Documentación de la Gestión de la Continuidad del Negocio #BusinessContinuity

-
En términos generales, la documentación propia de la Gestión de la Continuidad del Negocio (GCN) debe proporcionar apoyo operativo en las etapas de preparación, respuesta y recuperación; para lo cual debe ser consistente, fácil de entender, y apropiada al tipo y tamaño de la organización. De acuerdo con el Business Continuity Institute [BCI], la documentación de la GCN tiene tres propósitos:
  1. Gestionar efectivamente el programa de GCN.
  2. Demostrar y evidenciar una gestión efectiva del programa (por ejemplo durante una revisión de auditoría).
  3. Permitir una respuesta oportuna y efectiva ante un incidente de interrupción.
Los responsables del mantenimiento de los diferentes planes deben estar capacitados para actualizar su documentación, ya que así se promueve su propiedad, refuerza el enfoque descentralizado de la GCN y reduce los gastos indirectos de la gestión del programa.

 Herramientas y técnicas

Las herramientas para la documentación de la GCN incluyen procesadores de documentos, hojas de cálculo, herramientas para diagramas de flujo, bases de datos y software para gestión de proyectos, o incluso un software propietario especializado. Este último también puede utilizarse para asegurar que las copias vigentes de la documentación están disponibles en varios sitios de la organización. Si bien un software especializado puede ofrecer algunas ventajas para el mantenimiento de la documentación, implica un costo adicional para el programa.

Se debe establecer un sistema de control documental para gestionar:
  • Usabilidad y accesibilidad.
  • Aprobación.
  • Actualización y revisión.
  • Control de versiones.
  • Control de distribución.
  • Archivado y destrucción de documentos obsoletos.
El ciclo de revisión de cada documento debe identificarse en las secciones, del mismo documento, relacionadas con la creación y el uso.

 ¿Qué debe incluir la documentación de la GCN?
  • Política de la GCN.
  • Roles, responsabilidades y recursos de la GCN.
  • Definiciones y reportes de los proyectos de GCN.
  • Registros de capacitación y competencias del personal que participa en la GCN.
  • Resultados del Análisis de Impacto en el Negocio (BIA).
  • Análisis de amenazas (evaluación de riesgos).
  • Estrategias de la GCN, incluyendo documentos que soportan la selección de las estrategias adoptadas.
  • Consolidación del nivel de recursos requeridos.
  • Estructura de la respuesta al incidente.
  • Planes para la Gestión del Incidente.
  • Planes para la Continuidad el Negocio.
  • Programa de ejercicios / Plan de pruebas.
  • Programa de concientización y capacitación.
  • Acuerdos de Niveles de Servicio (ANS) con clientes y proveedores, ante escenarios de interrupción severa.
  • Contratos para servicios de recuperación con terceros, como espacios de trabajo y resguardo.
  • Programa de mantenimiento y revisión (auditoría), reportes y acciones correctivas.
Aunque la documentación de la GCN es importante en general, tiene especial significancia para las organizaciones que desean certificarse en los estándares emitidos por entidades nacionales o internacionales. Las organizaciones que deseen certificarse en los sistemas de gestión ISO, deberán revisar cómo su documentación se ajusta a estos.
Fuente:
The Business Continuity Institute [BCI]. (2010). Guía de buenas prácticas 2010. Edición Global: Una guía de gestión para la Implementación de Buenas Prácticas en la Gestión de la Continuidad del Negocio.

Comentarios

Publicar un comentario

Entradas populares de este blog

Mapa de suelos de Lima y Callao #BusinessContinuity #DisasterRecovery

-
Imagen
Extraído del Atlas de Peligros del Perú articulado por el Instituto Nacional de Defensa Civil (Indeci), en el mapa se muestran los resultados del estudio de microzonificación sísmica y tsunami realizado en 2010. Cada color indica una zona la cual corresponde un tipo de calidad de suelo: Peligro bajo (verde) : Está conformada por los afloramientos rocosos, los estratos de grava-aluvial de los pies de las laderas. Este suelo tiene un comportamiento rígido, con periodos de vibración natural. Peligro bajo Peligro relativamente bajo (amarillo) : Se incluyen las áreas de terreno conformado por un estrato superficial de suelo granulado fino y suelos arcillosos. Peligro relativamente bajo. Peligro alto (anaranjado) : Conformada en su mayor parte por los depósitos de suelos finos y arenas de gran espesor que se encuentran en estado suelto. Peligro alto. Peligro muy alto (rojo) : Conformada por los depósitos de arena eólicas de gran espesor y sueltas, depósitos fluviales, depósitos marin
Leer más

¿Qué dice la Ley 29783 (SST) sobre gestión de emergencias? #EmergencyPlanning #BusinessContinuity

-
Imagen
Mediante la ley de Seguridad y Salud en el Trabajo ( Ley N° 29783: 2011 ) y su reglamento respectivo  (D.S. 005.2012-TR), se estableció la obligación para las empresas de contar con un sistema de gestión en seguridad y salud en el trabajo ; el que especifica disposiciones legales específicas con respecto a la respuesta a situaciones de emergencia. En la Ley 29783 de Seguridad y Salud en el Trabajo (SST): Art. 39.- Objetivos de la Planificación del Sistema de Gestión de la Seguridad y Salud en el Trabajo . Con respecto al logro de resultados específicos, realistas y posibles de aplicar por la empresa; comprende (a) la mejora continua de los procesos, la gestión del cambio, la preparación y respuesta a situaciones de emergencia; y (b) la mejora del nivel de participación de los trabajadores y su capacitación.   En el Reglamento de la ley de SST: Art. 33.- Registros obligatorios del Sistema de Gestión de SST : g) […] registro de entrenamiento y simulacros de emergencia (
Leer más

Repasando el MTPD (o período máximo tolerable de interrupción)

-
Imagen
Acorde con la práctica estándar, las organizaciones determinan sus prioridades y requerimientos para el programa de continuidad del negocio, como parte del proceso de análisis de impacto o business impact analysis (BIA). Desde 2006 se introdujo un concepto para ayudar a determinar cómo debían priorizarse las actividades de las empresas ante un evento de interrupción y bajo qué condiciones estas debían ser recuperadas: el período máximo tolerable de interrupción o maximum tolerable period of disruption (MTPD). Image:  https://www.nbcnews.com/news/us-news/ditch-switch-call-go-permanent-daylight-saving-time-grows-n1043051 Según la norma internacional ISO 22301:2019, el MTPD es el período de tiempo dentro del cual, si no se pudieran reanudar las actividades, los impactos llegarían a ser inaceptables para la organización ; amenazando su supervivencia o haciendo que sus objetivos ya no sean alcanzables. Para poder identificar el MTPD para cada actividad, la organización debe decidir primer
Leer más