Prevención y recuperación ante amenazas que puedan afectar a una empresa
La continuidad del negocio puede definirse como "la capacidad de una organización para continuar la entrega de productos o servicios a niveles aceptables predefinidos después de un incidente disruptivo", [1] y la planificación de la continuidad del negocio [2] [3] (o planificación de la continuidad y resiliencia del negocio ) es el proceso de creación de sistemas de prevención y recuperación para lidiar con amenazas potenciales a una empresa. [4] Además de la prevención, el objetivo es permitir operaciones en curso antes y durante la ejecución de la recuperación ante desastres . [5] La continuidad del negocio es el resultado previsto de la ejecución adecuada tanto de la planificación de la continuidad del negocio como de la recuperación ante desastres.
La continuidad de las operaciones exige un enfoque descendente para identificar los requisitos mínimos de una organización que garanticen su viabilidad como entidad. La resistencia de una organización al fracaso es "la capacidad... de soportar cambios en su entorno y seguir funcionando". [7] A menudo denominada resiliencia, es una capacidad que permite a las organizaciones soportar cambios ambientales sin tener que adaptarse permanentemente, o la organización se ve obligada a adaptar una nueva forma de trabajar que se adapte mejor a las nuevas condiciones ambientales. [7]
Descripción general
Cualquier evento que pueda afectar negativamente las operaciones debe incluirse en el plan, como la interrupción de la cadena de suministro , la pérdida o el daño de la infraestructura crítica (maquinaria importante o recursos informáticos/de red). Como tal, el BCP es un subconjunto de la gestión de riesgos . [8] En los EE. UU., las entidades gubernamentales se refieren al proceso como planificación de la continuidad de las operaciones (COOP). [9] Un plan de continuidad empresarial [10] describe una variedad de escenarios de desastre y los pasos que tomará la empresa en cualquier escenario particular para volver a las operaciones normales. Los BCP se escriben con anticipación y también pueden incluir precauciones que se deben implementar. Generalmente creado con el aporte del personal clave y las partes interesadas, un BCP es un conjunto de contingencias para minimizar el daño potencial a las empresas durante escenarios adversos. [11]
Resiliencia
Un análisis de 2005 sobre cómo las disrupciones pueden afectar negativamente las operaciones de las corporaciones y cómo las inversiones en resiliencia pueden dar una ventaja competitiva sobre las entidades que no están preparadas para diversas contingencias [12] amplió las prácticas de planificación de la continuidad empresarial que eran comunes en ese momento. Organizaciones empresariales como el Consejo de Competitividad adoptaron este objetivo de resiliencia. [13]
La adaptación al cambio de una manera aparentemente más lenta y evolutiva -a veces a lo largo de muchos años o décadas- se ha descrito como una forma de ser más resiliente, [14] y el término "resiliencia estratégica" se utiliza ahora para ir más allá de resistir una crisis puntual, sino más bien anticipar y ajustarse continuamente, "antes de que la necesidad de un cambio se vuelva desesperadamente obvia".
Este enfoque a veces se resume como: preparación , [15] protección, respuesta y recuperación. [16]
La teoría de la resiliencia se puede relacionar con el campo de las relaciones públicas. La resiliencia es un proceso comunicativo que construyen los ciudadanos, las familias, el sistema de medios de comunicación, las organizaciones y los gobiernos a través del habla cotidiana y la conversación mediada. [17]
La teoría se basa en el trabajo de Patrice M. Buzzanell , profesora de la Escuela de Comunicación Brian Lamb de la Universidad de Purdue . En su artículo de 2010, "Resiliencia: hablar, resistir e imaginar nuevas normalidades" [18], Buzzanell analizó la capacidad de las organizaciones para prosperar después de una crisis mediante la creación de resistencia. Buzzanell señala que hay cinco procesos diferentes que las personas utilizan cuando intentan mantener la resiliencia: crear normalidad, afirmar los anclajes de la identidad, mantener y utilizar redes de comunicación, poner en práctica lógicas alternativas y restar importancia a los sentimientos negativos mientras se priorizan las emociones positivas.
Si analizamos la teoría de la resiliencia, la teoría de la comunicación en situaciones de crisis es similar, pero no es la misma. La teoría de la comunicación en situaciones de crisis se basa en la reputación de la empresa, pero la teoría de la resiliencia se basa en el proceso de recuperación de la empresa. Hay cinco componentes principales de la resiliencia: crear normalidad, afirmar los pilares de la identidad, mantener y utilizar las redes de comunicación, poner en práctica lógicas alternativas y restar importancia a los sentimientos negativos mientras se dan prioridad a las emociones negativas. [19] Cada uno de estos procesos puede aplicarse a las empresas en tiempos de crisis, lo que hace que la resiliencia sea un factor importante en el que las empresas deben centrarse durante la capacitación.
Existen tres grupos principales que se ven afectados por una crisis: micro (individual), meso (grupo u organización) y macro (nacional o interorganizacional). También existen dos tipos principales de resiliencia: la proactiva y la post resiliencia. La proactiva consiste en prepararse para una crisis y crear una base sólida para la empresa. La post resiliencia incluye seguir manteniendo la comunicación y consultar con los empleados. [20] La proactiva consiste en abordar los problemas en cuestión antes de que provoquen un posible cambio en el entorno de trabajo, y la post resiliencia consiste en mantener la comunicación y aceptar los cambios después de que se haya producido un incidente. La resiliencia se puede aplicar a cualquier organización. En Nueva Zelanda, el programa de Organizaciones Resilientes de la Universidad de Canterbury desarrolló una herramienta de evaluación para evaluar la resiliencia de las organizaciones. [21] Abarca 11 categorías, cada una con 5 a 7 preguntas. Un índice de resiliencia resume esta evaluación. [22]
Continuidad
Los planes y procedimientos se utilizan en la planificación de la continuidad del negocio para garantizar que las operaciones críticas de la organización necesarias para mantener el funcionamiento de la misma sigan funcionando durante los eventos en los que se interrumpan las dependencias clave de las operaciones. La continuidad no tiene por qué aplicarse a todas las actividades que emprende la organización. Por ejemplo, según la norma ISO 22301:2019 , las organizaciones deben definir sus objetivos de continuidad del negocio, los niveles mínimos de operaciones de productos y servicios que se considerarán aceptables y el período máximo tolerable de interrupción (MTPD) que se puede permitir. [23]
Un costo importante en la planificación de esto es la preparación de documentos de gestión de cumplimiento de auditoría; existen herramientas de automatización disponibles para reducir el tiempo y el costo asociados con la producción manual de esta información.
Inventario
Los planificadores deben tener información sobre:
Equipo
Suministros y proveedores
Ubicaciones, incluidas otras oficinas y sitios de respaldo /recuperación del área de trabajo (WAR)
Documentos y documentación, incluidos aquellos que cuentan con copias de seguridad fuera de las instalaciones: [10]
Documentos comerciales
Documentación de procedimientos
Análisis
La fase de análisis consta de:
Análisis de impacto
Análisis de amenazas y riesgos
Escenarios de impacto
La cuantificación de los índices de pérdidas también debe incluir los “dólares para defenderse de una demanda judicial”. [24] Se ha estimado que un dólar gastado en prevención de pérdidas puede evitar “siete dólares de pérdidas económicas relacionadas con desastres”. [25]
Análisis del impacto empresarial (BIA)
Un análisis de impacto empresarial (BIA) diferencia entre funciones y actividades críticas (urgentes) y no críticas (no urgentes) de la organización. Una función puede considerarse crítica si así lo dicta la ley.
Cada función/actividad normalmente depende de una combinación de componentes constitutivos para funcionar:
Recursos humanos (personal a tiempo completo, personal a tiempo parcial o contratistas)
Sistemas de TI
Activos físicos (teléfonos móviles, computadoras portátiles/estaciones de trabajo, etc.)
Documentos (electrónicos o físicos)
Para cada función se asignan dos valores:
Objetivo de punto de recuperación (RPO): latencia aceptable de los datos que no se recuperarán. Por ejemplo, ¿es aceptable que la empresa pierda dos días de datos? [26] El objetivo de punto de recuperación debe garantizar que no se supere la pérdida máxima de datos tolerable para cada actividad.
Objetivo de tiempo de recuperación (RTO): la cantidad de tiempo aceptable para restaurar la función
RTO máximo
Las restricciones de tiempo máximas respecto de cuánto tiempo los productos o servicios clave de una empresa pueden no estar disponibles o no poder entregarse antes de que las partes interesadas perciban consecuencias inaceptables se han denominado:
Periodo máximo tolerable de interrupción (MTPoD)
Tiempo máximo de inactividad tolerable (MTD)
Interrupción máxima tolerable (MTO)
Interrupción máxima aceptable (MAO) [27] [28]
Según la norma ISO 22301, los términos interrupción máxima aceptable y período máximo tolerable de interrupción significan lo mismo y se definen utilizando exactamente las mismas palabras. [29] Algunas normas utilizan el término límite máximo de tiempo de inactividad . [30]
Consistencia
Cuando más de un sistema falla, los planes de recuperación deben equilibrar la necesidad de consistencia de los datos con otros objetivos, como el RTO y el RPO. [31] El nombre de este objetivo es Objetivo de consistencia de recuperación (RCO). Aplica objetivos de consistencia de datos para definir una medida de la consistencia de los datos comerciales distribuidos dentro de sistemas interconectados después de un incidente de desastre. Términos similares utilizados en este contexto son "Características de consistencia de recuperación" (RCC) y "Granularidad de objetos de recuperación" (ROG). [32]
Mientras que RTO y RPO son valores absolutos por sistema, RCO se expresa como un porcentaje que mide la desviación entre el estado real y el estado objetivo de los datos comerciales en todos los sistemas para grupos de procesos o procesos comerciales individuales.
La siguiente fórmula calcula el RCO con "n" representando el número de procesos comerciales y "entidades" representando un valor abstracto para los datos comerciales:
100% RCO significa que después de la recuperación, no se produce ninguna desviación de los datos comerciales. [33]
Análisis de amenazas y riesgos (TRA)
Después de definir los requisitos de recuperación, cada amenaza potencial puede requerir pasos de recuperación únicos (planes de contingencia o manuales de estrategias). Las amenazas más comunes incluyen:
Se identifican y documentan los escenarios de impacto:
necesidad de suministros médicos [34]
Necesidad de opciones de transporte [35]
El impacto civil de los desastres nucleares [36]
Necesidad de suministros para el procesamiento de datos y de negocios [37]
Estos deberían reflejar el daño más amplio posible.
Niveles de preparación
Los siete niveles de recuperación ante desastres de SHARE [38] publicados en 1992, fueron actualizados en 2012 por IBM como un modelo de ocho niveles: [39]
Nivel 0 : no hay datos fuera del sitio • Las empresas con una solución de recuperación ante desastres de nivel 0 no tienen un plan de recuperación ante desastres. No hay información guardada, ni documentación, ni hardware de respaldo ni plan de contingencia. Tiempo de recuperación típico: la duración del tiempo de recuperación en este caso es impredecible . De hecho, es posible que no sea posible recuperarse en absoluto.
Nivel 1 : copia de seguridad de datos sin Hot Site • Las empresas que utilizan soluciones de recuperación ante desastres de nivel 1 realizan copias de seguridad de sus datos en una instalación externa. Según la frecuencia con la que se realicen las copias de seguridad, están preparadas para aceptar varios días o semanas de pérdida de datos , pero sus copias de seguridad están seguras en un lugar externo. Sin embargo, este nivel carece de los sistemas en los que restaurar los datos. Método de acceso con camioneta (PTAM).
Nivel 2 : copia de seguridad de datos con Hot Site • Las soluciones de recuperación ante desastres de nivel 2 realizan copias de seguridad periódicas en cinta. Esto se combina con una instalación y una infraestructura fuera del sitio (conocidas como hot site) en las que se restauran los sistemas a partir de esas cintas en caso de desastre. Esta solución de nivel seguirá generando la necesidad de recrear varias horas o días de datos, pero es menos impredecible en cuanto al tiempo de recuperación . Algunos ejemplos incluyen: PTAM con Hot Site disponible, IBM Tivoli Storage Manager.
Nivel 3 : almacenamiento electrónico • Las soluciones de nivel 3 utilizan componentes de nivel 2. Además, algunos datos críticos para la misión se almacenan electrónicamente. Estos datos almacenados electrónicamente suelen estar más actualizados que los que se envían a través de PTAM. Como resultado, hay menos recreación o pérdida de datos después de que ocurre un desastre .
Nivel 4 : copias puntuales • Las soluciones de nivel 4 son utilizadas por empresas que requieren una mayor disponibilidad de datos y una recuperación más rápida que los usuarios de niveles inferiores. En lugar de depender en gran medida del envío de cintas, como es habitual en los niveles inferiores, las soluciones de nivel 4 comienzan a incorporar más soluciones basadas en discos. Aún es posible que se pierdan varias horas de datos , pero es más fácil realizar copias puntuales (PIT) con mayor frecuencia que los datos que se pueden replicar a través de soluciones basadas en cintas.
Nivel 5 : integridad de las transacciones • Las soluciones de nivel 5 son utilizadas por empresas que necesitan que los datos sean coherentes entre los centros de datos de producción y recuperación. En estas soluciones, la pérdida de datos es mínima o nula ; sin embargo, la presencia de esta funcionalidad depende completamente de la aplicación que se utilice.
Nivel 6 : pérdida de datos nula o mínima • Las soluciones de recuperación ante desastres de nivel 6 mantienen los niveles más altos de actualización de datos . Las utilizan las empresas con poca o ninguna tolerancia a la pérdida de datos y que necesitan restaurar los datos en las aplicaciones rápidamente. Estas soluciones no dependen de las aplicaciones para proporcionar coherencia de datos.
Nivel 7 : solución integrada y altamente automatizada para la empresa • Las soluciones de nivel 7 incluyen todos los componentes principales que se utilizan para una solución de nivel 6 con la integración adicional de la automatización. Esto permite que una solución de nivel 7 garantice una coherencia de los datos superior a la que garantizan las soluciones de nivel 6. Además, la recuperación de las aplicaciones está automatizada, lo que permite restaurar los sistemas y las aplicaciones de forma mucho más rápida y fiable que con los procedimientos manuales de recuperación ante desastres.
Diseño de soluciones
Los dos requisitos principales de la etapa de análisis de impacto son:
Para TI: los requisitos mínimos de aplicaciones y datos y el tiempo en que deben estar disponibles.
Fuera de TI: conservación de copias impresas (como contratos). Un plan de procesos debe considerar personal calificado y tecnología incorporada.
Existen numerosas normas disponibles para respaldar la planificación y la gestión de la continuidad empresarial. [40] [41]
La Organización Internacional de Normalización (ISO), por ejemplo, ha desarrollado toda una serie de normas sobre sistemas de gestión de la continuidad empresarial [42] bajo la responsabilidad del comité técnico ISO/TC 292 :
ISO 22300 :2021 Seguridad y resiliencia – Vocabulario (Reemplaza ISO 22300 :2018 Seguridad y resiliencia – Vocabulario e ISO 22300 :2012 Seguridad y resiliencia – Vocabulario.) [43]
ISO 22301 :2019 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Requisitos (Reemplaza a ISO 22301 :2012.) [44]
ISO 22313 :2020 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Orientación sobre el uso de la ISO 22301 (Reemplaza a ISO 22313 :2012 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Orientación sobre el uso de la ISO 22301.) [45]
ISO/TS 22317:2021 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Directrices para el análisis del impacto en el negocio - (Reemplaza a ISO/TS 22315:2015 Seguridad social – Sistemas de gestión de la continuidad del negocio – Directrices para el análisis del impacto en el negocio.) [46]
ISO/TS 22318:2021 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Directrices para la continuidad de la cadena de suministro (Reemplaza a ISO/TS 22318:2015 Seguridad social – Sistemas de gestión de la continuidad del negocio – Directrices para la continuidad de la cadena de suministro). [47]
ISO/TS 22330:2018 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Directrices para los aspectos humanos en la continuidad del negocio (actualizada en 2022) [48]
ISO/TS 22331:2018 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Directrices para la estrategia de continuidad del negocio (vigente a partir de 2022) [49]
ISO/TS 22332:2021 Seguridad y resiliencia – Sistemas de gestión de la continuidad del negocio – Directrices para el desarrollo de planes y procedimientos de continuidad del negocio (actualizado en 2022) [50]
ISO/IEC/TS 17021-6:2014 Evaluación de la conformidad – Requisitos para organismos que realizan auditoría y certificación de sistemas de gestión – Parte 6: Requisitos de competencia para la auditoría y certificación de sistemas de gestión de la continuidad del negocio. [51]
ISO/IEC 24762:2008 Tecnología de la información — Técnicas de seguridad — Directrices para servicios de recuperación ante desastres de tecnologías de la información y las comunicaciones (retirada) [52]
ISO/IEC 27001:2022 Seguridad de la información , ciberseguridad y protección de la privacidad — Sistemas de gestión de la seguridad de la información — Requisitos. (Reemplaza a ISO/IEC 27001:2013 Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la seguridad de la información — Requisitos.) [53]
ISO/IEC 27002:2022 Seguridad de la información, ciberseguridad y protección de la privacidad: controles de seguridad de la información. (Reemplaza a ISO/IEC 27002:2013 Tecnología de la información: técnicas de seguridad: código de prácticas para controles de seguridad de la información). [54]
ISO/IEC 27031:2011 Tecnología de la información – Técnicas de seguridad – Directrices para la preparación de la tecnología de la información y la comunicación para la continuidad del negocio. [55]
ISO/PAS 22399:2007 Seguridad social. Directriz para la preparación ante incidentes y la gestión de la continuidad operativa (retirada) [56]
IWA 5:2006 Preparación para emergencias (retirada) [57]
Normas británicas
La British Standards Institution (BSI Group) publicó una serie de normas que desde entonces han sido retiradas y reemplazadas por las normas ISO mencionadas anteriormente.
BS 7799 -1:1995 - Procedimientos de seguridad de la información direccionados periféricamente. (retirada) [58]
BS 25999 -1:2006 - Gestión de la continuidad empresarial Parte 1: Código de prácticas (reemplazada, retirada) [59]
BS 25999-2:2007 Gestión de la continuidad del negocio Parte 2: Especificación (reemplazada, retirada) [60]
2008: BS 25777, Gestión de la continuidad de las tecnologías de la información y las comunicaciones. Código de prácticas. (retirado) [61]
En el Reino Unido, las normas BS 25999-2:2007 y BS 25999-1:2006 se utilizaban para la gestión de la continuidad empresarial en todas las organizaciones, industrias y sectores. Estos documentos ofrecen un plan práctico para hacer frente a la mayoría de las eventualidades, desde condiciones climáticas extremas hasta terrorismo, fallos del sistema informático y enfermedades del personal. [62]
En 2004, tras las crisis de los años anteriores, el gobierno del Reino Unido aprobó la Ley de Contingencias Civiles de 2004 : las empresas deben contar con medidas de planificación de continuidad para sobrevivir y seguir prosperando, al tiempo que trabajan para mantener los incidentes lo más bajos posibles. La Ley se dividió en dos partes: Parte 1: protección civil, que abarca las funciones y responsabilidades de los intervinientes locales Parte 2: poderes de emergencia. [63]
En el Reino Unido, la resiliencia se implementa localmente por el Foro de Resiliencia Local . [64]
Normas australianas
HB 292-2006, "Una guía para profesionales sobre la gestión de la continuidad empresarial" [65]
HB 293-2006, “Guía ejecutiva para la gestión de la continuidad empresarial” [66]
Continuidad de Operaciones (COOP) y Plan Nacional de Implementación de Políticas de Continuidad (NCPIP), Gobierno Federal de los Estados Unidos [69] [70] [71]
Conjunto de planificación de la continuidad empresarial, Dirección Nacional de Protección y Programas del DHS y FEMA. [72] [73] [74] [69]
ASIS SPC.1-2009, Resiliencia organizacional: sistemas de gestión de seguridad, preparación y continuidad: requisitos con orientación para su uso, Instituto Nacional Estadounidense de Normas [75]
Implementación y pruebas
La fase de implementación implica cambios de políticas, adquisición de materiales, dotación de personal y pruebas.
Pruebas y aceptación organizacional
El libro de 2008 Exercising for Excellence , publicado por The British Standards Institution, identificó tres tipos de ejercicios que pueden emplearse al probar planes de continuidad empresarial.
Ejercicios de mesa : un pequeño número de personas se concentran en un aspecto específico de un plan de acción común. Otra modalidad implica un solo representante de cada uno de los equipos.
Ejercicios medianos : varios departamentos, equipos o disciplinas se concentran en múltiples aspectos del BCP; el alcance puede variar desde unos pocos equipos en un edificio hasta varios equipos que operan en ubicaciones dispersas. Se agregan "sorpresas" preprogramadas.
Ejercicios complejos : se conservan todos los aspectos de un ejercicio mediano, pero para lograr el máximo realismo se agrega la activación sin previo aviso, la evacuación real y la invocación real de un sitio de recuperación ante desastres.
Si bien los horarios de inicio y finalización se acuerdan previamente, la duración real puede ser desconocida si se permite que los eventos sigan su curso.
Mantenimiento
El ciclo de mantenimiento semestral o anual de un manual de BCP [76] se divide en tres actividades periódicas.
Confirmación de la información del manual, difusión al personal para concientización y capacitación específica para personas críticas.
Prueba y verificación de las soluciones técnicas establecidas para las operaciones de recuperación.
Prueba y verificación de procedimientos de recuperación de la organización.
Los problemas detectados durante la fase de prueba a menudo deben reintroducirse en la fase de análisis.
Información y objetivos
El manual del BCP debe evolucionar con la organización y mantener información sobre quién debe saber qué :
Una serie de listas de verificación
Descripciones de puestos, habilidades necesarias, requisitos de capacitación
Distribución de parches de seguridad de aplicaciones y servicios
Operatividad del hardware
Operatividad de la aplicación
Verificación de datos
Aplicación de datos
Prueba y verificación de los procedimientos de recuperación
Los cambios en el software y en el proceso de trabajo deben documentarse y validarse, incluida la verificación de que las tareas de recuperación del proceso de trabajo documentadas y la infraestructura de recuperación ante desastres de apoyo permiten al personal recuperarse dentro del objetivo de tiempo de recuperación predeterminado. [79]
^ Directrices de buenas prácticas de BCI 2013, citadas en Mid Sussex District Council , Business Continuity Policy Statement, publicada en abril de 2018, consultada el 19 de febrero de 2021
^ "Cómo elaborar un plan de continuidad empresarial eficaz y organizado". Forbes . 26 de junio de 2015.
^ "Sobrevivir a un desastre" (PDF) . American Bar .org (Asociación Americana de Abogados) . 2011. Archivado (PDF) desde el original el 2022-10-09.
^ Elliot, D.; Swartz, E.; Herbane, B. (1999) A la espera del próximo gran estallido: planificación de la continuidad empresarial en el sector financiero del Reino Unido. Journal of Applied Management Studies, vol. 8, n.º, págs. 43-60. Aquí: pág. 48.
^ Alan Berman (9 de marzo de 2015). "Cómo elaborar un plan de continuidad empresarial exitoso". Revista Business Insurance .
^ "Plan de continuidad de negocios". Departamento de Seguridad Nacional de los Estados Unidos. Archivado desde el original el 7 de diciembre de 2018. Consultado el 4 de octubre de 2018 .
^ ab Ian McCarthy; Mark Collard; Michael Johnson (2017). "Resiliencia organizacional adaptativa: una perspectiva evolutiva". Current Opinion in Environmental Sustainability . 28 : 33–40. Bibcode :2017COES...28...33M. doi :10.1016/j.cosust.2017.07.005.
^ Intrieri, Charles (10 de septiembre de 2013). "Business Continuity Planning". Flevy . Consultado el 29 de septiembre de 2013 .
^ "Recursos de continuidad y asistencia técnica | FEMA.gov". www.fema.gov .
^ ab "Guía para la elaboración de un plan de continuidad de negocio" (PDF) . Archivado desde el original (PDF) el 2019-02-09 . Consultado el 2019-02-08 .
^ "Planificación de la continuidad del negocio (BCP) para empresas de todos los tamaños". 19 de abril de 2017. Archivado desde el original el 24 de abril de 2017 . Consultado el 28 de abril de 2017 .
^ Yossi Sheffi (octubre de 2005). La empresa resiliente: cómo superar la vulnerabilidad para lograr una empresa competitiva. MIT Press.
^ "Transformar. La economía resiliente". Archivado desde el original el 22 de octubre de 2013. Consultado el 4 de febrero de 2019 .
^ "Newsday | Fuente de noticias de Long Island y Nueva York | Newsday".
^ Tiffany Braun; Benjamin Martz (2007). "Preparación para la continuidad empresarial y el estado mental de atención plena". Actas de la AMCIS de 2007. S2CID 7698286."Se estima que el 80 por ciento de las empresas que no cuentan con un plan de continuidad de negocios bien concebido y probado quiebran dentro de los dos años siguientes a un desastre importante" (Santangelo 2004).
^ "Anexo A.17: Aspectos de seguridad de la información en la gestión de la continuidad del negocio". ISMS.online. Noviembre de 2021.
^ "Comunicación y resiliencia: reflexiones finales y cuestiones clave para futuras investigaciones". www.researchgate.net .
^ Buzzanell, Patrice M. (2010). "Resiliencia: hablar, resistir e imaginar nuevas normalidades". Revista de comunicación . 60 (1): 1–14. doi :10.1111/j.1460-2466.2009.01469.x. ISSN 1460-2466.
^ Buzzanell, Patrice M. (marzo de 2010). "Resiliencia: hablar, resistir e imaginar nuevas normalidades". Revista de comunicación . 60 (1): 1–14. doi :10.1111/j.1460-2466.2009.01469.x. ISSN 0021-9916.
^ Buzzanell, Patrice M. (2 de enero de 2018). "Organizar la resiliencia como tensiones adaptativas-transformacionales". Revista de investigación en comunicación aplicada . 46 (1): 14–18. doi :10.1080/00909882.2018.1426711. ISSN 0090-9882. S2CID 149004681.
^ "Organizaciones resilientes". 22 de marzo de 2011.
^ "Diagnóstico de resiliencia". 28 de noviembre de 2017.
^ ISO, ISO 22301 Gestión de la continuidad del negocio: su guía de implementación, publicado, consultado el 20 de febrero de 2021
^ "Planificación de emergencia" (PDF) . Archivado (PDF) del original el 2022-10-09.
^ Helen Clark (15 de agosto de 2012). "¿Puede su organización sobrevivir a un desastre natural?" (PDF) . RI.gov . Archivado (PDF) del original el 9 de octubre de 2022.
^ May, Richard. "Cómo encontrar RPO y RTO". Archivado desde el original el 3 de marzo de 2016.
^ "Interrupción máxima aceptable (definición)". riskythinking.com . Albion Research Ltd . Consultado el 4 de octubre de 2018 .
^ "Instrucciones BIA, GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO - TALLER" (PDF) . driecentral.org . Central de Intercambio de Información sobre Recuperación de Desastres (DRIE). Archivado (PDF) desde el original el 2022-10-09 . Consultado el 4 de octubre de 2018 .
^ "Definiciones de continuidad empresarial ISO 22301 2012 en lenguaje sencillo". praxiom.com . Praxiom Research Group LTD . Consultado el 4 de octubre de 2018 .
^ "Controles básicos de ciberseguridad" (PDF) . Ministerio del Interior - Centro Nacional de Ciberseguridad. 2022. pág. 12.
^ "El ascenso y ascenso del objetivo de coherencia en la recuperación". 22 de marzo de 2016. Archivado desde el original el 26 de septiembre de 2020. Consultado el 9 de septiembre de 2019 .
^ "Cómo evaluar una solución de gestión de la recuperación". West World Productions, 2006 [1]
^ Josh Krischer; Donna Scott; Roberta J. Witty. "Seis mitos sobre la gestión de la continuidad empresarial y la recuperación ante desastres" (PDF) . Investigación de Gartner. Archivado (PDF) del original el 9 de octubre de 2022.
^ "Ubicación y distribución de suministros médicos en situaciones de desastre". doi :10.1016/j.ijpe.2009.10.004.{{cite journal}}: Requiere citar revista |journal=( ayuda ) [ aclaración necesaria ]
^ "Planificación del transporte en la recuperación de desastres". SCHOLAR.google.com . Archivado desde el original el 9 de octubre de 2022.
^ "Resúmenes ejecutivos de ESCENARIOS DE PLANEAMIENTO" (PDF) . Archivado (PDF) del original el 2022-10-09.
^ Chloe Demrovsky (22 de diciembre de 2017). "Manteniéndolo todo junto". Tecnología empresarial de fabricación .
^ desarrollado por el Comité Directivo Técnico de SHARE, en colaboración con IBM
^ Ellis Holman (13 de marzo de 2012). "Una metodología de selección de soluciones de continuidad empresarial" (PDF) . IBM Corp. Archivado (PDF) del original el 2022-10-09.
^ Tierney, Kathleen (21 de noviembre de 2012). "Gobernanza de desastres: dimensiones sociales, políticas y económicas". Revista anual de medio ambiente y recursos . 37 (1): 341–363. doi : 10.1146/annurev-environ-020911-095618 . ISSN 1543-5938. S2CID 154422711.
^ Partridge, Kevin G.; Young, Lisa R. (2011). CERT® Resilience Management Model (RMM) v1.1: Code of Practice Crosswalk Commercial Version 1.1 (PDF) . Pittsburgh, PA: Carnegie Mellon University . Consultado el 5 de enero de 2023 .
^ "ISO - ISO/TC 292 - Seguridad y resiliencia". Organización Internacional de Normalización .
^ "ISO 22300:2018". ISO . 12 de julio de 2019.
^ "ISO 22301:2019". ISO . 5 de junio de 2023.
^ "ISO 22313:2020". ISO .
^ "Iso/Ts 22317:2021".
^ "Iso/Ts 22318:2021".
^ "ISO/TS 22330:2018". ISO . 12 de julio de 2019.
^ "ISO/TS 22331:2018". ISO .
^ "Iso/Ts 22332:2021".
^ "ISO/IEC TS 17021-6:2014". ISO .
^ "ISO/IEC 24762:2008". ISO . 6 de marzo de 2008 . Consultado el 5 de enero de 2023 .
^ "ISO/IEC 27001:2022". ISO . Consultado el 5 de enero de 2023 .
^ "ISO/IEC 27002:2022". ISO . Consultado el 5 de enero de 2023 .
^ "ISO/IEC 27031:2011". ISO . 5 de septiembre de 2016 . Consultado el 5 de enero de 2023 .
^ "ISO/PAS 22399:2007". ISO . 18 de junio de 2012 . Consultado el 5 de enero de 2023 .
^ "AIT 5:2006". ISO . Consultado el 5 de enero de 2023 .
^ "BS 7799-1:1995 Gestión de la seguridad de la información - Código de prácticas para sistemas de gestión de la seguridad de la información". BSI Group . Consultado el 5 de enero de 2023 .
^ "BS 25999-1:2006 Gestión de la continuidad empresarial - Código de prácticas". BSI Group . Consultado el 5 de enero de 2023 .
^ "BS 25999-2:2007 (edición de EE. UU.) Gestión de la continuidad empresarial: especificación". BSI Group . Consultado el 5 de enero de 2023 .
^ "BS 25777:2008 (Paperback) Gestión de la continuidad de la tecnología de la información y las comunicaciones. Código de prácticas". BSI Group . Consultado el 5 de enero de 2023 .
^ British Standards Institution (2006). Gestión de la continuidad empresarial, parte 1: Código de prácticas: Londres
^ Oficina del Gabinete. (2004). Panorama general de la Ley. En: Secretaría de Contingencias Civiles Ley de Contingencias Civiles de 2004: resumen. Londres: Secretaría de Contingencias Civiles
^ "Julio de 2013 (V2) El papel de los foros locales de resiliencia: un documento de referencia" (PDF) . Gabinete de Ministros . Consultado el 5 de enero de 2023 .
^ "HB HB 292—2006 Guía ejecutiva para la gestión de la continuidad empresarial" (PDF) . Standards Australia . Consultado el 5 de enero de 2023 .
^ "HB 293—2006 Guía ejecutiva para la gestión de la continuidad empresarial" (PDF) . Standards Australia . Consultado el 5 de enero de 2023 .
^ NFPA 1600, Norma sobre gestión de desastres y emergencias y programas de continuidad empresarial (PDF) (edición de 2010). Quincy, MA: Asociación Nacional de Protección contra Incendios. 2010. ISBN978-161665005-6.
^ "Una descripción general completa de la norma NFPA 1600". AlertMedia . 29 de enero de 2019 . Consultado el 4 de enero de 2023 .
^ ab "Plan de Continuidad de Negocios | Ready.gov". www.ready.gov . Consultado el 5 de enero de 2023 .
^ "PLAN DE IMPLEMENTACIÓN DE LA POLÍTICA DE CONTINUIDAD NACIONAL Consejo de Seguridad Nacional Agosto de 2007" (PDF) . FEMA . Consultado el 5 de enero de 2023 .
^ "Recursos de continuidad y asistencia técnica | FEMA.gov". FEMA . Consultado el 5 de enero de 2023 .
^ "Continuidad de operaciones: una visión general" (PDF) . FEMA . Consultado el 5 de enero de 2023 .
^ "Negocios | Ready.gov". www.ready.gov . Consultado el 5 de enero de 2023 .
^ "Paquete de planificación de continuidad empresarial | Ready.gov". www.ready.gov . Consultado el 5 de enero de 2023 .
^ ASIS SPC.1-2009 Resiliencia organizacional: sistemas de gestión de seguridad, preparación y continuidad: requisitos con orientación para su uso (PDF) . Instituto Nacional Estadounidense de Normas. 2009. ISBN978-1-887056-92-2.
^ "Plantilla de plan de continuidad de negocio".
^ "Glosario | DRI Internacional". drii.org .
^ "Lista de verificación del plan de recuperación ante desastres" (PDF) . CMS.gov . Archivado (PDF) del original el 2022-10-09.
^ Othman. "Validación de un metamodelo de gestión de desastres (DMM)". SCHOLAR.google.com .
Lectura adicional
James C. Barnes (8 de junio de 2001). Guía para la planificación de la continuidad empresarial . Wiley. ISBN 978-0471530152.
Kenneth L Fulmer (4 de octubre de 2004). Planificación de la continuidad empresarial: una guía paso a paso . Rothstein. ISBN 978-1931332217.
Richard Kepenach. Diseño de un plan de continuidad empresarial: 8 pasos para empezar a diseñar un plan .
Judy Bell (octubre de 1991). Planificación de supervivencia ante desastres: una guía práctica para empresas . Planificación de supervivencia ante desastres, Incorporated. ISBN 978-0963058003.
Dimattia, S. (15 de noviembre de 2001). "Planificación para la continuidad". Library Journal . 126 (19): 32–34.
Andrew Zolli; Ann Marie Healy (2013). Resiliencia: por qué las cosas se recuperan . Simon & Schuster. ISBN 978-1451683813.
Glosario Internacional de Resiliencia, DRI Internacional.
Enlaces externos
Los niveles de recuperación ante desastres y TSM. Charlotte Brooks, Matthew Bedernjak, Igor Juran y John Merryman. En, Estrategias de recuperación ante desastres con Tivoli Storage Management. Capítulo 2. Páginas 21–36. Serie Red Books. IBM. Tivoli Software. 2002.
SteelStore Cloud Storage Gateway: Guía de mejores prácticas de recuperación ante desastres. Riverbed Technology, Inc. Octubre de 2011.
Niveles de recuperación ante desastres. Robert Kern y Victor Peltz. IBM Systems Magazine. Noviembre de 2003.
Continuidad empresarial: los cinco niveles de la recuperación ante desastres. Archivado el 26 de septiembre de 2018 en Wayback Machine . Especialidades de recuperación. 2007.
Operaciones continuas: los siete niveles de recuperación ante desastres. Mary Hall. The Storage Community (IBM). 18 de julio de 2011. Consultado el 26 de marzo de 2013.
Período máximo tolerable de interrupción (MTPOD)
Período máximo tolerable de interrupción (MTPOD): respuesta del comité de BSI