Entrevista a Yves Davila #BusinessContinuity #DisasterRecovery

-
Con este post, damos inicio a un espacio de conversación con los profesionales y expertos más reconocidos —gurús, como los llamo yo— en la disciplina del business continuity. Para mí es un honor presentar a Yves Davila, Managing Director de Protiviti Member Firm Perú.
Nombre: Yves Davila
Edad: 39 años
Lugar de nacimiento: Huancayo, Perú
Profesión: Ing. de Sistemas
Hobbies: Lectura, Futbol, Internet
¿Cómo llegaste al mundo de la Continuidad del Negocio?

En 1998, en mis inicios como consultor, ingresé a trabajar en el área de Consultoría de Riesgos y soporte a la Auditoría de TI.  A partir de la Auditoría de TI, comencé a entender la importancia de la necesidad de contar con los planes de contingencia. Años después, ya de la mano con Protiviti, por el 2003, establecimos una alianza estratégica con una casa proveedora de software en Continuidad del Negocio, para promover la herramienta a nivel Perú; y luego, a partir del 2004 a nivel regional, encargándome entonces de la Dirección de Consultoría.  Ya para entonces empecé con las capacitaciones del Disaster Recovery Institute International (DRII) en EEUU, conferencias del Disaster Recovery Journal (DRJ) y Continuity Insights y luego empezaron a realizarse los primeros proyectos de consultoría con el enfoque correcto.  Para el 2007 logro la certificación CBCP del DRII y también la certificación como instructor de los cursos de certificación del DRII a nivel Latinoamérica, con lo cual empecé a dar cursos de certificación en varios países a la par de los proyectos de consultoría. Para el 2009 dejo de dar los cursos para profundizar los servicios regionales de continuidad del negocio. Desde el 2006 empiezo a estudiar el modelo de madurez BCMM elaborado por Virtual Corp. y aplicar el modelo público. En el 2009 me convierto en asesor licenciado del BCMM y luego en instructor del modelo de madurez. En el 2010 tomé también el rol de Presidente del Campus del International Consortium For Organizational Resilience (ICOR) para Latinoamérica y también me certifiqué por el BCI, para luego ser instructor de los cursos de certificación del BCI.  También desde el 2011 soy el Presidente del Consejo Asesor Editorial para la revista DRJ en su versión en español, la más importante de la industria de la continuidad del negocio y recuperación ante desastres.

En tu experiencia, ¿cuál es el caso más exitoso en la disciplina del business continuity?

Es difícil dar nombres por temas de confidencialidad, pero todos los casos exitosos que he podido ver son cuando existe una función de continuidad del negocio dedicada a tiempo completo (alguien que se adueñe del problema).  Que dicha función tenga el patrocinio de la gerencia operativa y que esté muy cerca de ella.  Y que dicha función se dedique a gestionar la continuidad de la mano con líderes de continuidad a nivel de procesos o departamentos en los departamentos más urgentes según el resultado del Business Impact Analysis (BIA).

¿Y el caso menos exitoso? ¿Qué pudiste aprender de él?

En oposición a la respuesta anterior, el caso menos exitoso es aquel que no tiene una función de Continuidad del Negocio; si esto ocurre, lo que se puede aprender es que nunca los planes estarán actualizados. También puede pasar que exista pero que no esté cerca de la gerencia; si esto ocurre, lo que se puede aprender es que el responsable de continuidad irá mendigando tiempo de las áreas o procesos operativos para que puedan dedicarle tiempo a la continuidad. Y para finalizar, una función de continuidad del negocio numerosa; si esto ocurre, lo que se puede aprender es que están haciéndole el trabajo a los responsables de los procesos o departamentos de la organización, lo que demuestra que no hay un real empoderamiento de la continuidad del negocio por parte de ellos y los planes están llamados a fracasar por su poco realismo, así hayan pasado las auditorías.

Respecto de la importante variable RTO (tiempo objetivo de recuperación), ¿cuán objetivo se puede llegar a ser para establecerla?

El RTO debe sustentarse con impactos no tolerables; es decir, que un RTO no puede superar el tiempo en el que ocurra un impacto no tolerable.  Por allí es que se puede ser algo más objetivo en fijar el valor del RTO: una vez se fije un valor de aquello que signifique "no tolerable", por ejemplo:  1,000 clientes, US$1,000,000 u otras variables.  El asunto es que el "impacto no tolerable" está sujeto a una visión algo subjetiva de lo que la alta gerencia defina. Con lo cual, aunque a niveles operativos se ayuda a fijar más objetivamente un RTO, siempre tendrá una perspectiva subjetiva a la visión de la alta gerencia.

¿Cómo ves la Continuidad del Negocio de aquí a 10 años?

Como toda disciplina orientada a crear sistemas de calidad, el futuro está en la masificación y la certificación a través de procesos. Será muy frecuente que los proveedores más críticos estén exigidos a implementarla. Y también, en el sector público y de gobierno será mandatorio.

Comentarios

Publicar un comentario

Entradas populares de este blog

Mapa de suelos de Lima y Callao #BusinessContinuity #DisasterRecovery

-
Imagen
Extraído del Atlas de Peligros del Perú articulado por el Instituto Nacional de Defensa Civil (Indeci), en el mapa se muestran los resultados del estudio de microzonificación sísmica y tsunami realizado en 2010. Cada color indica una zona la cual corresponde un tipo de calidad de suelo: Peligro bajo (verde) : Está conformada por los afloramientos rocosos, los estratos de grava-aluvial de los pies de las laderas. Este suelo tiene un comportamiento rígido, con periodos de vibración natural. Peligro bajo Peligro relativamente bajo (amarillo) : Se incluyen las áreas de terreno conformado por un estrato superficial de suelo granulado fino y suelos arcillosos. Peligro relativamente bajo. Peligro alto (anaranjado) : Conformada en su mayor parte por los depósitos de suelos finos y arenas de gran espesor que se encuentran en estado suelto. Peligro alto. Peligro muy alto (rojo) : Conformada por los depósitos de arena eólicas de gran espesor y sueltas, depósitos fluviales, depósitos marin
Leer más

¿Qué dice la Ley 29783 (SST) sobre gestión de emergencias? #EmergencyPlanning #BusinessContinuity

-
Imagen
Mediante la ley de Seguridad y Salud en el Trabajo ( Ley N° 29783: 2011 ) y su reglamento respectivo  (D.S. 005.2012-TR), se estableció la obligación para las empresas de contar con un sistema de gestión en seguridad y salud en el trabajo ; el que especifica disposiciones legales específicas con respecto a la respuesta a situaciones de emergencia. En la Ley 29783 de Seguridad y Salud en el Trabajo (SST): Art. 39.- Objetivos de la Planificación del Sistema de Gestión de la Seguridad y Salud en el Trabajo . Con respecto al logro de resultados específicos, realistas y posibles de aplicar por la empresa; comprende (a) la mejora continua de los procesos, la gestión del cambio, la preparación y respuesta a situaciones de emergencia; y (b) la mejora del nivel de participación de los trabajadores y su capacitación.   En el Reglamento de la ley de SST: Art. 33.- Registros obligatorios del Sistema de Gestión de SST : g) […] registro de entrenamiento y simulacros de emergencia (
Leer más

Repasando el MTPD (o período máximo tolerable de interrupción)

-
Imagen
Acorde con la práctica estándar, las organizaciones determinan sus prioridades y requerimientos para el programa de continuidad del negocio, como parte del proceso de análisis de impacto o business impact analysis (BIA). Desde 2006 se introdujo un concepto para ayudar a determinar cómo debían priorizarse las actividades de las empresas ante un evento de interrupción y bajo qué condiciones estas debían ser recuperadas: el período máximo tolerable de interrupción o maximum tolerable period of disruption (MTPD). Image:  https://www.nbcnews.com/news/us-news/ditch-switch-call-go-permanent-daylight-saving-time-grows-n1043051 Según la norma internacional ISO 22301:2019, el MTPD es el período de tiempo dentro del cual, si no se pudieran reanudar las actividades, los impactos llegarían a ser inaceptables para la organización ; amenazando su supervivencia o haciendo que sus objetivos ya no sean alcanzables. Para poder identificar el MTPD para cada actividad, la organización debe decidir primer
Leer más