Planificación de la Continuidad del Negocio

Prevention and recovery from threats that might affect a company

Ciclo de vida de la planificación de la continuidad del negocio

La continuidad del negocio puede definirse como "la capacidad de una organización para continuar la entrega de productos o servicios a niveles aceptables predefinidos después de un incidente disruptivo", ^[1] y la planificación de la continuidad del negocio ^{[2] [3]} (o continuidad del negocio y Planificación de resiliencia ) es el proceso de creación de sistemas de prevención y recuperación para hacer frente a posibles amenazas a una empresa. ^[4] Además de la prevención, el objetivo es permitir operaciones continuas antes y durante la ejecución de la recuperación ante desastres . ^[5] La continuidad del negocio es el resultado esperado de la ejecución adecuada tanto de la planificación de la continuidad del negocio como de la recuperación ante desastres.

Varios organismos de normalización han publicado varios estándares de continuidad del negocio para ayudar a enumerar las tareas de planificación en curso. ^[6]

La resistencia de una organización al fracaso es "la capacidad... de resistir los cambios en su entorno y seguir funcionando". ^[7] A menudo llamada resiliencia, es una capacidad que permite a las organizaciones soportar los cambios ambientales sin tener que adaptarse permanentemente, o la organización se ve obligada a adaptar una nueva forma de trabajar que se adapte mejor a las nuevas condiciones ambientales. ^[7]

Descripción general

Cualquier evento que pueda impactar negativamente las operaciones debe incluirse en el plan, como la interrupción de la cadena de suministro , la pérdida o daño a la infraestructura crítica (maquinaria importante o recursos informáticos/de red). Como tal, BCP es un subconjunto de la gestión de riesgos . ^[8] En Estados Unidos, las entidades gubernamentales se refieren al proceso como planificación de continuidad de operaciones (COOP). ^[9] Un plan de continuidad del negocio ^[10] describe una variedad de escenarios de desastre y los pasos que tomará la empresa en cualquier escenario particular para volver al comercio regular. Los BCP se redactan con anticipación y también pueden incluir precauciones que se deben implementar. Generalmente creado con el aporte del personal clave y de las partes interesadas, un BCP es un conjunto de contingencias para minimizar el daño potencial a las empresas durante escenarios adversos. ^[11]

Resiliencia

Un análisis de 2005 sobre cómo las disrupciones pueden afectar negativamente las operaciones de las corporaciones y cómo las inversiones en resiliencia pueden brindar una ventaja competitiva sobre las entidades que no están preparadas para diversas contingencias ^[12] extendieron las prácticas de planificación de la continuidad del negocio entonces comunes. Organizaciones empresariales como el Consejo de Competitividad adoptaron este objetivo de resiliencia. ^[13]

Adaptarse al cambio de una manera aparentemente más lenta y evolutiva -a veces a lo largo de muchos años o décadas- se ha descrito como más resiliente, ^[14] y el término "resiliencia estratégica" se utiliza ahora para ir más allá de resistir una crisis única. sino más bien anticipando y ajustando continuamente, "antes de que la necesidad de cambio se vuelva desesperadamente obvia".

Este enfoque a veces se resume en: preparación , ^[15] protección, respuesta y recuperación. ^[dieciséis]

La Teoría de la Resiliencia puede relacionarse con el campo de las Relaciones Públicas. La resiliencia es un proceso comunicativo construido por ciudadanos, familias, sistemas de medios, organizaciones y gobiernos a través del habla cotidiana y la conversación mediada. ^[17]

La teoría se basa en el trabajo de Patrice M. Buzzanell , profesor de la Escuela de Comunicación Brian Lamb de la Universidad Purdue . En su artículo de 2010, "Resiliencia: hablar, resistir e imaginar nuevas normalidades" ^[18] Buzzanell analizó la capacidad de las organizaciones para prosperar después de una crisis mediante la creación de resistencia. Buzzanell señala que hay cinco procesos diferentes que los individuos utilizan cuando intentan mantener la resiliencia: crear normalidad, afirmar anclas de identidad, mantener y utilizar redes de comunicación, poner en práctica lógicas alternativas y restar importancia a los sentimientos negativos mientras se ponen en primer plano las emociones positivas.

Cuando se analiza la teoría de la resiliencia, la teoría de la comunicación de crisis es similar, pero no igual. La teoría de la comunicación de crisis se basa en la reputación de la empresa, pero la teoría de la resiliencia se basa en el proceso de recuperación de la empresa. Hay cinco componentes principales de la resiliencia: crear normalidad, afirmar los anclajes de identidad, mantener y utilizar redes de comunicación, poner en práctica lógicas alternativas y restar importancia a los sentimientos negativos y poner en primer plano las emociones negativas. ^[19] Cada uno de estos procesos puede ser aplicable a empresas en tiempos de crisis, lo que hace que la resiliencia sea un factor importante en el que las empresas deben centrarse durante la formación.

Hay tres grupos principales que se ven afectados por una crisis. Son micro (individual), meso (grupo u organización) y macro (nacional o interorganizacional). También hay dos tipos principales de resiliencia, que son proactiva y posterior a la resiliencia. La resiliencia proactiva es prepararse para una crisis y crear una base sólida para la empresa. La resiliencia posterior incluye continuar manteniendo la comunicación y el control con los empleados. ^[20] La resiliencia proactiva consiste en abordar los problemas actuales antes de que provoquen un posible cambio en el entorno laboral y después de la resiliencia mantener la comunicación y aceptar cambios después de que haya ocurrido un incidente. La resiliencia se puede aplicar a cualquier organización. En Nueva Zelanda, el programa de Organizaciones Resilientes de la Universidad de Canterbury desarrolló una herramienta de evaluación para comparar la resiliencia de las organizaciones. ^[21] Cubre 11 categorías, cada una con 5 a 7 preguntas. Un índice de resiliencia resume esta evaluación. ^[22]

Continuidad

Los planes y procedimientos se utilizan en la planificación de la continuidad del negocio para garantizar que las operaciones organizativas críticas necesarias para mantener una organización en funcionamiento continúen funcionando durante eventos en los que se interrumpen dependencias clave de las operaciones. No es necesario que la continuidad se aplique a todas las actividades que emprende la organización. Por ejemplo, según ISO 22301:2019 , las organizaciones deben definir sus objetivos de continuidad del negocio, los niveles mínimos de operaciones de productos y servicios que se considerarán aceptables y el período máximo tolerable de interrupción (MTPD) que se puede permitir. ^[23]

Un costo importante en la planificación para esto es la preparación de documentos de gestión del cumplimiento de la auditoría; Hay herramientas de automatización disponibles para reducir el tiempo y el costo asociados con la producción manual de esta información.

Inventario

Los planificadores deben tener información sobre:

• Equipo
• Suministros y proveedores
• Ubicaciones, incluidas otras oficinas y sitios de respaldo /recuperación del área de trabajo (WAR)
• Documentos y documentación, incluidos los que cuentan con copias de seguridad externas: ^[10]
  • Documentos empresariales
  • Documentación del procedimiento

Análisis

La fase de análisis consta de:

• Análisis de impacto
• Análisis de amenazas y riesgos.
• Escenarios de impacto

La cuantificación de los índices de siniestralidad también debe incluir "dólares para defender una demanda". ^[24] Se ha estimado que un dólar gastado en prevención de pérdidas puede evitar "siete dólares de pérdidas económicas relacionadas con desastres". ^[25]

Análisis de impacto empresarial (BIA)

Un análisis de impacto empresarial (BIA) diferencia las funciones/actividades de la organización críticas (urgentes) y no críticas (no urgentes). Una función puede considerarse crítica si así lo dicta la ley.

Cada función/actividad normalmente depende de una combinación de componentes constituyentes para funcionar:

• Recursos humanos (personal de tiempo completo, personal de tiempo parcial o contratistas)
• sistemas de TI
• Activos físicos (teléfonos móviles, computadoras portátiles/estaciones de trabajo, etc.)
• Documentos (electrónicos o físicos)

Para cada función, se asignan dos valores:

• Objetivo de punto de recuperación (RPO): la latencia aceptable de los datos que no se recuperarán. Por ejemplo, ¿es aceptable que la empresa pierda 2 días de datos? ^[26] El objetivo del punto de recuperación debe garantizar que no se supere la pérdida máxima de datos tolerable para cada actividad.
• Objetivo de tiempo de recuperación (RTO): la cantidad de tiempo aceptable para restaurar la función

RTO máximo

Las limitaciones de tiempo máximas sobre cuánto tiempo los productos o servicios clave de una empresa pueden no estar disponibles o no poder entregarse antes de que las partes interesadas perciban consecuencias inaceptables se han denominado como:

• Período máximo tolerable de interrupción (MTPoD)
• Tiempo de inactividad máximo tolerable (MTD)
• Interrupción máxima tolerable (MTO)
• Interrupción máxima aceptable (MAO) ^{[27] [28]}

Según ISO 22301, los términos interrupción máxima aceptable y período máximo tolerable de interrupción significan lo mismo y se definen utilizando exactamente las mismas palabras. ^[29]

Consistencia

Cuando más de un sistema falla, los planes de recuperación deben equilibrar la necesidad de coherencia de los datos con otros objetivos, como RTO y RPO. ^[30] Objetivo de coherencia de recuperación (RCO) es el nombre de este objetivo. Aplica objetivos de coherencia de datos para definir una medida de la coherencia de los datos comerciales distribuidos dentro de sistemas interconectados después de un incidente de desastre. Términos similares utilizados en este contexto son "Características de coherencia de recuperación" (RCC) y "Granularidad de objetos de recuperación" (ROG). ^[31]

Si bien RTO y RPO son valores absolutos por sistema, RCO se expresa como un porcentaje que mide la desviación entre el estado real y objetivo de los datos comerciales en todos los sistemas para grupos de procesos o procesos comerciales individuales.

La siguiente fórmula calcula el RCO, donde "n" representa el número de procesos comerciales y las "entidades" representan un valor abstracto para los datos comerciales: ${\displaystyle {\text{RCO}}=1-{\frac {({\text{number of inconsistent entities}})_{n}}{({\text{number of entities}})_{n}}}}$

100% RCO significa que después de la recuperación, no se produce ninguna desviación de los datos comerciales. ^[32]

Análisis de amenazas y riesgos (TRA)

Después de definir los requisitos de recuperación, cada amenaza potencial puede requerir pasos de recuperación únicos. Las amenazas comunes incluyen:

• Pandemia epidémica
• Terremoto
• Fuego
• Inundación
• Ataque cibernetico
• Sabotaje (amenaza interna o externa)
• Huracán u otra tormenta importante
• corte de energía
• Corte de agua (interrupción del suministro, contaminación)
• Corte de telecomunicaciones
• corte de TI
• Terrorismo / Piratería
• Guerra /desorden civil
• Robo (amenaza interna o externa, información o material vital)
• Fallo aleatorio de sistemas de misión crítica
• Dependencia de un solo punto
• Fallo del proveedor
• Corrupción de datos
• Mala configuración
• Caída de la red

Las áreas mencionadas anteriormente pueden ocurrir en cascada: los socorristas pueden tropezar. Los suministros pueden agotarse. Durante el brote de SARS de 2002-2003 , algunas organizaciones compartimentaron y rotaron equipos para adaptarse al período de incubación de la enfermedad. También prohibieron el contacto en persona tanto durante el horario comercial como fuera del horario comercial. Esto aumentó la resiliencia contra la amenaza.

Escenarios de impacto

Los escenarios de impacto se identifican y documentan:

• necesidad de suministros médicos ^[33]
• necesidad de opciones de transporte ^[34]
• Impacto civil de los desastres nucleares ^[35]
• necesidad de suministros comerciales y de procesamiento de datos ^[36]

Estos deberían reflejar el daño más amplio posible.

Niveles de preparación

Los siete niveles de recuperación ante desastres de SHARE ^[37] lanzados en 1992, fueron actualizados en 2012 por IBM como un modelo de ocho niveles: ^[38]

• Nivel 0 : sin datos externos. • Las empresas con una solución de recuperación ante desastres de nivel 0 no tienen un plan de recuperación ante desastres. No hay información guardada, ni documentación, ni hardware de respaldo, ni plan de contingencia. Tiempo de recuperación típico: la duración del tiempo de recuperación en este caso es impredecible . De hecho, es posible que no sea posible recuperarse en absoluto.
• Nivel 1 : copia de seguridad de datos sin sitio activo • Las empresas que utilizan soluciones de recuperación ante desastres de nivel 1 realizan copias de seguridad de sus datos en una instalación externa. Dependiendo de la frecuencia con la que se realicen las copias de seguridad, están preparados para aceptar varios días o semanas de pérdida de datos , pero sus copias de seguridad están seguras fuera del sitio. Sin embargo, este nivel carece de sistemas para restaurar datos. Método de acceso para camionetas (PTAM).
• Nivel 2 : copia de seguridad de datos con Hot Site • Las soluciones de recuperación ante desastres de nivel 2 realizan copias de seguridad periódicas en cinta. Esto se combina con una instalación e infraestructura externas (conocidas como sitio activo) para restaurar los sistemas a partir de esas cintas en caso de un desastre. Esta solución de nivel seguirá generando la necesidad de recrear datos de varias horas o días, pero el tiempo de recuperación es menos impredecible . Los ejemplos incluyen: PTAM con Hot Site disponible, IBM Tivoli Storage Manager.
• Nivel 3 : almacenamiento electrónico • Las soluciones de nivel 3 utilizan componentes del nivel 2. Además, algunos datos de misión crítica se almacenan electrónicamente. Estos datos almacenados electrónicamente suelen ser más actuales que los que se envían a través de PTAM. Como resultado, hay menos recreación o pérdida de datos después de que ocurre un desastre .
• Nivel 4 : Copias puntuales • Las soluciones de Nivel 4 son utilizadas por empresas que requieren una mayor vigencia de los datos y una recuperación más rápida que los usuarios de niveles inferiores. En lugar de depender en gran medida de la cinta de envío, como es común en los niveles inferiores, las soluciones de Nivel 4 comienzan a incorporar más soluciones basadas en disco. Todavía es posible perder varias horas de datos , pero es más fácil realizar copias de este tipo de puntos en el tiempo (PIT) con mayor frecuencia que los datos que se pueden replicar a través de soluciones basadas en cintas.
• Nivel 5 : integridad de las transacciones • Las soluciones de Nivel 5 son utilizadas por empresas que necesitan coherencia de datos entre los centros de datos de producción y recuperación. Hay poca o ninguna pérdida de datos en este tipo de soluciones; sin embargo, la presencia de esta funcionalidad depende completamente de la aplicación que se utilice.
• Nivel 6 : pérdida de datos nula o pequeña • Las soluciones de recuperación ante desastres de nivel 6 mantienen los niveles más altos de vigencia de los datos . Los utilizan empresas con poca o ninguna tolerancia a la pérdida de datos y que necesitan restaurar datos en las aplicaciones rápidamente. Estas soluciones no dependen de las aplicaciones para proporcionar coherencia de datos.
• Nivel 7 : solución altamente automatizada e integrada en el negocio • Las soluciones de Nivel 7 incluyen todos los componentes principales que se utilizan para una solución de Nivel 6 con la integración adicional de la automatización. Esto permite que una solución de Nivel 7 garantice la coherencia de los datos superiores a los que otorgan las soluciones de Nivel 6. Además, la recuperación de las aplicaciones está automatizada, lo que permite la restauración de sistemas y aplicaciones mucho más rápida y confiablemente de lo que sería posible mediante procedimientos manuales de recuperación ante desastres.

Diseño de solución

Dos requisitos principales de la etapa de análisis de impacto son:

• Para TI: los requisitos mínimos de solicitud y datos y el tiempo en el que deben estar disponibles.
• Fuera de TI: conservación de copias impresas (como contratos). Un plan de proceso debe considerar personal capacitado y tecnología integrada.

Esta fase se superpone con la planificación de la recuperación ante desastres .

La fase de solución determina:

• Estructura de mando de gestión de crisis
• Arquitectura de telecomunicaciones entre sitios de trabajo primarios y secundarios.
• Metodología de replicación de datos entre sitios de trabajo primarios y secundarios.
• Sitio de respaldo con aplicaciones, datos y espacio de trabajo.

Estándares

Normas ISO

Hay muchos estándares disponibles para respaldar la planificación y gestión de la continuidad del negocio. ^{[39] [40]} La Organización Internacional de Normalización (ISO), por ejemplo, ha desarrollado toda una serie de normas sobre sistemas de gestión de la continuidad del negocio ^[41] bajo la responsabilidad del comité técnico ISO/TC 292 :

• ISO 22300 :2021 Seguridad y resiliencia - Vocabulario (Reemplaza ISO 22300 :2018 Seguridad y resiliencia - Vocabulario e ISO 22300 :2012 Seguridad y resiliencia - Vocabulario.) ^[42]
• ISO 22301 :2019 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Requisitos (Reemplaza ISO 22301 :2012.) ^[43]
• ISO 22313 :2020 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Guía sobre el uso de ISO 22301 (Reemplaza ISO 22313 :2012 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Guía sobre el uso de ISO 22301.) ^[44]

• ISO/TS 22317:2021 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Directrices para el análisis del impacto empresarial - (Reemplaza ISO/TS 22315:2015 Seguridad social – Sistemas de gestión de la continuidad del negocio – Directrices para el análisis del impacto empresarial.) ^[45]
• ISO/TS 22318:2021 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Directrices para la continuidad de la cadena de suministro (Reemplaza ISO/TS 22318:2015 Seguridad social – Sistemas de gestión de la continuidad del negocio – Directrices para la continuidad de la cadena de suministro) ^[46]
• ISO/TS 22330:2018 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Directrices para aspectos relacionados con las personas en la continuidad del negocio (Vigente a partir de 2022) ^[47]
• ISO/TS 22331:2018 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Directrices para la estrategia de continuidad del negocio - (Vigente a partir de 2022) ^[48]
• ISO/TS 22332:2021 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Directrices para desarrollar planes y procedimientos de continuidad del negocio (vigente a partir de 2022) ^[49]
• ISO/IEC/TS 17021-6:2014 Evaluación de la conformidad. Requisitos para los organismos que proporcionan auditoría y certificación de sistemas de gestión. Parte 6: Requisitos de competencia para la auditoría y certificación de sistemas de gestión de la continuidad del negocio. ^[50]

• ISO/IEC 24762:2008 Tecnología de la información. Técnicas de seguridad. Directrices para servicios de recuperación de desastres de tecnologías de la información y las comunicaciones (eliminada) ^[51].
• ISO/IEC 27001:2022 Seguridad de la información , ciberseguridad y protección de la privacidad. Sistemas de gestión de seguridad de la información. Requisitos. (Reemplaza ISO/IEC 27001:2013 Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Requisitos). ^[52]
• ISO/IEC 27002:2022 Seguridad de la información, ciberseguridad y protección de la privacidad. Controles de seguridad de la información. (Reemplaza ISO/IEC 27002:2013 Tecnología de la información – Técnicas de seguridad – Código de prácticas para controles de seguridad de la información). ^[53]
• ISO/IEC 27031:2011 Tecnología de la información – Técnicas de seguridad – Directrices para la preparación de la tecnología de la información y las comunicaciones para la continuidad del negocio. ^[54]
• ISO/PAS 22399:2007 Seguridad social - Directrices para la preparación ante incidentes y la gestión de la continuidad operativa (eliminada) ^[55]
• IWA 5:2006 Preparación para emergencias (retirada) ^[56]

estándares británicos

La Institución Británica de Normalización (Grupo BSI) publicó una serie de normas que desde entonces han sido retiradas y reemplazadas por las normas ISO mencionadas anteriormente.

• BS 7799 -1:1995: procedimientos de seguridad de la información abordados periféricamente. (retirado) ^[57]
• BS 25999 -1:2006 - Gestión de la continuidad del negocio Parte 1: Código de prácticas (reemplazado, retirado) ^[58]
• BS 25999-2:2007 Gestión de la continuidad del negocio Parte 2: Especificación (reemplazada, retirada) ^[59]
• 2008: BS 25777, Gestión de la continuidad de las tecnologías de la información y las comunicaciones. Código de Prácticas. (retirado) ^[60]

En el Reino Unido, las normas BS 25999-2:2007 y BS 25999-1:2006 se utilizaban para la gestión de la continuidad del negocio en todas las organizaciones, industrias y sectores. Estos documentos brindan un plan práctico para enfrentar la mayoría de las eventualidades, desde condiciones climáticas extremas hasta terrorismo, fallas del sistema de TI y enfermedades del personal. ^[61]

En 2004, tras las crisis de los años anteriores, el gobierno del Reino Unido aprobó la Ley de Contingencias Civiles de 2004 : las empresas deben tener medidas de planificación de continuidad para sobrevivir y seguir prosperando mientras trabajan para mantener los incidentes lo más mínimo posible. La ley se dividió en dos partes: Parte 1: protección civil, que cubre funciones y responsabilidades de los socorristas locales. Parte 2: poderes de emergencia. ^[62] En el Reino Unido, la resiliencia es implementada localmente por el Foro de Resiliencia Local . ^[63]

estándares australianos

• HB 292-2006, "Una guía para profesionales para la gestión de la continuidad del negocio" ^[64]
• HB 293-2006, "Guía ejecutiva para la gestión de la continuidad del negocio" ^[65]

Estados Unidos

• Norma NFPA 1600 sobre gestión de desastres/emergencias y programas de continuidad empresarial (2010). Asociación Nacional de Protección contra el Fuego . (reemplazado). ^[66]
• NFPA 1600, Norma sobre continuidad, gestión de emergencias y crisis (2019, norma actual), Asociación Nacional de Protección contra Incendios . ^[67]
• Continuidad de Operaciones (COOP) y Plan Nacional de Implementación de Políticas de Continuidad (NCPIP), Gobierno Federal de los Estados Unidos ^{[68] [69] [70]}
• Suite de Planificación de Continuidad de Negocios, Dirección de Programas y Protección Nacional del DHS y FEMA. ^{[71] [72] [73] [68]}
• ASIS SPC.1-2009, Resiliencia organizacional: sistemas de gestión de seguridad, preparación y continuidad: requisitos con orientación para su uso, Instituto Nacional Estadounidense de Estándares ^[74]

Implementación y pruebas

La fase de implementación implica cambios de políticas, adquisiciones de materiales, dotación de personal y pruebas.

Pruebas y aceptación organizacional.

El libro de 2008 Exercising for Excellence , publicado por The British Standards Institution , identificó tres tipos de ejercicios que pueden emplearse al probar los planes de continuidad del negocio.

• Ejercicios de mesa : un pequeño número de personas se concentran en un aspecto específico de un BCP. Otra forma implica un único representante de cada uno de varios equipos.
• Ejercicios medios : varios departamentos, equipos o disciplinas se concentran en múltiples aspectos del BCP; el alcance puede variar desde unos pocos equipos de un edificio hasta varios equipos que operan en ubicaciones dispersas. Se añaden "sorpresas" preestablecidas.
• Ejercicios complejos : se mantienen todos los aspectos de un ejercicio medio, pero para lograr el máximo realismo se agrega la activación sin previo aviso, la evacuación real y la invocación real de un sitio de recuperación ante desastres.

Si bien las horas de inicio y finalización se acuerdan previamente, es posible que se desconozca la duración real si se permite que los eventos sigan su curso.

Mantenimiento

El ciclo de mantenimiento semestral o anual de un manual de BCP ^[75] se divide en tres actividades periódicas.

• Confirmación de la información del manual, difusión al personal para sensibilización y formación específica para personas críticas.
• Ensayo y verificación de las soluciones técnicas establecidas para las operaciones de recuperación.
• Pruebas y verificación de los procedimientos de recuperación de la organización.

Los problemas encontrados durante la fase de prueba a menudo deben reintroducirse en la fase de análisis.

Información y objetivos

El manual del BCP debe evolucionar con la organización y mantener información sobre quién debe saber qué :

• Una serie de listas de verificación
  • Descripciones de puestos, conjuntos de habilidades necesarias, requisitos de formación
  • Documentación y gestión documental.
• Definiciones de terminología para facilitar la comunicación oportuna durante la recuperación ante desastres , ^[76]
• Listas de distribución (personal, clientes importantes, vendedores/proveedores)
• Información sobre infraestructura de comunicaciones y transporte (carreteras, puentes) ^[77]

Técnico

Se deben mantener recursos técnicos especializados. Los controles incluyen:

• Distribución de definiciones de virus
• Distribución de parches de servicio y seguridad de aplicaciones
• Operabilidad del hardware
• Operabilidad de la aplicación
• Verificación de datos
• Aplicación de datos

Pruebas y verificación de procedimientos de recuperación.

Los cambios en el software y en los procesos de trabajo deben documentarse y validarse, incluida la verificación de que las tareas de recuperación de los procesos de trabajo documentadas y la infraestructura de recuperación ante desastres de apoyo permitan al personal recuperarse dentro del objetivo de tiempo de recuperación predeterminado. ^[78]

Ver también

• Modelado de catástrofes
• Gestión de crisis
• Resiliencia cibernética
• Continuidad digital
• Desastre
• Recuperación de desastres
• Recuperación ante desastres y auditoría de continuidad del negocio
• Reducción de Desastres
• Gestión de emergencias
• Peligros provocados por el hombre
• Peligros Naturales
• Gestión de riesgos
• Planificación de escenarios
• Ingeniería de Sistemas
• Ciclo de vida del sistema

Referencias

1. Directrices de buenas prácticas de BCI 2013, citado en Mid Sussex District Council , Business Continuity Policy Statement, publicado en abril de 2018, consultado el 19 de febrero de 2021.
2. "Cómo elaborar un plan de continuidad empresarial eficaz y organizado". Forbes . 26 de junio de 2015.
3. "Sobrevivir a un desastre" (PDF) . American Bar.org (Asociación de Abogados de Estados Unidos) . 2011. Archivado (PDF) desde el original el 9 de octubre de 2022.
4. Elliot, D.; Swartz, E.; Herbane, B. (1999) A la espera del próximo big bang: planificación de la continuidad del negocio en el sector financiero del Reino Unido. Revista de estudios de gestión aplicada, vol. 8, No, págs. 43–60. Aquí: pág. 48.
5. Alan Berman (9 de marzo de 2015). "Construcción de un plan de continuidad empresarial exitoso". Revista de Seguros Empresariales .
6. "Plan de continuidad empresarial". Departamento de Seguridad Nacional de los Estados Unidos. Archivado desde el original el 7 de diciembre de 2018 . Consultado el 4 de octubre de 2018 .
7. Ian McCarthy; Mark Collard; Michael Johnson (2017). "Resiliencia organizacional adaptativa: una perspectiva evolutiva". Opinión Actual en Sostenibilidad Ambiental . 28 : 33–40. Código Bib : 2017COES...28...33M. doi :10.1016/j.cosust.2017.07.005.
8. Intrieri, Charles (10 de septiembre de 2013). "Planificación de la Continuidad del Negocio". Flevy . Consultado el 29 de septiembre de 2013 .
9. "Recursos de continuidad y asistencia técnica | FEMA.gov". www.fema.gov .
10. "Una guía para la elaboración de un plan de continuidad empresarial" (PDF) . Archivado desde el original (PDF) el 9 de febrero de 2019 . Consultado el 8 de febrero de 2019 .
11. "Planificación de la continuidad empresarial (BCP) para empresas de todos los tamaños". 19 de abril de 2017. Archivado desde el original el 24 de abril de 2017 . Consultado el 28 de abril de 2017 .
12. Yossi Sheffi (octubre de 2005). La empresa resiliente: superar la vulnerabilidad para lograr una empresa competitiva. Prensa del MIT.
13. "Transformar. La economía resiliente". Archivado desde el original el 22 de octubre de 2013 . Consultado el 4 de febrero de 2019 .
14. "Newsday | Fuente de noticias de Long Island y Nueva York | Newsday".
15. Tiffany Braun; Benjamín Martz (2007). "Preparación para la continuidad del negocio y estado mental de atención plena". Actas de AMCIS 2007 . S2CID  7698286."Se estima que el 80 por ciento de las empresas sin un plan de continuidad del negocio bien concebido y probado, cierran dentro de los dos años posteriores a un desastre importante" (Santangelo 2004)
16. "Anexo A.17: Aspectos de seguridad de la información de la gestión de la continuidad del negocio". ISMS.online. Noviembre de 2021.
17. "Comunicación y resiliencia: reflexiones finales y cuestiones clave para futuras investigaciones". www.researchgate.net .
18. Buzzanell, Patrice M. (2010). "Resiliencia: hablar, resistir e imaginar nuevas normalidades". Revista de Comunicación . 60 (1): 1–14. doi :10.1111/j.1460-2466.2009.01469.x. ISSN  1460-2466.
19. Buzzanell, Patrice M. (marzo de 2010). "Resiliencia: hablar, resistir e imaginar nuevas normalidades". Revista de Comunicación . 60 (1): 1–14. doi :10.1111/j.1460-2466.2009.01469.x. ISSN  0021-9916.
20. Buzzanell, Patrice M. (2 de enero de 2018). "Organizar la resiliencia como tensiones adaptativas-transformacionales". Revista de Investigación en Comunicación Aplicada . 46 (1): 14-18. doi :10.1080/00909882.2018.1426711. ISSN  0090-9882. S2CID  149004681.
21. "Organizaciones resilientes". 22 de marzo de 2011.
22. "Diagnóstico de resiliencia". 28 de noviembre de 2017.
23. ISO, ISO 22301 Gestión de la continuidad del negocio: su guía de implementación, publicado, consultado el 20 de febrero de 2021
24. "Planificación de emergencias" (PDF) . Archivado (PDF) desde el original el 9 de octubre de 2022.
25. Helen Clark (15 de agosto de 2012). "¿Puede su organización sobrevivir a un desastre natural?" (PDF) . RI.gov . Archivado (PDF) desde el original el 9 de octubre de 2022.
26. Mayo, Ricardo. "Encontrar RPO y RTO". Archivado desde el original el 3 de marzo de 2016.
27. "Interrupción máxima aceptable (definición)". pensamiento arriesgado.com . Albion Investigación Ltd. Consultado el 4 de octubre de 2018 .
28. "Instrucciones BIA, GESTIÓN DE CONTINUIDAD DEL NEGOCIO - TALLER" (PDF) . www.driecentral.org . Central de Intercambio de Información de Recuperación de Desastres (DRIE). Archivado (PDF) desde el original el 9 de octubre de 2022 . Consultado el 4 de octubre de 2018 .
29. "Definiciones de continuidad del negocio ISO 22301 2012 en inglés sencillo". praxiom.com . Grupo de investigación Praxiom LTD . Consultado el 4 de octubre de 2018 .
30. "El auge y auge del objetivo de coherencia de la recuperación". 2016-03-22. Archivado desde el original el 26 de septiembre de 2020 . Consultado el 9 de septiembre de 2019 .
31. "Cómo evaluar una solución de gestión de recuperación". Producciones del mundo occidental, 2006 [1]
32. Josh Krischer; Donna Scott; Roberta J. Ingenioso. "Seis mitos sobre la gestión de la continuidad del negocio y la recuperación ante desastres" (PDF) . Investigación Gartner. Archivado (PDF) desde el original el 9 de octubre de 2022.
33. "Ubicación y distribución de suministros médicos en desastres". doi :10.1016/j.ijpe.2009.10.004. {{cite journal}}: Citar revista requiere |journal=( ayuda ) ^{[ se necesita aclaración ]}
34. "planificación del transporte en la recuperación de desastres". SCHOLAR.google.com . Archivado desde el original el 9 de octubre de 2022.
35. "Resúmenes Ejecutivos de ESCENARIOS DE PLANIFICACIÓN" (PDF) . Archivado (PDF) desde el original el 9 de octubre de 2022.
36. Chloe Demrovsky (22 de diciembre de 2017). "Mantenerlo todo unido". Tecnología empresarial de fabricación .
37. desarrollado por el Comité Directivo Técnico de SHARE, en colaboración con IBM
38. Ellis Holman (13 de marzo de 2012). "Una metodología de selección de soluciones de continuidad del negocio" (PDF) . IBM Corp. Archivado (PDF) desde el original el 9 de octubre de 2022.
39. Tierney, Kathleen (21 de noviembre de 2012). "Gobernanza de desastres: dimensiones sociales, políticas y económicas". Revisión Anual de Medio Ambiente y Recursos . 37 (1): 341–363. doi : 10.1146/annurev-environ-020911-095618 . ISSN  1543-5938. S2CID  154422711.
40. Perdiz, Kevin G.; Joven, Lisa R. (2011). Modelo de gestión de resiliencia (RMM) de CERT® v1.1: Código de práctica comercial Crosswalk versión 1.1 (PDF) . Pittsburgh, PA: Universidad Carnegie Mellon . Consultado el 5 de enero de 2023 .
41. "ISO - ISO/TC 292 - Seguridad y resiliencia". Organización Internacional de Normalización .
42. "ISO 22300:2018". YO ASI . 12 de julio de 2019.
43. "ISO 22301:2019". YO ASI . 5 de junio de 2023.
44. "ISO 22313:2020". YO ASI .
45. "Iso/Ts 22317:2021".
46. "Iso/Ts 22318:2021".
47. "ISO/TS 22330:2018". YO ASI . 12 de julio de 2019.
48. "ISO/TS 22331:2018". YO ASI .
49. "Iso/Ts 22332:2021".
50. "ISO/IEC TS 17021-6:2014". YO ASI .
51. "ISO/IEC 24762:2008". YO ASI . 6 de marzo de 2008 . Consultado el 5 de enero de 2023 .
52. "ISO/IEC 27001:2022". YO ASI . Consultado el 5 de enero de 2023 .
53. "ISO/IEC 27002:2022". YO ASI . Consultado el 5 de enero de 2023 .
54. "ISO/IEC 27031:2011". YO ASI . 5 de septiembre de 2016 . Consultado el 5 de enero de 2023 .
55. "ISO/PAS 22399:2007". YO ASI . 18 de junio de 2012 . Consultado el 5 de enero de 2023 .
56. "AIT 5:2006". YO ASI . Consultado el 5 de enero de 2023 .
57. "BS 7799-1:1995 Gestión de la seguridad de la información - Código de prácticas para sistemas de gestión de la seguridad de la información". Grupo BSI . Consultado el 5 de enero de 2023 .
58. "BS 25999-1:2006 Gestión de la continuidad del negocio - Código de prácticas". Grupo BSI . Consultado el 5 de enero de 2023 .
59. "BS 25999-2:2007 (edición de EE. UU.) Gestión de la continuidad del negocio - Especificación". Grupo BSI . Consultado el 5 de enero de 2023 .
60. "BS 25777:2008 (rústica) Gestión de la continuidad de la tecnología de la información y las comunicaciones. Código de prácticas". Grupo BSI . Consultado el 5 de enero de 2023 .
61. Institución Británica de Normalización (2006). Gestión de la continuidad del negocio: Parte 1: Código de prácticas: Londres
62. Oficina del Gabinete. (2004). descripción general de la ley. En: Secretaría de Contingencias Civiles Ley de Contingencias Civiles de 2004: un breve. Londres: Secretaría de Contingencias Civiles
63. "Julio de 2013 (V2) El papel de los Foros de Resiliencia Local: Un documento de referencia" (PDF) . Gabinete de oficina . Consultado el 5 de enero de 2023 .
64. "HB HB 292—2006 Guía ejecutiva para la gestión de la continuidad del negocio" (PDF) . Estándares Australia . Consultado el 5 de enero de 2023 .
65. "HB 293—2006 Guía ejecutiva para la gestión de la continuidad del negocio" (PDF) . Estándares Australia . Consultado el 5 de enero de 2023 .
66. NFPA 1600, Norma sobre gestión de desastres/emergencias y programas de continuidad empresarial (PDF) (edición 2010). Quincy, MA: Asociación Nacional de Protección contra Incendios. 2010.ISBN​ 978-161665005-6.
67. "Una descripción general completa de la norma NFPA 1600". AlertMedia . 29 de enero de 2019 . Consultado el 4 de enero de 2023 .
68. "Plan de continuidad empresarial | Ready.gov". www.listo.gov . Consultado el 5 de enero de 2023 .
69. "PLAN DE IMPLEMENTACIÓN DE LA POLÍTICA NACIONAL DE CONTINUIDAD Consejo de Seguridad Nacional de agosto de 2007" (PDF) . FEMA . Consultado el 5 de enero de 2023 .
70. "Recursos de continuidad y asistencia técnica | FEMA.gov". FEMA . Consultado el 5 de enero de 2023 .
71. "Continuidad de las operaciones: descripción general" (PDF) . FEMA . Consultado el 5 de enero de 2023 .
72. "Negocios | Ready.gov". www.listo.gov . Consultado el 5 de enero de 2023 .
73. "Paquete de planificación de continuidad empresarial | Ready.gov". www.listo.gov . Consultado el 5 de enero de 2023 .
74. ASIS SPC.1-2009 Resiliencia organizacional: sistemas de gestión de seguridad, preparación y continuidad: requisitos con orientación para su uso (PDF) . Instituto Americano de Estándares Nacionales. 2009.ISBN​ 978-1-887056-92-2.
75. "Plantilla de plan de continuidad empresarial".
76. "Glosario | DRI Internacional". drii.org .
77. "Lista de verificación del plan de recuperación ante desastres" (PDF) . CMS.gov . Archivado (PDF) desde el original el 9 de octubre de 2022.
78. Othman. "Validación de un metamodelo de gestión de desastres (DMM)". SCHOLAR.google.com .

Otras lecturas

• James C. Barnes (8 de junio de 2001). Una guía para la planificación de la continuidad del negocio . Wiley. ISBN 978-0471530152.
• Kenneth L. Fulmer (4 de octubre de 2004). Planificación de la continuidad del negocio, una guía paso a paso . Rothstein. ISBN 978-1931332217.
• Richard Kepenach. Diseño del plan de continuidad del negocio, 8 pasos para comenzar a diseñar un plan .
• Judy Bell (octubre de 1991). Planificación de supervivencia ante desastres: una guía práctica para empresas . Planificación de supervivencia ante desastres, incorporada. ISBN 978-0963058003.
• Dimattia, S. (15 de noviembre de 2001). "Planificación de la continuidad". Diario de la biblioteca . 126 (19): 32–34.
• Andrés Zolli; Ann Marie Healy (2013). Resiliencia: por qué las cosas se recuperan . Simón y Schuster. ISBN 978-1451683813.
• Glosario Internacional de Resiliencia, DRI Internacional.

enlaces externos

• Los niveles de recuperación ante desastres y TSM. Charlotte Brooks, Matthew Bedernjak, Igor Juran y John Merryman. En Estrategias de recuperación ante desastres con Tivoli Storage Management. Capítulo 2. Páginas 21–36. Serie de libros rojos. IBM. Software Tívoli. 2002.
• SteelStore Cloud Storage Gateway: Guía de mejores prácticas de recuperación ante desastres. Riverbed Technology, Inc. Octubre de 2011.
• Niveles de recuperación ante desastres. Robert Kern y Víctor Peltz. Revista de sistemas IBM. Noviembre de 2003.
• Continuidad del negocio: los cinco niveles de recuperación ante desastres. Archivado el 26 de septiembre de 2018 en Wayback Machine Recovery Specialties. 2007.
• Operaciones continuas: los siete niveles de recuperación ante desastres. María Salón. La comunidad de almacenamiento (IBM). 18 de julio de 2011. Consultado el 26 de marzo de 2013.
• Período máximo tolerable de interrupción (MTPOD)
• Período máximo tolerable de interrupción (MTPOD): respuesta del comité de BSI
• Máquina Wayback
• Asociados Janco
• Plan de negocios continuo

• Directrices del plan de emergencia del Departamento de Seguridad Nacional
• Kit de herramientas de la guía de recursos humanos para la pandemia CIDRAP / SHRM Archivado el 18 de mayo de 2013 en Wayback Machine.
• Adaptarse y responder a los riesgos con un plan de continuidad del negocio (BCP)