Apuntes sobre continuidad del negocio

Hacia fines de 2013, la Superintendencia de Banca, Seguros y AFP (SBS), con el propósito de comenzar a generar información estadística a nivel del sector financiero peruano acerca de los eventos de interrupción operativa y el nivel de preparación de los actores de dicho sector, hizo público su proyecto normativo para el reporte obligatorio de indicadores clave para la continuidad de negocios. La norma estaría dirigida a los bancos, las compañías de seguros, el Banco de la Nación, el Banco Agropecuario, la Corporación Financiera de Desarrollo (COFIDE), el Fondo MIVIVIENDA, así como a las Administradoras Privadas de Fondos de Pensiones (AFP). Pero no fue hasta marzo de 2015 que el supervisor del sistema financiero publicó la norma oficialmente, a través de la circular SBS n.° G-180-2015 , solicitando: el reporte trimestral sobre las interrupciones del negocio (RO-1), en el cual se identifican las interrupciones ocurridas por fallas en los sistemas informáticos y en los proveedore

Históricamente, el patrocinador ( sponsor ) del plan de continuidad de negocio normalmente estaba en el área de Tecnología de la Información (TI); la razón era que los antiguos programas de recuperación ante desastres se centraban en las copias de seguridad ( backups ) y restauración de datos de mainframes y servidores. Las empresas de salud están adoptando poco a poco las buenas prácticas de trasladar la propiedad de la continuidad de negocios a las propias unidades de negocio. Este cambio ya se ha producido, en gran medida, en los servicios financieros, retail y manufactura. Otras organizaciones sitúan al gerente de continuidad de negocios dentro del área de Mantenimiento, Servicios Generales o Infraestructura , donde la preocupación está dirigida principalmente hacia los edificios y el equipamiento; o lo sitúan en Finanzas , donde es visto como una extensión del programa de gestión de riesgos y seguros. Ver los demás  posts  de la serie: * Parte I:  Enfoque para la planif

Según la JCAHO ( Joint Commission on the Accreditation of Healthcare Organizations ), se requiere que los proveedores de salud realicen simulacros de desastres internos y externos centrados en la atención de los pacientes. Estas pruebas forman parte de la respuesta ante emergencias dentro del plan de continuidad, e incluyen ejercicios para departamentos o unidades específicas (tales como la Sala de Emergencias, la Sala de Operaciones o los consultorios clínicos), el uso de energía eléctrica de contingencia y las luces de emergencia, pruebas del árbol de llamadas, y la adquisición de alimentos y agua. Una prueba aparte debe hacerse sobre los sistemas de tecnología de la información (TI), es decir, una prueba de recuperación de desastres de TI ( disaster recovery plan ). Esta incluye los procedimientos de copias de seguridad ( backups ), los servicios móviles (datos/voz) y la habilitación de servidores y equipamiento de la infraestructura informática. Durante la prueba, los usuarios

Ha habido mucha discusión en torno a lo que las organizaciones, en particular, de la salud, deben hacer al respecto a la gripe aviar, como parte de su plan de continuidad del negocio. Los proveedores de salud están en la primera línea para el tratamiento de pacientes durante una pandemia y son, por tanto, susceptibles de ser afectados operativamente por el absentismo y la enfermedad entre sus propios trabajadores. Aun así, la mayoría de las organizaciones no desarrollan planes de pandemia "separados", sino más bien crean apéndices/anexos conteniendo: los planes estratégicos de gestión de crisis (utilizados por los ejecutivos) y los planes de continuidad tácticos (para los procesos de negocio). Recomiendo revisar las guías de preparación ante la influenza, para los profesionales de la salud, que publica la agencia FLU.gov: http://espanol.flu.gov/preparaci%C3%B3n/hospital/txv/%C3%ADndice.html Ver los demás  posts  de la serie: * Parte I:  Enfoque para la planificación

De acuerdo con la CNE (Costa Rica) , una emergencia con materiales peligrosos (MAT-PEL) o accidente químico, es un evento repentino no-deseado resultante de la liberación o potencial liberación de sustancias peligrosas (gas, líquido o sólido), en forma de fuegos, explosiones, derrames, fugas o escapes, que son capaces de poner en riesgo la salud de las personas, sus bienes y el ambiente, de manera inmediata o a futuro; provocando lesiones, enfermedades, discapacidades e incluso la muerte. Estas emergencias se pueden originar en accidentes industriales, laboratorios, en el transporte de materiales peligrosos y en actividades comerciales diversas. La Guía de Respuesta a Emergencias 2012 (GRE2012) es una de las fuentes de referencia más utilizadas en el mundo para la respuesta a emergencias con materiales peligrosos (MAT-PEL), y fue desarrollada en forma conjunta entre el Departamento de Transporte de Canadá, el Departamento de Transporte de Estados Unidos, la Secretaría de Comunicac

El doctor Hernando Tavera , Investigador y Director de Sismología del Instituto Geofísico del Perú , realizó un estudio denominado "Escenario de Sismo y Tsunami en el Borde Occidental de la Región Central del Perú" (IGP, 2014) , en que se analiza la información publicada sobre los grandes sismos en el Perú, con el propósito de consolidar el posible escenario sísmico y de tsunami que pueda presentarse en la ciudad de Lima Metropolitana y la provincia constitucional del Callao. Sus resultados sugieren la existencia de dos zonas de máximo acoplamiento sísmico entre placas que darían origen, frente a la zona costera de la región central del Perú, a un sismo con magnitud del orden de 8,8 Mw. Las simulaciones numéricas realizadas muestran que los distritos y/o zonas de alta vulnerabilidad serían Ventanilla, El Callao, La Punta, Chorrillos y Lurín. En ambos escenarios, la zona portuaria del Callao y el distrito de La Punta serian afectados en mayor magnitud. El especialista

Hace unos días, compartimos el enlace para instalar las aplicaciones móviles de la Cruz Roja Americana con relación a la preparación y respuesta a emergencias. La asociada local, Cruz Roja Peruana, ha adaptado y personalizado la aplicación móvil de Primeros Auxilios, incluyendo por ejemplo los números de emergencia que se disponen en nuestro país. Los primeros auxilios consisten en la atención inmediata que se le da a una persona enferma o lesionada en el lugar de los acontecimientos, antes de que llegue el personal entrenado y se haga cargo de la situación, o bien antes de ser trasladado a un centro asistencial u hospitalario. La aplicación busca enseñar qué hacer en caso de un accidente, enfermedad o fenómeno adverso. Incluye animaciones, videos referencias, casos e información general para aprender y aplicar primeros auxilios desde el celular, por tipo de emergencia. Aquí les comparto los enlaces según la plataforma operativa disponible: Para Google Play | Android: https:

De acuerdo con la BCMpedia , un sitio alterno de trabajo es "un lugar de trabajo, que no es la ubicación principal, que se utiliza cuando dicha ubicación principal no es accesible". A esta estrategia de continuidad del negocio tan básica también se le denomina Recovery Work Area  (o área de trabajo de recuperación ); es decir, se trata de una oficina alternativa (re-localizada) para los miembros del personal, para operar sus funciones críticas del negocio durante un desastre. Hace un par de semanas, asistí a una charla que se llevó a cabo en una sala de reuniones  — bastante bien equipada —  que evidentemente no era de la empresa organizadora del evento. Luego de la reunión me acerqué a la recepción y me explicaron que las oficinas donde nos encontrábamos se brindaban como parte del servicio de Regus , una empresa especializada en ofrecer espacios de trabajo temporales a otras empresas. En ese momento, "se me prendió" el foco y les hice la consulta de rigor, a

El famoso youtuber chileno de 25 años, Germán Garmendia  — con casi 25 millones de seguidores en  su canal de YouTube — , publicó hace poco su monólogo, con el particular estilo que lo caracteriza, acerca de sus propias experiencias con los terremotos del 2001 y 2010 ocurridos en su país . Mi Experiencia Con Los TERREMOTOS | Hola Soy German

La reflexión de Jim Mitchell  en su artículo  Business Continuity and Disaster Recovery: Big Tent, or Separate Umbrellas , es en realidad una crónica del origen y evolución de ambos términos, así como una crítica a las concepciones separatistas de estos dos componentes que en realidad tienen que hacer sinergia y buscar ser complementos, uno del otro, para asegurar la resiliencia organizacional. El término disaster recovery o 'recuperación ante desastres' comúnmente se utiliza para definir "los procesos, políticas y procedimientos relacionados con la preparación para la recuperación de la infraestructura tecnológica crítica para una organización después de un desastre natural o provocado por el hombre". Por otro lado, el término business continuity  define la continuidad del negocio como la "capacidad de la organización para continuar la entrega de productos o servicios en los niveles predefinidos aceptables después de un incidente de interrupción".

La organización humanitaria  Cruz Roja Americana  tiene como misión ofrecer socorro a las víctimas de desastres, ayudar a la gente a prevenir emergencias, a prepararse para hacerles frente y a responder ante ellas. Precisamente, con el fin de elevar el nivel de preparación de las personas ante emergencias y desastres, es que hace poco ha desarrollado y puesto a disposición de la comunidad mundial un conjunto muy útil de aplicaciones móviles (apps)  de entrenamiento, entre las que destacan: Aplicación de Emergencias. Aplicación Primeros Auxilios Aplicación Huracán Aplicación Tornado Aplicación Terremoto Aplicación Inundación Aquí les dejo el link desde donde podrán instalarlas, tanto en dispositivos que soportan App Store como Google Play ;  http://www.redcross.org/cruz-roja/preparate/aplicaciones-moviles

Aquí les comparto el escaneado del  borrador de la especificación técnica ISO 22317:2015   Seguridad de la Sociedad - Sistemas de gestión de continuidad de negocios - Análisis de Impacto al Negocio (BIA) . En la primera página se menciona que corresponde a una propuesta para la primera versión, fechada en diciembre de 2014. Fuente : International Organization for Standardization [ISO]. (2015).  ISO/DIS 22317:2015 Societal security — Business continuity management systems  —  Business Impact Analysis (Draft) .  Ginebra, Suiza: Autor.  Recuperado de  http://www.iso.org/iso/catalogue_detail.htm?csnumber=50054  

En julio de 2015, la Federación de Aseguradores Colombianos ( Fasecolda ) presentó su protocolo de actuación gremial ante eventos catastróficos, que tiene como propósito apoyar al sector de los seguros en Colombia para la eficaz atención de los asegurados ante la ocurrencia de una catástrofe. En ese sentido, el protocolo: Facilita la coordinación entre las aseguradoras y el gremio para hacerle frente a este tipo de eventos. Permite entregar información oportuna, actualizada y veraz a los asegurados, entidades oficiales, medios de comunicación y público en general, sobre el desempeño del sector asegurador en la atención de una catástrofe. Suministra herramientas a las compañías de seguros para contribuir con la atención ágil optimizando los recursos disponibles.             Ayuda a articular acciones conjuntas entre el sector asegurador y las entidades públicas en caso de un desastre. “El sector asegurador tiene que conjugar todos sus recursos y los de las compañías de seguros pa

El especialista en seguridad de información y continuidad del negocio, Manuel Benet , escribió un par de post enfocados a aspectos clave del Análisis de Impacto al Negocio (BIA), específicamente sobre la determinación del tiempo de recuperación de las actividades críticas  — aquel a partir del cual la interrupción de una actividad tiene un impacto grave para la continuidad del negocio — . La evolución de una actividad interrumpida vendrá determinada por dos características: una fase inicial en la que la relación se mantiene cercana a un modelo lineal, seguida de un modelo más similar a una curva exponencial que representa la aceleración del impacto, seguida por una fase final de estabilización. Este modelo corresponde a la curva logística. Como primera conclusión, de acuerdo con Benet, "es de vital importancia conocer no sólo el punto crítico, sino en qué medida evoluciona un proceso o actividad tras una contingencia", lo que puede determinar el margen de error tolerable

En el episodio n.° 14 de la exitosa serie cómica norteamericana "The Office" (2005-2013), Dwight prueba peligrosamente el nivel de preparación ante emergencias de sus compañeros de trabajo, lo que provoca que uno de estos tenga un ataque al corazón. Si bien es una parodia a un ejercicio sobre el plan de emergencias, nos recuerda la importancia de reforzar nuestros protocolos de respuesta y cuan necesaria es la capacitación y el entrenamiento del personal. Ver el vídeo aquí: https://youtu.be/EMUakWHYnXo

El artículo de Constance Gustke para New York Times enfatiza en la necesidad de preparación ante desastres por parte de las pequeñas empresas, ante eventos como huracanes o incendios forestales que ocurren con cierta frecuencia en los Estados Unidos. Por lo general las pequeñas empresas operan en un solo sitio, lo que las hace especialmente vulnerables. Sus dueños asumen muchos roles (administrativos y/o operativos) y suelen estar más centrados en la generación de ingresos que en la anticipación ante próximos desastres. También existe la creencia de que estos planes son demasiado costosos y que requieren mucho tiempo. Sin embargo, perder una semana de ingresos puede provocar no poder pagar deudas o las nóminas de los empleados. Incluso contando con la cobertura de seguro para reemplazar la pérdida de ingresos (cobertura de lucro cesante), no se puede sustituir a los clientes o restituir su confianza. Incluso algunas grandes compañías están requiriendo que las empresas pequeñas te

Aquí les comparto el escaneado del  borrador de la norma ISO 22398:2011   Seguridad de la Sociedad - Lineamientos y guías para ejercicios y pruebas . En la primera página se menciona que corresponde a una propuesta para la primera versión, fechada en diciembre de 2011. Fuentes : International Organization for Standardization [ISO]. (2011). ISO/DIS 22398: Societal security — Guidelines for exercises and testing (Draft) . Ginebra, Suiza: Autor. EPS. (2011). Exercising Guidance is about to go Global (ISO 22398) . Recuperado de  http://emergencyplanningsolutions.com/e-zine/146-exercising-guidance-is-about-to-go-global-iso-22398

El sitio web 27001Academy publicó hace un tiempo este diagrama que muestra los pasos para la implementación y la certificación en ISO 22301: Fuente : 27001Academy. (2012).  Diagrama del proceso de implementación de ISO 22301 . Recuperado de http://advisera.com/27001academy/es/descargas-gratuitas/

En un post anterior , habíamos comentado acerca de la documentación propia de la gestión de continuidad del negocio que debe mantenerse, permitiendo así (a) gestionar el programa de continuidad de manera efectiva; (b) demostrar y evidenciar dicha efectividad; y (c) permitir una respuesta oportuna y eficaz ante un incidente de interrupción. El especialista en continuidad de negocios y seguridad de la información,  Dejan Kosutic , preparó una compilación de los documentos (registros) a mantener siguiendo estrictamente los lineamientos de la norma ISO 22301, a fin de gestionar adecuadamente el SGCN (sistema de gestión de continuidad del negocio): Procedimiento para la identificación de los requisitos legales y regulatorios aplicables (cláusula 4.2.2) - define quién es responsable de su cumplimiento. Lista de requisitos legales, regulatorios y otros similares (cláusula 4.2.2) - enumera todo lo que debe cumplirse. Alcance del SGCN y sustento de las exclusiones (cláusula 4.3) - define

El miércoles 4 de marzo de 2015 alrededor de la 1.40 de la tarde, un incendio químico se desató en el Puerto Metro Vancouver , uno de los más importantes de Canadá. La alarma de nivel 4 (*) se produjo en el área de envío de contenedores; debido al riesgo de intoxicación, las autoridades portuarias y sanitarias de la localidad cerraron partes del centro de la ciudad, obligando a cientos de personas a quedarse en casa durante varias horas. Un contenedor que transportaba ácido tricloroisocianúrico (IMO de clase 5.1. Materia comburente)   — mercancía peligrosa con riesgo para la salud, para la seguridad, que puede producir daños en el medio ambiente y la propiedad, y que se utiliza normalmente como desinfectante industrial—, se sobrecalentó y se incendió en la terminal portuaria. El contenedor estaba ubicado en medio de numerosos contenedores que habían sido apilados en el patio, al este de centro de la ciudad de Vancouver. El humo tóxico producido por el fuego tenía mal olor y e

El programa Earthquake Hazards  de la agencia norteamericana Geological Survey  desde hace algún tiempo ha puesto a disposición del público en general un mapa interactivo de los terremotos mayores a 2.5 puntos de magnitud (M2.5+) ocurridos en los últimos 30 días: http://earthquake.usgs.gov/earthquakes/map/

La serie televisiva "Segundos Catastróficos" fue emitida por National Geographic Channel desde julio de 2004 hasta marzo de 2007 en los Estados Unidos. Tal como su título indica, desarrolló 67 documentales sobre accidentes desastrosos, tanto causados por el hombre como por la naturaleza. Aquí les dejo algunos de los videos de desastres emblemáticos de los últimos años, abordados con el peculiar estilo de "Segundos Catastróficos", y que han sido compartidos por distintos usuarios en YouTube: Accidente nuclear de Chernóbil de 1986 Explosion en la plataforma petrolera Piper Alpha (Mar del Norte) de 1988 El terremoto de Kobe de 1995 11-S: La tragedia del World Trade Center de 2001

TeVeo es una aplicación móvil de Osiptel , el organismo regulador de las telecomunicaciones en el Perú, que permite a los usuarios de telefonía celular, que posean un Smartphone, recopilar información de los eventos relacionados con la calidad de los servicios que los operadores les brindan (el desempeño del servicio de telefonía móvil experimentada en el terminal del usuario). Con esta información recopilada, Osiptel pondrá a disposición de todos los usuarios a nivel nacional un mapa de cobertura que muestre la intensidad de la señal para un análisis objetivo de la calidad de la telefonía móvil en el Perú. El mapa de cobertura se construye con los datos recopilados y enviados a los servidores de TeVeo, por parte de todos los usuarios de la aplicación. Los datos son recopilados según el recorrido de los usuarios por todo el territorio nacional. Mapas de cobertura Permiten visualizar el área geográfica en la que se dispone de un servicio; es decir, el área donde un proveedor de

La  revista "Continuity" , elaborada y publicada por el  Business Continuity Institute , es ya una referencia importante en la disciplina de continuidad de negocios, que aporta enfoques, metodología, y puntos de vista diversos y muy valiosos para enriquecer nuestro programa de continuidad. Aquí les comparto los enlaces a las versiones PDF y  online  correspondientes a las ediciones del primer, segundo y tercer trimestre del presente año, así como los principales artículos que contienen: - Diseñando planes de batalla: usando tácticas de juegos de guerra para las pruebas - Cogiendo la batuta: entrevista al nuevo director del BCI, David James-Brown - Debate sobre Resiliencia Organizacional - de la teoría a la práctica - Desbloqueando las ciber-defensas: ¿Están las empresas a la altura del desafío cibernético? Descargar la versión del 1T del 2015 en PDF Acceder a la versión del 1T del 2015  online - La mirada panorámica: Importancia del análisis de tende

La mayoría de proveedores de servicios de salud comienzan a gestionar la continuidad de negocios a partir del estándar de asistencia sanitaria JCAHO  ( Joint Commission on Accreditation of Healthcare Organizations ), el cual se enfoca primero en la atención y la seguridad del paciente. Los planes de continuidad se desarrollan aisladamente, razón por la cual los recursos no son coordinados a través de todos los departamentos. Por ejemplo, los planes pueden establecer que los pacientes puedan ser reubicados temporalmente a otra instalación de atención primaria, pero podrían no cubrir la continuidad de la atención, la administración de los registros médicos durante la reubicación, el acceso a los datos electrónicos del paciente durante el período de transferencia o cómo el proveedor debería retornar a la normalidad, con un censo diario que vaya de cero por ciento hasta la capacidad máxima en un período de tiempo muy corto. El plan de continuidad del negocio deberá enfocarse en el ac

Los acontecimientos del 11 de septiembre de 2001 en el World Trade Center (11-S) tuvieron un tremendo impacto tecnológico en las empresas de servicios financieros, tanto para las que operaban en el lugar, como para sus oficinas en otras partes del mundo. Impacto tecnológico y estimación de pérdidas Aproximadamente 8,000 servidores Intel y 5,000 servidores UNIX se perdieron a un costo de reemplazo estimado en 370 millones de dólares. También se ha estimado que se perdieron 30,000 posiciones de trabajo (mesas de negociación, ventas, análisis y estrategia de inversiones, y posiciones de operaciones), y otros 15,000 a 20,000 posiciones en edificios adyacentes. De los 3.2 mil millones de dólares estimados para la reposición de la tecnología, 1.7 mil millones se destinarían al  hardware  (estaciones de las mesas de negociación, estaciones de ventas, estaciones de operaciones, PCs, servidores, impresoras, laptops , dispositivos de almacenamiento, cableado y concentradores ( hubs ) de c