El BCMM de Virtual Corp.

-
El Modelo de Madurez de Continuidad del Negocio (BCMM – Business Continuity Maturity Model) de Virtual Corp. se ha venido desarrollando desde 1997, a partir de la necesidad de poder comparar, de manera objetiva, los programas de continuidad del negocio implementados en las organizaciones. Después de cinco años de desarrollo, Virtual Corp. introdujo la primera versión en octubre de 2003.

Fue trabajado en conjunto con líderes de la disciplina y expertos de la industria, y su propósito es:
  • Proveer una herramienta de diagnóstico para la evaluación objetiva de la efectividad de un programa de continuidad de negocio.
  • Generar datos consistentes, de los cuales se pueden generar análisis comparativos (benchmarking).
  • Poder responder las siguientes preguntas a la alta dirección:
    • ¿Cuál es el nivel de madurez del programa de continuidad del negocio de su organización?
    • ¿En qué nivel de madurez de continuidad del negocio debería estar la organización?
    • ¿Cómo se debería alcanzar, de manera progresiva y eficiente, el nivel adecuado (roadmap)?
El modelo se enfoca principalmente en examinar las competencias corporativas que contribuyen al desarrollo y mantenimiento de un programa de continuidad del negocio completo y sostenible. Como una herramienta de diagnóstico, permite a la organización aplicar el mismo modelo consistentemente para hacer llegar a la organización al nivel de madurez deseado, asegurando que el programa se mantiene vigente de manera apropiada.

El modelo se basa en la evaluación de las siguientes competencias corporativas en la organización:
Liderazgo.
El compromiso y comprensión demostrados por la dirección ejecutiva con respecto a la implementación de un programa integral de continuidad del negocio, apropiadamente escalado a nivel empresarial. Asimismo, el grado en el que la justificación (caso de negocio), para implementar una continuidad del negocio sostenible, ha sido articulada y entendida por la dirección ejecutiva —ejecutivos en jefe y sus subordinados directos—.
Conciencia de empleados.
La amplitud y profundidad de la conciencia en los conceptos de continuidad del negocio integrada en todos los niveles del personal de la organización, incluyendo la consideración de la calidad y sostenibilidad del programa integral de conciencia y capacitación sobre continuidad del negocio.
Estructura del programa de continuidad del negocio.
La escala, nivel de integración y relevancia del programa de continuidad del negocio en la organización. El grado en que el programa cumple con el “caso de negocio” elaborado.

Interiorización (penetrabilidad) del programa.
El nivel de coordinación en continuidad del negocio entre departamentos, funciones y unidades de negocio en toda la organización. El grado en el cual las consideraciones de la continuidad del negocio han sido incorporadas en los procesos, programas e iniciativas apropiadas del negocio.

Métricas.
El desarrollo y seguimiento de mediciones apropiadas del rendimiento del programa de continuidad del negocio. El establecimiento y seguimiento de un punto de referencia de competencia de continuidad del negocio.

Recursos comprometidos.
La disponibilidad y utilización de personal suficiente, debidamente capacitado y apoyado, recursos financieros, y de otro tipo, para asegurar la sustentabilidad del programa integral de continuidad del negocio.

Coordinación externa.
La coordinación de los asuntos y requisitos de continuidad del negocio con la comunidad externa, incluyendo clientes, proveedores, gobierno, sindicatos, bancos, acreedores, compañías de seguros, bomberos, policía y otro personal de primera respuesta, etc., asegurando que los socios críticos de la cadena de suministros han implementado programas de continuidad del negocio por su cuenta.

Contenido del programa de continuidad del negocio.
Las siete competencias corporativas previas se refieren a los aspectos claves de un programa de continuidad del negocio. Esta octava evalúa cómo la organización implementa las cuatro disciplinas centrales de la continuidad del negocio: 
    • Gestión de Incidentes: Se asegura que todos los aspectos de respuesta a la emergencia, gestió de la crisis y cualquier otra actividad involucrada en el comando, control y comunicación durante una crisis y/o desastre, sean abordados de forma adecuada.
    • Gestión de la Seguridad (también conocida como Seguridad Física y Seguridad de la Información): Asegura que la seguridad física (inmuebles), informática y cualquier otra actividad asociada con proteger la integridad de personas, bienes o información, estén apropiadamente enfocadas.
    • Recuperación Tecnológica (DRP – Disaster Recovery Plan): Garantiza que los bienes de los cuales dependen las funciones y servicios incluyendo hardware, software, redes y aplicaciones de sistemas de información se puedan recuperar de manera adecuada dentro de los objetivos de tiempo de recuperación definidos.
    • Recuperación del negocio (BCP – Business Continuity Plan): Asegura la preparación y planificación avanzadas que aseguren la continuidad de las funciones críticas del negocio en caso de una interrupción de cualquier tipo. Esto incluye la identificación de impactos en los ambientes del negocio, la implementación de estrategias de recuperación y mitigación de riesgos viables y el desarrollo de planes de recuperación del negocio.
Dependiendo de los resultados de la evaluación de cada competencia, la organización se clasifica en diferentes niveles dependiendo de su grado de preparación en continuidad del negocio: (1) Auto gobernado; (2) Departamental; (3) Cooperativo; (4) Cumplimiento de estándares; (5) Integrado; y (6) Sinergético.

Nota. Atributos: VL=Very low; L=Low; M=Medium; H=High.

Fuente:
Virtual Corporation, Inc. BCMM - Business Continuity Maturity Model. Recuperado de http://www.virtual-corp.net/html/bcmm.html

Comentarios

Publicar un comentario

Entradas populares de este blog

Mapa de suelos de Lima y Callao #BusinessContinuity #DisasterRecovery

-
Imagen
Extraído del Atlas de Peligros del Perú articulado por el Instituto Nacional de Defensa Civil (Indeci), en el mapa se muestran los resultados del estudio de microzonificación sísmica y tsunami realizado en 2010. Cada color indica una zona la cual corresponde un tipo de calidad de suelo: Peligro bajo (verde) : Está conformada por los afloramientos rocosos, los estratos de grava-aluvial de los pies de las laderas. Este suelo tiene un comportamiento rígido, con periodos de vibración natural. Peligro bajo Peligro relativamente bajo (amarillo) : Se incluyen las áreas de terreno conformado por un estrato superficial de suelo granulado fino y suelos arcillosos. Peligro relativamente bajo. Peligro alto (anaranjado) : Conformada en su mayor parte por los depósitos de suelos finos y arenas de gran espesor que se encuentran en estado suelto. Peligro alto. Peligro muy alto (rojo) : Conformada por los depósitos de arena eólicas de gran espesor y sueltas, depósitos fluviales, depósitos marin
Leer más

¿Qué dice la Ley 29783 (SST) sobre gestión de emergencias? #EmergencyPlanning #BusinessContinuity

-
Imagen
Mediante la ley de Seguridad y Salud en el Trabajo ( Ley N° 29783: 2011 ) y su reglamento respectivo  (D.S. 005.2012-TR), se estableció la obligación para las empresas de contar con un sistema de gestión en seguridad y salud en el trabajo ; el que especifica disposiciones legales específicas con respecto a la respuesta a situaciones de emergencia. En la Ley 29783 de Seguridad y Salud en el Trabajo (SST): Art. 39.- Objetivos de la Planificación del Sistema de Gestión de la Seguridad y Salud en el Trabajo . Con respecto al logro de resultados específicos, realistas y posibles de aplicar por la empresa; comprende (a) la mejora continua de los procesos, la gestión del cambio, la preparación y respuesta a situaciones de emergencia; y (b) la mejora del nivel de participación de los trabajadores y su capacitación.   En el Reglamento de la ley de SST: Art. 33.- Registros obligatorios del Sistema de Gestión de SST : g) […] registro de entrenamiento y simulacros de emergencia (
Leer más

Repasando el MTPD (o período máximo tolerable de interrupción)

-
Imagen
Acorde con la práctica estándar, las organizaciones determinan sus prioridades y requerimientos para el programa de continuidad del negocio, como parte del proceso de análisis de impacto o business impact analysis (BIA). Desde 2006 se introdujo un concepto para ayudar a determinar cómo debían priorizarse las actividades de las empresas ante un evento de interrupción y bajo qué condiciones estas debían ser recuperadas: el período máximo tolerable de interrupción o maximum tolerable period of disruption (MTPD). Image:  https://www.nbcnews.com/news/us-news/ditch-switch-call-go-permanent-daylight-saving-time-grows-n1043051 Según la norma internacional ISO 22301:2019, el MTPD es el período de tiempo dentro del cual, si no se pudieran reanudar las actividades, los impactos llegarían a ser inaceptables para la organización ; amenazando su supervivencia o haciendo que sus objetivos ya no sean alcanzables. Para poder identificar el MTPD para cada actividad, la organización debe decidir primer
Leer más