Archivo de la etiqueta: estándares

Las Prácticas Profesionales v. ISO 22301

DRI International presenta un recurso nuevo por los profesionales de la continuidad del negocio.

Ahora, en nuestra biblioteca de presentaciones, tenemos un “Crosswalk” del estándar de ISO 22301 y los diez prácticas profesionales de DRI International.  Este documento explica como los dos estandares son relacionados.

Para leer el “Crosswalk”, visite a https://drii.org/crm/presentationlibrary.php

Concienciación sobre los Programas de Resiliencia de Negocio en los países del sur de Europa

Manel Herrer Vázquez

La Resiliencia de Negocio, o continuidad de negocio como puede encontrarse en muchas fuentes, es una área relativamente nueva en el mundo de la Seguridad de la Información. Los primeros estándares, desarrollados en países anglosajones como Reino Unido (BS 25999), Australia (HB 292-2006) o Estados Unidos (NIMS, ICS, ANSI/ASIS SPC.1-2009), datan únicamente de 2006. El primer estándar global, la ISO 22301 (basada en la norma BS 25999), se publicó hace solo dos años, en 2012.

A pesar de la relativa juventud de estas normas, en estos países la realización y mantenimiento de programas de Resiliencia de Negocio plenamente operativos, que incluyen ejercicios, simulaciones completas y programas de concienciación, se han desarrollado desde los primeros años de la década de los 90.

Estos programas mencionados, incluían los tres aspectos básicos de la Resiliencia de Negocio: los Planes de Gestión de Crisis, los Planes de Continuidad de Operaciones y los Planes de Recuperación de Desastres:

  • Los Planes de Gestión de Crisis, o Gestión de Incidentes Graves (conocidos en inglés como Incident Management Plans) se centran básicamente en las acciones a tomar justo cuando se produce un incidente grave, y determinar las acciones a seguir para gestionar la subsecuente crisis.
  • Los Planes de Continuidad de Operaciones, o de Continuidad de Negocio (que en inglés se conocen como Business Continuity Plans), se centran en la recuperación operacional de los procesos de negocio de las compañías, siendo un proceso centrado en el negocio, y en donde se identifican todas las dependencias y recursos necesarios para recuperar los procesos y actividades de la compañía. Estos recursos incluyen desde recursos humanos hasta proveedores, pasando por la infraestructura y de TI.
  • Los Planes de Recuperación de Desastres, (conocidos en inglés como Disaster Recovery Plans) se focalizan esencialmente en la recuperación de Sistemas y aplicaciones TI (estando enfocados básicamente a la recuperación tecnológica, no del negocio).

Cuando los modelos de gestión de Resiliencia de Negocio desarrollados en los países anglosajones se empezaron a exportar a los países del Sur de Europa, la mayoría de los mismos solo se centraron en la parte de la Recuperación de Desastres (recuperación tecnológica), obviando los Planes de Continuidad de Operaciones y los de Gestión de Crisis. Hoy en día encontramos Planes de Recuperación de Desastres muy robustos en la mayoría de las grandes empresas de los países del sur de Europa. Sin embargo, la mayoría de dichas empresas, no disponen de los otros dos componentes (Gestión de Crisis y Continuidad de Operaciones) incorporados en sus estructuras de Resiliencia de Negocio.

Esta falta de estos componentes de Gestión de Crisis y de Continuidad de Operaciones, puede achacarse a diversas causas, las cuales incluyen:

  • La escasez de grandes desastres naturales en estos países, lo cual crea una sensación de ‘falsa seguridad’
  • La versión cortoplacista que una gran parte de los ejecutivos de los países del Sur de Europa, los cuales priorizan otras actividades antes de las relacionadas con la Continuidad de Operaciones y la Gestión de Crisis, pues no pueden ver un retorno inmediato de la inversión que suponen.
  • El hecho de que la mayoría de incidentes relacionados con la Resiliencia de Negocio tengan que ver con escenarios de perdida de infraestructura TI (casi 90%), los cuales se encuentran cubiertos en los Planes de Recuperación de Desastres.

Desafortunadamente, es muy complicado desarrollar planes de Resiliencia de Negocio con los tres componentes mencionados anteriormente en los países analizados. El principal factor que impulsa la creación de estos planes en las empresas de estos países es reactivo, pues solo cuando estas compañías se ven amenazadas, deciden implantar o aumentar sus estructuras de Resiliencia de Negocio.

Edificio Windsor, Madrid
Edificio Windsor, Madrid

Un ejemplo de este comportamiento lo encontramos en España, donde vemos que el gran ‘boom’ de la Resiliencia de Negocio fue en 2005, y vino derivada de los efectos provocados por el incendio en el edificio Windsor de Madrid, el cual albergaba la sede de la empresa Deloitte en este país. El incidente hizo cambiar la forma de pensar de múltiples ejecutivos del país, ya que vieron que las amenazas, tantas veces formuladas, podían convertirse en realidad, y provocar una gran pérdida en sus compañías. Desde entonces, el mercado relacionado con la Continuidad de Operaciones y la Gestión de Crisis, creció desde prácticamente cero hasta los niveles de nuestros días, en que cada vez más empresas incluyen programas completos de Resiliencia de Negocio entre sus actividades.

Nuestro papel como profesionales de la Continuidad de Negocio en estos países (y en otras regiones como Europa del Este, Norte de África o América Latina) es intentar convencer a las compañías para que desarrollen programas completos de Resiliencia de Negocio, los cuales incluyan los tres componentes del programa, para incrementar la robustez de dichas empresas ante potenciales desastres. Es esencial hacer entender a sus comités de dirección, los sponsors ejecutivos de dichos programas, que no hay que ser reactivos y esperar a que pase algo para actuar, sino actuar proactivamente, de tal manera que así podamos prevenir futuras perdidas potenciales, que podrían abocar a las compañías afectadas a su cierre.

Manel Herrer Vázquez, electrical engineer in Spain, with a master specialization in telecommunications. CBCP Certified by DRI International. With almost 10 years of experience in the IT and Information Security fields, has worked as a dedicated Business Continuity consultant in Europe, Latin America and the United States for 5 years. Specialized in banking and pharmaceutical sector, currently is leading the implementation of several Business Resiliency Programs into his current company across the EMEA and American regions

Terremoto de Abril de 2014 en Chile. Vamos por buen camino. Lecciones aprendidas.

Hector Miguel Opazo Santis

Cuando se me acercó el Disaster Recovery Institute, DRI, a preguntarme sobre la posibilidad de escribir acerca del reciente terremoto del 1 de Abril de 2014 en Chile, no dude en ningún momento de que haría este artículo en los plazos solicitados. La respuesta fue inmediata, no solo en términos de compartir experiencias con la comunidad del DRI, sino porque detrás de este objetivo hay un convencimiento personal acerca de lo que ha estado pasando en mi país respecto al manejo de estas catástrofes, después del terremoto de febrero  de 2010.

Si quisiéramos establecer un comparativo entre ambos terremotos resulta muy difícil de hacer, magnitudes diferentes, zonas geográficas distintas, densidad poblacional inmensamente menor para el caso del terremoto de Abril de 2014, entre otros; sin embargo, resulta necesario trabajar con estos datos para entender básicamente que hay ciertos elementos propios de la Continuidad de Negocio que han influido positivamente en mitigar el impacto.

La siguiente figura refleja algunos números de dominio público que pueden ser discutidos, quizás no, pero que son un comparativo en términos de la información existente y otra estimada dado lo reciente del último desastre.

f1

Si quisiéramos centrarnos en los números, propiamente tal, podríamos establecer algunas conclusiones. Según expertos, el último terremoto de abril de 2014 fue casi 8 veces menor en cuento a la energía liberada y por ende, en la fuerza con que se movió la tierra respecto de 2010. El número de viviendas afectadas en el sismo de 2014, es 20 o 30 veces menor respecto de la experiencia sufrida el año 2010, o tal vez, decir que el tsunami del año 2010 fue muy superior al del 2014 en el tamaño de la ola que llega a las costas chilenas, por ende, capacidad destructiva. En fin, se pueden hacer comparaciones desde diferentes ángulos y con distintos fines, lo que sí es posible concluir, es que el terremoto de abril 2014 fue mucho menor de acuerdo a lo que reflejan todos los indicadores, al de febrero de 2010.

Sin embargo, lo que no debemos dejar de entender, es que este terremoto reciente, es importante en cuanto a magnitud e impacto en la región azotada. El sismo de abril 2014 tuvo una magnitud de 8.2 grados en escala de Richter, lo suficiente como para devastar cualquier región del mundo, ejemplos de comparación sobran, tales como:  Haití en el 2010, con 7.0 grados Richter y más de 200.000 muertos,  Pakistán el 2005 con 86.000 fallecidos y una intensidad de 7.6 grados Richter, el del año 2004 en Indonesia con más de 280.000 víctimas fatales y con una potencia de 8.9 grados Richter, y quizás el más comparable con el terremoto de Chile de febrero de 2010 con una magnitud de 8,8 grados Richter, además del tsunami generado. Estamos en presencia de un terremoto importante, eso sin lugar a dudas.

Ahora bien, independiente de todas las cifras expuestas en este artículo, lo que resulta interesante desde la mirada de la Continuidad de Negocio, es saber que acciones se tomaron en Chile desde el terremoto del año 2010 hasta ahora, y como estas acciones ayudaron profundamente a manejar de mejor manera la emergencia y con esto a el impacto, de caso contrario, se habría tenido que lamentar un escenario bastante peor, quizás no comparable con el terremoto del año 2010, pero sumamente superior al impacto que se conoce hasta el día de hoy.  Estas acciones apuntan precisamente en la dirección correcta en términos de Continuidad de Negocio y son el tema central de este escrito.

 

Lecciones aprendidas a partir del terremoto del año 2010

Con los datos anteriormente señalados, lo que es claro y una realidad empírica, es que hay un notorio avance en el manejo de muchas acciones que mitigaron el impacto del terremoto de abril de 2014 y que pueden ser ubicadas dentro de las 10 prácticas de Continuidad de Negocio del DRI.

1.- Medidas preventivas y control del riesgo

– Evacuación preventiva

El concepto de evacuación preventiva en Chile en el borde costero (lugares colindantes con las playas del país) existe desde hace bastante tiempo. Siempre ha existido una cultura histórica por parte de los habitantes de salir en caso de terremoto, pero sin indicaciones claras de cuándo y cómo hacerlo. En la práctica opera el instinto humano de supervivencia ante una situación de amenaza en vez de otra cosa.

A partir de las graves consecuencias que tuvo el terremoto de febrero de 2010 y el posterior tsunami que azotó las costas chilenas, siendo este último el evento que ocasionó más muertos, durante los años 2010 y el 2014 se implementaron varias mejoras que ayudaron en este sentido.

Se generó el concepto de auto evacuación en función de que si las personas “no logran sostenerse en pie, estando en el borde costero”, deben desalojar la zona. Tenemos que recordar que los tsunamis tardan tiempo en llegar a las costas después que ha sucedido un terremoto. Con esta indicación sencilla la población tiene un primer parámetro para evaluar.

Se reforzó la forma de cómo debe realizarse la evacuación: personas a pie, por cuáles vías se debe evacuar y hacia dónde dirigirse, los llamados “puntos de encuentro”. Todo esto reforzado con señalética instalada en playas del sector costero.

– Entrenamiento y sensibilización

Los programas de entrenamiento y sensibilización a la fecha del terremoto de 2010 no eran muy claros, tanto en términos del entrenamiento como divulgación. Lo real y concreto era la existencia de elementos puntuales que apoyaban esto, tales como: La academia de protección civil, la realización de algunos entrenamientos a colegios  y otras acciones, pero sin un programa formalmente creado. Esto evidentemente da muestras de no dimensionar a priori la importancia del entrenamiento o bien la falta de recursos disponible para hacerlo.

En estos últimos 4 años se avanzó en función de tener un programa real de entrenamiento, que ha sido denominado “Chile preparado”. Este programa contiene planificación formal en términos de ejercicios de simulacros en caso de tsunami, que se han venido realizando durante este último tiempo en el borde costero chileno, y que es de conocimiento público, con participación activa de mucha población, también se ha hecho distribución de material gráfico, videos de sensibilización que se utilizan en recintos de concurrencia masiva, tales como: cines, estadios, conciertos, además de capacitación en colegios, entre otros. Ha sido un avance importante respecto de la situación del terremoto del año 2010.

2.- Alertamiento

– Protocolos de manejo de alerta de la emergencia

Para el año 2010 existía un protocolo de manejo de la emergencia. Estaba publicado dentro de la oficialidad, pero dada la forma de cómo se ejecutó, es posible pensar en algunos vacíos respecto a su implementación, recursos y forma de proceder. En estas acciones lo que destaca es un proceso de toma de decisiones muy centralizado, lo que significa en la  práctica poca autonomía para las regiones en alertamiento preventivo, ya que ante la inexistencia de comunicación con el nivel central,  no fue posible decretar evacuación preventiva en las zonas de desastre.

A partir de la dura experiencia del terremoto de 2010, se rehízo el protocolo nuevamente, se establecieron medidas que permitieron dar autonomía a los Centros de  Alerta Regionales, para establecer evacuaciones preventivas para la población. Adicionalmente, se rediseñó la estructura del Centro de Operaciones de Emergencia Nacional y  los Centros de Operación de Emergencia Regionales (COE Regionales), esto a la par de simulaciones que les permitieron a sus integrantes prepararse para enfrentar emergencias como la vivida en el terremoto reciente de abril de 2014. Todo lo anterior, acompañado de dotar a los COE, de espacios que no se encuentren en zona de inundación y que les permitan reunirse en cualquier momento para realizar evaluaciones y tomar el mando de la coordinación de la respuesta.

– Mecanismos de alertamiento

El manejo de las alertas en modalidad 24 x 7 solo estaba implementado en el Servicio Hidrográfico Oceanográfico de la Armada (SHOA) para el año 2010, sin embargo, el Servicio Sismológico Nacional (SSN), institución que debe entregar al SHOA los parámetros sísmicos que le permiten determinar el riesgo de ocurrencia de un Tsunami, no poseían un modelo 24 x 7 para manejar los sistemas de alerta; adicionalmente con una red sismológica preparada sólo para investigación científica, con la que no se podía obtener información en menos de 10 minutos.  Todo esto, agravado por la débil red de telecomunicaciones que existía en ese momento, lo que mantuvo a las autoridades y organismos técnicos incomunicados con las regiones afectadas por bastante tiempo, y llevó a que realizaran anuncios de ausencia de tsumani, mientras ya había arribo de las primeras olas en algunos sectores.

En estos últimos 4 años se ha avanzado. Hoy se cuenta con sistemas 24 x 7 de alertamiento en la Oficina Nacional de Emergencia (ONEMI), SHOA y el SSN, con sistemas de telecomunicaciones que funcionan en escala dependiendo de su disponibilidad en el momento de emergencia, y donde las tres instituciones se coordinan de acuerdo a protocolos claros que se han ido simulando permanentemente, donde están definidos mensajes precisos que no permiten la interpretación de quienes los reciben. Todo esto quedó demostrado con el poco tiempo que demoró ONEMI en establecer evacuación preventiva y posteriormente el SSN y el SHOA en publicar magnitud del sismo y alarma de tsunami.

3.- Respuesta

– Coordinación del Centro de Operaciones de Emergencia                              (COE)

Sin duda alguna que hubo un gran avance en relación al manejo de la emergencia por parte del gobierno central durante el terremoto del 2014 respecto del anterior. El funcionamiento del centro de operaciones y emergencia nacional (COE) para el año 2010 aparentemente no estaba muy claro, su constitución, roles y funcionamiento que se evidenció, generó la impresión de no tener una coordinación pre diseñada.

Los COE a nivel regional a pesar de estar establecidos no se constituyeron (o al menos no en las instancias formales), quedando aislados del nivel central. Pudo haber existido poca instrucción y entrenamiento al respecto, tanto en el COE nacional como en los regionales.

A partir de la experiencia del año 2010, se volvieron a definir los roles, se reformuló el decreto nacional que los convoca, así como los mecanismos de activación, escalamientos y lugares de convocatoria (el COE nacional tiene definido lugar primario y secundario). También se realizaron ejercicios a nivel del COE  nacional y regionales, así como la entrega de instructivos.

Todas estas mejoras quedaron de manifiesto respecto de cómo la autoridad procedió en este terremoto del 2014, cómo fue administrada la emergencia y cómo cada responsable estuvo en el rol correspondiente. Ha sido un buen avance el que se ha generado en esta materia.

– Estado de catástrofe

El estado de catástrofe, quizás el control más efectivo en temas de resguardo social, ha sido un tema controversial respecto a la oportunidad en cuanto ha sido decretado e implementado. En un concepto simple, el estado de catástrofe consiste básicamente en entregar el control a las fuerzas armadas y de orden en las zonas de desastre.

Durante el terremoto del año 2010, el estado de catástrofe fue declarado en forma efectiva después de 36 horas después de haberse producido el terremoto. Esto trajo como consecuencia una serie de saqueos en la región de Bío Bío, problemas de seguridad ciudadana, descontrol  e indefensión por parte de la población.

Aquí hay una gran lección aprendida. A pesar de las diferencias técnicas explicadas en la primera parte del presente artículo, el año 2014 este estado de catástrofe fue declarado solo a las 2 horas de haber sucedido el terremoto, situación que ayudó a controlar cualquier intento de vandalismo en la zona del norte del país.

– Manejo comunicacional de la emergencia

En todo lo referente con las comunicaciones y vocería durante el reciente terremoto de abril de 2014, se ha evidenciado importantes cambios.

Todos los comunicados hacia la prensa los ha encabezado quien por protocolo ha sido nombrado para aquello, en este caso, el ministro del interior, quién además preside el COE nacional. En su defecto, su remplazo natural en la vocería fue el director de la ONEMI. Siempre fueron ellos quienes llevaron las comunicaciones de carácter técnico.

En tanto,  el rol de la presidencia en materia comunicacional, ha sido generar tranquilidad en la población y entregar mensajes con información resumida. Todo esto producto de una estrategia diseñada por la Secretaría de Comunicaciones entre los años 2010 a 2014.

Para el terremoto del año 2010, esta vocería fue asumida en la práctica por la presidencia de la nación, poniendo de manifiesto alguna confusión en el manejo de los roles al interior de la emergencia.

Todas estas acciones descritas, que han sido tomadas a partir de la última experiencia traumática, como lo fue el terremoto de febrero de 2010, han repercutido de una u otra forma de manera positiva en el manejo de la emergencia ocurrida en abril de 2014, que además si se examinan en detalle, van muy alineadas con las 10 prácticas profesionales del DRI en gestión de Continuidad de Negocio. Se debe solo ubicarlas en las prácticas ya conocidas por todos.

 

El futuro cercano y posibilidades de mejora

Ahora quizás viene la etapa más difícil, que tiene que ver con la reconstrucción y vuelta a la normalidad. Esta es una parte del plan que ha sido poco desarrollado, pero que es tan o más importante como el manejo propio de la emergencia. Poner los acentos correctos con el fin de volver cuanto antes a una situación de normalidad es lo que cualquier organización desea. Sin embargo, los efectos de un terremoto de las magnitudes a las cuales nos hemos referido, siempre son cuantiosas y el proceso como tal suele ser demasiado largo, producto del colapso de muchas estructuras privadas y públicas, vidas, servicios y muchos otros.

Los desafíos en el futuro cercano son muchos y variados. A partir de esto se establecen algunas mejoras.

– Reforzar a la población sobre conceptos de evacuación, lugares habilitados, ejercicios permanentes y otros

Siempre será importante seguir trabajando en la prevención, entrenamiento y en la sensibilización. Hay zonas más al sur del país donde no se han tenido eventos de magnitud hace muchos años y donde se tiene que trabajar con mayor dedicación en esta línea. Se demostró que es altamente efectiva y bien coordinada y entrenada puede marcar diferencias importantes.

– Revisar estructura del COE dependiendo de la emergencia y flexibilidad

La estructura que se ha formado para el COE nacional es siempre la misma. Tenemos diferentes tipos de desastre y por ende distintos planes de recuperación. Los equipos de emergencia y operaciones deberían conformarse en función de la emergencia y no de manera tan estricta.

Acá existen muchas opciones de mejoras en términos de entrenamiento y funcionamiento de los actores del COE y los roles que ocupan.

– Continuar con medidas de alertamiento como la instalación de sismógrafos

Todo lo que sea inversión en controles preventivos y efectivos siempre es deseado. Para el caso de las costas chilenas es necesario seguir invirtiendo en sismógrafos y su instalación. Se debe tener una red más completa en función del riesgo permanente que tienen estas costas.

– Posibles albergues para funciones básicas. Proceso de recuperación de las funciones esenciales

Este es un tema muy importante para seguir desarrollando. ¿Qué pasa si la contingencia se alarga y requerimos mantener evacuada o en albergues a la población por tiempos más prolongados? Frente a lo anterior, se debe trabajar en generar una estructura que permita mantener a la población afectada por mucho tiempo en lugares temporales, antes de la recuperación al menos parcial.

– Instalaciones en zonas críticas

Aún existen en algunas zonas críticas instalaciones de organismos técnicos e instituciones públicas que pueden ser alcanzadas por los efectos de algún tsunami como resultado de un terremoto. Estos actores son parte del manejo de la emergencia y en algunos casos participan de los COE regionales (Intendencias, Hospitales, Aeropuertos, Instituciones de las Fuerzas Armadas y otros). Por lo tanto, debe existir un plan para sacar a todos los organismos técnicos y públicos que participen de las emergencias de las zonas potenciales afectadas.

– Regulación y estándares

Chile tiene altos estándares respecto a la construcción. Somos un país de constante actividad telúrica, lo que en la práctica implica seguir construyendo con estándares sísmicos. Se debe continuar avanzando en esa regulación, inspección e ir vislumbrando nuevas técnicas de construcción.

– Recuperación y restauración

Es quizás el mayor desafío que se tiene de ahora en adelante. Los acentos tienen que estar puestos en tomar acciones en el proceso de recuperación y restauración. Hay muy poco desarrollado y mucho por hacer. Hay que analizar experiencias internacionales para procesos de reconstrucción y generar marcos de trabajo para actuar con planes de restauración en el corto, mediano y largo plazo entre otras iniciativas.

 

Conclusiones

Chile es un país que ha estado, está y seguirá constantemente expuesto a tener terremotos y tsunamis. Muchos de ellos de gran magnitud. El terremoto más fuerte registrado en la historia de la humanidad ocurrió en Chile el año 1960. Esa amenaza siempre existirá y tenemos que convivir con ella.

La implementación de un Plan de Continuidad de Gobierno, es una urgencia, y Planes de Continuidad de Negocio son muy necesarios. Se está avanzando, vamos por buen camino, pero todavía es insuficiente, recién estamos viendo la punta del iceberg y nos queda mucho camino por recorrer. Estas últimas experiencias nos han puesto a prueba como país, pero también nos han entregado lecciones aprendidas. La inversión que se ha realizado durante estos años en planes de manejo de emergencia, controles y entrenamiento ha sido justificada por los resultados obtenidos. Es cierto que no es factible comparar el terremoto del año 2010 con el reciente de abril de 2014, sin embargo, muchas de las cosas que sucedieron el 2010 pudieron haberse mitigado o simplemente evitado con una mejor planificación de la administración del desastre.

El camino a seguir es claro, el problema es que no sabemos cuándo el siguiente terremoto nos volverá a golpear, en 1 mes, 1 año o en una década, por ende, nos queda recoger las experiencias de lo sucedido ahora, ajustar lo que haya que corregir y apretar el acelerador, hay muchas tareas por hacer y no podemos perder ni un solo minuto.

Héctor Miguel Opazo Santis, es ingeniero civil industrial en Chile, ingeniero en informática, con estudios de Magister Business Engineering, post títulos en evaluación de proyectos y gestión de sistemas de Información. Es certificado CBCP del DRI International. Con casi 20 años de experiencia en el mundo tecnológico a nivel de consultoría y desarrollo tecnológico aplicado. Ha sido consultor en Latinoamérica y Estados Unidos. Se ha desempeñado en cargos gerenciales en diferentes industrias, tales como: consultoría, banca, comercio entre otros. Se ha especializado en dirección de proyectos, negocios electrónicos, continuidad tecnológica y evaluación de proyectos de tecnología. Consultor asociado de Resilience Chile. Profesor titular de la cátedra de e-business en la universidad Andrés Bello donde evalúa proyectos de innovación tecnológica. Opazo puede ser contactado en hmopazo@resilchile.cl.

Las nuevas prácticas profesionales

Chloe Demrovsky

Las diez prácticas profesionales fueron creadas para reflejar las ideas y los desafíos actuales de la continuidad de negocios.  Se introdujeron cambios significativos para cada una de las prácticas destacando la resiliencia de la empresa, la respuesta a las emergencias/operaciones y la continuidad de negocios. Estamos orgullosos de anunciar que ahora esas prácticas están disponibles en español.

¿Cómo las diseñamos? DRI International seleccionó un grupo de expertos quienes especializan en los campos de la continuidad de negocios, la preparación de emergencia y el riesgo de la empresa. Ellos completaron una evaluación integral de cada práctica profesional durante un periodo de ocho meses con el fin de actualizar los documentos y establecer una estrategia para que las prácticas sigan siendo el estándar y la referencia para nuestros profesionales certificados. Creemos que ese grupo ha entregado documentos que son técnicamente correctos y actuales, genéricos a todos los sectores, apoyan cada tipo de proceso de negocio y serán valiosos para los que las usan.

“DRI ha lanzado su última edición de las diez prácticas profesionales que tienen un historial comprobado de conducción y mejoramiento de la resistencia organizacional,” según la Directora de Certificación de DRI International, Traci O’Neal. “Las prácticas nuevas proporcionarán a los profesionales certificados la preparación y las habilidades imprescindibles para descubrir las necesidades actuales y futuras de sus organizaciones por todos los sectores alrededor del mundo.”

Invitamos a todos los profesionales certificados de utilizar estos documentos para ayudarles  a construir, mantener y auditar sus programas de continuidad. Las prácticas profesionales tienen un historial comprobado como base de conocimiento valioso al negocio y un impacto positivo tanto en sus propios programas como en los de sus alianzas comerciales estratégicas.

Son sus prácticas profesionales. Por lo tanto ¡las observaciones, las ideas y las quejas están cordialmente bienvenidas! Recuerde que todos sus comentarios nos ayudarán a mejorar estos documentos, y por resultado, adelantar nuestra profesión de la continuidad de negocio.  Es un proceso iterativo.  Usaremos sus opiniones para mejorar los documentos y mantener las mejores prácticas en la profesión.

Se encuentren las prácticas profesionales en nuestro sitio web www.drii.org.

B

La tecnología en situaciones de alto riesgo

Gipsy Rosas Falovo

Las nuevas tecnologías surgen como un aliado para los servicios de ayuda y prevención, facilitando el trabajo de los equipos y empresas que prestan sus servicios en situaciones de contingencia. 

El aporte de las nuevas tecnologías, agiliza y mejora el trabajo de los servicios de prevención y atención de eventos de emergencia y desastres. Un ejemplo claro, es el uso de las redes sociales para la localización de víctimas. En mi opinión, el Twitter es en caso de catástrofes, mucho más rápido que los mensajes SMS o los mensajes por radio.

Las personas que utilizan el Twitter, comienzan a escribir sus mensajes pocos segundos después de la ocurrencia de un terremoto, mientras que los instrumentos para medirlos pueden tardar mucho más tiempo en analizar los datos recolectados. La información de lo que las personas perciben, se propaga más rápidamente por las redes sociales de lo que los institutos sismológicos o geofísicos se demoran en hacer sus cálculos.

Las redes sociales

Hoy en día, el uso de las redes sociales ha llegado hasta los servicios de información sísmica de algunos países, quienes también cuentan con presencia en Facebook y Twitter y poseen páginas web, donde publican con frecuencia los movimientos telúricos y su ubicación por zonas geográficas, así como, proveen recomendaciones de cómo actuar frente a terremotos y responden preguntas de forma personalizada en relación con las inquietudes de sus seguidores.

De igual forma, se puede notar, como los dueños de teléfonos celulares toman fotografías, que luego envían a las cuentas de los Twitter de los programas de noticias u opinión, para mostrar imágenes capturadas en situaciones contingentes que presenciaron. Así vemos, como se difunden por los medios sociales las fotografías tomadas por sus seguidores, en donde muestran imágenes de inundaciones, lluvias intensas, derrumbes, granizos, efectos de un terremoto (calles con fracturas, supermercados con todos los productos en el suelo, etc.) o lluvias de polvo volcánico, tomadas en ciudades aledañas a algún volcán activo.

Según InSites Consulting, más de 1,000 millones de personas en todo el mundo, utilizan las redes sociales (70% de la población de Internet) y existen más de 5,900 millones de personas que usan dispositivos móviles en todo el mundo, lo que representa el 86% de la población mundial.[i] Esta red de conectividad provee a las personas la facilidad de compartir y recibir información desde casi cualquier lugar del mundo, que disponga de recepción de servicios de celular; por lo tanto, proporciona grandes avances en la comunicación de masas.

Falovo 1

Observando la rapidez en la propagación de la comunicación en los medios sociales, considero indispensable incorporarlos en los planes de comunicación y manejo de crisis. Los planes de continuidad de negocio deben prever la utilización y control de los medios sociales de las empresas en una situación de contingencia, para poder informar de manera inmediata, certera y precisa a las audiencias afectadas por el siniestro, la posición y situación de la empresa frente a sus clientes y empleados. Adicionalmente, estos medios deberán ser supervisados y controlados de manera oportuna para evitar la propagación de información inadecuada que pueda perjudicar la imagen de la empresa que se encuentre en una situación contingente.

Los smartphones

Otro avance importante, es la incorporación de aplicaciones en los “smartphones”, que nos proveen información climatológica y sísmica, entre otros. Recientemente, la empresa de desarrollo “The App Collective”, creó una aplicación llamada “Earthquake Buddy”, la cual, una vez instalada en un smartphone, envía mensajes a los amigos y los contactos del dueño del celular, en donde se muestra un mapa de Google con la ubicación de terremotos de intensidad superior a 5.5 en la escala de Richter.[ii]

Este mensaje es recibido antes de que se produzca un colapso en las comunicaciones, segundos después de que se perciben movimientos de alta intensidad y se envía desde la “nube”. Los mensajes se pueden recibir como un SMS, un mensaje en el perfil del Facebook y un Tweet en la cuenta de los amigos, con los detalles de ubicación del dueño del “smartphone”. La tecnología ha sido diseñada para aquellos que viven en regiones propensas a los terremotos y se encuentra ya disponible en la App Store, para ser descargado en varios idiomas.

Apoyando a la comunidad

Otro aporte importante del mundo de la tecnología, es el uso de las redes sociales para solicitar el apoyo de la comunidad en situaciones catastróficas, como lo hicieron algunas empresas de telecomunicaciones Italianas en el terremoto ocurrido en mayo del año 2012, pidiendo a sus clientes que abrieran sus “WiFi” para que cualquier persona, en situación de emergencia, se pueda conectar desde una tableta o su teléfono celular y mandar una señal de alerta o solicitud de ayuda. Adicionalmente, estas empresas publicaron en sus páginas web instrucciones precisas de cómo compartir la red WiFi con otros usuarios.[iii]

De igual forma, como una manera de apoyar y facilitar los medios necesarios en situaciones difíciles, hay empresas que despliegan redes de telecomunicaciones en lugares afectados por contingencias, utilizando globos con antenas de telefonía móvil. No es una solución nueva, puesto que ya fue utilizada por los soldados en la guerra de Afganistán para dar cobertura a las tropas occidentales desplegadas allí. Sin embargo, es un aporte importante en los avances tecnológicos que se pueden observar hoy en día. El gobierno de Japón prevé utilizar esta tecnología, de repetirse una tragedia como la acontecida en marzo del año 2011.[iv]

Otra nueva tendencia tecnológica, es la utilización de la información que captan los satélites, para prevenir grandes inundaciones, estudiando las imágenes suministradas, para realizar las estimaciones de la cantidad de lluvia prevista, en base a la temperatura de las nubes, y de este modo, conocer en tiempo real la distribución de las precipitaciones. Así también, pueden visualizar los efectos que los eventos contingentes dejan a su paso, pudiendo tomar fotografías que luego utilizan para medir el impacto y los efectos que dejó la contingencia.

Conclusión

La tecnología avanza a pasos agigantados y cada día su aporte se hace más valioso para prevenir y apoyar a las personas y empresas frente a la ocurrencia de situaciones contingentes, es por ello, que el estar informados se vuelve una prioridad hoy en día. Las redes sociales emergen como una nueva alternativa que permite la difusión de la información de una manera rápida y útil para los servicios de ayuda y prevención.

Gipsy Rosas Falovo fue consultor sénior de IBM Certificado CBCP por el DRI International en temas de continuidad de negocio y recuperación ante desastres. Posee más de diez años en la industria de tecnología de la información. Es ingeniero de sistemas de la UNIMET (Universidad Metropolitana de Venezuela). Ha trabajado en diferentes países de LATAM desarrollando estrategias de continuidad de negocio para clientes de diferentes sectores de la industria. Ha participado en seminarios y conferencias de continuidad de negocio. Puede ser contactada al e-mail gipsyrosas@hotmail.com.


[i] InSites Consulting es una empresa trasnacional exitosa de Marketing que  tiene 15 años en la industria y ha ganado más de 25 premios internacionales. Su “core business” es la investigación de mercados. Para mayor información consulte su página web www.insites-consulting.com.

[ii] “The App Collective” es una empresa que realiza desarrollos de software para “smartphones”.   Para mayor información consulte su página  web www.earthquakebuddy.com.

[iii] El domingo 20 de mayo en horas de la madrugada local, ocurrió un terremoto, de magnitud 5.9 en la escala de Richter. El epicentro se situó unos 36 kilómetros al norte de Bolonia. El terremoto duró aproximadamente veinte minutos según los sismólogos.

[iv] El viernes, 11 de marzo ocurrió un terremoto de magnitud 9,0 MW que creó olas de maremoto de hasta 40,5 metros. El terremoto ocurrió a las 14:46:23 hora local. El epicentro del terremoto se ubicó en el mar, frente a la costa de Honshu, 130 km al este de Sendai, en la prefectura de Miyagi, Japón. En un primer momento se calculó su magnitud en 7,9 grados MW, que fue posteriormente incrementada a 8,8, después a 8,9 grados por el Servicio Geológico de los Estados Unidos (USGS). Finalmente a 9,0 grados MW, confirmado por la Agencia Meteorológica de Japón y el USGS. El terremoto duró aproximadamente seis minutos según los sismólogos.

Seguridad industrial y salud ocupacional en la continuidad del negocio

Carlos Alberto Vargas Sabogal

Al hacer la estimación de los impactos financieros y operativos durante la conducción del análisis de impacto al negocio y la evaluación de los riesgos de continuidad para la implementación de un programa de continuidad de negocio en la organización, a las áreas de Seguridad Industrial y Salud Ocupacional no se les analiza con la debida importancia.

La seguridad industrial (SI) y la salud ocupacional (SO) son dos elementos claves para la continuidad del negocio que han venido posicionándose en el diseño de estos programas, debido principalmente a tres factores mutuamente dependientes:

los altos costos incurridos por las organizaciones por el pago de incapacidades, reemplazos e indemnizaciones como consecuencia de los accidentes y enfermedades profesionales; la cada vez más exigente legislación con la expedición de normas internacionales para garantizar mejores condiciones de trabajo para los empleados; y por último, la mayor toma de conciencia sobre la importancia real de la salud ocupacional en uno de los recursos estratégicos del negocio: el ser humano.

Análisis de los requerimientos funcionales

Cada vez que se realiza un análisis de impacto al negocio por procesos, éste se efectúa sobre:

  • La afectación por la no entrega de un bien o servicio derivado del proceso crítico evaluado, los ingresos de la organización, y por consiguiente, sobre su rentabilidad; esto equivale a la eficiencia económica del negocio.
  • ¿Qué tanto se afectan clientes y usuarios por la no disponibilidad de ese bien o servicio? Lo que se traduce en su probable pérdida y la posibilidad de incurrir en altos costos para su recuperación.
  • También, se analiza la afectación a la imagen o marca de la organización en caso de interrumpir el flujo normal del bien o servicio en el mercado, bien por su no disponibilidad permanente, o bien por su calidad, lo que significa el costo de reposicionar la marca.
  • Se evalúa el impacto legal, el cual ocupa un lugar importante en el análisis, por cuanto la no entrega de un bien o servicio dentro de los términos y condiciones pactados con clientes, en especial con los que consumen los mayores volúmenes, en muchos casos implican contratos con fuertes cláusulas de penalidades. Implica costos imprevistos no presupuestados y molestos litigios entre las partes, acarreándose la posibilidad de pérdida financiera por incumplimiento.
  • Se toman en cuenta otras afectaciones como la posibilidad de detener o impactar procesos precedentes o posteriores y el impacto sobre la operación de toda la entidad.
  • La posibilidad de generar fuertes impactos externos sectoriales o por industria, por falta de suministro de bienes o servicios.

Lo mismo sucede cuando se conduce el análisis de riesgos de continuidad. El aspecto fundamental de la evaluación de estos riesgos se concentra en la detección de amenazas y riesgos del entorno externo en cuanto a su posible materialización, ya sean de origen natural y humano y las correspondientes del entorno interno, como fallas en las comunicaciones y en la infraestructura tecnológica; principalmente que conduzcan a la no producción del bien o prestación del servicio y por tanto, a su entrega con retraso.

En mi experiencia, frecuentemente a los aspectos relacionados directamente con el recurso humano se les contemplan dentro del análisis de manera muy superficial, bajo la premisa que cualquier proceso funciona como una combinación efectiva de recursos humanos, tecnológicos, financieros y físicos. No obstante, en los recursos mínimos requeridos para responder y operar ante una contingencia, se considera a las personas como los principales protagonistas de los planes de continuidad y de contingencia.

Slide1

Que significa

En la primera década del siglo XXI, con la expedición de estándares globales que conminan a la implementación de sistemas de gestión y normas locales en los diferentes países que obligan la implementación de condiciones básicas de seguridad industrial y salud ocupacional, se han dado pasos significativos en estos aspectos. Sin embargo, en los países en vías de desarrollo solo en las compañías multinacionales, las controladas de manera directa por los entes regulatorios y las que tienen algún grado de obligatoriedad en el cumplimiento de requisitos que impliquen la protección real de sus trabajadores, aplican la normativa correspondiente. Aprendí que las demás no lo hacen sencillamente porque no tienen contemplado en sus estructuras organizacionales la dedicación de personal dedicado exclusivamente al análisis de las condiciones laborales adecuadas, la generación de ambientes de trabajo sanos y el suministro de elementos de protección adecuados a sus trabajadores. Estas responsabilidades descansan sobre áreas administrativas sometidas a fuertes controles de gastos, por lo que la manera más sencilla de reducirlos o eliminarlos es a través una drástica disminución de los gastos en estos rubros.

En mi opinión y basado en las estadísticas del Ministerio de Protección Social en Colombia, los sectores de mayor demanda por una buena gestión del recurso humano, como los de: manufactura, minería de socavón, construcción de obras públicas y de vivienda, ganadería, pesca, agricultura y silvicultura (véase Gráfico 1), son los que presentan las mayores tasas de accidentalidad ya que cuentan con menores recursos tecnológicos para la implementación de planes de continuidad del negocio y donde se concentra la mayor cantidad de pérdidas por este concepto, que afectan significativamente la productividad empresarial y social. En Colombia, particularmente, los nuevos modelos de contratación laboral, han conducido a una más estrecha vigilancia para el cumplimiento de las normas regulatorias, dadas las altas tasas de accidentes generadores de incapacidades permanentes, parciales y totales, y pagos de altas sumas por siniestralidad derivada de los accidentes de trabajo, los cuales, sin lugar a dudas, considero que son un componente clave al momento de la evaluación de los impactos intangibles.

He observado que estos aspectos, para efecto de la cuantificación de los impactos financieros y operacionales, no cuentan de manera específica en el análisis de impacto al negocio ni en le evaluación de riesgos de continuidad y en caso de requerirse, se les asigna un valor estimado basado en el comportamiento histórico de los costos por seguridad industrial y salud ocupacional SISO en la compañía que quiera emprender e implementar un sistema de gestión de continuidad de negocio.

Por otro lado, los planes de respuesta de emergencia, en su mayoría, obedecen a la activación de los planes de emergencia que se encuentren vigentes en la organización, y para los casos extremos como: terremotos, inundaciones, actos terroristas, se acude a las autoridades locales para que se estabilicen las condiciones en que la compañía pueda asumir y controlar el incidente.

Retos para una mejora continua

Los directores de las organizaciones deben entonces, concentrar buena parte de sus esfuerzos estratégicos en la asignación de recursos económicos para la preparación de equipos de respuesta altamente motivados desde SISO ya que al momento de activar los planes de recuperación del negocio, la organización dependerá de la confianza y competencia de los integrantes designados en la responsabilidad de Seguridad Industrial y Salud Ocupacional.

Finalmente, ante la proliferación de los sistemas de gestión para todas las actividades operativas y de control operativo en las compañías, sugiero concentrar todos los esfuerzos en la articulación y evaluación permanente de los indicadores de eficiencia de cada uno de ellos. Asimismo, concatenar toda la información, de manera que sea posible que los programas de continuidad del negocio en particular, tengan la efectividad y el alcance esperados; y se cuente con recursos humanos protegidos, competentes, capacitados y entrenados para su ejecución con éxito, en el momento de requerirse.

Carlos Alberto Vargas Sabogal es ingeniero Industrial de la Universidad Incca de Colombia, licenciado en idiomas de la Universidad Nacional de Colombia, profesional certificado CBCP por DRI International y profesional en las normas ISO 18001 e ISO 19001. Desde hace más de diez años es consultor en el desarrollo e implementación de programas de continuidad del negocio, pruebas y capacitación en compañías de diferentes sectores económicos dentro y fuera de Colombia. Ha sido docente en la Universidad Central de Bogotá en el programa de postgrado de ciencias económicas y administrativas; es columnista y colaborador en el periódico La Calle desde 2007.  Puede ser contactado en cavargas909@hotmail.com

Los estándares para la continuidad del negocio

Sandra Patricia Camacho Bonilla

¿Cuál es el beneficio que los estándares pueden brindar a la disciplina de continuidad del negocio? ¿Están las organizaciones interesadas y preparadas para  orientar esfuerzos al cumplimiento de este tipo de estándares? Los entes reguladores y las agencias calificadoras tienden a guiarse en éste tipo de normas para orientar sus calificaciones,  sin embargo, no es solo en este sentido que se debe orientar el beneficio para las organizaciones, sino hacia un eficiente y eficaz desempeño y la credibilidad de la misma, en su preparación para enfrentar una crisis o un desastre, en el momento de presentarse.

El pasado 18 de mayo de 2012 fueron publicadas las normas internacionales ISO 22301 con los “Requerimientos para un sistema de gestión de continuidad del negocio” y en marzo de 2011 las normas ISO/IEC 27031 con las “Guías para la preparación de telecomunicaciones y tecnologías de la información (TIC) para la continuidad del negocio”.

Pero, ¿cuál es el beneficio que los estándares pueden brindar a la disciplina de continuidad del negocio? ¿Están las organizaciones interesadas y preparadas para  orientar esfuerzos al cumplimiento de este tipo de estándares? Los entes reguladores y las agencias calificadoras tienden a guiarse en éste tipo de normas para orientar sus calificaciones,  sin embargo, no es solo en este sentido que se debe orientar el beneficio para las organizaciones, sino hacia un eficiente y eficaz desempeño y la credibilidad de la misma, en su preparación para enfrentar una crisis o un desastre, en el momento de presentarse.

En este sentido, es importante conocer cuáles son las mejores prácticas  y estándares que existen, así como la relación entre ellos y como aplica en relación al tamaño de la organización, como a su cultura y entender el estado en el que la organización se encuentre y así, medir el esfuerzo y costo de su adopción.

Normas de la continuidad del negocio

Las recientes normas ISO de continuidad del negocio brindan a las organizaciones estándares para que se maximice la “continuidad” de sus operaciones, a pesar de  eventos catastróficos o incluso de menor dimensión  que puedan presentarse, y de manera particular, ocasionados por la tecnología, por lo que se cuenta con estándares particulares en este sentido.

No es reciente la existencia de normativas al respecto, las normas ISO 22301 e ISO/IEC 27031 tienen su origen respectivamente en los estándares británicos BS 25999 “Gestión de la continuidad del negocio” de noviembre del 2006 y BS 25777 “Gestión de la continuidad de la tecnología de información y telecomunicaciones” de noviembre del 2008, y estos a su vez, de estándares internacionales fomentados por diversas organizaciones como el Disaster Recovery Institute International (DRI International), quienes desde 1988 han promovido a nivel internacional, las mejores prácticas respecto a la continuidad del negocio, así como el Business Continuity Institute (BCI),  desde 1994, entre otros.

Los estándares BS 25777 y BS 25999 presentan a su vez dos “Códigos de práctica”, el primero en cuanto a la gestión de continuidad de TIC y el segundo, en lo referente a la gestión de continuidad del negocio; introduciendo, desde cada perspectiva, el concepto de “programa de continuidad” presentado como un ciclo de vida compuesto por seis partes. Inicialmente y ubicado en el centro del ciclo, se presenta la “Gestión del programa de continuidad”, donde se define la gobernabilidad, la implementación, la continuidad y la documentación  del programa,  luego, representado como un ciclo de vida que va desde el “Entendimiento de la organización”, pasando por “Determinación de las estrategias” y “Desarrollo e implementación de la respuesta” y finalmente, “Ejercicios, mantenimiento y revisión”, a partir de donde se vuelve a iniciar el ciclo, el cual está inmerso en la “Cultura organizacional”, donde se incluyen los temas de concientización y entrenamiento. Luego, cada uno de ellos se concentra en su ámbito de aplicación, entrando a ser dos ciclos complementarios para lograr la gestión del programa de continuidad.

Sintetizan el conocimiento

BCI, a través de su “Código de buenas prácticas para la gestión de continuidad del negocio”, promueve el ciclo de vida presentado en el BS-25999 como el cuerpo de conocimiento para la disciplina, especificando adicionalmente, algunas herramientas en cada una de las fases del ciclo, es así como incluye el business impact analisys (BIA), continuity requirement analisys (CRA) y el risk assesment (RA),  para la fase de “Entendimiento de la organización”, el establecimiento de parámetros como el recovery time objective (RTO), recovery point objective (RPO) así como el maximum tolerable period of disruption (MTPD) y el maximum tolerable data lost (MTDL) para la “determinación de las estrategias”, incluyendo la selección e identificación de respuestas tácticas y la consolidación de niveles de recursos, asimismo, presenta una serie de pasos detallados para  las demás fases del ciclo, presentado un enfoque estructurado y claro para el desarrollo de un programa de gestión de la continuidad del negocio.

Es así como, las diez prácticas profesionales propuestas por DRI International, la cual sintetiza el conocimiento completo de la disciplina, se consolidan como una base de conocimiento fundamental que incluye tanto las fases del ciclo de vida presentado por el British Standard como por el BCI, así como los requisitos presentados en estándares ISO.

Camacho f1

Planear-Hacer-Verificar-Actuar (PHVA)

En cuanto a la reciente normalización ISO, tanto en los aspectos de “Continuidad del negocio” como de la “Preparación TIC para la continuidad del negocio”, ésta recoge las mejores prácticas y las normaliza con una serie de requisitos, facilitando una mejor gestión en ambos frentes, ya que está inmersa en los conocidos ciclos de mejora continua con los que ya estamos familiarizados planear, hacer, verificar y actuar (véase figura 1, página TBD).

En este sentido, las diez prácticas profesionales de la continuidad del negocio de DRI International, se reflejan en el marco de la Norma ISO 22301 “Continuidad del Negocio” (la cual forma parte de la familia de normas ISO relacionadas con “Seguridad Social”) de la manera “PHVA”:

Planear: Establecer la política, metas, objetivos, controles, procesos y procedimientos de continuidad del negocio.

Hacer: Implementar y operar las políticas, controles, procesos y procedimientos.

Verificar: Implementar un monitoreo y revisar el desempeño con relación a la política y los objetivos de continuidad del negocio, reportar resultados a la dirección y acción de mejoramiento.

Actuar: Mantener y mejorar el sistema de gestión de continuidad del negocio, tomando en cuenta las acciones correctivas, basadas en los resultados de las revisiones. Llevar a cabo la revalorización del objetivo del sistema y de la política y objetivos de continuidad.

Las mejores prácticas del DRI International

Por otro lado, y de manera complementaria a la guía BS 25777 “Gestión de la continuidad de la tecnología de información y  telecomunicaciones”, la norma ISO/IEC 27031 con las “Guías para la preparación de TIC para la continuidad del negocio”, se enmarca dentro del ciclo de mejora continua PHVA  y a las mejores prácticas de continuidad del negocio del DRI International, con elementos similares a los descritos arriba pero aplicados a TIC, de tal manera que esta guía gira en torno a los siguientes principios:

a)      Prevención de incidentes: Protección de los servicios de TIC de las amenazas, tanto ambientales como fallas de hardware, errores operativos, ataques maliciosos, y desastres naturales. Es crítico mantener los niveles deseables de disponibilidad de los sistemas para una organización;

 b)      Detección de incidentes:  Detectar los incidentes en el momento oportuno podrá minimizar el impacto a los servicios, reduciendo los esfuerzos necesarios de recuperación, y preservando la calidad del servicio;  

c)      Respuesta: Responder a un incidente de la manera más apropiada, dará lugar a una recuperación más eficiente y minimiza el tiempo de interrupción. Una mala reacción  podría hacer que un incidente menor escale hacia una situación más seria;

d)     Recuperación: La identificación e implementación de estrategias de respuesta apropiadas asegurarán la recuperación oportuna de los servicios y mantener la integridad de los datos. El entendimiento de las prioridades de recuperación definirá el que los servicios críticos sean recuperados primero. Los servicios de una naturaleza no críticos, serán reintegrados en un momento posterior;

e)     Mejoramiento: Lecciones aprendidas, desde pequeños hasta grandes incidentes, deben ser documentadas, analizadas y revisadas. El entendimiento de estas lecciones permitirá a la organización estar mejor preparada, controlar y evitar incidentes e interrupciones.

El ciclo PHVA

Con un mayor detalle, la norma sigue el ciclo de mejoramiento de PHVA, de la siguiente manera:

Planear: A partir del “Análisis de impacto al negocio” de la organización, se definen los requerimientos de continuidad, la política, el entendimiento de los servicios críticos de tecnología y los requerimientos para la preparación, identificando las “brechas” actuales de preparación con que cuenta TIC.

A partir de estas, se formulan las estrategias, definiendo las habilidades y conocimientos necesarios, los recursos, la tecnología, los datos, los proveedores y los requerimientos de capacidad y desempeño “resiliente” requeridos.

Hacer: Se considera como la recopilación, mantenimiento e implementación del plan de preparación de TIC, dentro de lo cual se encuentran: los procesos, las estrategias, los planes de respuesta y recuperación, los programas de concientización, competencia y entrenamiento así como el control de documentos relacionados.

Verificar: Es el monitoreo y revisión continuos, para los cuales se consideran el análisis de amenazas, la medición del desempeño de preparación de TIC, las revisiones anuales, tanto de pruebas y ejercicios como de las auditorías internas y externas.

Actuar: Consiste en la revisión por la dirección y el mejoramiento del plan de preparación de TIC.

En conclusión, es importante contar con estándares y esquemas de medición que nos permitan identificar la posición en que se encuentra la organización, pero el gran riesgo es confiar en que solo la teoría y la documentación nos brinda protección y confiabilidad sin mantener  el control en un evento de catástrofe, es en este sentido importante, resaltar que para contar con una exitosa preparación ante desastres, las pruebas y ejercicios se convierten en un elemento fundamental de las estrategias y arquitecturas tanto de TIC como operativas; las cuales deben ser realizadas de manera programada y constante, ya que nos permiten desarrollar confianza en nuestras capacidades de reacción, así como fortalecer las habilidades y experiencia de los equipos de encargados de la continuidad. Estas pruebas y ejercicios se deben hacer tanto de “escritorio” como “simuladas”, con escenarios de fallas totales o parciales de todos y cada uno de los recursos críticos para el negocio.

Es importante superar el temor que nos representa “simular” una  falla o crisis, mediante la preparación de todas las áreas, no solo de tecnología, sino también de las áreas operativas, ante la posibilidad de una falla severa a nivel de la provisión de recursos (personal clave, infraestructura,  potencia, ambiente, tecnología, etc.), todo esto orientado al final, a minimizar la “incertidumbre” y conocer las propias vulnerabilidades,  trabajar en ellas y aumentar la capacidad de “resiliencia” para la organización como un todo y así garantizar una real “continuidad del negocio”.

Sandra Patricia Camacho Bonilla tiene más de quince años de experiencia en las áreas de continuidad del negocio, gestión de riesgos y manejo de estándares y políticas de tecnología. Desde hace siete años es la directora de la unidad de soporte y continuidad de tecnología del Banco de la República de Colombia (Banco Central de Colombia). Es especialista en “business impact analysis” y “emergency management and safety solutions”. Entre sus experiencias ha liderado acciones de planeación, respuesta y recuperación de operaciones en diversos escenarios de contingencia en el sector financiero, implementación, control y seguimiento de centros de datos alternos remotos. Líder de los procesos de certificación de calidad ISO 9001 y auditor ISO 27001 para el área de tecnología del Banco de la República de Colombia. 

Es certificada en CBCP por el DRI International desde 2001 en Boston, MA, EEUU, ITIL versión 3, Auditor ISO 27001 e ISO 9001 y PMP por el PMI desde el 2005.  Ingeniería y Maestría en Sistemas y Computación de la Universidad de Los Andes. Ha sido docente académica de la Universidad de Los Andes, Universidad Javeriana y Universidad Piloto de Colombia así como conferencista en eventos de seguridad informática y continuidad. Puede ser contactada en scamacbo@banrep.gov.co