Apuntes sobre continuidad del negocio

Cortesía de Diario Correo , aquí os comparto del mapa de riesgo sísmico y tsunami, elaborado a partir de información brindada por el Instituto Nacional de Defensa Civil ( Indeci ).

El día de ayer jueves, los diarios "Perú 21", "Correo", "Ajá" y "Ojo" publicaron varias infografías relacionadas con el sismo de 7.0 grados ocurrido el miércoles 25 en Arequipa : Diario Perú 21 Diario Correo Diario Ajá Diario Ojo

La cláusula 5.2 del estándar ISO 22301 establece que  “the BCMS is compatible with the strategic direction of the organization” . En un reciente artículo de Dejan Kosutic, se concluye que uno de los mecanismos que nos permiten lograrlo es contar con una  política o directiva  que —formalmente documentada y aprobada— sirva de enlace entre la alta dirección y el programa de continuidad del negocio. ¿Para qué? En primer lugar, la alta dirección deberá definir lo que quiere lograr con la continuidad del negocio — nadie le toma importancia a aquello que no desea—. En muchos casos, los altos ejecutivos no tienen idea de cómo la continuidad del negocio puede ayudar a sus empresas, por lo que no encuentran ninguna razón (motivación) para dar soporte —ni muchos menos para auspiciar— las iniciativas y esfuerzos relacionados con el programa de continuidad. En segundo término, la alta dirección necesita un documento fácil de entender, y que le permita controlar todo lo que sucede dentro de

Encontré esta interesante discusión sobre una de las preguntas existenciales de nuestra disciplina: ¿primero se prueba o primero se implementa (un plan de continuidad del negocio)? Aquí os comparto las conclusiones que pude rescatar: El plan de continuidad tiene que ser implementado a un cierto nivel para poder ser probado.  Durante el proceso de pruebas se identifican brechas que deberán resolverse antes de implementar el plan de continuidad.  Una vez implementado, podrían surgir más brechas, por lo que es necesario ejercitarlo también luego de su implementación, de manera iterativa, añadiéndole poco a poco la complejidad e interdependencia de un entorno real.  Fuente : Chibba, B & Tompong, W. (2013, septiembre). BCM Development Milestone - Cascade/Implementation & Testing . Groupsite - BC and DR Discusions. Recuperado de http://bcmi.groupsite.com/beta/discussion/topics/609343/messages?page=1

Hace unos meses, Dejan Kosutic enfatizó en la importancia de determinar la frecuencia de las copias de respaldo ( backups ) en el artículo " Backup policy – How to determine backup frequency " que escribió para su blog . En resumen, el análisis que se requiere para determinar esta frecuencia debe basarse en el valor que los datos en cuestión aportan al negocio. Para responder a la pregunta "¿Cuánta información se puede tolerar perder?", se debe determinar la variable denominada Máxima Pérdida de Datos o RPO (Recovery Point Objetive) , definida por la ISO 22301 como “ the point to which information used by an activity must be restored to enable the activity to operate on resumption ”. El mejor momento para hacerlo es durante el Análisis de Impacto al Negocio o BIA (Business Impact Analysis) . Se deberá pedir a los usuarios que listen todas sus bases de datos, aplicaciones y archivos, así como sus servicios (como el correo electrónico), etc., y para cada uno

El 11 de septiembre de 2001 , la compañía de servicios financieros  Cantor Fitzgerald  perdió a 658 de sus 960 empleados, casi dos tercios de su fuerza laboral, la pérdida de vidas más grande ocurrida para una empresa en la historia. Cantor ocupaba los pisos 101 al 105 de la Torre Uno , justo encima de la zona donde impactó el avión secuestrado.  Howard W. Lutnick , Presidente Ejecutivo de la firma, salvó de morir, gracias a que tenía que dejar a su hijo de cinco años en el nido ( kindergarten ). En los días siguientes al trágico evento, no quedaba claro si la empresa podría recuperarse. Sorprendentemente, en solo una semana, Cantor logró volver a operar. Se perdió la mayor parte de los archivos, los discos duros y la capacidad tecnológica, recursos necesarios para cualquier institución financiera. La pronta recuperación se debió principalmente a la generosidad y compromiso de sus proveedores: Cisco envió una docena de camiones llenos de routers , cables y otros dispositivos de ha

Otra de Dilbert : esta vez, acerca del almacenamiento externo de datos ( offisite ).

"Ya seas un funcionario de salud pública o un empresario que se prepara para enfrentar un desastre, al final aprendes que hay situaciones y circunstancias que ponen a prueba los mejores planes", dice el Dr. Robert Cherry , Director Médico del Centro de Traumatología de la Universidad Estatal de Pensilvania . El Dr. Cherry aprendió esto como Director del centro de trauma de nivel-uno del área de Nueva York, el 11 de septiembre de 2001 . El médico hoy se da cuenta de que cada día trae nuevos e inesperados desafíos causados por el cambio permanente en las circunstancias. Al igual que muchos neoyorquinos en ese día, descubrió que una experiencia tan surrealista no podía estar cubierta ni por los planes mejor ensayados. "Pensábamos que el centro de trauma estaba preparado para afrontar desastres, hasta que nos encontramos con cosas que simplemente no habían sido consideradas en los planes. [...] Teníamos generadores de energía, pero ¿qué ocurriría si gastábamos nuestras

IBM publicó hace unos meses un paper acerca de los riesgos de implementar y mantener una estrategia de recuperación ante desastres (TIC, DRP) por parte de las propias empresas, planteando o comparando la opción de tercerizarla. A partir de este estudio, desarrolló una infografía que resume los hallazgos, los cuales parecen concluir en que una mixtura de ambas formas de abordar la estrategia de recuperación de servicios de TI podría ser la más apropiada. Fuente : IBM. (2013). Disaster recovery strategy: Do-it-yourself or outsource?  IBM Continuity Services. Recuperado de http://www-935.ibm.com/services/us/gbs/bus/html/diy-disaster-recovery-infographic-drj.html

Problemas de abastecimiento de papel han ocasionado el cierre de varios periódicos en Venezuela. En resumen, las empresas periodísticas no pueden comprar el papel para imprimir sus periódicos debido a la falta de acceso a las divisas extranjeras:  Si una empresa desea importar cualquier producto desde cualquier lugar del extranjero, necesita pasar por la Comisión de Administración de Divisas ( Cadivi ), informarle los motivos, cantidad deseada y demás pormenores, y esperar a que el Estado delibere si la petición es razonable. Lo más común es que la empresa espere a que varias peticiones del mismo producto se acumulen para entonces encargar la compra.  Luego, los productos son registrados, revisados, retenidos para un sinfín de trámites administrativos, y luego repartidos a las empresas. La única forma de evitar este proceso engorroso es demostrar que el producto se encuentra en la lista oficial de primera necesidad . Aunque su venta seguiría siendo controlada por el Estado, no

El RTO —tiempo objetivo de recuperación— es el tiempo meta establecido para (a) el reinicio de la entrega de productos y servicios; o (b) el reinicio de una actividad; o (c) el reinicio de un sistema o aplicatión informática (TI), después de la ocurrencia de un incidente de interrupción. La determinación del RTO es, en realidad, un acuerdo formal entre el usuario (cliente) y el equipo de soporte. Pero primero, se necesita identificar qué procesos de negocio son críticos. Si esta priorización queda a potestad de los propietarios de procesos ( process owners ), es probable que todos (o casi todos) los procesos resulten críticos. Algunas preguntas que pueden hacerse a los propietarios de procesos para esta priorización son: " ¿Cuánto tiempo puede esperar/tolerar estar interrumpido el proceso antes de que afecte de forma severa las operaciones del negocio? " o " ¿Cuántas aplicaciones de negocio se afectarán si este proceso no está disponible? ". La clave está en

Hace un par de semanas, Amazon  estuvo fuera de servicio por 25 minutos, tanto el sitio de comercio electrónico Amazon.com , como los servicios en la nube (AWS); calculándose pérdidas ascendientes a 62 mil dólares por minuto: en total, casi 2 millones por el tiempo fuera de operatividad. Como consecuencia, algunos clientes optaron por esperar a que el servicio se reanude, mientras que otros decidieron comprar en sitios web de la competencia. Esto refleja la clara necesidad de soluciones de alta disponibilidad y planes de contingencia por parte de las empresas del ámbito del comercio electrónico. Fuente : Clay, K. (2013, 19 de agosto). Amazon.com Goes Down, Loses $66,240 Per Minute . Forbes. Recuperado de http://www.forbes.com/sites/kellyclay/2013/08/19/amazon-com-goes-down-loses-66240-per-minute/

Tras los atentados terroristas del 11 de septiembre del 2001 (11-S), m uchas pequeñas empresas tuvieron dificultades para recuperarse, pero una de ellas estuvo  operando en 1 semana. Childs Capital LLC , una empresa especializada en  servicios de consultoría en gestión administrativa,  estaba localizada muy cerca del lugar del atentado. La gerente general de la empresa se encontraba en el World Trade Center cuando chocó el primer avión: "Llamé inmediatamente a la oficina y les dije que la situación no era segura; ordené una evacuación de las oficinas e iniciamos nuestro plan de emergencia ", explica la también fundadora de Childs Capital, Donna Childs. "Habíamos practicado con antelación, y sabíamos qué debíamos hacer." Cuando se asentó el polvo, Childs Capital tuvo que enfrentar interrupciones eléctricas severas, de la telefonía, agua y otros servicios públicos. "Nuestro edificio tenía un generador eléctrico de emergencia que nos permitió hacer funciona

El almacenamiento externo de datos ( offsite data storage ) permite garantizar la viabilidad del negocio tras un incidente mayor que pueda destruir total o parcialmente la información crítica. Las opciones disponibles (más comunes) son: Almacenamiento externo ( offsite ) de cintas de respaldo (backup tapes) o discos duros —utilizando técnicas de "rotación" de medios de respaldo. Respaldo de datos en-línea ( online data backup ) —incluso a través de Internet. Replicación de servidores —respaldo casi contínuo desde el servidor/sitio principal a un sitio externo. Almacenamiento en la nube. Fuente : Forrester, I. (2012, julio). Don’t be left at cordon – Ensuring business continuity with Plan-B . Recuperado de  https://www-304.ibm.com/connections/blogs/businessinsight/entry/don_t_be_left_at_cordon_ensuring_business_continuity_with_plan_b100?lang=en_us

La " Guía de buenas prácticas " del Business Continuity Institute ( BCI ), una de las fuentes bibliográficas más reconocidas de nuestro medio, contiene el porqué y cómo de los principios de la disciplina de continuidad del negocio , hoy por hoy. Ya desde su versión 2010 , estructuraba el conocimiento y la técnica del business continuity alrededor del concepto de ciclo de vida ( lifecycle ) de un programa de continuidad del negocio. Tras la publicación del nuevo estándar internacional ISO 22301, el BCI ha actualizado y repotenciado la guía (versión 2013), y fueron el mismo editor en jefe del instituto, Lyndon Bird, y su asistente, Deborah Higgins, quienes  comentaron en un webinar los principales cambios de este importante referente. Fuente : Bird, Lyndon, & Higgins, D. (2013). BCI Good Practice Guidelines 2013 . Recuperado de https://www.brighttalk.com/webcast/1476/67975