Apuntes sobre continuidad del negocio

La doctora  Aarti Anhal , Gerente de Operaciones para la consultora 4C Strategies en el Reino Unido, escribió un artículo para la sección "Exercising" de la revista Continuity , titulado " Time to change the direction ". Anhal explica cómo, en lugar de ceñirse estrictamente a un plan de pruebas rígido, es posible estresar el escenario de un ejercicio a través de inyecciones ( injects ) —situaciones no planificadas, desviaciones sorpresivas, incidentes "fuera del guión"—, en la búsqueda del logro de los objetivos de la prueba. Según la doctora, resulta útil contar con estas inyecciones  diseñadas previamente, como "reserva", las que pueden servir tanto para (a) forzar un mayor análisis y respuesta por parte de los participantes de la prueba; (b) reducir la tensión o el nivel de estrés en algún momento de la prueba; así como para (c) permitir continuar con el ejercicio en algún punto de demasiada complejidad. Es importante, también que el equi

Antes que termine el año, no resta el compartir la  última edición de la  revista  Continuity , publicada por el británico  Business Continuity Institute  (BCI) ,  correspondiente al cuarto trimestre del 2012. Aquí, un extracto del contenido de esta interesante edición: Full speed ahead for business continuity Geoff Howard provides his fi rst-hand experience of the phenomenal growth of BCM as a  discipline in China Reconnecting with the supply chain Continuity speaks to Alex Hindson about common metrics amongst supply chain stakeholders. BCM Bureau To what extent is BCM too focused on preparing for ‘past events’ when it should be horizon scanning for future threats? Time to change the direction Sticking to the script or acting ‘on the fly’ – Aarti Anhal explains how injects can play a vital role in maintaining the momentum of your exercise. Fact or Fiction? Andrew MacLeod considers whether it is better to use real or fictitious characters and companies when conducti

El domingo 19 de agosto, a las 7 p. m., un corte de fluido eléctrico en el interior del mall Jockey Plaza (Surco, Lima) causó sorpresa a los visitantes y dejó en penumbras las tiendas y pasillos. El hecho generó incomodidad y temor en los visitantes al Jockey Plaza, que se encontraban de compras o en algún restaurante. Las personas que llegaron en automóvil no pudieron salir de la playa de estacionamiento porque el sistema de tranqueras estaba inoperativo. Asimismo, solo en algunas zonas, como la tienda del supermercado Tottus, tenía luz, pues contaba con servicio eléctrico de emergencia. El corte de luz fue ocasionado “por una baja de tensión que afectó la celda 3 del transformador ubicado al interior de la subestación principal de energía”. Tras el incidente, se activó el plan de contingencia, que consistió en el encendido de luces de emergencia en las áreas comunes del centro comercial, con cinco grupos electrógenos. El servicio de energía eléctrica se normalizó por c

De acuerdo con el diario El Comercio, el huracán Sandy viene generando alarma en Nueva York y en gran parte de la costa este de Estados Unidos. El fenómeno natural ha paralizado las actividades, como la Bolsa de Valores; mientras que, en Miami, 120 vuelos han sido suspendidos. El paso de "Sandy" ha causado ya cinco muertos en el estado de Nueva York y otros dos en el vecino Nueva Jersey, donde hoy la tormenta tocó tierra. "Sandy" viene generando fuertes precipitaciones, oleajes y vientos que han obligado la evacuación en algunas zonas. El equipo de Google Crisis Response ha creado un mapa interactivo del huracán para ayudar a monitorear el progreso de la tormenta y proveer información actualizada para la respuesta a la emergencia.   Fuente : El Comercio.pe. (2012, 29 de octubre). MAPA: sigue la llegada del huracán Sandy a Estados Unidos . Recuperado de  http://elcomercio.pe/actualidad/1489240/noticia-mapa-sigue-llegada-huracan-sandy-estados-unidos

El Modelo de Madurez de Continuidad del Negocio (BCMM – Business Continuity Maturity Model ) de Virtual Corp. se ha venido desarrollando desde 1997, a partir de la necesidad de poder comparar, de manera objetiva, los programas de continuidad del negocio implementados en las organizaciones. Después de cinco años de desarrollo, Virtual Corp. introdujo la primera versión en octubre de 2003. Fue trabajado en conjunto con líderes de la disciplina y expertos de la industria, y su propósito es: Proveer una herramienta de diagnóstico para la evaluación objetiva de la efectividad de un programa de continuidad de negocio. Generar datos consistentes, de los cuales se pueden generar análisis comparativos ( benchmarking ). Poder responder las siguientes preguntas a la alta dirección: ¿Cuál es el nivel de madurez del programa de continuidad del negocio de su organización? ¿En qué nivel de madurez de continuidad del negocio debería estar la organización? ¿Cómo se debería alcanzar, de maner

En un post anterior , comentábamos acerca de las contingencias que las empresas debían implementar, de manera preventiva, ante posibles cortes del suministro eléctrico. Ayer me llegó este informe de APOYO Consultoría, en el que se alerta de una posible restricción en el servicio de energía eléctrica a nivel nacional, que podría afectar seriamente al sector industrial. El sistema de transporte del gas natural de Camisea está en riesgo debido a que: i) casi 200 km de los 729 km que tiene el gasoducto atraviesan el VRAEM (Valle de los Ríos Apurímac, Ene y Mantaro), donde han ocurrido ocho ataques o enfrentamientos armados desde abril; ii) la empresa operadora del gasoducto ha suspendido sus actividades de mantenimiento para preservar la integridad y seguridad de sus trabajadores y contratistas. Si este sistema sufriera un ataque o una falla, el gas almacenado en el ducto alcanzaría para solo 12 horas de consumo y se generaría un problema de desabastecimiento eléctrico a nivel nacional.

Vodafone, compañía multinacional con sede en Reino Unido, es un operador de telefonía móvil, fija y de ADSL que opera en más de 28 países del mundo. Roger McLoughlin, Gestor de Continuidad del Negocio de la gigante de las telecomunicaciones, compartió hace poco su experiencia en el proceso de certificación en el estándar ISO 22301. Según comentó, el proyecto tuvo una duración de nueves meses, desde la primera revisión del FDIS ( Final Draft International Standard ) hasta la realización de la auditoría formal, más otros dos meses hasta obtener la confirmación de que ya estaban certificados. Vodafone ya contaba con la certificación BS 25999, desde el año 2008, así que la auditoría fue conducida para migrar al nuevo ISO 22301, específicamente. Los principales aspectos que tuvieron que ser cambiados, corregidos o vueltos a hacer fueron:  Integración entre la gestión de riesgos y la gestión de la continuidad del negocio (con vínculos auditables). Identificación de los riesgos i

Hace más de un año, el programa colombiano "Negocios en Telemedellín" entrevistó a Alejandro Aristizábal Correa , Consultor en Continuidad del Negocio y Director del diplomado sobre el tema en la Universidad Pontificia Bolivariana (UPB) El Poblado, para explicar en qué consiste la Continuidad del Negocio, su importancia para las empresas y cómo estas se preparan para responder ante incidentes que puedan poner en peligro su permanencia y su visión. El especialista explicó que es de gran importancia que las empresas realicen una evaluación de riesgos (RA - risk assessment ), sumado a un análisis de impacto al negocio (BIA - business impact analysis ), y así incursionar y desarrollar los planes de continuidad (BCP - business continuity plans ) en la compañía.

Hace unas semanas, Pierre Dorion escribió un artículo titulado  Identifying business impact assessment errors , que, en resumen, enumera los errores más comunes en el proceso de análisis de impacto al negocio (BIA - business impact analysis ): Confundir la criticidad de una aplicación con su importancia para el negocio (¿Genera pérdidas o, simplemente, un doloroso inconveniente?) Pensar que el BIA es un proceso de una-sola-vez (Debe ser realizado periódicamente) Tratar de mitigar todos los riesgos durante el BIA, pensando así se reducirá el impacto (El BIA identifica el impacto "inherente"). Convocar a la gente equivocada a los talleres BIA (Es esencial el soporte y participación de las gerencias). Especialmente para compañías que conducen el BIA por primera vez, no contar con personal probadamente calificado y experimentado. Fuente : Dorion, P. (2012, septiembre). Identifying business impact assessment errors . SearchDisasterRecovery - TechTarget. Recuperado

Encontré este video editado por un grupo de universitarios norteamericanos, como propuesta para sensibilizar y concientizar respecto de la continuidad del negocio. ¡Muy divertido!

En su presentación para Latin America CACS, Álvaro Rodríguez de Roa Gómez (SGS) definió a los modelos de madurez como herramientas para realizar diagnósticos (análisis de brechas o gap analysis ) del estado actual en el que se encuentra una organización, contra un estándar o buena práctica, en materia de Continuidad del Negocio. Permiten cuantificar el nivel de cumplimiento y de madurez de la organización, respecto de la norma o práctica de referencia, y proponer los pasos a seguir con el objeto de aumentar dicho nivel de cumplimiento, chequear el grado de madurez de los mismos, los controles existentes e identificar la existencia de riesgos que puedan afectar la interrupción de la actividad del negocio y minimizar sus impactos en caso de la materialización de un evento de interrupción. Existen diversos modelos de madurez — BCMM (Virtual Corporation), CM 2 (ContinuitySA),  CERT-RMM (Carnegie Mellon University), Business Continuity Index (IBM),  Organizational Resilience Maturit

A todos nos gustan las infografías, ¿cierto? Pues aquí comparto la publicada en el sitio web ISO 27001 & ISO 22301 , que explica de manera muy ilustrativa las semejanzas y diferencias entre la norma ISO 22301 y su predecesora, la BS 25999-2. Fuente : Kosutic, D. (2012). ISO 22301 vs. BS 25999-2 – Infografía . ISO 27001 & ISO 22301. Recuperado de http://blog.iso27001standard.com/es/2012/05/22/iso-22301-vs-bs-25999-2-infografia/

En abril del 2009, la Superintendencia de Banca, Seguros y AFP (SBS), publicó los circulares G-139-2009 y G-140-2009 , referidos a la Gestión de Continuidad del Negocio y Gestión de Seguridad de la Información, respectivamente. El circular G-139-2009 es de cumplimiento obligatorio para las empresas del sector financiero peruano, incluidos los bancos, cajas municipales de ahorro y crédito, financieras, compañías de seguros y administradoras de fondos de pensiones (AFP); y tiene como propósito definir los criterios mínimos para elevar el nivel de preparación de las organizaciones para poder hacer frente a eventos externos que puedan interrumpir sus actividades críticas, así como contar con la capacidad para recuperar dichas actividades en el menor tiempo posible. Basado en la norma BS 25999, el circular establece cinco fases, como parte del sistema de gestión de continuidad del negocio:  Fuente : Morales, A. (2011, abril). Circulares G-139-2009 y G-140-2009 de la Superinten

Dejan Kosutic (2012) respondió a la pregunta "¿Cómo encaja la continuidad del negocio en la gestión corporativa?", indicando que la continuidad del negocio es parte de la gestión integral de riesgos en una compañía y que tiene áreas superpuestas con la gestión de seguridad y tecnologías de la información. El diagrama habla por sí solo. Fuente : Kosutic, D. (2012). Conceptos básicos sobre ISO 22301 . Recuperado de http://www.iso27001standard.com/index.php?option=com_content&view=article&id=421:sto-je-iso-22301&catid=9

En su guía de buenas prácticas, el Business Continuity Institute (BCI, 2010) incluyó este interesante glosario de términos relacionados con la disciplina de Continuidad del Negocio: Aceptación del riesgo Decisión administrativa para no tomar ninguna acción de mitigación del impacto de un riesgo en particular. Actividad Proceso o conjunto de procesos realizados por una organización (o en su nombre) que produce o apoya uno o más productos o servicios. Actividad urgente Término utilizado para cubrir actividades de apoyo de productos y servicios que necesitan hacerse en una escala de tiempo muy corta. Otros términos como "inmediato" o "tiempo crítico" también pueden utilizarse, pero sólo “crítico” implica actividades menos urgentes que también son menos importantes. Activo Cualquier elemento que tiene valor para la organización. Gestión de la Continuidad del Negocio (GCN) Proceso holístico de gestión que identifica amenazas potenciales a la organ

Francisco Guzmán Cárdenas Técnico Ingeniero Mécanico A partir del artículo publicado hace unos días en el diario Gestión , acerca del riesgo latente de cortes de suministro eléctrico en el Perú, entrevistamos al especialista en Mantenimiento Industrial, Francisco Guzmán Cárdenas: ¿Qué opina sobre la advertencia del presidente del Comité de Operación Económica del Sistema Interconectado Nacional (COES)? FGC: La suspensión del gaseoducto para las centrales termoeléctricas de Chincha, las cuales aportarían una cantidad importante de energía para el sistema interconectado nacional, no afectará el abastecimiento energético en la ciudad de Lima; sin embargo, limitará la reserva de energía. Tenemos una ciudad que crece verticalmente, donde el desarrollo de infraestructura para la generación eléctrica no ha crecido en paralelo a las necesidades de la nación. Debemos confiar en el correcto mantenimiento de las centrales hidroeléctricas, esperar que la naturaleza sea amigable con n

Jorge García Carnicero   compartió en el ISO 22301 Spanish Group , hace unos días, un interesante artículo acerca del apetito de riesgo ( risk appetite ) en el contexto de la continuidad del negocio, bajo el nuevo marco normativo de la ISO 22301. Desde la perspectiva del riesgo operacional , según mi colega Renzo Vásquez, el apetito es la cantidad de riesgo tratado que la organización está dispuesta y preparada a asumir o retener. Dicho apetito va a responder a varias métricas —las que sean importantes para la alta dirección—; no siendo todas, necesariamente, cuantitativas, sino que también pueden considerarse las de medición cualitativa. Por otro lado, estos niveles de aceptabilidad de riesgo deben ser revisados periódicamente. Zawada y Rupert (2012) opinaban que la integración de este concepto en el sistema de gestión de la continuidad del negocio era necesaria por dos razones: La organización debe establecer su apetito para todos los tipos de riesgos a los que está e

En marzo de 2010, en la  WhyFLOSS Conference Madrid 2010 , José Manuel Ballester —Cátedra de Buen Gobierno de la Universidad Deusto (España)— realizó una ponencia acerca de la continuidad del negocio, como elemento clave en la gestión de empresas. El especialista señaló que la diferencia entre el éxito y el fracaso para una organización podría estar en su capacidad para mantener las operaciones críticas, durante y después de un acontecimiento desastroso, tanto como la velocidad de respuesta en que se puede reestablecer su funcionalidad completa. En este sentido, Ballester recomendaba el uso de software libre, debido al bajo costo de que representaban para la implementación y mantenimiento de las infraestructuras tecnológicas alternas. Continuidad de negocio usando Software libre from EOI on Vimeo . Fuente : Ballester, J. M. (2010, marzo).  Continuidad de negocio usando Software libre . Cátedra de Buen Gobierno.  Universidad Deusto, España. Recuperado de  http://vimeo.com

Nick Balletta iba en el tren PATH que se dirigía a la ciudad de Nueva York, cuando el primer avión se estrelló contra las torres del World Trade Center, el 11 de septiembre del 2001. "Todo el mundo se quedó paralizado", dice Balleta, Gerente General (CEO) de TalkPoint , una empresa de tecnología de comunicaciones localizada a tres cuadras de la Zona cero . "Ni siquiera sabía dónde se encontraban mis trabajadores". TalkPoint tomó esa experiencia verdaderamente en serio. La compañía ahora prueba su red de contactos telefónicos de los empleados dos veces al año; sus centros de cómputo fueron trasladados hacia afueras de áreas metropolitanas para mayor seguridad; y una vez al año, todos los empleados trabajan desde locaciones remotas para simular una situación de emergencia. Balleta agrega que nadie en la empresa se opone a la preparación "extra": "Muchas de las personas que trabajaban aquí el 11 de septiembre todavía siguen aquí. Ha quedado mar

El Reino Unido es uno de los referentes más importantes respecto a programas de continuidad del negocio. Desde 2001, el Chartered Management Institute - CMI   viene realizando encuestas anuales a organizaciones británicas, cuyos resultados nos brindan una visión comparativa útil, con la que podemos hacer benchmark  y encaminar mejor nuestros programas. En su último reporte , publicado en marzo, una de las estadísticas más interesantes fue el ranking histórico de interrupciones 2007-2012. En él se observa que los eventos climáticos/ambientales, la pérdida de la infraestructura de TIC (Tecnología de la Información y Comunicaciones) y la pérdida de personal clave siguen encabezando la lista de amenazas que afectan la continuidad de las operaciones en las empresas en dicho país. Fuente : Woodman, P. & Pearson, G. (2012, marzo). Planning for the worst: The 2012 Business Continuity Management Survey . Recuperado de http://www.bcifiles.com/BCMReport2012.pdf

Después del primer atentado terrorista contra el World Trade Center , en 1993, la empresa de servicios financieros Morgan Stanley  llegó a la conclusión de que su plan de preparación ante desastres no era tan bueno: aunque ningún empleado falleció, se necesitaron 4 horas para evacuar a todos —algunos tuvieron que bajar a pie 60 pisos de escaleras o más hasta llegar a un lugar seguro—. A raíz de este evento, Morgan Stanley rediseñó un plan multidimensional ante desastres, revisando con más detalle sus operaciones y evaluando los riesgos potenciales; pero principalmente, realizó prácticas frecuentes de dicho plan para preservar la seguridad de sus empleados en caso de otro desastre. El 11 de septiembre del 2001 , luego del atentado al edificio Uno del World Trade Center, personal de seguridad de Morgan Stanley ordenó la evacuación de los 3,800 empleados de los edificios Dos y Cinco; tardando solamente 45 minutos para llegar a un lugar seguro. Lamentablemente, 13 empleados fallecieron

En el mes de agosto, 43 muertos y más de 1200 enfermos fue el resultado de un brote del virus del Nilo Occidental ( West Nile Virus - WNV ) en 47 de los Estados Unidos de América. El brote fue finalmente contenido, esparciendo pesticidas por aire para erradicar a los mosquitos agentes del contagio —a pesar de la preocupación de la población—. Technical Response Planning Corporation publicó un artículo, a raíz de este evento, en el que resalta que las medidas preventivas pueden (a) limitar las implicaciones de un brote, y (b) minimizar situaciones potenciales de pandemia . De acuerdo con su recomendación, las empresas deben documentar y formalizar medidas preventivas para contener brotes virales, a través de planes de respuesta ante amenazas de pandemia  (Pandemic Response Plans - PRP) .  Los PRP son anexos específicos a los planes de respuesta a emergencias que buscan establecer y preservar la continuidad del negocio ante el evento de un brote pandémico, a nivel de la poblac

Muchas de las interrupciones de la infraestructura tecnológica (TI) se originan por incidentes simples, tales como cortes del suministro eléctrico o actualizaciones de software. Sin embargo, muchos ambientes de TI, hoy en día, requieren alta disponibilidad y necesitan arquitecturas resilientes capaces de minimizar los tiempos de interrupción. En este video, IBM explica su estrategia para proveer esta disponibilidad continua, a través de la tecnología de virtualización. La recuperación ante desastres basada en la nube asegura el tiempo de recuperación de una estrategia de dedicada,  al costo de una estrategia de recuperación compartida .

La cadena de llamadas (o call tree , en inglés) es un procedimiento telefónico que se utiliza para notificar o alertar al personal sobre la ocurrencia de una emergencia en las instalaciones de la empresa, usualmente  en horarios fuera de oficina. El procedimiento general es que (a) una persona llame y entregue el mensaje a un grupo pequeño de personas; entonces, (b) estas personas llaman y pasan el mensaje a otras; hasta que, finalmente, (c) todo el personal relevante ha recibido el mensaje. Para garantizar que la cadena de llamadas funciona, esta debe probarse periódicamente, ya que los números telefónicos errados o los cambios de teléfono pueden obstaculizar su eficacia. Sandesh Sheth, desde su canal en YouTube,  Business Continuity Made Simple , explica cómo implementar y ejercitar las cadenas de llamadas. Fuentes : Risky Thinking. (2012). Call Tree (Definition) . Recuperado de  http://www.riskythinking.com/glossary/call_tree.php Faucheux, M. (2012) . Call Tree

Las organizaciones normalmente implementan el liderazgo necesario para el programa de continuidad del negocio, a través de tres roles: 1. Auspicio ( sponsorship ) - provee y garantiza el soporte organizacional y financiero. 2. Propiedad ( ownership ) - responsabilidad directa del aseguramiento del soporte, así como la ejecución de todo el programa. 3. Custodia ( custodianship ) - responsabilidad de coordinación de las tareas propias de la gestión de la continuidad del negocio, las que son ejecutadas a través de toda la organización. Los roles de auspicio y propiedad del programa actualmente tienden a instancias organizacionales con visibilidad del negocio completo y con experiencia en la administración de riesgos. Con base en esta tendencia, Protiviti (2006) ha desarrollado una lista de auspiciadores y propietarios en orden decreciente de efectividad: Finanzas - El director financiero (CFO - Chief Financial Officer ), o un reporte directo, aportando la visión de rie

Este mes, Andrew MacLeod, consultor de Needhams 1834 (Inglaterra) —un proveedor independiente líder en gestión de riesgos y consultoría en continuidad de negocios, planeamiento y servicios de entrenamiento— compartió las experiencias vividas como parte del proceso de certificación de Needhams al estándar publicado en el mes de mayo, ISO 22301:2012 Societal security – Business continuity management systems – Requirements . MacLeod enfatizó la importancia de contar con acompañamiento de auditores independientes experimentados no necesariamente en certificaciones ISO 22301 —dada su reciente publicación—, sino en procesos de certificación ISO en general. Para Needhams, el proceso se desarrolló en dos etapas: (1) revisión de la documentación del sistema de gestión de continuidad del negocio (BCMS - business continuity management system ); y (2) confirmación de cómo este sistema de gestión se encontraba articulado y cómo estaba siendo implementado. Algunos de los ajustes a que tuvi