Apuntes sobre continuidad del negocio

La Asociación de la Industria de Valores y Mercados Financieros ( SIFMA ) representa a las sociedades comerciales de valores, bancos y empresas de gestión de activos de los Estados Unidos, y cuenta con oficinas en Nueva York y Washington, DC. Acorde con su propósito, SIFMA promueve y coordina la preparación de sus representadas ante posibles desastres; en este sentido, mantiene una sección de su sitio web , con información, material y directivas para la respuesta a emergencias a nivel sector, así como diversas modalidades de ejercicios y pruebas de los planes de continuidad. Fuente : Sifma. (2014). Business Continuity Planning . Recuperado de http://www.sifma.org/services/bcp/business-continuity-planning/

Hace unos días, estuve en una charla organizada por Pricewaterhouse Perú , en la que la especialista uruguaya en  Continuidad del Negocio , Graciela Ricci , habló sobre uno de los aspectos quizás menos valorados de nuestra disciplina: el mantenimiento del programa. Ricci mencionó dos aspectos que obstaculizan este proceso. Por una parte, la falta de una "cultura de la prevención" o la falta de compromiso ( accountability ) por parte de los responsables de las áreas de negocio o de soporte al negocio, acerca del programa de continuidad. Y por otra parte, el nivel de integración del programa en la gestión estratégica y operativa de la organización (adaptación a los cambios en el negocio, inclusión de las iniciativas de continuidad en el planeamiento y el presupuesto de las áreas, coordinación interdepartamental, etc.). En resumen, mantener actualizado el programa de continuidad es el factor clave para asegurar el éxito de la recuperación del negocio en caso que el plan

Los modelos de madurez de continuidad del negocio son herramientas para conocer (medir) del estado en que se encuentra una organización en términos de nivel de preparación para afrontar y recuperar sus operaciones críticas. Una gestión de continuidad bajo la perspectiva del “nivel de madurez” permite medir la organización tomando como referencia las prácticas metodológicas reconocidas mundialmente como "claves" para asegurar la resiliencia, para luego encaminar y monitorear las acciones requeridas para alcanzar la excelencia. En un post anterior , ya habíamos mencionado algunos de los modelos existentes que nos permiten saber dónde nos encontramos ahora y determinar dónde queremos estar en el futuro. Durante la semana de la  Continuidad del Negocio  del 2012 (BCAW 2012), Karen Humphris dio una interesante introducción al modelo propuesto por  ContinuitySA : CM² Capability and Maturity Model . De acuerdo con el CM², son 12 los factores de éxito de un programa de continui

Hace dos años, la revista Correo Semanal publicó una infografía a partir de datos del Instituto de Investigación para la Energía y el Desarrollo ( Iedes ) respecto de los riesgos a los que estamos expuestos ante desastres que afecten la seguridad de las plantas de energía nuclear en todo el mundo. Aquí os la comparto: Fuente : Palomino, I. (2012). Cuando la tierra tiembla . Revista Correo Semanal.

Hace unos días,  Avalution Consulting , una de las más reconocidas consultoras en continuidad de negocio y recuperación ante desastres de TI y soluciones de software en los Estados Unidos, anunció el lanzamiento de la serie de videos educativos  Business Continuity Management - BCM 101 . Los seis vídeos de BCM 101 proporcionan respuestas directas a las preguntas más comunes relacionadas con la continuidad de negocio , incluyendo: What is business continuity? / ¿Qué es es la continuidad del negocio ? Why do organizations invest in business continuity? / ¿Por qué las organizaciones invierten en continuidad del negocio ?  What’s the difference between business continuity and insurance? / ¿Cuál es la diferencia entre continuidad del negocio y los seguros?  Who should be involved in business continuity? / ¿Quién debería participar en la continuidad del negocio?   Where should business continuity be located? / ¿Dónde debe ubicarse la continuidad del negocio ?  What is a bu

FINRA es una autoridad regulatoria en la industria financiera norteamericana, que a diferencia de la Security Exchange Comission ( SEC ) no es parte del gobierno, sino que es una organización independiente, sin fines de lucro, y autorizada por el Congreso para proteger a los inversores de los Estados Unidos supervisando la actividad de más de 600,000 agentes de bolsa ( brokers ), haciendo que la industria de valores opere de manera justa y honesta. A fines del 2009, FINRA publicó la última actualización a la directriz que obliga a que sus miembros implementen y mantengan planes de continuidad del negocio , a través de la  regla 4370: Business Continuity Plans and Emergency Contact Information . En el siguiente enlace:  http://www.finra.org/industry/issues/businesscontinuity/  se puede encontrar material didáctico y de ayuda para elaborar y/o mejorar los planes de continuidad —plantillas, FAQs, casos de estudio, papers , enlaces de interés, etc.—, que puede ser útil para empresas i

Las tres principales fuentes de datos mundiales sobre desastres son la Base de Datos Internacional sobre Desastres EM-DAT , NatCatService y Sigma . La EM-DAT es una base de datos mundial, alimentada y mantenida desde 1988 por el Centro para la Investigación de la Epidemiología de los Desastres ( CRED ), una unidad colaboradora de la Organización Mundial de la Salud ( OMS ), perteneciente a la Universidad de Lovaina, que recolecta datos sobre desastres naturales y tecnológicos a nivel país (recoge información desde 1900). En enero de 1999 se inicio una colaboración entre la Oficina de Asistencia para Desastres en el Extranjero , una unidad perteneciente a la Agencia de los Estados Unidos para el Desarrollo Internacional ( USAID ), y el CRED, con el propósito de completar la EM-DAT y validar su contenido. Desde entonces, ambas unidades mantienen una sola base de datos. Para que un desastre se incluya en la EM-DAT debe cumplirse al menos una de las siguientes condiciones: 10 o más

Ante la ocurrencia de cualquier evento inesperado de interrupción —ya sea una emergencia, violación de seguridad, desastre natural, etc.— una de las necesidades que se generan rápidamente es la de  notificar  o comunicar  a distintos receptores (partes interesadas) acerca del evento acaecido y las acciones a tomar; comunicarse de manera clara en durante los primeros minutos u horas de una crisis es vital para prevenir el caos y la confusión.. El mensaje que se envía representa a la organización, pero factores como el estrés, las emociones y las reacciones durante una crisis aumenta la complejidad de crear los mensajes más adecuados. Las mejores prácticas recomiendan diseñar y crear, por adelantado, un mapa de mensajes para escenarios de crisis específicos, con el objetivo de eliminar las conjeturas y errores frecuentes en la comunicación improvisada, y asegurar así la claridad del mensaje y su comprensión. Cuando las personas se encuentran en situaciones de estrés, presentan di

Un ataque distribuido de denegación de servici o (DDoS) es un intento de saturar un servicio en línea con tráfico desde múltiples fuentes. Una cantidad considerable de computadoras "zombies" (previamente infectadas y controladas remotamente) atacan a un único objetivo, provocando la "denegación del servicio" a los usuarios del sistema afectado: la sobrecarga de mensajes entrantes sobre el sistema objetivo fuerza su cierre. Este tipo de ataques se dirige a una amplia variedad de recursos importantes, desde bancos hasta sitios web de noticias, y representan un desafío para la seguridad informática. Al equipo que cae bajo el control del atacante se le llama bot o zombie ; al grupo de computadoras afectadas se le llama botnet o armada zombi . Tanto Kaspersky Labs como Symantec consideran los botnets —y no el spam , los virus ni los gusanos— como la mayor amenaza de seguridad en Internet. Según TrendMicro Research , un ataque de DDoS de una semana de duración pued

En un artículo para Forrester Research , Stephanie Balaouras  compartió aspectos clave para determinar el nivel de madurez de la planificación de la recuperación ante desastres para la infraestructura de TI. En general, lo que todos los estándares y guías de buenas prácticas recomiendan asegurar es: • Patrocinio y compromiso de la alta dirección • Personal que apoye el proceso • Un análisis de impacto al negocio (BIA) actualizado regularmente • Una evaluación de riesgos actualizada regularmente • Estrategias para mitigar los riesgos más probables y de alto impacto • Que estas estrategias estén documentadas en planes operativos • Que estos planes sean probados bajo una determinada frecuencia • Que estos planes sea actualizados continuamente • Entrenamiento y sensibilización • Coordinación con las iniciativas y lineamientos de Continuidad del Negocio Algunos indicadores clave que comúnmente se utilizan para medir el desempeño y predecir la efectividad del Plan de Recuperació