Apuntes sobre continuidad del negocio

A partir de una investigación de  Forrester Research  del 2011, la especialista Rachel A. Dines planteó 10 consejos para mejorar el programa de ejercicios de recuperación ante desastres (TI): Defina por adelantado los objetivos específicos de los ejercicios Incluya a los dueños y/o alta dirección Rote las responsabilidades del personal técnico Desarrolle situaciones de riesgo más específicas para sus ejercicios Realice ejercicios conjuntos entre los equipos de DR (TI) y los equipos de BC (negocio) Varíe los tipos de ejercicios: desde pruebas técnicas hasta tutoriales Asegúrese de probar toda la infraestructura de TI simultáneamente al menos una vez por año Seleccione cuidadosamente a los miembros del equipo de respuesta principal Aprenda de sus errores Informe los resultados a los dueños y/o alta dirección Fuente : Dines, Rachel. (2011). Con los ejercicios de recuperación  ante desastres, no se alcanza  la línea de llegada . Forrester. Recuperado de http://docs.media.bi

Mediante la ley de Seguridad y Salud en el Trabajo ( Ley N° 29783: 2011 ) y su reglamento respectivo  (D.S. 005.2012-TR), se estableció la obligación para las empresas de contar con un sistema de gestión en seguridad y salud en el trabajo ; el que especifica disposiciones legales específicas con respecto a la respuesta a situaciones de emergencia. En la Ley 29783 de Seguridad y Salud en el Trabajo (SST): Art. 39.- Objetivos de la Planificación del Sistema de Gestión de la Seguridad y Salud en el Trabajo . Con respecto al logro de resultados específicos, realistas y posibles de aplicar por la empresa; comprende (a) la mejora continua de los procesos, la gestión del cambio, la preparación y respuesta a situaciones de emergencia; y (b) la mejora del nivel de participación de los trabajadores y su capacitación.   En el Reglamento de la ley de SST: Art. 33.- Registros obligatorios del Sistema de Gestión de SST : g) […] registro de entrenamiento y simulacros de emergencia (

Hace casi dos años, Jorge Garcia Carnicero escribía sobre sus primeras apreciaciones acerca del Disaster Recovery as a Service (DRaaS), las que podríamos resumir en: Se trata de una variante de los servicios en la nube Debido a la tecnología subyacente de virtualización , los servicios se prestan de forma agnóstica a la infraestructura Sus beneficios son: ahorro de costos, simplicidad en las pruebas y flexibilidad Al igual que ocurre con los servicios de cloud , es posible implementar una combinación de soluciones en la nube con soluciones de respaldo tradicionales ( cloud híbrida) Fuentes : García, J. (2012, diciembre). DRaaS ¿solución real o cuatro letras de moda? Recuperado de http://continuidadnoesseguridad.blogspot.com.es/2012/12/draas-solucion-real-o-cuatro-letras-de.html

Aquí les comparto los enlaces PDF y online de la reconocida  revista "Continuity"  del tercer trimestre del año , elaborada y publicada por el británico  Business Continuity Institute  (BCI) ; el referente par a las disciplinas de  continuidad de negocios  y  disaster recovery. En esta edición, destacan los siguientes artículos: Dejando a la multitud atrás: Cómo responden los grupos grandes ante la crisis Articulándolo todo: El valor de la colaboración en la cadena de suministro ¿La Continuidad del Negocio es una profesión? El concepto de ‘práctica de la comunidad’ Sección especial por el 20.° aniversario Descargar la versión del 3T del 2014 en PDF Acc eder a la versión online

Las brigadas de emergencia o brigadas de seguridad son grupos de personas organizadas y capacitadas para afrontar situaciones de emergencia —tales como sismos; terremotos; amenazas de bomba; cortos circuitos; incendios; explosiones; golpes, lesiones o caídas de personas, etc.—, actuando oportunamente controlando o minimizando las consecuencias de dichas situaciones; y cuya función está orientada a salvaguardar a las personas, los bienes y el medio ambiente. Si bien se constituyen voluntariamente, el rol de los brigadistas en situaciones de emergencia es muy importante y trascendental, ya que de la correcta ejecución de sus procedimientos de respuesta puede depender la seguridad y la salud de los trabajadores de una organización. Aquí le comparto una útil infografía que explica las principales funciones que deben cumplir las brigadas de emergencia y algunas consideraciones para su conformación:

Aquí les comparto los enlaces PDF y online de la reconocida  revista "Continuity"  del segundo trimestre del año , elaborada y publicada por el británico  Business Continuity Institute  (BCI) ; el referente par a las disciplinas de  continuidad de negocios  y  disaster recovery . En esta edición, destacan los siguientes artículos: Los 20 años del BCI - hecho para sus miembros y por sus miembros Continuidad del Negocio en el Medio Este - logros hasta el momento y lo que se avisora Comunicación en Crisis - mantener el control y construir confianza Análisis de Impacto al Negocio (BIA) - ¿entrevistar o no entrevistar? Descargar la versión del 2T del 2014 en PDF Acc eder a la versión online

"Donald's Fire Survival Plan" es un corto animado educativo (Les Clark, 1965) protagonizado por el Pato Donald que se centra en la seguridad contra incendios. Este corto contó con una introducción del propio Walt Disney sobre la importancia de la preparación ante emergencias. Aquí se los comparto:

Disaster Recovery as a Service (DRaaS) o cloud disaster recovery es la estrategia de recuperación de los servicios de TI que sobrepasa las limitaciones de las opciones tradicionales, aprovechando las ventajas de la  computación en la nube  ( cloud computing ). El acrónimo "as a Service" ( X aaS)  se refiere a cualquier servicio prestado a través de Internet —y facturado según su demanda o consumo— que tradicionalmente había sido implementado de forma "local" o in-house ; es decir, es la esencia de la computación en la nube. La tecnología adoptada por los proveedores de servicios "en la nube", que facilitó su desarrollo y actualmente soporta su funcionamiento, se llama virtualización  —la abstracción de un recurso físico de una computadora, permitiendo dividir dicho recurso en uno o más entornos "virtuales" de ejecución—. Mientras que la virtualización es " software que manipula el hardware " para lograr eficiencias y economías en e

La resiliencia como capacidad física y social que se estudia interdisciplinariamente y que permite a las personas, familias, organizaciones y sociedades reducir la probabilidad de pérdida de la funcionalidad, responder de manera adecuada a los daños y recuperar de oportunamente la operatividad; es el último estadío evolutivo en la disciplina del business continuity . El artículo de César Cárdenas para la edición de agosto de la revista "G" de Gestión nos ilustra más allá de la resiliencia organizacional; nos encara con una necesidad global cada vez más crítica no solo para las empresas, sino para los gobiernos y la sociedad misma: ir más allá de la prevención, garantizando la adaptabilidad, la recuperabilidad de la normalidad y la continuidad de las operaciones. Fuente : Cárdenas, C. (2014, agosto). La organización resiliente . Revista "G" de Gestión. N.° 45, pp. 58-60.

Hace unos días, bajo el marco de la gestión del riesgo operacional en el sistema financiero peruano, la Superintendencia de Banca, Seguros y AFP ( SBS ) realizó el primer Ejercicio Sectorial de Continuidad de Negocios en el Sistema Financiero , de forma coordinada con las autoridades del sector, el Banco Central de Reserva  y el Ministerio de Economía y Finanzas ; así como con el Banco de la Nación  y los bancos privados, el  BBVA Continental , Banco de Crédito , Banco de Comercio , Banco Falabella , Banco Financiero , Banco Ripley , Interbank y Scotiabank . Para la realización de este ejercicio sectorial —el primero en Latinoamérica—, se elaboró un proyecto estimado en 27 meses de duración, y se formó un equipo de trabajo conjunto (autoridades y bancos), el cual determinó como escenario hipotético un sismo de 8.5 grados en la escala de Richter que afecte la ciudad de Lima. Los objetivos del ejercicio fueron: Medir la efectividad de los mecanismos de comunicación entre las auto

En este post , retomamos las conversaciones con los profesionales y gurús en la disciplina del  business continuity ; y en esta oportunidad contamos con la colaboración de Mario Ureña , reconocido consultor internacional en temas de gestión de riesgos, presidente de Secure Information Technologies , y especialista en auditoria, control y seguridad de TI. Nombre:   Mario Ureña Edad : 39 años Lugar de nacimiento :  Ciudad de México Profesión :  Ciencias de la Informática Hobbies :  Escuchar música y leer (ciencia ficción, mayormente) ¿Cómo llegaste al mundo de la  Continuidad del Negocio ? Mi interés hacia los temas de Continuidad del Negocio y Recuperación ante Desastres nació el 19 de septiembre de 1985 a las 7:19, cuando un terremoto de 8 grados en escala de Richter sacudió la Ciudad de México para cambiar para siempre su historia. En esa época, yo tenía diez años de edad; y aún cuando ya había escuchado información sobre grandes desastres —como la gran expl

El especialista en riesgos financieros, Gregorio Belaúnde, escribió hace unos meses un interesante artículo para Gestión.pe , acerca de la gestión de la continuidad del negocio bajo el enfoque de la gestión del riesgo operacional de las organizaciones, específicamente para la valoración y priorización de los riesgos de interrupción de operaciones. Bajo las metodologías tradicionales de valoración del riesgo operacional, los eventos más graves que pueden afectar la continuidad de las operaciones de una organización —tales como sismos de gran magnitud u otras catástrofes naturales, incendios con alto grado de destrucción de un local clave, bombardeos en el marco de guerras, atentados terroristas de gran escala, etc.— suelen valorarse con una muy baja frecuencia, pero al tener un impacto fuerte deberían estar clasificados también como “insoportables”, es decir en la zona de criticidad extrema, de forma que se tomen medidas inmediatas para poder hacerles frente de la mejor manera posib

El proyecto  Public Empowerment Policies for Crisis Management ( PEP ) es una colaboración de varios equipos de investigadores de Suecia, Suiza y Finlandia, financiado por la Unión Europea, que busca mejorar la gestión de crisis como una coproducción de organizaciones de respuesta y de la ciudadanía. El proyecto identifica las mejores prácticas de la capacidad de recuperación de crisis, bajo un enfoque comunitario, y brinda instrucciones para la investigación y aplicación futuras, incluyendo el uso de los medios sociales y los servicios móviles, para una mayor respuesta ciudadana. El material que se genera como parte del proyecto puede ser utilizado libremente por las organizaciones de respuesta a la crisis —con la referencia bibliográfica respectiva—. Hace unas semanas, durante el 5.° International Disaster and Risk Conference ( IDRC ) se presentó la plataforma para la discusión sobre comunicación en crisis , denominada: Crisis Communication WIKI for Professionals , que permitirá u

Francia Cortés, Ramón Curto y Cristina Claverol elaboraron esta infografía acerca del mortal virus del ébola, a partir de información provista por la OMS , CDC , Reuters y Graphic News .

Aquí les comparto una interesante infografía acerca del mortal virus Ébola, elaborada por el venezolano Noticias24 . El brote de este virus en el África occidental es el más mortífero de la historia. Más de mil personas han muerto en Guinea, Liberia, Sierra Leona y Nigeria desde que fue detectado en febrero. La Organización Mundial de la Salud ( OMS ) declaró el estado de emergencia internacional .

Desde hace un par de años, la compañía Accsa Perú viene comercializando, tanto a empresas como a personas naturales —con delivery  inclusive—, las  mochilas de emergencia o kits para desastres  de la línea Yanapax, orientadas a la supervivencia dentro de las primeras 72 horas de ocurrido un desastre. http://www.accsaperu.com/catalogo.php?cat=62 Para los interesados, les comento que los precios varían dependiendo del tipo de mochila/kit: los hay para 1 persona, para 2, 3, 4 o 5 personas; para el auto; e incluso los hay en versiones económicas y versiones Premium ; en un rango que va desde los S/. 200 hasta los S/. 400.

En su informe técnico "Servicios de continuidad de negocio y resiliencia de IBM: Ayudando al negocio de las empresas", el gigante azul  explica uno de los aspectos clave para la continuidad del negocio; y es que la "resiliencia de negocio" ya es una prioridad entre los ejecutivos y los accionistas de las empresas que operan en un mercado cada vez más interconectado, y que deben poseer una alta resiliencia y capacidad de anticipar múltiples riesgos. En este sentido, se necesita una estrategia de resiliencia de negocio interdisciplinaria, que se anticipe proactivamente y abarque todos los factores de riesgo. IBM plantea una estrategia basada en tres tipos de factores de riesgo: Riesgos causados por el negocio Incluyen paradas de aplicaciones o sobrecargas de campañas de marketing de generación de demanda, que pueden tener impacto en toda la empresa como infracciones en el terreno del cumplimiento normativo, la administración, la disponibilidad, la seguridad y e

¿Ya sabes utilizar el 119 en casos de emergencia? Te recordamos cómo usarlo. pic.twitter.com/B25b8qNjWo — OSIPTEL Oficial (@OSIPTEL) agosto 11, 2014

La Asociación de la Industria de Valores y Mercados Financieros ( SIFMA ) representa a las sociedades comerciales de valores, bancos y empresas de gestión de activos de los Estados Unidos, y cuenta con oficinas en Nueva York y Washington, DC. Acorde con su propósito, SIFMA promueve y coordina la preparación de sus representadas ante posibles desastres; en este sentido, mantiene una sección de su sitio web , con información, material y directivas para la respuesta a emergencias a nivel sector, así como diversas modalidades de ejercicios y pruebas de los planes de continuidad. Fuente : Sifma. (2014). Business Continuity Planning . Recuperado de http://www.sifma.org/services/bcp/business-continuity-planning/

Hace unos días, estuve en una charla organizada por Pricewaterhouse Perú , en la que la especialista uruguaya en  Continuidad del Negocio , Graciela Ricci , habló sobre uno de los aspectos quizás menos valorados de nuestra disciplina: el mantenimiento del programa. Ricci mencionó dos aspectos que obstaculizan este proceso. Por una parte, la falta de una "cultura de la prevención" o la falta de compromiso ( accountability ) por parte de los responsables de las áreas de negocio o de soporte al negocio, acerca del programa de continuidad. Y por otra parte, el nivel de integración del programa en la gestión estratégica y operativa de la organización (adaptación a los cambios en el negocio, inclusión de las iniciativas de continuidad en el planeamiento y el presupuesto de las áreas, coordinación interdepartamental, etc.). En resumen, mantener actualizado el programa de continuidad es el factor clave para asegurar el éxito de la recuperación del negocio en caso que el plan

Los modelos de madurez de continuidad del negocio son herramientas para conocer (medir) del estado en que se encuentra una organización en términos de nivel de preparación para afrontar y recuperar sus operaciones críticas. Una gestión de continuidad bajo la perspectiva del “nivel de madurez” permite medir la organización tomando como referencia las prácticas metodológicas reconocidas mundialmente como "claves" para asegurar la resiliencia, para luego encaminar y monitorear las acciones requeridas para alcanzar la excelencia. En un post anterior , ya habíamos mencionado algunos de los modelos existentes que nos permiten saber dónde nos encontramos ahora y determinar dónde queremos estar en el futuro. Durante la semana de la  Continuidad del Negocio  del 2012 (BCAW 2012), Karen Humphris dio una interesante introducción al modelo propuesto por  ContinuitySA : CM² Capability and Maturity Model . De acuerdo con el CM², son 12 los factores de éxito de un programa de continui

Hace dos años, la revista Correo Semanal publicó una infografía a partir de datos del Instituto de Investigación para la Energía y el Desarrollo ( Iedes ) respecto de los riesgos a los que estamos expuestos ante desastres que afecten la seguridad de las plantas de energía nuclear en todo el mundo. Aquí os la comparto: Fuente : Palomino, I. (2012). Cuando la tierra tiembla . Revista Correo Semanal.

Hace unos días,  Avalution Consulting , una de las más reconocidas consultoras en continuidad de negocio y recuperación ante desastres de TI y soluciones de software en los Estados Unidos, anunció el lanzamiento de la serie de videos educativos  Business Continuity Management - BCM 101 . Los seis vídeos de BCM 101 proporcionan respuestas directas a las preguntas más comunes relacionadas con la continuidad de negocio , incluyendo: What is business continuity? / ¿Qué es es la continuidad del negocio ? Why do organizations invest in business continuity? / ¿Por qué las organizaciones invierten en continuidad del negocio ?  What’s the difference between business continuity and insurance? / ¿Cuál es la diferencia entre continuidad del negocio y los seguros?  Who should be involved in business continuity? / ¿Quién debería participar en la continuidad del negocio?   Where should business continuity be located? / ¿Dónde debe ubicarse la continuidad del negocio ?  What is a bu

FINRA es una autoridad regulatoria en la industria financiera norteamericana, que a diferencia de la Security Exchange Comission ( SEC ) no es parte del gobierno, sino que es una organización independiente, sin fines de lucro, y autorizada por el Congreso para proteger a los inversores de los Estados Unidos supervisando la actividad de más de 600,000 agentes de bolsa ( brokers ), haciendo que la industria de valores opere de manera justa y honesta. A fines del 2009, FINRA publicó la última actualización a la directriz que obliga a que sus miembros implementen y mantengan planes de continuidad del negocio , a través de la  regla 4370: Business Continuity Plans and Emergency Contact Information . En el siguiente enlace:  http://www.finra.org/industry/issues/businesscontinuity/  se puede encontrar material didáctico y de ayuda para elaborar y/o mejorar los planes de continuidad —plantillas, FAQs, casos de estudio, papers , enlaces de interés, etc.—, que puede ser útil para empresas i

Las tres principales fuentes de datos mundiales sobre desastres son la Base de Datos Internacional sobre Desastres EM-DAT , NatCatService y Sigma . La EM-DAT es una base de datos mundial, alimentada y mantenida desde 1988 por el Centro para la Investigación de la Epidemiología de los Desastres ( CRED ), una unidad colaboradora de la Organización Mundial de la Salud ( OMS ), perteneciente a la Universidad de Lovaina, que recolecta datos sobre desastres naturales y tecnológicos a nivel país (recoge información desde 1900). En enero de 1999 se inicio una colaboración entre la Oficina de Asistencia para Desastres en el Extranjero , una unidad perteneciente a la Agencia de los Estados Unidos para el Desarrollo Internacional ( USAID ), y el CRED, con el propósito de completar la EM-DAT y validar su contenido. Desde entonces, ambas unidades mantienen una sola base de datos. Para que un desastre se incluya en la EM-DAT debe cumplirse al menos una de las siguientes condiciones: 10 o más

Ante la ocurrencia de cualquier evento inesperado de interrupción —ya sea una emergencia, violación de seguridad, desastre natural, etc.— una de las necesidades que se generan rápidamente es la de  notificar  o comunicar  a distintos receptores (partes interesadas) acerca del evento acaecido y las acciones a tomar; comunicarse de manera clara en durante los primeros minutos u horas de una crisis es vital para prevenir el caos y la confusión.. El mensaje que se envía representa a la organización, pero factores como el estrés, las emociones y las reacciones durante una crisis aumenta la complejidad de crear los mensajes más adecuados. Las mejores prácticas recomiendan diseñar y crear, por adelantado, un mapa de mensajes para escenarios de crisis específicos, con el objetivo de eliminar las conjeturas y errores frecuentes en la comunicación improvisada, y asegurar así la claridad del mensaje y su comprensión. Cuando las personas se encuentran en situaciones de estrés, presentan di

Un ataque distribuido de denegación de servici o (DDoS) es un intento de saturar un servicio en línea con tráfico desde múltiples fuentes. Una cantidad considerable de computadoras "zombies" (previamente infectadas y controladas remotamente) atacan a un único objetivo, provocando la "denegación del servicio" a los usuarios del sistema afectado: la sobrecarga de mensajes entrantes sobre el sistema objetivo fuerza su cierre. Este tipo de ataques se dirige a una amplia variedad de recursos importantes, desde bancos hasta sitios web de noticias, y representan un desafío para la seguridad informática. Al equipo que cae bajo el control del atacante se le llama bot o zombie ; al grupo de computadoras afectadas se le llama botnet o armada zombi . Tanto Kaspersky Labs como Symantec consideran los botnets —y no el spam , los virus ni los gusanos— como la mayor amenaza de seguridad en Internet. Según TrendMicro Research , un ataque de DDoS de una semana de duración pued

En un artículo para Forrester Research , Stephanie Balaouras  compartió aspectos clave para determinar el nivel de madurez de la planificación de la recuperación ante desastres para la infraestructura de TI. En general, lo que todos los estándares y guías de buenas prácticas recomiendan asegurar es: • Patrocinio y compromiso de la alta dirección • Personal que apoye el proceso • Un análisis de impacto al negocio (BIA) actualizado regularmente • Una evaluación de riesgos actualizada regularmente • Estrategias para mitigar los riesgos más probables y de alto impacto • Que estas estrategias estén documentadas en planes operativos • Que estos planes sean probados bajo una determinada frecuencia • Que estos planes sea actualizados continuamente • Entrenamiento y sensibilización • Coordinación con las iniciativas y lineamientos de Continuidad del Negocio Algunos indicadores clave que comúnmente se utilizan para medir el desempeño y predecir la efectividad del Plan de Recuperació

A partir de la publicación SP 800-34 :2010 del Instituto Nacional de Estándares y Tecnología ( NIST ), a continuación se resumen las actividades requeridas para el desarrollo del Plan de Recuperación de TI (o IT Disaster Recovery Plan ): El equipo de desarrollo del plan se debe reunir con el equipo interno a cargo de la infraestructura de TI, el equipo de aplicaciones (servidores y bases de datos), y los administradores de redes, y establecer el alcance de la contingencia tecnológica —por ejemplo, los componentes y recursos internos a considerar, así como los activos externos, los recursos de terceros, los enlaces a oficinas/clientes/proveedores, etc.—. Es importante mantener informada a la dirección del departamento de TI sobre los acuerdos y avances de estas reuniones. Recopilar todos los documentos relevantes de la infraestructura de TI, como los diagramas de las redes, la configuración de los servidores, equipos de comunicaciones y bases de datos. Obtener copias de los plane

A diferencia del estándar británico BS 25999:2007 , su sucesor ISO 22301:2012  establece que una organización debe contar con procedimientos documentados para restaurar y volver a las operaciones normales después de una interrupción del negocio (cláusula 8.4.5). ¿Es posible documentar —por adelantado— estos procedimientos considerando que el retorno a la normalidad dependerá de la severidad de los daños ocasionados por el incidente y que podría requerirse reconstruir parte de (o toda) la infraestructura? El proceso de retorno a condiciones normales es la parte de la planificación de continuidad de negocios que la mayoría de las organizaciones tienden a subestimar. Podría ser tan simple como enviar un comunicado y redirigir / redireccionar los recursos críticos del plan de continuidad de nuevo a la localización regular, o tan complicado como la reconstrucción de la infraestructura regular. Por ejemplo, en lo que respecta al Plan de Recuperación Tecnológica o IT Disaster Recovery P

Este viernes 30 de mayo a las 3 p. m. —estamos pasando de la mañana a la tarde— se realizará el simulacro nacional por sismo en todo el territorio peruano. Se ha convocado a la población en general en sus viviendas, edificios multifamiliares, conjuntos habitacionales, centros de trabajo, instituciones educativas, centros comerciales, galerías, templos, mercados, centros de abasto, campos feriales, lugares públicos, fábricas, estaciones de transporte, bancos, universidades, institutos, instituciones estatales, empresas privadas, tiendas, entre otros locales de afluencia masiva de personas. Cabe indicar que no se incluye la participación de hospitales, clínicas, cuarteles o instalaciones de servicios públicos que no deben interrumpir sus actividades. El objetivo principal del simulacro nacional por sismo es medir la capacidad de respuesta de la población, las autoridades de las plataformas de Defensa Civil, así como aplicar los procedimientos y protocolos de los equipos de primera re

¡Nunca es demasiado tarde! Aquí les comparto los enlaces PDF y online de la reconocida revista "Continuity"  del primer trimestre de este año , elaborada y publicada por el británico  Business Continuity Institute ; el referente par a las disciplinas de continuidad de negocios y disaster recovery . En esta edición, destacan los siguientes artículos: Las mega-tendencias que están impactando la gestión de continuidad de negocios: ¿Necesitamos un cambio de enfoque? Marcando las diferencias entre respuesta a crisis y respuesta a incidentes Reforzando los cimientos: Planificación y conducción de ejercicios sacándoles el máximo provecho Los múltiples aspectos del ciber-riesgo: Gestión efectiva de los recursos existentes Descargar la versión del 1T del 2014 en PDF Acc eder a la versión del 1T del 2014  online