Archivo de la etiqueta: Colombia

Continuidad de los servicios TI – clave para la sobrevivencia de las organizaciones

Sandra Camacho

Hoy en día la continuidad de nuestras organizaciones depende en gran medida de la continuidad de los servicios de tecnología de información (TI), de tal manera que una adecuada gestión de estos servicios conlleva a aumentar el éxito en el logro de los objetivos de continuidad de las organizaciones. En este artículo, se expondrán los logros y beneficios para la continuidad de negocio logrados en el Banco de la República de Colombia con la implementación de los procesos de gestión de tecnología bajo las mejores prácticas propuestas por ITIL (Information Technology Infrastructure Library), incluyendo los factores de éxito y lecciones aprendidas durante de implantación de las prácticas de ITIL.

 

Contexto de los procesos del Banco

El Banco de la República es el Banco Central de Colombia, por tal razón, tiene funciones constitucionales críticas para el sector financiero del país. Estas funciones son: administrador de las reservas internacionales, banco de bancos, banco, agente fiscal y fideicomiso del Gobierno, emisor de moneda legal, funciones cambiarias, estratega de la inflación objetivo de Colombia, prestamista de última instancia, promotor del desarrollo científico, cultural y social; y rendición de cuentas a los colombianos, siendo su principal objetivo el control de la inflación. Su misión ha sido definida como  “Contribuir al bienestar de los colombianos mediante la preservación del poder adquisitivo de la moneda y el apoyo al crecimiento económico sostenido, la generación de conocimiento y la actividad cultural del país”. El Banco de la República de Colombia tiene presencia nacional a través de 28 sucursales, una en cada ciudad capital del país, con sucursales de oficinas de tesorería en algunas de ellas y presencia cultural en todas ellas.

 

Contexto de los procesos de la dirección general de tecnología

Como es común en todas las organizaciones, para el cumplimiento de su misión, el Banco de la República cuenta con un  alto componente tecnológico con plataformas heterogéneas, diversos sistemas, proveedores y fabricantes, tecnologías “tradicionales” y “de punta”; y con proyectos transversales de modernización, que afectan servicios de misión crítica, convivencia de plataformas “nuevas” y “obsoletas”; lo que exige una gestión altamente eficiente y efectiva y de manera más sobresaliente, una gestión de continuidad. Es así como hoy en día, la continuidad de nuestra organización depende en gran medida de la continuidad de los servicios de tecnología, de tal manera que una adecuada gestión de estos servicios conlleva a aumentar el éxito en el logro de los objetivos de continuidad.

Con este contexto, la misión de la dirección de tecnología del banco es la siguiente: “Contribuimos al cumplimiento de los objetivos del Banco y a la generación de valor a sus áreas, brindando servicios y productos basados en tecnología”, de tal forma, que es necesario que esta base tecnológica tenga un altísimo grado de continuidad; puesto que en general, toda la operación es soportada por alguno de estos servicios. Por otro lado, cualquier inconveniente sobre esta plataforma o la funcionalidad de los aplicativos operativos específicos, puede generar un riesgo sobre la continuidad del negocio.

Como base de la gestión en la dirección general de tecnología del Banco, se cuenta con un  “gobierno de tecnología” fundamentado en el liderazgo, los niveles de autoridad, la  estructura organizacional y los procesos; estos últimos, basados inicialmente en las áreas funcionales y evolucionando hacia procesos transversales. Asimismo, se cuenta con indicadores de gestión que incluyen tanto indicadores estratégicos como de operación, y particularmente, la medición de puntos críticos para la continuidad y la gestión de riesgos; ésta última, dentro del contexto organizacional de la gestión de riesgo operativo y la rendición de cuentas.

Dentro de las mejores prácticas empleadas como fundamentación de esta gestión tecnológica se cuenta con: COBIT para el control gerencial, ISO 9001 para la gestión de la calidad, ISO 27001 para la gestión de seguridad, CMMI para el desarrollo de aplicaciones, PMI para la gestión de proyectos, prácticas profesionales del DRI International (Disaster Recovery Institute International) y del BRCCI para la gestión de continuidad e ITIL para la gestión de servicios.

 

Logros y beneficios del uso de ITIL para la gestión de continuidad de los servicios TI del Banco

¿Cuáles han sido los logros y beneficios de ITIL para el Banco? Básicamente estas buenas prácticas han brindado un apoyo importante en la adecuada gestión de la tecnología de la organización, facilitando la visión transversal de los procesos de TI y permitiendo la operación estandarizada y coordinada de las actividades propias de la gestión de la tecnología, la cual de acuerdo a ITIL, es clasificada en cuatro grandes macro-procesos a saber: Estrategia, Diseño, Transición y Operación.

Estrategia del servicio

Para poder explicar a detalle estos logros y beneficios, los presentaré a través de un recorrido por los cuatro macro-procesos de ITIL. Para identificar estos  beneficios, hemos encontrado que cada uno de ellos nos brinda un aporte importante, e incluso fundamental, para la continuidad de los servicios de tecnología; particularmente, en la realización de una adecuada definición estratégica a través de los procesos estratégicos de gestión financiera, gestión del portafolio y gestión de la demanda, puesto que esto ha facilitado una adecuada gobernabilidad de los servicios al estar enmarcados en la visión estratégica y táctica de la organización y así se engrana esta visión con la operatividad de la gestión de tecnología.

Estas buenas prácticas las hemos sintonizado dentro del engranaje del gobierno de TI del Banco a través de su seguimiento, mediante indicadores de gestión que son revisados mensualmente en los comités de gerencia de TI. Asimismo, están inmersos en los estándares definidos para las arquitecturas,  desarrollo y mejoramiento de nuevos productos, donde se hecho evidente la importancia de una metodología de gerencia de proyectos estructurada y basada en la gestión de la demanda. Por otro lado, han sido fundamentales los adecuados niveles de autoridad y de estructura organizacional que facilitan el acercamiento de estas buenas prácticas a todos los niveles dentro de la organización de TI.

Diseño del servicio

En cuanto a los procesos de “Diseño del  Servicio” y resaltando de manera inicial lo que para nosotros ha sido el punto de entrada, el proceso de “Gestión del Catálogo”. Este proceso nos ha llevado a conocer explícita y transversalmente, a nivel de toda la organización, cuáles servicios están en producción, sus modificaciones, y la salida de los mismos de la operación; lo cual ha permitido tener una visibilidad y control adecuada para la gestión de Continuidad de TI desde diversos frentes fundamentales, como son: las áreas operativas, las personas que operan TI y la gerencia, ya que ha  permitido un acceso ágil a los productos y servicios de TI, especialmente cuando se presenta una crisis o un requerimiento especial sobre alguno de éstos. La contextualización y la interrelación con TI han ayudando incluso a visualizar mejor el contexto y la dependencia de TI de las áreas, lo que les ha facilitado estructurar mejor sus planes de acción dentro de sus planes de continuidad de negocio (BCPs, business continuity plans), para los asuntos relacionados con TI.

Sin embargo, este proceso no tiene sentido si se maneja de manera aislada, y en particular, si el objetivo es garantizar ese adecuado entendimiento entre lo que esperan las áreas operativas y lo que TI está en capacidad de ofrecer. Por tanto, se debe ofrecer al menos, parámetros que deben estar claramente descritos a través de la “Gestión de los Acuerdos de Servicio”. Este proceso es tal vez uno de los procesos que se ha tornado más crítico para la adecuada gestión de continuidad de TI del Banco, frente a lo que se espera para la operación del negocio. En este punto es donde hemos podido especificar de manera concreta y aterrizada para la organización, las expectativas tanto en situación de normalidad como en eventos de crisis. En su primera versión nos concentramos más en la prestación del servicio en estado de normalidad, y hoy en día, hemos incluido un capítulo relacionado con la continuidad, donde hemos especificado explícitamente los tiempos estimados de los objetivos de recuperación de las operaciones (RTO, recovery time objective) y de  información (RPO, recovery point objective), para los casos en los que se presente una falla que afecte el servicio; estableciendo incluso, tiempos por tipo de falla. Este elemento ha permitido llegar a acuerdos importantes con la operación del negocio, ya que eventualmente hemos tenido que cambiar prioridades o incluso iniciar proyectos de aumento de capacidad o de cambios de arquitectura con miras a poder lograr el cumplimiento de los requerimientos del negocio en tiempos objetivo de recuperación. Por otro lado, ha permitido a las áreas operativas revisar sus análisis de riesgos y de impacto al negocio (BIA, business impact analysis), a la luz de un mayor conocimiento sobre la viabilidad de sus estimados de tiempos de recuperación, generando ajustes a sus planes de acción. Es así que cada vez trabajamos más de la mano  en el logro de un BCP realmente viable.

En este mismo sentido, los procesos de diseño relacionados con la “Gestión de Disponibilidad” y la “Gestión de Capacidad”, nos han brindado herramientas clave para poder dar cumplimiento a los “Acuerdos de Servicio”. Estos procesos nos han permitido identificar nuestra capacidad real, de tal manera que hemos podido estructurar planes de acción de TI con una clara especificación de prioridades de atención y conforme a los “acuerdos de servicio”, especialmente cuando se han conjugado una serie de eventos o de situaciones que demandan el uso de los recursos de manera simultánea. Particularmente, ha sido importante tomar en consideración no solo la capa de infraestructura y de telecomunicaciones, sino cada elemento de hardware, los centros de cómputo, de almacenamiento, etc.; siguiendo con las capas de las arquitecturas y llegando a la capa final de aplicación y presentación en lo relacionado con los servicios. Para nosotros ha sido fundamental incluir en estos procesos la capacidad y disponibilidad del recurso humano que administra, realiza el monitoreo y gestiona los servicios de tecnología, así como el concientizar a estas personas de los acuerdos que han sido establecidos con las áreas operativas y la operación del negocio, lo cual ha permitido trabajar de manera más sincronizada en los momentos donde más se ha requerido, es decir, cuando hay una crisis o emergencia.

La gestión de continuidad del negocio, y especialmente la continuidad de TI, no está completa si no se toma en cuenta a los proveedores de servicios. En este punto se tiene en ITIL el proceso de “Gestión de Proveedores”. Para el Banco, ha sido muy importante considerar los asuntos relacionados con la disponibilidad de los servicios ofrecidos, sus planes de acción en caso de falla y el seguimiento a síntomas que puedan generar posibles riesgos para la operación del Banco. Es así que ha sido fundamental la realización de análisis de riesgos de estos proveedores, lo que ha permitido considerar puntos clave de monitoreo y validación del cumplimiento por parte de éstos, ya que pueden tornarse el eslabón más débil para la operación.

En este grupo se encuentran dos procesos adicionales: la “Gestión de Continuidad de los Servicios de TI” y la “Gestión de Seguridad de la Información”, donde hemos enmarcado las mejores prácticas tanto de Continuidad como de Seguridad, como son las prácticas propuestas por DRI International e ISO 27001, respectivamente.

Transición del servicio

Podemos decir que los procesos de “transición” son los que generan más riesgos para la continuidad de TI, puesto que este en este grupo de procesos se encuentran la “Gestión de los Cambios” y  la “Gestión de Despliegue y Liberaciones”. En nuestra experiencia, hemos encontrado que las fallas de TI se han presentado cuando se lleva a cabo algún cambio sobre las arquitecturas o cuando llega un nuevo servicio a producción. Esto a pesar del cuidado en la realización de estas tareas, ya que en muchas ocasiones no se contaba con los niveles adecuados de autorización o de evaluación del impacto o del conocimiento de la dinámica del negocio, para poder así, determinar cómo y cuándo llevar a cabo estas acciones sobre las plataformas de TI, así como el realizar la adecuada notificación a las áreas del negocio involucradas, con el fin de que estas últimas a su vez, tomaran medidas de precaución o informaran de situaciones de negocio que permitieran mitigar el impacto en caso de una falla.

Estos procesos se complementan con la realización de una “Gestión de Activos y Configuración”, que nos ha facilitado el adecuado manejo de los cambios sobre la plataforma, los cuales, como fue comentado anteriormente, han sido la mayor causa-raíz de problemas de continuidad en los servicios de TI. El proceso de Gestión de Activos y Configuración nos ha permitido contar con un nivel adecuado de conocimiento  de los elementos y de la configuración sobre la cual se van a realizar los cambios, facilitando el adecuado análisis de riesgos e impactos sobre la plataforma de TI en el momento de realizar un cambio. Este proceso ha venido a jugar un papel importante para garantizar la Continuidad de los servicios de TI, mediante un control fuerte en las autorizaciones de los cambios, la evaluación de manera juiciosa en caso de llevar a cabo el cambio, el análisis de los impactos sobre las plataformas y sobre la dinámica del negocio; así como entender el cómo se llevaría a cabo el “retorno” del cambio (en caso de identificar que no operara adecuadamente), y entender el mejor momento para la realización del cambio, de acuerdo a la dinámica de los negocios afectados y del nivel de preparación respecto a las “Contingencias Operativas”, en caso de presentarse una situación grave que impida la recuperación en los tiempos estimados. La correcta “Gestión de la Configuración” así como de un adecuado conocimiento de las arquitecturas de la plataforma, permiten tomar decisiones más acertadas sobre dichos cambios.

Operación del servicio

Los procesos de “Operación”, nos han brindado un conjunto de lineamientos para llevar a cabo una gestión eficaz de los servicios una vez que están en operación, y especialmente para la continuidad de TI. La identificación pronta y oportuna de incidentes o eventos que puedan afectar la operación del negocio así como su ágil escalamiento y solución, a través de procesos de “Gestión de Incidentes” y “Gestión de Eventos”, han facilidado llevar a cabo acciones inmediatas de toma de control, evitando impactos mayores sobre la operación del negocio. Asimismo, nos ha permitido evitar la reincidencia de eventos y la corrección definitiva de fallas, a través de la realización juiciosa de análisis causa-raíz, el cual es parte del proceso de “Gestión de Problemas”.

Por otro lado, muchos de los riesgos de continuidad de TI, particularmente las negaciones de servicio o errores de personas que no operan correctamente la tecnología o los productos, son controlados a través de la “Gestión de Acceso”. Este proceso brinda al Banco un control eficiente del riesgo de acceso no autorizados de personas, que a su vez, pueden generar otros riesgos, ya sea de manera  intencional o no intencional para la continuidad de los servicios. Adicionalmente, a través de este proceso podemos identificar la dinámica de los usuarios de los servicios, lo que nos ha brindado información útil para la evaluación del impacto frente a eventuales caídas de los servicios de TI, así como para la identificación de los roles que deben ser convocados en caso de crisis y para la estructuración de un esquema de roles y responsabilidades de titulares y suplentes que permitan soportar la operación, incluso, en casos de problemas operativos que afecten la continuidad del negocio.

Finalmente, a la luz de ITIL existe un proceso para la solicitud automática de “servicios”, el cual nos ha permitido facilitar y aumentar la oportunidad de atención a las áreas operativas, evitando demoras en la petición requerida; minimizando al mismo tiempo, los tiempos que puedan afectar la continuidad de las operaciones.

Es así, como hemos encontrado muchos beneficios en cada uno de los procesos presentados por ITIL, que facilitan la labor de brindar Continuidad de los servicios de TI. Como se comentó al inicio de este artículo, en la medida que las organizaciones dependen cada vez más de la infraestructura de tecnología, de sus servicios y de la información, a nivel operativo, táctico y estratégico, la continuidad de los servicios de TI se convierten en la parte más crítica de la continuidad del negocio.

 

Factores de éxito y lecciones aprendidas

En general dentro de los obstáculos encontrados, principalmente está la visión funcional que tiene cada área de tecnología y que tradicionalmente así ha venido manejando, especialmente porque las estructuras llevan a trabajar en grupos aislados y con pocas interfaces entre sí. Sin embargo, para la superación de este obstáculo se realizó un trabajo conjunto entre los directores de las distintas áreas, encaminado hacia una misión y visión unificada como área de TI y enmarcada dentro de la hoja de ruta definida por la organización.

El cambio en los procesos no siempre ha sido fácil y la necesidad de estandarización de estos procesos viene entonces a jugar un papel importante en su viabilidad. Particularmente en lo que respecta al manejo de excepciones, ya que siempre se presentarán las urgencias, entre otras, las originadas por nuevas reglamentaciones o solicitudes especiales que exigen brindar y llevar a cabo los procesos con mayor prontitud, lo que a su vez dificulta realizar todas las actividades definidas para el proceso. En estos casos, se definieron compromisos para el cumplimiento de elementos que podrían desarrollarse posteriormente; sin embargo, es importante dar el seguimiento y llevar el control de dichos compromisos.

Un factor clave de éxito que hemos aprovechado, es involucrar activa y directamente a los directores de cada una de las áreas, tanto de tecnología como de las áreas operativas clave que participan en los procesos, quienes conscientes de la importancia de la aplicación de las buenas prácticas para la gestión, han trabajado en conjunto y con una visión global del proceso dentro del contexto de la organización.

Adicionalmente, si bien las herramientas de apoyo no es lo primero a tomar en cuenta, si han representado una pieza importante dentro del engranaje de estos procesos, ya que han brindando la trazabilidad necesaria, la base de conocimientos, la identificación y la solución temprana de situaciones que pueden poner en riesgo la continuidad del negocio. Para el caso del Banco, se cuenta con la automatización ofrecida por las herramientas de Hewlett-Packard y Altiris, con las que hemos automatizado los procesos de “Gestión de Incidentes”; “Gestión de Eventos, Alertas y Monitoreo”; “Gestión de Configuración” y “Gestión de Atención de Solicitudes”.

Una adecuada concientización en todos los niveles de la organización y de manera transversal, permitirá que se logre el mejoramiento o incluso, la estructuración de procesos de gestión. Sin esta conciencientización, será un trabajo extenuante y seguramente sin muchos frutos. Por esta razón, cualquier esfuerzo debe comenzar por esta actividad, pero no realizarla solo al inicio, sino continuar con la concientización de manera permanente y en todo nivel, mostrando con hechos concretos el mejoramiento. De esta manera, se logrará incluso que de las personas que antes eran detractoras de este esfuerzo, aporten ideas que serán valiosas para la maduración de los procesos y en nuestro caso, para la gestión del servicio de TI.

A manera de conclusión, es importante resaltar que al brindar un mejor servicio hemos podido brindar también mayor productividad y mejorar la confianza de las áreas operativas y del Banco sobre las acciones de tecnología, lo  que ha permitido minimizar la incertidumbre, incrementar la pro-actividad en la operación, y mejorar la calidad en diseño de los servicios. Esto último, nos ha llevado a minimizar el riesgo de fallas en operación, incrementar la prevención de incidentes en operación, la trazabilidad de lecciones aprendidas y la mejora en el tiempo de diagnóstico y solución, lo que al final, se traduce en niveles adecuados de continuidad de TI y por tanto de continuidad del negocio.

 

Sandra P. Camacho Bonilla tiene más de quince años de experiencia en las áreas de continuidad del negocio, gestión de riesgos y manejo de estándares y políticas de tecnología. Desde hace siete años es la directora de la unidad de soporte y continuidad de tecnología del Banco de la República de Colombia (Banco Central de Colombia). Especializa en “Business Impact Analysis” y  “Emergency Management & Safety Solutions”. Entre sus experiencias ha liderado acciones de planeación, respuesta y recuperación de  operaciones en diversos escenarios de contingencia en el sector financiero, implementación, control y seguimiento de centros de datos alternos remotos. Líder de los procesos de certificación de calidad ISO 9001 y auditor ISO 27001 para el área de tecnología del Banco de la República de Colombia. 

Es certificada en CBCP por el DRI International desde 2001 en Boston, Massachusetts, ITIL versión 3, Auditor ISO 27001 e ISO 9001 y PMP por el PMI desde el 2005. Ingeniería y Maestría en sistemas y computación de la Universidad de Los Andes. Ha sido docente académica de la Universidad de Los Andes, Universidad Javeriana y Universidad Piloto de Colombia así como conferencista en eventos de seguridad informática y continuidad.

Seguridad industrial y salud ocupacional en la continuidad del negocio

Carlos Alberto Vargas Sabogal

Al hacer la estimación de los impactos financieros y operativos durante la conducción del análisis de impacto al negocio y la evaluación de los riesgos de continuidad para la implementación de un programa de continuidad de negocio en la organización, a las áreas de Seguridad Industrial y Salud Ocupacional no se les analiza con la debida importancia.

La seguridad industrial (SI) y la salud ocupacional (SO) son dos elementos claves para la continuidad del negocio que han venido posicionándose en el diseño de estos programas, debido principalmente a tres factores mutuamente dependientes:

los altos costos incurridos por las organizaciones por el pago de incapacidades, reemplazos e indemnizaciones como consecuencia de los accidentes y enfermedades profesionales; la cada vez más exigente legislación con la expedición de normas internacionales para garantizar mejores condiciones de trabajo para los empleados; y por último, la mayor toma de conciencia sobre la importancia real de la salud ocupacional en uno de los recursos estratégicos del negocio: el ser humano.

Análisis de los requerimientos funcionales

Cada vez que se realiza un análisis de impacto al negocio por procesos, éste se efectúa sobre:

  • La afectación por la no entrega de un bien o servicio derivado del proceso crítico evaluado, los ingresos de la organización, y por consiguiente, sobre su rentabilidad; esto equivale a la eficiencia económica del negocio.
  • ¿Qué tanto se afectan clientes y usuarios por la no disponibilidad de ese bien o servicio? Lo que se traduce en su probable pérdida y la posibilidad de incurrir en altos costos para su recuperación.
  • También, se analiza la afectación a la imagen o marca de la organización en caso de interrumpir el flujo normal del bien o servicio en el mercado, bien por su no disponibilidad permanente, o bien por su calidad, lo que significa el costo de reposicionar la marca.
  • Se evalúa el impacto legal, el cual ocupa un lugar importante en el análisis, por cuanto la no entrega de un bien o servicio dentro de los términos y condiciones pactados con clientes, en especial con los que consumen los mayores volúmenes, en muchos casos implican contratos con fuertes cláusulas de penalidades. Implica costos imprevistos no presupuestados y molestos litigios entre las partes, acarreándose la posibilidad de pérdida financiera por incumplimiento.
  • Se toman en cuenta otras afectaciones como la posibilidad de detener o impactar procesos precedentes o posteriores y el impacto sobre la operación de toda la entidad.
  • La posibilidad de generar fuertes impactos externos sectoriales o por industria, por falta de suministro de bienes o servicios.

Lo mismo sucede cuando se conduce el análisis de riesgos de continuidad. El aspecto fundamental de la evaluación de estos riesgos se concentra en la detección de amenazas y riesgos del entorno externo en cuanto a su posible materialización, ya sean de origen natural y humano y las correspondientes del entorno interno, como fallas en las comunicaciones y en la infraestructura tecnológica; principalmente que conduzcan a la no producción del bien o prestación del servicio y por tanto, a su entrega con retraso.

En mi experiencia, frecuentemente a los aspectos relacionados directamente con el recurso humano se les contemplan dentro del análisis de manera muy superficial, bajo la premisa que cualquier proceso funciona como una combinación efectiva de recursos humanos, tecnológicos, financieros y físicos. No obstante, en los recursos mínimos requeridos para responder y operar ante una contingencia, se considera a las personas como los principales protagonistas de los planes de continuidad y de contingencia.

Slide1

Que significa

En la primera década del siglo XXI, con la expedición de estándares globales que conminan a la implementación de sistemas de gestión y normas locales en los diferentes países que obligan la implementación de condiciones básicas de seguridad industrial y salud ocupacional, se han dado pasos significativos en estos aspectos. Sin embargo, en los países en vías de desarrollo solo en las compañías multinacionales, las controladas de manera directa por los entes regulatorios y las que tienen algún grado de obligatoriedad en el cumplimiento de requisitos que impliquen la protección real de sus trabajadores, aplican la normativa correspondiente. Aprendí que las demás no lo hacen sencillamente porque no tienen contemplado en sus estructuras organizacionales la dedicación de personal dedicado exclusivamente al análisis de las condiciones laborales adecuadas, la generación de ambientes de trabajo sanos y el suministro de elementos de protección adecuados a sus trabajadores. Estas responsabilidades descansan sobre áreas administrativas sometidas a fuertes controles de gastos, por lo que la manera más sencilla de reducirlos o eliminarlos es a través una drástica disminución de los gastos en estos rubros.

En mi opinión y basado en las estadísticas del Ministerio de Protección Social en Colombia, los sectores de mayor demanda por una buena gestión del recurso humano, como los de: manufactura, minería de socavón, construcción de obras públicas y de vivienda, ganadería, pesca, agricultura y silvicultura (véase Gráfico 1), son los que presentan las mayores tasas de accidentalidad ya que cuentan con menores recursos tecnológicos para la implementación de planes de continuidad del negocio y donde se concentra la mayor cantidad de pérdidas por este concepto, que afectan significativamente la productividad empresarial y social. En Colombia, particularmente, los nuevos modelos de contratación laboral, han conducido a una más estrecha vigilancia para el cumplimiento de las normas regulatorias, dadas las altas tasas de accidentes generadores de incapacidades permanentes, parciales y totales, y pagos de altas sumas por siniestralidad derivada de los accidentes de trabajo, los cuales, sin lugar a dudas, considero que son un componente clave al momento de la evaluación de los impactos intangibles.

He observado que estos aspectos, para efecto de la cuantificación de los impactos financieros y operacionales, no cuentan de manera específica en el análisis de impacto al negocio ni en le evaluación de riesgos de continuidad y en caso de requerirse, se les asigna un valor estimado basado en el comportamiento histórico de los costos por seguridad industrial y salud ocupacional SISO en la compañía que quiera emprender e implementar un sistema de gestión de continuidad de negocio.

Por otro lado, los planes de respuesta de emergencia, en su mayoría, obedecen a la activación de los planes de emergencia que se encuentren vigentes en la organización, y para los casos extremos como: terremotos, inundaciones, actos terroristas, se acude a las autoridades locales para que se estabilicen las condiciones en que la compañía pueda asumir y controlar el incidente.

Retos para una mejora continua

Los directores de las organizaciones deben entonces, concentrar buena parte de sus esfuerzos estratégicos en la asignación de recursos económicos para la preparación de equipos de respuesta altamente motivados desde SISO ya que al momento de activar los planes de recuperación del negocio, la organización dependerá de la confianza y competencia de los integrantes designados en la responsabilidad de Seguridad Industrial y Salud Ocupacional.

Finalmente, ante la proliferación de los sistemas de gestión para todas las actividades operativas y de control operativo en las compañías, sugiero concentrar todos los esfuerzos en la articulación y evaluación permanente de los indicadores de eficiencia de cada uno de ellos. Asimismo, concatenar toda la información, de manera que sea posible que los programas de continuidad del negocio en particular, tengan la efectividad y el alcance esperados; y se cuente con recursos humanos protegidos, competentes, capacitados y entrenados para su ejecución con éxito, en el momento de requerirse.

Carlos Alberto Vargas Sabogal es ingeniero Industrial de la Universidad Incca de Colombia, licenciado en idiomas de la Universidad Nacional de Colombia, profesional certificado CBCP por DRI International y profesional en las normas ISO 18001 e ISO 19001. Desde hace más de diez años es consultor en el desarrollo e implementación de programas de continuidad del negocio, pruebas y capacitación en compañías de diferentes sectores económicos dentro y fuera de Colombia. Ha sido docente en la Universidad Central de Bogotá en el programa de postgrado de ciencias económicas y administrativas; es columnista y colaborador en el periódico La Calle desde 2007.  Puede ser contactado en cavargas909@hotmail.com

Continuity in Central Banking: Beyond Compliance — A Social Responsibility

Johanna Gutierrez Clavijo

The Central Bank of Colombia (El Banco de la República) complies with the standard functions of most central banks; its main constitutional objective is to watch over the stability of currency purchasing power. As stated on its website: “the aim of the Banco de la República’s monetary policy is the achievement of coherent inflation rates with the constitutional mandate of guaranteeing price stability in coordination with a general macroeconomic policy that motivates product and employment growth”. It has administrative autonomy over national wealth and its technology. Some of its principal functions are to regulate currency, the international exchange, and credit; to issue legal currency; to administrate international reserves; to act as moneylender of last resort; to act as banker for credit establishments; and to serve as the fiscal agent of the government. The Central Bank of Colombia is an essential part of the operation of the Colombian financial system, which is the group of entities that exert influence on Colombia’s stock market activity, insurance, finance and credit.

To give continuity to these functions, which, among other things, helps to guarantee secure and efficient money circulation both domestically and internationally, the Central Bank of Colombia has been working for twelve years on developing and implementing a system of continuity management (SCM) that is efficient and effective. This system is of high quality and encompasses the critical processes of the bank including clear and open policy, an operation and technology contingency plan, a response and emergency plan as well as a separate crisis management plan, and integration with the financial and government sector.

SCM is known for having the unconditional support of the bank’s senior management, who feel that it is a matter of strategic importance. To continue our operations as the central bank goes beyond constitutional compliance, it is a social responsibility. We are charged with assuring our bank’s continuity in the face of any threat to its ability to operate, including defending such crucial functions as the stability of the payments system and the monitoring of the money supply. Toward this goal, significant human and financial resources have been approved to ensure technological and operations continuity; a total of ten people work exclusively for SCM. Financial resources to construct, supply, and maintain two technical and operations centers have been sanctioned. One of them will have the capacity to recover the entire technical operation in two hours and to continue operating indefinitely; the other will have active operation in one hour and operate for up to eight weeks. It has been an ongoing challenge to maintain the interest and participation of the banking community on these matters. This has been achieved through permanent sensitization and awareness to the point of being a planned and monitored activity with specific indicators of compliance, thus contributing to the rising maturity of SCM at the bank.

Three years ago, we decided to face the challenge of conducting live contingency tests at the Central Bank of Colombia. That is to say, we conducted tests during the business hours of the entire financial community. This matter was supported not only by senior management, but also at the supervisory level and by the financial community in general. Today we can say that the successful tests conducted during business hours included an evacuation simulation of central bank personnel, resulting in a two-hour suspension of the technological and operations services that we offer the financial and governmental sectors. Following the evacuation, operations began again at the exclusive alternate off-site location of the contingency teams.

A big challenge that is still unresolved has been to find the best way to communicate a crisis event to and among employees. Currently, we use cell phones, e-mail, and a custom crisis information portal that activates on our website (www.banrep.gov.co) in the event of a crisis. The site contains information on the development of the crisis and the actions that various groups of affected employees, users, and providers should take. In the same way, we are exploring the possibility of acquiring a massive notification tool. For now, we provide information to our employees via the social media site Twitter in order to maintain an alternative method of communication with them.

The Central Bank of Colombia is also involved with promoting continuity management in financial and governmental entities, with the goal of realizing internal management for the whole country. To help achieve this goal, we are vigilant to maintain compliance with the regulations of the Ministry of Finance of Colombia and its mission to preserve public confidence and the stability of the financial system. To this end, the Ministry controls and oversees the system, seeking security and clarity both in financial services provided and in operation fulfilled. Therefore, those who take part in this financial system are obliged to comply with continuity plans that allow us to continue operating critical processes and to guarantee that our critical providers also have and sanction the plans. On the other hand, via the Continuity Committee of the Commercial Bank Association (Asobancaria), we are working on critical aspects that allow us to comply with the SCM regulations, to share experiences in the development of SCM and to obtain integrated tools as plans of crisis management. These will strengthen the coordinated response to events that pose high impact risk to the financial system of the country.

It is evident that the Central Bank of Colombia is aiming for much more than the continuity of its own operation. That mission when pursued alone would make no sense if the rest of its counterparts and users were not also working to the same end. The bank is busy integrating its plans. This effort is not only an organizational challenge, but also a challenge to contribute—even under adverse conditions—to the ongoing development of our country.

 

Johanna studied at the University of the Andes where she specialized in systems and computer engineering and upper management. She has been certified CBCP since 2001 by the Disaster Recovery Institute and MBCI by BCI since 2008. Johanna has experience in design, development, implementation of risk, and continuity management systems. She has knowledge and experience in the areas of prevention, attention and response to emergencies as well as design and implementation of technology and contingency plans, organizational and inter-institutional crisis management. She has consulted regarding business continuity with Central Banking and public sector organizations in Colombia. Johanna is currently working for the Central Bank of Colombia, where she has been a computer security engineer, director of technology support and continuity and now serves as Director of the Risk and Process Management Department.

 

Colombia avanza en la gestión de riesgos y continuidad del negocio

Carlos Alberto Vargas Sabogal

En Colombia en la última década, se aceleró el proceso de implementación de modelos de gestión de riesgos, con un ingrediente adicional: la continuidad del negocio. Esto ha sido facilitado por medidas proactivas gubernamentales y la atención continua de desastres. Este panorama le ha permitido a Colombia liderar la formación de profesionales para la gestión de la continuidad del negocio, conocedores y manejadores de las mejores prácticas profesionales adquiridas del DRI International.

 

Desde sus inicios en Colombia, hace más de veinte años, el estudio riguroso del riesgo ocupa un pedestal importante en la visión estratégica de su industria, liderado por las grandes empresas nacionales y multinacionales en sectores económicos en los que las pérdidas por su materialización son potencialmente cuantiosas, como en el financiero, el minero-energético, las comunicaciones, los alimentos y la construcción de vivienda y transporte; muchos ejemplos así lo demuestran.

En el campo gubernamental, hasta el año 2011, la atención de desastres estaba a cargo del ministerio del interior y de justicia; con la reciente creación de la dirección general de riesgo como un staff de la presidencia de la república, se genera una estrategia mucho más fuerte e importante con su visión proactiva dirigida hacia la prevención y atención de tragedias producidas por fenómenos naturales como inundaciones, terremotos y deslizamientos de alto impacto inmediato. Los siguientes ejemplos hacen de Colombia un escenario interesante y propicio en el que se puede aprender y donde se deben aplicar los modelos teóricos para demostrar su practicidad:

  • La avalancha del rio Lagunilla, producto del deshielo del nevado del Ruiz ocurrido en el municipio de Armero departamento del Tolima en el centro occidente del país en noviembre de 1985 que dejó cerca de 25,000 víctimas y su completa desaparición

 Colombia 1

  • El desbordamiento del río Páez en el departamento del Cauca al suroccidente colombiano en el año 1994 con mas de 1,000 muertos y miles de hectáreas afectadas con pérdidas económicas superiores a los diez millones de dólares
  • Las inundaciones inverosímiles ocurridas en todo el territorio nacional con motivo de las olas invernales de los años 2010 y 2011, uno de cuyos eventos fue la inundación del campus de la Universidad de la Sabana en mayo de 2011, en el cual la activación de su plan de continuidad del negocio le permitió reanudar sus procesos críticos en menos de tres días disminuyendo las pérdidas de manera significativa

Colombia 1 point 5

  • Las explosiones en socavones donde se practica la minería, en muchos casos ilegal en los departamentos andinos de Antioquia, Caldas, Boyacá,
  • El terremoto de Armenia en enero del año 1999 que dejó más de 800 muertos y pérdidas superiores a los diez millones de dólares

 Colombia 2

  • El terremoto de Popayán el 31 de marzo de 1983 que dan cuenta de 250 muertos, 1,500 heridos, 4,964 construcciones destruidas y 13,796 viviendas con daños muy graves
  • Los aunados a la larga guerra fratricida interna y silenciosa que cumplió cincuenta años y que se refleja en ataques despiadados a la infraestructura petrolera, vial y de comunicaciones

En la última década y con ocasión del evento del 11 de septiembre de 2001, se aceleró el proceso de implementación de modelos de análisis de riesgos, con un ingrediente adicional que le da la razón de ser a la gestión del riesgo: la continuidad del negocio. Empresas de diversos sectores económicos, entre los más representativos:

  • El financiero (que agrupa a bancos comerciales, aseguradoras y compañías de financiamiento comercial), donde la normativa de esta industria exige la implementación de sistemas de gestión de riesgos y continuidad del negocio
  • El minero-energético
  • La logística y mensajería
  • Los alimentos y bebidas
  • El gobierno central

Estos sectores han desarrollado e implementado modelos de continuidad que muestran resultados tangibles, y que se reflejan principalmente en: menores gastos en pólizas de seguros, mejoras en sus procesos productivos, eficiencia en el servicio al cliente y aumento en la conciencia colectiva sobre continuidad del negocio.

Con la timidez que caracteriza la implementación de nuevos modelos para asegurar la prestación continua de servicios y la entrega oportuna de productos, se ha abierto paso la necesidad de contar con estructuras fuertes, capacitadas y con el presupuesto suficiente para su funcionamiento en todos los sectores en los que la legislación está entendiendo que la seguridad en el servicio es el componente más importante para el crecimiento individual y colectivo de las empresas. Las mejores prácticas profesionales del Disaster Recovery Institute International (DRI International) y los estándares de otras instituciones están demostrando su aplicabilidad y beneficio inmediato, particularmente en Colombia, y en toda la región en general, que son el mejor vehículo para lograrlo.

La inclusión de las cadenas especializadas de suministro en los procesos productivos como resultado de tercerización por especialización y optimización de costos de mano de obra, determinan la implementación de modelos de continuidad, no solo como requisito para ser tomado en cuenta, sino que permiten conformar estructuras ganar-ganar que fortalecen toda la gestión empresarial. Esto se está evidenciando cada vez que se abren convocatorias de proveeduría de servicios en las grandes empresas públicas y privadas dedicadas a la producción de bienes y suministro de servicios intangibles como comunicaciones, mensajería, educación y bienestar.

Tenemos en el horizonte retos importantes derivados de la firma de acuerdos comerciales como el TLC (Tratado de Libre Comercio) con los Estados Unidos, Canadá, Suiza, la Unión Europea, Corea, México, Perú y Chile, la eliminación de la doble tributación con Venezuela, que nos obligan a responder rápidamente a los cambios externos para mantener bajos costos de operación, excelentes niveles de respuesta a emergencias y a aplicar nuevos modelos tecnológicos sin generar impactos económicos, controlando en mayor medida los posibles riesgos de la continuidad del negocio.

Todo este panorama le ha permitido a Colombia liderar la formación de profesionales para la administración de riesgos y la gestión de la continuidad del negocio como conocedores y manejadores de las mejores prácticas profesionales adquiridas del DRI International, institución que comanda y rige esta especialidad en todo el continente americano, ya que a la fecha, cuenta con el mayor número de profesionales certificados (ABCP, CBCP, MBCP) en Latinoamérica, después de los Estados Unidos, por encima de países con economías más fuertes como la de Brasil o la de México.

Este reconocimiento acompañado de grandes logros que se reflejan en el rápido desarrollo económico de los últimos años, el avance en la implementación de nuevas tecnologías informáticas, la preparación obligada hacia la gestión de riesgos y como parte del quehacer de todos los negocios y empresas, lo estamos trasladando a los sectores económicos y a países en donde sabemos que se debe llegar pronto a estos niveles de productividad exigidos por la globalización.

Desde hace más de diez años Carlos Alberto Vargas Sabogal, CBCP, se desempeña como consultor en la implementación de programas de la continuidad del negocio, planificación de pruebas y programas de capacitación corporativa en compañías de diferentes sectores económicos dentro y fuera de Colombia. Es ingeniero industrial de la Universidad Incca de Colombia, licenciado en idiomas de la Universidad Nacional de Colombia, CBCP del DRI International y profesional certificado en las normas ISO 18001 e ISO 19001. Ha sido docente en la Universidad Central de Bogotá; además, es columnista y colaborador en el periódico regional La Calle.  Comuníquese con él en cvargas@iteam.com.co.