento que tiene valor para la organización.
Gestión de la Continuidad del Negocio (GCN)
Proceso holístico de gestión que identifica amenazas potenciales a la organización y los impactos a las operaciones del negocio que tales amenazas puedan causar en caso de materializarse, y proporciona la estructura para construir resiliencia organizacional, con capacidad para dar respuesta efectiva protegiendo los intereses de las partes interesadas (stakeholders), el valor de la marca, la reputación y las actividades creadoras de valor.
Proceso holístico de gestión que identifica amenazas potenciales a la organización y los impactos a las operaciones del negocio que tales amenazas puedan causar en caso de materializarse, y proporciona la estructura para construir resiliencia organizacional, con capacidad para dar respuesta efectiva protegiendo los intereses de las partes interesadas (stakeholders), el valor de la marca, la reputación y las actividades creadoras de valor.
Alta dirección
Persona o grupo de personas que dirigen y controlan una organización al más alto nivel. En grandes organizaciones, se le conoce como la "Junta directiva", "Directores", "Ejecutivos" o "Altos directivos". En organizaciones pequeñas, la alta dirección puede ser los propietarios o un solo propietario.
Amenaza
Causa potencial de un incidente no deseado que puede resultar en daños a individuos, activos, a un sistema u organización, el ambiente o la comunidad. Algunas amenazas, como el mal tiempo, se les conoce como “peligros”.
Análisis de Impacto al Negocio (BIA - Business Impact Analysis)
Proceso de analizar las funciones del negocio y el efecto que una interrupción pudiera causar sobre ellas.
Análisis de requerimientos de continuidad
Proceso de recopilar información en la fuente para reanudar y continuar las actividades del negocio a un nivel requerido para apoyar las obligaciones y objetivos de la organización.
Análisis de Riesgos (Evaluación de Riesgos, RA - Risk assessment)
Proceso formal, pero bastante subjetivo, de identificación, análisis y evaluación de riesgos.
Auditor
Persona con la competencia suficiente para conducir una auditoría. Para una auditoría de la GCN, normalmente se requiere un auditor con calificaciones formales y específicas a la disciplina.
Auditoría
Proceso sistemático, independiente y documentado para obtener evidencia auditable, y evaluarla objetivamente para determinar el grado en que se cumplen los criterios de auditoría. Los primeros equipos de auditoría son gestionados por la misma organización para revisar la gestión y otros propósitos internos, y pueden formar la base para la declaratoria de conformidad de la organización. Los segundos equipos de auditoría son gestionados por entidades que tienen interés en la organización como los clientes u otras personas o entidades en su nombre. Los terceros equipos de auditoría son gestionados por organizaciones auditoras externas, como las que proporcionan certificaciones o conformidades a una norma.
Auditoría Interna
Ver “Auditoría” y en particular “los primeros equipos de auditoría”.
Cadena de Suministro
Proceso articulado que inicia con la adquisición de materias primas y se extiende a través de la entrega del producto o servicio hasta el usuario final a lo largo de diferentes medios de transporte. La cadena de suministro puede incluir proveedores, vendedores, plantas de fábricas, proveedores logísticos, centros internos de distribución, distribuidores, mayoristas y otras entidades que llevan el producto o servicios al usuario final.
Capacitación
Actividades implementadas antes de un incidente que pueden utilizarse para apoyar y mejorar la mitigación de la respuesta y la recuperación de una interrupción. Se le conoce también como “Preparación”.
Ciclo de vida de la Gestión de la Continuidad del Negocio
Conjunto de actividades de la Continuidad del Negocio que colectivamente cubren todos los aspectos y fases del programa de GCN.
Consecuencia
Ver “Impacto”.
Continuidad del Negocio
Capacidad táctica y estratégica de una organización para planificar y responder a incidentes o interrupciones del negocio, a fin de continuar las operaciones a un nivel aceptable predefinido.
Cumplimiento
En el contexto de los sistemas de gestión, es el cumplimiento de un requisito normativo.
Dirección para la Continuidad del Negocio
Conocido también como el Comité Directivo, es un grupo de gestores que dan aviso, guía y dirección al programa de GCN.
Documento
Información y su medio de soporte —bien sea físico, magnético, electrónico u óptico, disco de computador o imagen—.
Ejercicio
Proceso para ensayar los roles de los integrantes de los equipos y del grupo de trabajo, y probar la recuperación o continuidad de los sistemas de una organización (por ejemplo, tecnología, comunicaciones, gestión de crisis) para validar competencia y capacidad para la continuidad del negocio.
Equipos de Continuidad del Negocio
Son los equipos estratégicos, tácticos y operativos que responderán a un incidente y contribuirán de manera significativa a redactar y probar el Plan de Continuidad del Negocio (PCN).
Facilidad
Planta, maquinaria, equipo, propiedad, edificaciones, vehículos, sistemas de información, medios de transporte y otros ítems o infraestructura o planta y sus sistemas relacionados, que tienen una función o servicio distinto y cuantificable.
Gestión de riesgos
Generalmente incluye el Análisis, tratamiento y la evaluación de riesgos.
Impacto
Evento que tiene la capacidad de provocar la pérdida de o la interrupción de las operaciones, servicios o funciones de la organización, el cual, si no se administra, puede escalar y convertirse en una emergencia, crisis o desastre.
Integridad
Garantizar y salvaguardar la exactitud e integridad de los activos, en particular los registros de datos.
Interrupción
Evento que interrumpe las operaciones o procesos normales del negocio bien sea de manera anticipada (huracanes, inestabilidad política) o imprevista (bloqueos, ataques terroristas, fallas tecnológicas, o terremotos).
Invocación
Declaración de que una organización necesita activar su Plan de GCN para continuar entregando sus productos y servicios claves.
Máxima Pérdida Tolerable de Datos (MPTD)
Pérdida máxima de información (electrónica y otros datos) que puede tolerar una organización. La edad de la información podría hacer imposible la operación de recuperación o el valor de los datos sería sustancialmente alto como para poner en riesgo la viabilidad del negocio.
Máximo Período Tolerable de Interrupción (MPTI)
Es la duración después de la cual la viabilidad de la organización estará afectada de manera irreparable si la entrega del producto o servicio no puede ser reanudada.
Mejoramiento continuo
Proceso de mejoramiento del sistema de la Gestión de la Continuidad del Negocio para lograr mejoramientos consistentes con la política de la Gestión de la Continuidad del Negocio de la organización.
Mitigación
Limitación gestionada de una consecuencia negativa o de un incidente particular.
No Cumplimiento
Incumplimiento al requerimiento de una obligación o expectativa acordada.
Objetivo
Meta general consistente con la política que una organización establece para sí misma.
Organización
Grupo de personas y facilidades con arreglos y responsabilidades, autoridad y relaciones (por ejemplo compañía, corporación, firma, empresa, institución, institución de caridad o asociación). Una organización puede ser pública, privada o sin ánimo de lucro.
Partes interesadas (grupos de interés, stakeholders)
Individuo o grupo de individuos con intereses en el desempeño o éxito de una organización Por ejemplo clientes, socios de negocio, empleados, accionistas, propietarios, la comunidad local, personal de primera respuesta, gobierno y entes reguladores.
Peligro
Ver “Amenaza”.
Pérdida
Consecuencia negativa.
Plan de Continuidad del Negocio (PCN)
Conjunto de documentos de procedimiento e información desarrollada, compilada y mantenida a disposición para utilizarlo durante un incidente para capacitar a la organización para continuar con la entrega de sus productos y servicios críticos a un nivel aceptable predefinido.
Planificar, Hacer, Verificar, Actuar (PDCA - Plan, Do, Check, Act)
El modelo ISO utilizado como estructura en todos los sistemas estándar de gestión, incluyendo el SGCN.
Política
Intenciones y directrices de una organización expresadas por la Alta Dirección. La política de la GCN debe ser consistente con la totalidad de las políticas de la organización y proveer la base para los objetivos de la Continuidad del Negocio.
Preparación
Ver “Capacitación”.
Prevención
Medidas contra amenazas específicas que habilitan a la organización evitar una interrupción.
Procedimiento
Forma específica de ejecutar una actividad. Todos los procedimientos deben estar documentados.
Proceso
Conjunto de actividades interrelacionadas que transforman entradas en salidas.
Producto o Servicio
Salida de un proceso. Si al producto se le denomina servicio, depende de la existencia de un elemento físico a la salida. El servicio es el resultado de al menos una actividad necesariamente realizada en la interface entre el proveedor y el cliente y, generalmente, intangible.
Punto Objetivo de Recuperación (RPO - Recovery Point Objective)
Objetivo para el estado y disponibilidad de datos (electrónicos e impresos) en el inicio del proceso de recuperación.
Recursos
Activos, personas, habilidades, información, tecnología (incluye planta y equipo), locales, suministros e información (electrónica o no) que una organización posee para tener la disponibilidad de utilizar cuando sea necesario, para operar y alcanzar sus objetivos.
Registro
Documento que indica los resultados obtenidos o la evidencia de las actividades desarrolladas.
Resiliencia
Habilidad de una organización para resistir al ser afectada por un incidente.
Riesgo
Combinación de probabilidad de un evento y su consecuencia. La GCN se concentra en “Amenazas” e “Impactos” antes que en “Riesgos”.
Sistema de Gestión
Sistema para establecer la política y los objetivos y para alcanzar esos objetivos (por ejemplo ISO 9001:2008).
Sistema de la Gestión de la Continuidad del Negocio (SGCN, BCMS - Business Continuity Management System)
Parte o la totalidad del sistema que implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio.
Tiempo Objetivo de Recuperación (RTO - Recovery Time Objective)
Objetivo de tiempo dentro del cual se reanuda la entrega de un producto o servicio luego de una interrupción.
Tratamiento de riesgos
Selección e implementación de medidas para mitigar los riesgos.
Fuente:
The Business Continuity Institute [BCI]. (2010). Guía de buenas prácticas 2020: Una guía de gestión para la implementación de Buenas Prácticas en la Gestión de Continuidad del Negocio. Reino Unido: Autor.
Comentarios
Publicar un comentario