Áreas de especialización en el universo de la continuidad del negocio (y alrededores)

-
La práctica de la continuidad del negocio, hoy por hoy, está estrechamente conectada con una amplia gama de disciplinas o áreas de especialización, entre las que destacan la recuperación ante desastres de TI, la gestión de crisis, la respuesta a ciberataques, la respuesta a emergencias, la seguridad ocupacional, la gestión de riesgos, la resiliencia organizacional, la auditoría de continuidad del negocio, entre otros. Si bien aún no hay un consenso total en cómo unas dependen de las otras, intentaré compilar las definiciones mayormente aceptadas. ¡Se vale discrepar!


Continuidad del negocio | Business Continuity
Capacidad de una organización para continuar entregando sus productos y servicios durante una interrupción operativa, dentro de plazos aceptables, a una capacidad predefinida.

Referencia: ISO 22301:2019

Recuperación ante desastres de TI | IT Disaster Recovery
Conjunto de recursos y actividades para restablecer los servicios de tecnología de la información (incluyendo componentes como infraestructura de TI, telecomunicaciones, sistemas, aplicaciones y datos) en un sitio alternativo, después de una interrupción de los servicios de TI debido a un incidente, emergencia o desastre.

Referencia: DRII/DRJ

Manejo de crisis |  Crisis / Incident Management
Coordinación general de la respuesta de una organización ante una crisis, de manera efectiva y oportuna, con el objetivo de evitar o minimizar el daño a la rentabilidad, reputación o capacidad para continuar operando.

Referencia: DRII/DRJ

Respuesta a ciberataques | Cyber-Security Response
Capacidad para detectar rápidamente incidentes de ciberseguridad —intentos de dañar, interrumpir u obtener accesos no autorizados a una computadora, sistema informático o red de telecomunicaciones—, contenerlos, mitigar su impacto, y restaurar los servicios afectados de manera confiable.

Referencia: ISACA & DRII/DRJ

Respuesta a emergencias | Emergency Management
Un proceso continuo en la organización para prevenir, mitigar, prepararse, responder, mantener la continuidad y recuperarse de un incidente que amenaza la vida, la propiedad, las operaciones o el medio ambiente.

Referencia: NFPA

Seguridad ocupacional | Workplace Safety
Proceso para proporcionar un lugar de trabajo más seguro para los trabajadores y el resto de personas que visitan las instalaciones de la organización; con el fin de evitar accidentes laborales, fallecimientos, lesiones y problemas de salud relacionados con el trabajo.

Referencia: ISO 45000:2018

Gestión de riesgos | Risk Management
La identificación de los riesgos de interrupción para las actividades priorizadas (críticas) de la organización y para los recursos requeridos para dichas actividades; así como el análisis y evaluación de los riesgos identificados, y la determinación de los riesgos que requieren tratamiento.

Referencia: ISO 22301:2019

Resiliencia organizacional | Organizational resilience
Capacidad de una organización para anticipar, prepararse, responder adecuadamente y adaptarse a los cambios incrementales en su entorno, y ante disrupciones repentinas, para sobrevivir y prosperar.

Referencia: BCI

Auditoría | Audit
Inspección y verificación formal para evaluar si se sigue un estándar o guía metodológica, si los registros que se llevan son precisos, o si se cumplen determinados objetivos de eficiencia y efectividad. En nuestra práctica, la auditoría permite evaluar cómo se está gestionando la continuidad del negocio en la organización, a fin de garantizar que esta sea efectiva; en ese sentido, las revisiones de auditoría sirven para analizar la competencia y la capacidad de recuperación existentes en una organización.

Referencia: ISACA & ISO 22301:2019

Fuentes:
Business Continuity Institute. [BCI]. (2018). What is Organizational Resilience? Recuperado de https://www.thebci.org/news/what-is-organizational-resilience.html
BCM Institute. (2020). BCMpedia. Recuperado de http://www.bcmpedia.org/wiki/Main_Page
Disaster Recovery Institute International. [DRII]. Glossary. Recuperado de https://drii.org/resources/viewglossary
International Organization for Standardization. [ISO]. (2019). ISO 22301:2019 Security and resilience—Business continuity management systems—Requirements. Recuperado de https://www.iso.org/standard/75106.html
Information Systems Audit and Control Association. [ISACA]. (2020). Incident Management and Response. Recuperado de https://www.isaca.org/bookstore/bookstore-wht_papers-digital/whpimr
National Fire Protection Association. [NFPA]. (2019). NFPA 1600 Standard on Continuity, Emergency, and Crisis Management. Recuperado de https://www.nfpa.org/codes-and-standards/all-codes-and-standards/list-of-codes-and-standards/detail?code=1600
The British Standards Institution. (2020). ISO 45001:2018 Seguridad y Salud en el Trabajo. Recuperado de https://www.bsigroup.com/es-ES/iso-45001-seguridad-y-salud-trabajo/

Comentarios

Publicar un comentario

Entradas populares de este blog

Mapa de suelos de Lima y Callao #BusinessContinuity #DisasterRecovery

-
Imagen
Extraído del Atlas de Peligros del Perú articulado por el Instituto Nacional de Defensa Civil (Indeci), en el mapa se muestran los resultados del estudio de microzonificación sísmica y tsunami realizado en 2010. Cada color indica una zona la cual corresponde un tipo de calidad de suelo: Peligro bajo (verde) : Está conformada por los afloramientos rocosos, los estratos de grava-aluvial de los pies de las laderas. Este suelo tiene un comportamiento rígido, con periodos de vibración natural. Peligro bajo Peligro relativamente bajo (amarillo) : Se incluyen las áreas de terreno conformado por un estrato superficial de suelo granulado fino y suelos arcillosos. Peligro relativamente bajo. Peligro alto (anaranjado) : Conformada en su mayor parte por los depósitos de suelos finos y arenas de gran espesor que se encuentran en estado suelto. Peligro alto. Peligro muy alto (rojo) : Conformada por los depósitos de arena eólicas de gran espesor y sueltas, depósitos fluviales, depósitos marin
Leer más

¿Qué dice la Ley 29783 (SST) sobre gestión de emergencias? #EmergencyPlanning #BusinessContinuity

-
Imagen
Mediante la ley de Seguridad y Salud en el Trabajo ( Ley N° 29783: 2011 ) y su reglamento respectivo  (D.S. 005.2012-TR), se estableció la obligación para las empresas de contar con un sistema de gestión en seguridad y salud en el trabajo ; el que especifica disposiciones legales específicas con respecto a la respuesta a situaciones de emergencia. En la Ley 29783 de Seguridad y Salud en el Trabajo (SST): Art. 39.- Objetivos de la Planificación del Sistema de Gestión de la Seguridad y Salud en el Trabajo . Con respecto al logro de resultados específicos, realistas y posibles de aplicar por la empresa; comprende (a) la mejora continua de los procesos, la gestión del cambio, la preparación y respuesta a situaciones de emergencia; y (b) la mejora del nivel de participación de los trabajadores y su capacitación.   En el Reglamento de la ley de SST: Art. 33.- Registros obligatorios del Sistema de Gestión de SST : g) […] registro de entrenamiento y simulacros de emergencia (
Leer más

Repasando el MTPD (o período máximo tolerable de interrupción)

-
Imagen
Acorde con la práctica estándar, las organizaciones determinan sus prioridades y requerimientos para el programa de continuidad del negocio, como parte del proceso de análisis de impacto o business impact analysis (BIA). Desde 2006 se introdujo un concepto para ayudar a determinar cómo debían priorizarse las actividades de las empresas ante un evento de interrupción y bajo qué condiciones estas debían ser recuperadas: el período máximo tolerable de interrupción o maximum tolerable period of disruption (MTPD). Image:  https://www.nbcnews.com/news/us-news/ditch-switch-call-go-permanent-daylight-saving-time-grows-n1043051 Según la norma internacional ISO 22301:2019, el MTPD es el período de tiempo dentro del cual, si no se pudieran reanudar las actividades, los impactos llegarían a ser inaceptables para la organización ; amenazando su supervivencia o haciendo que sus objetivos ya no sean alcanzables. Para poder identificar el MTPD para cada actividad, la organización debe decidir primer
Leer más