DTR004 Gestion de la Continuidad del Negocio

Downloadable PDF Resources

  1. English
  2. English/Spanish
  3. English/Russian

This module will take you through Gestion de la Continuidad del Negocio.

  1. Introducción
  2. Instalaciones de Back-Up
  3. Comunicaciones
  4. Toma de Decisiones
  5. Estabilidad
  6. Pruebas y verificación
  7. Resumen
  8. Puntos principales

 

La información contenida en este documento hace parte del programa Deltar
‘Nivel 4 Curso de Gestión Avanzada de Riesgos y Crisis’

Introducción

Debido al hecho de que las crisis son usualmente a gran escala, inesperadas y pueden escapar del control del gestor de continuidad/ seguridad, es muy probable que cualquier crisis que suceda tenga un gran impacto en la organización: una fuerte interrupción o un colapso total de sus operaciones.

El plan de continuidad del negocio (BCP) y la gestión de continuidad del negocio (BCM) son dos aspectos de la etapa de recuperación de la respuesta post-crisis que también involucrará al equipo de gestión de crisis. Esta sección analizará algunos de los requerimientos básicos de cualquier programa de BCP y BCM, pero para una información más detallada puedes revisar el estándar británico ISO 22301:2012. La norma le dará una comprensión total de los requerimientos de un BCM corporativo. Más detalles sobre este (y otros) estándares pueden encontrarse en: British Standards Institute (BSI) .

El propósito del BCP es garantizar un sistema que pueda ser utilizado para mantener las operaciones de la organización bajo la más amplia posibilidad de riesgos. Sin embargo, sin importar cuán bien se hayan planificado o escrito, cualquier evento que suceda (que sea más que una situación de rutina) provocará un importante nivel de interrupción y confusión, y se necesitará que los planes de continuidad del negocio se adapten a la realidad de la situación que los gestores están enfrentando. Esto se hace más evidente si la organización es más grande, sobre todo cuando la implementación de un BCP va más allá de una cuestión de discusiones personales, y requiere un alto nivel de coordinación de múltiples divisiones. La necesidad de utilizar un BCP mientras se mantienen las principales funciones de las operaciones de un negocio, será siempre un proceso que evalúe al límite las competencias de los gestores de crisis.

Como en cualquier programa de gestión de crisis, la primera etapa en el desarrollo de un plan de continuidad del negocio es realizar una valoración del riesgo que les permita identificar para qué tipos de riesgos debería planificarse el BCP. Cada uno de los riesgos identificados afectaría las operaciones de distintas formas, pero todos comparten una característica común: causarían una fuerte interrupción en la capacidad de la compañía para realizar sus operaciones con normalidad. En una típica oficina de la ciudad los riesgos serían: fallas de las TI, inundaciones, amenazas terroristas, fallas en el transporte (que impediría la llegada de los trabajadores), revueltas, cortes de energía, etc. En otro contexto, para una organización con operaciones en el extranjero, los riesgos identificados serían: desastres naturales, revueltas política, disturbios sociales, terrorismo, crímenes organizados, secuestros y chantajes, o cualquier otro riesgo identificado dependiendo del contexto geográfico, político y social donde opera.

Introduction

Given the fact that crises are usually large scale, unexpected and to a large degree outside of the control of the security manager, it is likely that any crisis that does occur will have a major impact on the operations of a company, including widespread disruption or even total collapse.

Business Continuity Planning (BCP) and Business Continuity Management (BCM) are two aspects of the recovery stage of the post-crisis response that will almost certainly involve the security management team. This section will look at some of the basic requirements of any BCP and BCM programme, but for more detailed information you can refer to International Standard ISO 22301:2012, which give a full insight into the requirements of corporate BCM.

The purpose of Business Continuity Planning is to ensure that there is a framework that can be used to maintain the operations of the company under the widest possible range of risks. However, however well they may be planned and written, anything which is more than a routine situation will involve a significant level of disruption and confusion, and will need the written BC plans to be adapted to the reality of the situation that the managers are facing. This is more evident the larger the organisation is, especially when the deployment of the BCP goes beyond a matter of personal discussions, and requires high levels of multi-division coordination. The need to utilise BC plans at the same time as maintaining the core functions of a business’s operations, is always going to be a process that tests a security managers skills to the limits.

As in any security management programme, the first stage in developing a business continuity plan is to carry out a risk assessment, so as to identify what sorts of risks might need to be planned for. Each of these identified risks would affect the operation in a different way, but they all share the common quality that they would cause significant disruption to the ability of the company to manage its business on a normal basis. In a typical city office that might include IT failure, flooding, terrorist threat, transport failure (so that employees can’t get in), rioting, power failure, etc. For a company that runs overseas operations, identified threats might include natural disasters, political upheaval, social unrest, terrorism, organised crime, K&R (Kidnapping and Ransom), or any of the other risks that might be identified depending on the specific geographical, political and social environment within which it is operating.

Objetivos del BCM

El desarrollo de un BCP siempre involucrará un alto nivel de colaboración por parte de diversas áreas. Es la habilidad de coordinar diferentes áreas dentro de una organización que normalmente no tendrían una relación laboral tan cercana que creará la base para una toma de decisiones compartida y efectiva, y dará soluciones en caso surja una fuerte interrupción a las operaciones de la organización.

Objectives of BCM

The development of a BCP will always be something that involves a high level of collaboration with a wide range of other divisions, and it is the ability to coordinate different divisions that might not normally have a close working relationship that will set the foundation for effective shared decision making and delivery of solutions in the event that a major business disruption was to occur.

Instalaciones de Back-Up

Una de las primeras interrogantes que planteará cualquier BCP será: ¿Qué hacemos si nuestro centro de operaciones se ve afectado? Quizás se deba a que ocurrió algo en el edificio, como una fuga de gas, o quizás porque sucedió algo externo, que aunque no haya afectado directamente, igual implica un problema. Por ejemplo, quizás ocurrió un ataque terrorista a unas calles de distancia, pero como tu edificio está dentro del cordón de seguridad que han establecido, no podrás ingresar por varios días e incluso semanas, o quizás porque compartes el edificio con una gran compañía de petroquímicos que ha sufrido un secuestro o una revuelta en sus oficinas.

En caso surgiera la necesidad de trasladar sus operaciones a otro lugar, es importante para el éxito de esa mudanza que todo lo que necesites esté disponible. Una debilidad de muchos BCPs es suponer que podrán hacer algo que en realidad no podrán. Por ejemplo, podrían suponer que las personas tendrán acceso a su edificio para sacar computadoras, recuperar archivos u otros documentos. Sin embargo, como gestores de continuidad/seguridad, es importante que analicen su BCP con mucha honestidad, no hagan suposiciones que, aunque facilitarían sus vidas, no sucederían si surgiera una situación real.

Back-Up Facilities

One of the first questions that any BCP will pose is ‘What would we do if our present facilities became inoperable?’. That might be because of something directly connected to the building – a gas leak, for example – or it may be something that you get caught up in that actually has nothing to do with you. There may be a terrorist attack in the next street, but your building is inside the inner cordon that has been set up, and you may not be able to have access to that site for days or even weeks, or you may share your building with a major petrochemical company that becomes the target of sit-in protestors or a hostage situation.

In the event that you did need to move your operations to another site, it is critical to the success of that move that everything that you need is already in place. One weakness of many BCP’s is that they presume that they will be able to do something that actually is not the case. They may presume, for example, that people will be able to access the building in order to retrieve computer files or other documents. However, as a security manager, it is important that you look
at your BCP with honest eyes, and don’t make presumptions that would certainly make your life easier, but actually are not likely to happen if a genuine situation was to arise.

Comunicaciones

Como en cualquier evento poco común, la comunicación es la clave absoluta para realizar las cosas. Sin importar cuán efectivo sea el BCP, siempre habrá la necesidad de establecer una gran cantidad de comunicación entre todas las partes interesadas, quienes estarán evaluando la situación y adaptando el BCP de acuerdo a las necesidades específicas e inmediatas. Así como la necesidad de comunicación con otras personas involucradas en el BCP—probablemente sean, de alguna u otra forma, los trabajadores—también existe la necesidad de comunicación con los clientes y proveedores para informales sobre la situación actual y cuánto tiempo tomará volver a operar con normalidad (o al menos, con la mayor normalidad posible).

Communications

As in any ‘non-normal’ situation, communication is the absolute key to getting things done. However effective the BCP might be, there will always be the need for a large amount of communication between all the various stakeholders, who will be assessing the situation and adapting the BCP according to the specific and immediate needs. As well as the need to communicate with the other people involved in the BCP – and that is likely to be all employees, in one way or another – there is also the need to communicate with clients and suppliers, to reassure them as to the current situation and as to how long it will take to resume normal operations (or at least, as near to normal as possible).

Toma de Decisiones

Como en cualquier situación de gestión de crisis, se necesitará realizar una toma de decisiones rápida y decisiva. En ese sentido, una de las principales causas del fracaso del BCP es que no está claro quién tiene la autoridad para tomar decisiones y a qué nivel. Muchas de las acciones que se tomarán representarán un costo: conseguir un servicio de limpieza especializada para las oficinas luego de la inundación; contratar coaches que ayuden a que tus trabajadores en la adaptación a la nueva oficina; pagando hospedaje y comidas, contratar un proveedor externo (TPS) para suministrar redes de comunicaciones de emergencia, etc. Si cada una de estas acciones lleva a un retraso significativo en la toma de decisiones y la ejecución acciones de respuesta, entonces queda claro que habrá un retraso acumulativo, lo que significa que tu BCP será cada vez más inefectivo y que las situaciones que estás enfrentando se volverán más graves y difíciles de responder.

Decision-Making

As in any crisis management situation, events on the ground may require fast and decisive decision making, and one of the main causes of failures in BCP is the fact that it is not clear who has the authority to make decisions, and to what level. Many of the actions that will be taken will need to be paid for – getting specialist cleaners in to clean up your office after a flood, hiring coaches to take your staff to the new offices, paying for hotel rooms and meals, hiring a third party supplier (TPS) to supply emergency communications networks, etc. If each of these questions leads to significant delays in making the decisions and putting the actions into place, then it is clear that there will be an accumulative delay that will mean that the BCP itself will become increasing ineffective and the situations that you are facing will become increasingly serious and difficult to respond to.

Estabilidad

Es muy probable que el impacto de los eventos que generado la activación del BCP tengan una «cola larga», en el sentido de que continuarán afectando tus operaciones durante mucho tiempo después del problema inicial. Sin embargo, incluso si no puedes restaurar por completo tus operaciones al su estado original, uno de tus objetivos es llegar a una etapa donde las actividades normales puedan realizarse, de la mejor forma posible, mientras que el resto del programa de recuperación se ejecuta en paralelo.

Stabilisation

It is likely that the impacts of the events that lead to the triggering of the BCP will have a ‘long tail’, in that they will continue to affect your operations for a long time after the initial problem. However, even if you may not be able to restore the whole operation to the status that is was before the crisis started, one of your objectives is to reach a stage where normal activities can carry on, as best as possible, whilst the rest of the recovery programme runs in parallel to that.

Pruebas y verificación

Dado el nivel potencial de impacto que puede causar el fracaso de cualquier programa de gestión de continuidad – BCM, un punto importante del BCP de cualquier organización es la prueba y verificación del programa de BCM que se haya desarrollado. Aunque es claramente imposible recrear por completo las condiciones que estarían presentes en el momento de una crisis, lo que sí se puede hacer es evaluar los programas y las habilidades del personal crítico implementarlos, sobre la base de pruebas en escenarios cada vez más complejos y desafiantes.

Como ejemplo de ejercicio de verificación simple, uno de los problemas de cualquier plan de BCM es que la información que contiene cambia. Por ejemplo, las personas que trabajan para una organización cambian de puestos o simplemente dejan de trabajar, entonces las funciones pasan a otras oficinas y hay reorganizaciones corporativas, lo que significa que las líneas jerárquicas cambian y los códigos de ingreso a diversos lugares también. Toda esta información es fundamental para la gestión eficaz de cualquier BCP.

Dado el nivel de estrés organizacional involucrado en cualquier operación de BCM, junto con la confusión y presión personal, el impacto que tendría la información obsoleta es casi imposible de calcular. Llamar a alguien que está asignado como el Director de Continuidad del Negocio de un área particular, solo para descubrir que ya no tiene ese mismo número porque dejó de trabajar en esa empresa hace dos años, no ayuda en nada, por decir lo menos. Un problema significativo en la prueba y verificación de los planes de BCM es que la información que tengan sea revisada, actualizada y comprobada.

De forma práctica, la forma en que planes de BCM se pueden probar (y luego mejorar, sobre la base de lecciones aprendidas) es mediante la realización de ejercicios de escritorio que permitan a los gerentes de distintas áreas trabajar juntos en la toma de decisiones, ejecución de los planes y creación de una amplia capacidad corporativa de continuidad del negocio. Estos ejercicios no necesitan ser demasiado complicados y tampoco requieren de alta tecnología, solo necesitan reunir la mayor cantidad posible de personas para ver cómo podrían trabajar mejor juntos en la identificación de problemas y creación de mayores capacidades en cada nivel de la operación.

Testing and Verification

Given the potential level of impact of the failure of any BCM programme, a critical part of any organisation’s BCP is the testing and verification of any BCM programme that has been developed. Although it is clearly impossible to fully recreate the conditions that would be present in a full-blown crisis, it is still possible to test the programmes and the ability of critical staff to implement them through a series of progressively more complex and challenging scenario-based training.

As an example of a simple verification exercise, one of the problems in any BCM plan is that the information is held on it changes. People move jobs or leave the organisation altogether, functions are moved to different offices, there are corporate reorganisations so that reporting chains may change, entry codes to various locations may be changed. This is all critical information that is fundamental to the effective management of any BCP.

Given the level of organisational stress that is involved in any BCM operation, together with confusion and personal pressure, the impact of such out-of-date information is almost impossible to calculate. To phone someone up who is listed as the Business Continuity Director of a particular division, only to find out that that number no longer exists because that person left the company two years ago, is not helpful, to say the least. A significant issue in the testing and verification of BCM plans is that the information that they hold is reviewed, updated and checked.

On a practical basis, the way that BCM plans can be tested (and then improved, based on the lessons learned), is to hold regular table-top exercises that allow people from different divisions to work together in making decisions, putting plans in action and creating a general corporate-wide business continuity capability. These exercises do not need to be overly complicated, and they certainly do not need to be high-tech, but they should bring as many people together as possible to find out how they can best work together, as they identify potential problems, and create enhanced capability at every level of the operation.

Resumen

Parte de la naturaleza de las crisis es que son inesperadas y nunca es un buen momento tener una. Sin embargo, mientras mejor sea la planificación y preparación para afrontarlas, más probable será que la organización sobreviva el shock inicial. Entonces podrán utilizar su BCP para dar una respuesta que garantice la seguridad y bienestar de todos los trabajadores al mismo tiempo que mantiene, en el mayor grado posible, la funcionalidad operativa de la organización. La organización puede usar el programa de BCM para estabilizarlo y reevaluarlo, tomando las decisiones necesarias que les permita retornar a su estado de operación normal de la forma más tranquila y eficaz posible.

Summary

It is in the nature of crises that they tend to be unexpected, and there is never a good time to have one! However, the better the planning and preparation for dealing with them, the more likely it is that the organisation will be able to survive the initial shock. They will then be able to utilise their BCP to deliver a response that will ensure the safety and well being of staff at the same time that they maintain the operational functionality of the organisation to the greatest degree possible. They can then use BCM to stabilise and reassess, making the necessary decisions that will enable them to return to normal operating status as smoothly and effectively as possible.

Puntos principales

  • El estándar para realizar es la ISO 22301:2012.
  • Un BCP efectivo es un programa vivo y en constante movimiento contrario a ser un plan único que se guarda y no se actualiza más.
  • Todos los planes deben ser revisados, comprobados y actualizados con regularidad.
  • Los BCPs son solo papeles. Las personas son las que lo hacen funcionar.
  • Mientras más pruebes y revalides tus planes, a través de ejercicios de escritorio y otros entrenamientos similares, más efectiva será tu respuesta en caso sea necesaria.

Main Points

  • The underlying standards for BCM is covered by ISO 22301:2012
  • Effective BCP is something that is on-going, rather than a single event
  • All plans showed be reviewed, checked and updated on a regular basis
  • BCP’s are only paper – it is people that make them work.
  • The more you test and revalidate your plans, through table-top exercises and other similar training events, the more effective your response will be in the event that is it is required