Planificación de la continuidad del negocio

Prevención y recuperación ante amenazas que puedan afectar a una empresa

Ciclo de vida de la planificación de la continuidad del negocio

La continuidad del negocio puede definirse como "la capacidad de una organización para continuar la entrega de productos o servicios a niveles aceptables predefinidos después de un incidente disruptivo", ^[1] y la planificación de la continuidad del negocio ^{[2] [3]} (o planificación de la continuidad del negocio y la resiliencia ) es el proceso de creación de sistemas de prevención y recuperación para lidiar con amenazas potenciales a una empresa. ^[4] Además de la prevención, el objetivo es permitir operaciones en curso antes y durante la ejecución de la recuperación ante desastres . ^[5] La continuidad del negocio es el resultado previsto de la ejecución adecuada tanto de la planificación de la continuidad del negocio como de la recuperación ante desastres.

Diversos organismos de normalización han publicado varias normas de continuidad empresarial para ayudar a enumerar las tareas de planificación en curso. ^[6]

La continuidad de las operaciones exige un enfoque descendente para identificar los requisitos mínimos de una organización a fin de garantizar su viabilidad como entidad. La resistencia de una organización al fracaso es "la capacidad... de soportar cambios en su entorno y seguir funcionando". ^[7] A menudo denominada resiliencia, es una capacidad que permite a las organizaciones soportar cambios ambientales sin tener que adaptarse permanentemente, o la organización se ve obligada a adaptar una nueva forma de trabajar que se adapte mejor a las nuevas condiciones ambientales. ^[7]

Descripción general

Cualquier evento que pueda afectar negativamente las operaciones debe incluirse en el plan, como la interrupción de la cadena de suministro , la pérdida o el daño de la infraestructura crítica (maquinaria importante o recursos informáticos/de red). Como tal, el BCP es un subconjunto de la gestión de riesgos . ^[8] En los EE. UU., las entidades gubernamentales se refieren al proceso como planificación de la continuidad de las operaciones (COOP). ^[9] Un plan de continuidad empresarial ^[10] describe una variedad de escenarios de desastre y los pasos que tomará la empresa en cualquier escenario particular para volver a las operaciones normales. Los BCP se escriben con anticipación y también pueden incluir precauciones que se deben implementar. Generalmente creado con el aporte del personal clave y las partes interesadas, un BCP es un conjunto de contingencias para minimizar el daño potencial a las empresas durante escenarios adversos. ^[11]

Resiliencia

Un análisis de 2005 sobre cómo las disrupciones pueden afectar negativamente las operaciones de las corporaciones y cómo las inversiones en resiliencia pueden dar una ventaja competitiva sobre las entidades que no están preparadas para diversas contingencias ^[12] amplió las prácticas de planificación de la continuidad empresarial que eran comunes en ese momento. Organizaciones empresariales como el Consejo de Competitividad adoptaron este objetivo de resiliencia. ^[13]

La adaptación al cambio de una manera aparentemente más lenta y evolutiva -a veces a lo largo de muchos años o décadas- se ha descrito como una forma de ser más resiliente, ^[14] y el término "resiliencia estratégica" se utiliza ahora para ir más allá de resistir una crisis puntual, sino más bien anticipar y ajustarse continuamente, "antes de que la necesidad de un cambio se vuelva desesperadamente obvia".

Este enfoque a veces se resume como: preparación , ^[15] protección, respuesta y recuperación. ^[16]

La teoría de la resiliencia se puede relacionar con el campo de las relaciones públicas. La resiliencia es un proceso comunicativo que construyen los ciudadanos, las familias, el sistema de medios de comunicación, las organizaciones y los gobiernos a través del habla cotidiana y la conversación mediada. ^[17]

La teoría se basa en el trabajo de Patrice M. Buzzanell , profesora de la Escuela de Comunicación Brian Lamb de la Universidad de Purdue . En su artículo de 2010, "Resiliencia: hablar, resistir e imaginar nuevas normalidades" ^[18], Buzzanell analizó la capacidad de las organizaciones para prosperar después de una crisis mediante la creación de resistencia. Buzzanell señala que hay cinco procesos diferentes que las personas utilizan cuando intentan mantener la resiliencia: crear normalidad, afirmar los anclajes de la identidad, mantener y utilizar redes de comunicación, poner en práctica lógicas alternativas y restar importancia a los sentimientos negativos mientras se priorizan las emociones positivas.

Si analizamos la teoría de la resiliencia, la teoría de la comunicación en situaciones de crisis es similar, pero no es la misma. La teoría de la comunicación en situaciones de crisis se basa en la reputación de la empresa, pero la teoría de la resiliencia se basa en el proceso de recuperación de la empresa. Hay cinco componentes principales de la resiliencia: crear normalidad, afirmar los pilares de la identidad, mantener y utilizar las redes de comunicación, poner en práctica lógicas alternativas y restar importancia a los sentimientos negativos mientras se dan prioridad a las emociones negativas. ^[19] Cada uno de estos procesos puede aplicarse a las empresas en tiempos de crisis, lo que hace que la resiliencia sea un factor importante en el que las empresas deben centrarse durante la capacitación.

Existen tres grupos principales que se ven afectados por una crisis: micro (individual), meso (grupo u organización) y macro (nacional o interorganizacional). También existen dos tipos principales de resiliencia: la proactiva y la post resiliencia. La proactiva consiste en prepararse para una crisis y crear una base sólida para la empresa. La post resiliencia incluye seguir manteniendo la comunicación y consultar con los empleados. ^[20] La proactiva consiste en abordar los problemas en cuestión antes de que provoquen un posible cambio en el entorno de trabajo, y la post resiliencia consiste en mantener la comunicación y aceptar los cambios después de que se haya producido un incidente. La resiliencia se puede aplicar a cualquier organización. En Nueva Zelanda, el programa de Organizaciones Resilientes de la Universidad de Canterbury desarrolló una herramienta de evaluación para evaluar la resiliencia de las organizaciones. ^[21] Abarca 11 categorías, cada una con 5 a 7 preguntas. Un índice de resiliencia resume esta evaluación. ^[22]

Continuidad

Los planes y procedimientos se utilizan en la planificación de la continuidad del negocio para garantizar que las operaciones críticas de la organización necesarias para mantener el funcionamiento de la misma sigan funcionando durante los eventos en los que se interrumpan las dependencias clave de las operaciones. La continuidad no tiene por qué aplicarse a todas las actividades que emprende la organización. Por ejemplo, según la norma ISO 22301:2019 , las organizaciones deben definir sus objetivos de continuidad del negocio, los niveles mínimos de operaciones de productos y servicios que se considerarán aceptables y el período máximo tolerable de interrupción (MTPD) que se puede permitir. ^[23]

Un costo importante en la planificación de esto es la preparación de documentos de gestión de cumplimiento de auditoría; existen herramientas de automatización disponibles para reducir el tiempo y el costo asociados con la producción manual de esta información.

Inventario

Los planificadores deben tener información sobre:

• Equipo
• Suministros y proveedores
• Ubicaciones, incluidas otras oficinas y sitios de respaldo /recuperación del área de trabajo (WAR)
• Documentos y documentación, incluidos aquellos que cuentan con copias de seguridad fuera de las instalaciones: ^[10]
  • Documentos comerciales
  • Documentación de procedimientos

Análisis

La fase de análisis consta de:

• Análisis de impacto
• Análisis de amenazas y riesgos
• Escenarios de impacto

La cuantificación de los índices de pérdidas también debe incluir los “dólares para defenderse de una demanda judicial”. ^[24] Se ha estimado que un dólar gastado en prevención de pérdidas puede evitar “siete dólares de pérdidas económicas relacionadas con desastres”. ^[25]

Análisis del impacto empresarial (BIA)

Un análisis de impacto empresarial (BIA) diferencia entre funciones y actividades críticas (urgentes) y no críticas (no urgentes) de la organización. Una función puede considerarse crítica si así lo dicta la ley.

Cada función/actividad normalmente depende de una combinación de componentes constitutivos para funcionar:

• Recursos humanos (personal a tiempo completo, personal a tiempo parcial o contratistas)
• Sistemas de TI
• Activos físicos (teléfonos móviles, computadoras portátiles/estaciones de trabajo, etc.)
• Documentos (electrónicos o físicos)

Para cada función se asignan dos valores:

• Objetivo de punto de recuperación (RPO): latencia aceptable de los datos que no se recuperarán. Por ejemplo, ¿es aceptable que la empresa pierda dos días de datos? ^[26] El objetivo de punto de recuperación debe garantizar que no se supere la pérdida máxima de datos tolerable para cada actividad.
• Objetivo de tiempo de recuperación (RTO): la cantidad de tiempo aceptable para restaurar la función

RTO máximo

Las restricciones de tiempo máximas respecto de cuánto tiempo los productos o servicios clave de una empresa pueden no estar disponibles o no poder entregarse antes de que las partes interesadas perciban consecuencias inaceptables se han denominado:

• Período máximo tolerable de interrupción (MTPoD)
• Tiempo máximo de inactividad tolerable (MTD)
• Interrupción máxima tolerable (MTO)
• Interrupción máxima aceptable (MAO) ^{[27] [28]}

Según la norma ISO 22301, los términos interrupción máxima aceptable y período máximo tolerable de interrupción significan lo mismo y se definen utilizando exactamente las mismas palabras. ^[29] Algunas normas utilizan el término límite máximo de tiempo de inactividad . ^[30]

Consistencia

Cuando falla más de un sistema, los planes de recuperación deben equilibrar la necesidad de coherencia de los datos con otros objetivos, como el RTO y el RPO. ^{[31] El nombre de este objetivo es} Objetivo de coherencia de recuperación (RCO). Aplica objetivos de coherencia de datos para definir una medida de la coherencia de los datos empresariales distribuidos dentro de sistemas interconectados después de un incidente de desastre. Términos similares utilizados en este contexto son "Características de coherencia de recuperación" (RCC) y "Granularidad de objetos de recuperación" (ROG). ^[32]

Mientras que RTO y RPO son valores absolutos por sistema, RCO se expresa como un porcentaje que mide la desviación entre el estado real y el estado objetivo de los datos comerciales en todos los sistemas para grupos de procesos o procesos comerciales individuales.

La siguiente fórmula calcula el RCO con "n" representando el número de procesos comerciales y "entidades" representando un valor abstracto para los datos comerciales: ${\displaystyle {\text{RCO}}=1-{\frac {({\text{number of inconsistent entities}})_{n}}{({\text{number of entities}})_{n}}}}$

100% RCO significa que después de la recuperación, no se produce ninguna desviación de los datos comerciales. ^[33]

Análisis de amenazas y riesgos (TRA)

Después de definir los requisitos de recuperación, cada amenaza potencial puede requerir pasos de recuperación únicos (planes de contingencia o manuales de estrategias). Las amenazas más comunes incluyen:

• Pandemia epidémica
• Terremoto
• Fuego
• Inundación
• Ataque cibernético
• Sabotaje (amenaza interna o externa)
• Huracán u otra tormenta importante
• Corte de energía
• Corte de agua (interrupción del suministro, contaminación)
• Interrupción de las telecomunicaciones
• Interrupción de TI
• Terrorismo / Piratería
• Guerra /desorden civil
• Robo (amenaza interna o externa, información o material vital)
• Fallo aleatorio de sistemas de misión crítica
• Dependencia de un solo punto
• Falla del proveedor
• Corrupción de datos
• Mala configuración
• Interrupción de la red

Las áreas mencionadas anteriormente pueden tener efectos en cadena: los equipos de respuesta pueden tropezar. Los suministros pueden agotarse. Durante el brote de SARS de 2002-2003, algunas organizaciones compartimentaron y rotaron a los equipos para que coincidieran con el período de incubación de la enfermedad. También prohibieron el contacto en persona durante el horario laboral y fuera del horario laboral. Esto aumentó la resiliencia frente a la amenaza.

Escenarios de impacto

Se identifican y documentan los escenarios de impacto:

• necesidad de suministros médicos ^[34]
• Necesidad de opciones de transporte ^[35]
• El impacto civil de los desastres nucleares ^[36]
• Necesidad de suministros para el procesamiento de datos y de negocios ^[37]

Estos deberían reflejar el daño más amplio posible.

Niveles de preparación

Los siete niveles de recuperación ante desastres de SHARE ^[38], publicados en 1992, fueron actualizados en 2012 por IBM como un modelo de ocho niveles: ^[39]

• Nivel 0 : no hay datos fuera del sitio • Las empresas con una solución de recuperación ante desastres de nivel 0 no tienen un plan de recuperación ante desastres. No hay información guardada, ni documentación, ni hardware de respaldo, ni un plan de contingencia. Tiempo de recuperación típico: la duración del tiempo de recuperación en este caso es impredecible . De hecho, puede que no sea posible recuperarse en absoluto.
• Nivel 1 : copia de seguridad de datos sin Hot Site • Las empresas que utilizan soluciones de recuperación ante desastres de nivel 1 realizan copias de seguridad de sus datos en una instalación externa. Según la frecuencia con la que se realicen las copias de seguridad, están preparadas para aceptar varios días o semanas de pérdida de datos , pero sus copias de seguridad están seguras en un lugar externo. Sin embargo, este nivel carece de los sistemas en los que restaurar los datos. Método de acceso con camioneta (PTAM).
• Nivel 2 : copia de seguridad de datos con Hot Site • Las soluciones de recuperación ante desastres de nivel 2 realizan copias de seguridad periódicas en cinta. Esto se combina con una instalación y una infraestructura fuera del sitio (conocidas como hot site) en las que se restauran los sistemas a partir de esas cintas en caso de desastre. Esta solución de nivel seguirá generando la necesidad de recrear varias horas o días de datos, pero es menos impredecible en cuanto al tiempo de recuperación . Algunos ejemplos incluyen: PTAM con Hot Site disponible, IBM Tivoli Storage Manager.
• Nivel 3 : almacenamiento electrónico • Las soluciones de nivel 3 utilizan componentes de nivel 2. Además, algunos datos críticos para la misión se almacenan electrónicamente. Estos datos almacenados electrónicamente suelen estar más actualizados que los que se envían a través de PTAM. Como resultado, hay menos recreación o pérdida de datos después de que ocurre un desastre .
• Nivel 4 : copias puntuales • Las soluciones de nivel 4 son utilizadas por empresas que requieren una mayor disponibilidad de datos y una recuperación más rápida que los usuarios de niveles inferiores. En lugar de depender en gran medida del envío de cintas, como es habitual en los niveles inferiores, las soluciones de nivel 4 comienzan a incorporar más soluciones basadas en discos. Aún es posible que se pierdan varias horas de datos , pero es más fácil realizar copias puntuales (PIT) con mayor frecuencia que los datos que se pueden replicar a través de soluciones basadas en cintas.
• Nivel 5 : integridad de las transacciones • Las soluciones de nivel 5 son utilizadas por empresas que requieren coherencia de datos entre los centros de datos de producción y recuperación. En estas soluciones, la pérdida de datos es mínima o nula ; sin embargo, la presencia de esta funcionalidad depende completamente de la aplicación que se utilice.
• Nivel 6 : pérdida de datos nula o mínima • Las soluciones de recuperación ante desastres de nivel 6 mantienen los niveles más altos de actualización de datos . Las utilizan las empresas con poca o ninguna tolerancia a la pérdida de datos y que necesitan restaurar los datos en las aplicaciones rápidamente. Estas soluciones no dependen de las aplicaciones para proporcionar coherencia de datos.
• Nivel 7 : solución integrada y altamente automatizada para la empresa • Las soluciones de nivel 7 incluyen todos los componentes principales que se utilizan para una solución de nivel 6 con la integración adicional de la automatización. Esto permite que una solución de nivel 7 garantice una coherencia de los datos superior a la que garantizan las soluciones de nivel 6. Además, la recuperación de las aplicaciones está automatizada, lo que permite restaurar los sistemas y las aplicaciones de forma mucho más rápida y fiable que con los procedimientos manuales de recuperación ante desastres.

Diseño de soluciones

Los dos requisitos principales de la etapa de análisis de impacto son:

• Para TI: los requisitos mínimos de aplicaciones y datos y el tiempo en el que deben estar disponibles.
• Fuera de TI: conservación de copias impresas (como contratos). Un plan de procesos debe considerar personal calificado y tecnología incorporada.

Esta fase se superpone con la planificación de la recuperación ante desastres .

La fase de solución determina:

• Estructura de mando para la gestión de crisis
• Arquitectura de telecomunicaciones entre los sitios de trabajo primarios y secundarios
• Metodología de replicación de datos entre sitios de trabajo primarios y secundarios
• Sitio de respaldo con aplicaciones, datos y espacio de trabajo

Normas

Normas ISO

Existen numerosas normas disponibles para respaldar la planificación y la gestión de la continuidad empresarial. ^{[40] [41]} La Organización Internacional de Normalización (ISO), por ejemplo, ha desarrollado toda una serie de normas sobre sistemas de gestión de la continuidad empresarial ^[42] bajo la responsabilidad del comité técnico ISO/TC 292 :

• ISO 22300 :2021 Seguridad y resiliencia – Vocabulario (Reemplaza ISO 22300 :2018 Seguridad y resiliencia – Vocabulario e ISO 22300 :2012 Seguridad y resiliencia – Vocabulario.) ^[43]
• ISO 22301 :2019 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Requisitos (Reemplaza a ISO 22301 :2012.) ^[44]
• ISO 22313 :2020 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Orientación sobre el uso de la ISO 22301 (Reemplaza a ISO 22313 :2012 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Orientación sobre el uso de la ISO 22301.) ^[45]

• ISO/TS 22317:2021 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Directrices para el análisis del impacto en el negocio - (Reemplaza a ISO/TS 22315:2015 Seguridad social – Sistemas de gestión de la continuidad del negocio – Directrices para el análisis del impacto en el negocio.) ^[46]
• ISO/TS 22318:2021 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Directrices para la continuidad de la cadena de suministro (Reemplaza a ISO/TS 22318:2015 Seguridad social – Sistemas de gestión de la continuidad del negocio – Directrices para la continuidad de la cadena de suministro). ^[47]
• ISO/TS 22330:2018 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Directrices para los aspectos humanos en la continuidad del negocio (actualizada en 2022) ^[48]
• ISO/TS 22331:2018 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Directrices para la estrategia de continuidad del negocio (vigente a partir de 2022) ^[49]
• ISO/TS 22332:2021 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Directrices para el desarrollo de planes y procedimientos de continuidad del negocio (actualizado en 2022) ^[50]
• ISO/IEC/TS 17021-6:2014 Evaluación de la conformidad – Requisitos para organismos que realizan auditoría y certificación de sistemas de gestión – Parte 6: Requisitos de competencia para la auditoría y certificación de sistemas de gestión de la continuidad del negocio. ^[51]

• ISO/IEC 24762:2008 Tecnología de la información — Técnicas de seguridad — Directrices para servicios de recuperación ante desastres de tecnologías de la información y las comunicaciones (retirada) ^[52]
• ISO/IEC 27001:2022 Seguridad de la información , ciberseguridad y protección de la privacidad — Sistemas de gestión de la seguridad de la información — Requisitos. (Reemplaza a ISO/IEC 27001:2013 Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la seguridad de la información — Requisitos.) ^[53]
• ISO/IEC 27002:2022 Seguridad de la información, ciberseguridad y protección de la privacidad: controles de seguridad de la información. (Reemplaza a ISO/IEC 27002:2013 Tecnología de la información: técnicas de seguridad: código de prácticas para controles de seguridad de la información). ^[54]
• ISO/IEC 27031:2011 Tecnología de la información – Técnicas de seguridad – Directrices para la preparación de la tecnología de la información y la comunicación para la continuidad del negocio. ^[55]
• ISO/PAS 22399:2007 Seguridad social. Directriz para la preparación ante incidentes y la gestión de la continuidad operativa (retirada) ^[56]
• IWA 5:2006 Preparación para emergencias (retirada) ^[57]

Normas británicas

La British Standards Institution (BSI Group) publicó una serie de normas que desde entonces han sido retiradas y reemplazadas por las normas ISO mencionadas anteriormente.

• BS 7799 -1:1995 - Procedimientos de seguridad de la información direccionados periféricamente. (retirada) ^[58]
• BS 25999 -1:2006 - Gestión de la continuidad empresarial Parte 1: Código de prácticas (reemplazada, retirada) ^[59]
• BS 25999-2:2007 Gestión de la continuidad del negocio Parte 2: Especificación (reemplazada, retirada) ^[60]
• 2008: BS 25777, Gestión de la continuidad de las tecnologías de la información y las comunicaciones. Código de prácticas. (retirado) ^[61]

En el Reino Unido, las normas BS 25999-2:2007 y BS 25999-1:2006 se utilizaban para la gestión de la continuidad empresarial en todas las organizaciones, industrias y sectores. Estos documentos ofrecen un plan práctico para hacer frente a la mayoría de las eventualidades, desde condiciones climáticas extremas hasta terrorismo, fallos del sistema informático y enfermedades del personal. ^[62]

En 2004, tras las crisis de los años anteriores, el gobierno del Reino Unido aprobó la Ley de Contingencias Civiles de 2004 : las empresas deben contar con medidas de planificación de continuidad para sobrevivir y seguir prosperando, al tiempo que trabajan para mantener el incidente lo más mínimo posible. La Ley se dividió en dos partes: Parte 1: protección civil, que abarca las funciones y responsabilidades de los intervinientes locales Parte 2: poderes de emergencia. ^[63] En el Reino Unido, la resiliencia se implementa localmente por el Foro de Resiliencia Local . ^[64]

Normas australianas

• HB 292-2006, "Una guía para profesionales sobre la gestión de la continuidad empresarial" ^[65]
• HB 293-2006, “Guía ejecutiva para la gestión de la continuidad empresarial” ^[66]

Estados Unidos

• Norma NFPA 1600 sobre gestión de desastres y emergencias y programas de continuidad empresarial (2010). Asociación Nacional de Protección contra Incendios (reemplazada). ^[67]
• NFPA 1600, Norma sobre gestión de continuidad, emergencias y crisis (2019, norma actual), Asociación Nacional de Protección contra Incendios . ^[68]
• Continuidad de Operaciones (COOP) y Plan Nacional de Implementación de Políticas de Continuidad (NCPIP), Gobierno Federal de los Estados Unidos ^{[69] [70] [71]}
• Conjunto de planificación de la continuidad empresarial, Dirección Nacional de Protección y Programas del DHS y FEMA. ^{[72] [73] [74] [69]}
• ASIS SPC.1-2009, Resiliencia organizacional: sistemas de gestión de seguridad, preparación y continuidad: requisitos con orientación para su uso, Instituto Nacional Estadounidense de Normas ^[75]

Implementación y pruebas

La fase de implementación implica cambios de políticas, adquisición de materiales, dotación de personal y pruebas.

Pruebas y aceptación organizacional

El libro de 2008 Exercising for Excellence , publicado por The British Standards Institution, identificó tres tipos de ejercicios que pueden emplearse al probar planes de continuidad empresarial.

• Ejercicios de mesa : un pequeño número de personas se concentran en un aspecto específico de un plan de acción común. Otra modalidad implica un solo representante de cada uno de los equipos.
• Ejercicios medianos : varios departamentos, equipos o disciplinas se concentran en múltiples aspectos del BCP; el alcance puede variar desde unos pocos equipos en un edificio hasta varios equipos que operan en ubicaciones dispersas. Se agregan "sorpresas" preprogramadas.
• Ejercicios complejos : se conservan todos los aspectos de un ejercicio mediano, pero para lograr el máximo realismo se agrega la activación sin previo aviso, la evacuación real y la invocación real de un sitio de recuperación ante desastres.

Si bien los horarios de inicio y finalización se acuerdan previamente, la duración real podría ser desconocida si se permite que los eventos sigan su curso.

Mantenimiento

El ciclo de mantenimiento semestral o anual de un manual de BCP ^[76] se divide en tres actividades periódicas.

• Confirmación de la información del manual, difusión al personal para concientización y capacitación específica para personas críticas.
• Prueba y verificación de las soluciones técnicas establecidas para las operaciones de recuperación.
• Prueba y verificación de procedimientos de recuperación de la organización.

Los problemas detectados durante la fase de prueba a menudo deben reintroducirse en la fase de análisis.

Información y objetivos

El manual del BCP debe evolucionar con la organización y mantener información sobre quién debe saber qué :

• Una serie de listas de verificación
  • Descripciones de puestos, habilidades necesarias, requisitos de capacitación
  • Documentación y gestión documental
• Definiciones de terminología para facilitar la comunicación oportuna durante la recuperación ante desastres , ^[77]
• Listas de distribución (personal, clientes importantes, vendedores/proveedores)
• Información sobre infraestructura de comunicación y transporte (carreteras, puentes) ^[78]

Técnico

Se deben mantener recursos técnicos especializados. Los controles incluyen:

• Distribución de definiciones de virus
• Distribución de parches de seguridad de aplicaciones y servicios
• Operatividad del hardware
• Operatividad de la aplicación
• Verificación de datos
• Aplicación de datos

Prueba y verificación de los procedimientos de recuperación

Los cambios en el software y en el proceso de trabajo deben documentarse y validarse, incluida la verificación de que las tareas de recuperación del proceso de trabajo documentadas y la infraestructura de recuperación ante desastres de apoyo permiten al personal recuperarse dentro del objetivo de tiempo de recuperación predeterminado. ^[79]

Véase también

• Planificación de capacidad
• Modelado de catástrofes
• Gestión de crisis
• Ciberresiliencia
• Continuidad digital
• Desastre
  • Recuperación de desastres
  • Auditoría de recuperación ante desastres y continuidad de negocio
  • Reducción del riesgo de desastres
• Gestión de emergencias
• Peligros provocados por el hombre
• Peligros naturales
• Gestión de riesgos
• Planificación de escenarios
• Ingeniería de sistemas
• Ciclo de vida del sistema

Referencias

1. Directrices de buenas prácticas de BCI 2013, citadas en Mid Sussex District Council , Business Continuity Policy Statement, publicada en abril de 2018, consultada el 19 de febrero de 2021
2. "Cómo elaborar un plan de continuidad empresarial eficaz y organizado". Forbes . 26 de junio de 2015.
3. "Sobrevivir a un desastre" (PDF) . American Bar .org (Asociación Americana de Abogados) . 2011. Archivado (PDF) desde el original el 2022-10-09.
4. Elliot, D.; Swartz, E.; Herbane, B. (1999) A la espera del próximo gran estallido: planificación de la continuidad empresarial en el sector financiero del Reino Unido. Journal of Applied Management Studies, vol. 8, n.º, págs. 43-60. Aquí: pág. 48.
5. Alan Berman (9 de marzo de 2015). "Cómo elaborar un plan de continuidad empresarial exitoso". Revista Business Insurance .
6. "Plan de continuidad de negocios". Departamento de Seguridad Nacional de los Estados Unidos. Archivado desde el original el 7 de diciembre de 2018. Consultado el 4 de octubre de 2018 .
7. Ian McCarthy; Mark Collard; Michael Johnson (2017). "Resiliencia organizacional adaptativa: una perspectiva evolutiva". Current Opinion in Environmental Sustainability . 28 : 33–40. Bibcode :2017COES...28...33M. doi :10.1016/j.cosust.2017.07.005.
8. Intrieri, Charles (10 de septiembre de 2013). "Business Continuity Planning". Flevy . Consultado el 29 de septiembre de 2013 .
9. "Recursos de continuidad y asistencia técnica | FEMA.gov". www.fema.gov .
10. "Guía para la elaboración de un Plan de Continuidad de Negocio" (PDF) . Archivado desde el original (PDF) el 2019-02-09 . Consultado el 2019-02-08 .
11. "Planificación de la continuidad del negocio (BCP) para empresas de todos los tamaños". 19 de abril de 2017. Archivado desde el original el 24 de abril de 2017 . Consultado el 28 de abril de 2017 .
12. Yossi Sheffi (octubre de 2005). La empresa resiliente: cómo superar la vulnerabilidad para lograr una empresa competitiva. MIT Press.
13. "Transformar. La economía resiliente". Archivado desde el original el 22 de octubre de 2013. Consultado el 4 de febrero de 2019 .
14. "Newsday | Fuente de noticias de Long Island y Nueva York | Newsday".
15. Tiffany Braun; Benjamin Martz (2007). "Preparación para la continuidad empresarial y el estado mental de atención plena". Actas de AMCIS 2007. S2CID  7698286."Se estima que el 80 por ciento de las empresas que no cuentan con un plan de continuidad de negocios bien concebido y probado quiebran dentro de los dos años siguientes a un desastre importante" (Santangelo 2004).
16. "Anexo A.17: Aspectos de seguridad de la información en la gestión de la continuidad del negocio". ISMS.online. Noviembre de 2021.
17. "Comunicación y resiliencia: reflexiones finales y cuestiones clave para futuras investigaciones". www.researchgate.net .
18. Buzzanell, Patrice M. (2010). "Resiliencia: hablar, resistir e imaginar nuevas normalidades". Revista de comunicación . 60 (1): 1–14. doi :10.1111/j.1460-2466.2009.01469.x. ISSN  1460-2466.
19. Buzzanell, Patrice M. (marzo de 2010). "Resiliencia: hablar, resistir e imaginar nuevas normalidades". Revista de comunicación . 60 (1): 1–14. doi :10.1111/j.1460-2466.2009.01469.x. ISSN  0021-9916.
20. Buzzanell, Patrice M. (2 de enero de 2018). "Organizar la resiliencia como tensiones adaptativas-transformacionales". Revista de investigación en comunicación aplicada . 46 (1): 14–18. doi :10.1080/00909882.2018.1426711. ISSN  0090-9882. S2CID  149004681.
21. "Organizaciones resilientes". 22 de marzo de 2011.
22. "Diagnóstico de resiliencia". 28 de noviembre de 2017.
23. ISO, ISO 22301 Gestión de la continuidad del negocio: su guía de implementación, publicado, consultado el 20 de febrero de 2021
24. "Planificación de emergencia" (PDF) . Archivado (PDF) del original el 2022-10-09.
25. Helen Clark (15 de agosto de 2012). "¿Puede su organización sobrevivir a un desastre natural?" (PDF) . RI.gov . Archivado (PDF) del original el 9 de octubre de 2022.
26. May, Richard. "Cómo encontrar RPO y RTO". Archivado desde el original el 3 de marzo de 2016.
27. "Interrupción máxima aceptable (definición)". riskythinking.com . Albion Research Ltd . Consultado el 4 de octubre de 2018 .
28. "Instrucciones BIA, GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO - TALLER" (PDF) . driecentral.org . Central de Intercambio de Información sobre Recuperación de Desastres (DRIE). Archivado (PDF) del original el 2022-10-09 . Consultado el 4 de octubre de 2018 .
29. "Definiciones de continuidad empresarial ISO 22301 2012 en lenguaje sencillo". praxiom.com . Praxiom Research Group LTD . Consultado el 4 de octubre de 2018 .
30. "Controles básicos de ciberseguridad" (PDF) . Ministerio del Interior - Centro Nacional de Ciberseguridad. 2022. pág. 12.
31. "El ascenso y ascenso del objetivo de coherencia en la recuperación". 22 de marzo de 2016. Archivado desde el original el 26 de septiembre de 2020. Consultado el 9 de septiembre de 2019 .
32. "Cómo evaluar una solución de gestión de la recuperación". West World Productions, 2006 [1]
33. Josh Krischer; Donna Scott; Roberta J. Witty. "Seis mitos sobre la gestión de la continuidad empresarial y la recuperación ante desastres" (PDF) . Investigación de Gartner. Archivado (PDF) del original el 9 de octubre de 2022.
34. "Ubicación y distribución de suministros médicos en situaciones de desastre". doi :10.1016/j.ijpe.2009.10.004. {{cite journal}}: La revista Cite requiere |journal=( ayuda ) ^{[ aclaración necesaria ]}
35. "Planificación del transporte en la recuperación de desastres". SCHOLAR.google.com . Archivado desde el original el 9 de octubre de 2022.
36. "Resúmenes ejecutivos de ESCENARIOS DE PLANEAMIENTO" (PDF) . Archivado (PDF) desde el original el 2022-10-09.
37. Chloe Demrovsky (22 de diciembre de 2017). "Manteniéndolo todo junto". Tecnología empresarial de fabricación .
38. desarrollado por el Comité Directivo Técnico de SHARE, en colaboración con IBM
39. Ellis Holman (13 de marzo de 2012). "Una metodología de selección de soluciones de continuidad empresarial" (PDF) . IBM Corp. Archivado (PDF) del original el 2022-10-09.
40. Tierney, Kathleen (21 de noviembre de 2012). "Gobernanza de desastres: dimensiones sociales, políticas y económicas". Revista anual de medio ambiente y recursos . 37 (1): 341–363. doi : 10.1146/annurev-environ-020911-095618 . ISSN  1543-5938. S2CID  154422711.
41. Partridge, Kevin G.; Young, Lisa R. (2011). CERT® Resilience Management Model (RMM) v1.1: Code of Practice Crosswalk Commercial Version 1.1 (PDF) . Pittsburgh, PA: Carnegie Mellon University . Consultado el 5 de enero de 2023 .
42. "ISO - ISO/TC 292 - Seguridad y resiliencia". Organización Internacional de Normalización .
43. "ISO 22300:2018". ISO . 12 de julio de 2019.
44. "ISO 22301:2019". ISO . 5 de junio de 2023.
45. "ISO 22313:2020". ISO .
46. "Iso/Ts 22317:2021".
47. "Iso/Ts 22318:2021".
48. "ISO/TS 22330:2018". ISO . 12 de julio de 2019.
49. "ISO/TS 22331:2018". ISO .
50. "Iso/Ts 22332:2021".
51. "ISO/IEC TS 17021-6:2014". ISO .
52. "ISO/IEC 24762:2008". ISO . 6 de marzo de 2008 . Consultado el 5 de enero de 2023 .
53. "ISO/IEC 27001:2022". ISO . Consultado el 5 de enero de 2023 .
54. "ISO/IEC 27002:2022". ISO . Consultado el 5 de enero de 2023 .
55. "ISO/IEC 27031:2011". ISO . 5 de septiembre de 2016 . Consultado el 5 de enero de 2023 .
56. "ISO/PAS 22399:2007". ISO . 18 de junio de 2012 . Consultado el 5 de enero de 2023 .
57. "IWA 5:2006". ISO . Consultado el 5 de enero de 2023 .
58. "BS 7799-1:1995 Gestión de la seguridad de la información - Código de prácticas para sistemas de gestión de la seguridad de la información". BSI Group . Consultado el 5 de enero de 2023 .
59. "BS 25999-1:2006 Gestión de la continuidad empresarial - Código de prácticas". BSI Group . Consultado el 5 de enero de 2023 .
60. "BS 25999-2:2007 (Edición de EE. UU.) Gestión de la continuidad empresarial - Especificación". BSI Group . Consultado el 5 de enero de 2023 .
61. "BS 25777:2008 (Paperback) Gestión de la continuidad de la tecnología de la información y las comunicaciones. Código de prácticas". BSI Group . Consultado el 5 de enero de 2023 .
62. British Standards Institution (2006). Gestión de la continuidad empresarial, parte 1: Código de prácticas: Londres
63. Oficina del Gabinete. (2004). Panorama general de la Ley. En: Secretaría de Contingencias Civiles Ley de Contingencias Civiles de 2004: resumen. Londres: Secretaría de Contingencias Civiles
64. "Julio de 2013 (V2) El papel de los foros de resiliencia local: un documento de referencia" (PDF) . Gabinete de Ministros . Consultado el 5 de enero de 2023 .
65. "HB HB 292—2006 Guía ejecutiva para la gestión de la continuidad empresarial" (PDF) . Standards Australia . Consultado el 5 de enero de 2023 .
66. "HB 293—2006 Guía ejecutiva para la gestión de la continuidad empresarial" (PDF) . Standards Australia . Consultado el 5 de enero de 2023 .
67. NFPA 1600, Norma sobre gestión de desastres y emergencias y programas de continuidad empresarial (PDF) (edición de 2010). Quincy, MA: Asociación Nacional de Protección contra Incendios. 2010. ISBN 978-161665005-6.
68. "Una descripción general completa de la norma NFPA 1600". AlertMedia . 29 de enero de 2019 . Consultado el 4 de enero de 2023 .
69. "Plan de Continuidad de Negocios | Ready.gov". www.ready.gov . Consultado el 5 de enero de 2023 .
70. "PLAN DE IMPLEMENTACIÓN DE LA POLÍTICA DE CONTINUIDAD NACIONAL Consejo de Seguridad Nacional Agosto de 2007" (PDF) . FEMA . Consultado el 5 de enero de 2023 .
71. "Recursos de continuidad y asistencia técnica | FEMA.gov". FEMA . Consultado el 5 de enero de 2023 .
72. "Continuidad de operaciones: una visión general" (PDF) . FEMA . Consultado el 5 de enero de 2023 .
73. "Negocios | Ready.gov". www.ready.gov . Consultado el 5 de enero de 2023 .
74. "Paquete de planificación de la continuidad empresarial | Ready.gov". www.ready.gov . Consultado el 5 de enero de 2023 .
75. ASIS SPC.1-2009 Resiliencia organizacional: sistemas de gestión de seguridad, preparación y continuidad: requisitos con orientación para su uso (PDF) . Instituto Nacional Estadounidense de Normas. 2009. ISBN 978-1-887056-92-2.
76. "Plantilla de plan de continuidad de negocio".
77. "Glosario | DRI Internacional". drii.org .
78. "Lista de verificación del plan de recuperación ante desastres" (PDF) . CMS.gov . Archivado (PDF) del original el 2022-10-09.
79. Othman. "Validación de un metamodelo de gestión de desastres (DMM)". SCHOLAR.google.com .

Lectura adicional

• James C. Barnes (8 de junio de 2001). Guía para la planificación de la continuidad empresarial . Wiley. ISBN 978-0471530152.
• Kenneth L Fulmer (4 de octubre de 2004). Planificación de la continuidad empresarial: una guía paso a paso . Rothstein. ISBN 978-1931332217.
• Richard Kepenach. Diseño de un plan de continuidad empresarial: 8 pasos para empezar a diseñar un plan .
• Judy Bell (octubre de 1991). Planificación de supervivencia ante desastres: una guía práctica para empresas . Planificación de supervivencia ante desastres, Incorporated. ISBN 978-0963058003.
• Dimattia, S. (15 de noviembre de 2001). "Planificación para la continuidad". Library Journal . 126 (19): 32–34.
• Andrew Zolli; Ann Marie Healy (2013). Resiliencia: por qué las cosas se recuperan . Simon & Schuster. ISBN 978-1451683813.
• Glosario Internacional de Resiliencia, DRI Internacional.

Enlaces externos

• Los niveles de recuperación ante desastres y TSM. Charlotte Brooks, Matthew Bedernjak, Igor Juran y John Merryman. En, Estrategias de recuperación ante desastres con Tivoli Storage Management. Capítulo 2. Páginas 21–36. Serie Red Books. IBM. Tivoli Software. 2002.
• SteelStore Cloud Storage Gateway: Guía de mejores prácticas de recuperación ante desastres. Riverbed Technology, Inc. Octubre de 2011.
• Niveles de recuperación ante desastres. Robert Kern y Victor Peltz. IBM Systems Magazine. Noviembre de 2003.
• Continuidad empresarial: los cinco niveles de la recuperación ante desastres. Archivado el 26 de septiembre de 2018 en Wayback Machine . Especialidades de recuperación. 2007.
• Operaciones continuas: los siete niveles de recuperación ante desastres. Mary Hall. The Storage Community (IBM). 18 de julio de 2011. Consultado el 26 de marzo de 2013.
• Período máximo tolerable de interrupción (MTPOD)
• Período máximo tolerable de interrupción (MTPOD): respuesta del comité de BSI
• Máquina Wayback
• Asociados Janco
• Plan de Continuidad de Negocio

• Directrices del plan de emergencia del Departamento de Seguridad Nacional
• Kit de herramientas de recursos humanos para la pandemia de CIDRAP/SHRM Archivado el 18 de mayo de 2013 en Wayback Machine
• Adaptarse y responder a los riesgos con un plan de continuidad empresarial (BCP)