En la siguiente tabla se muestra el registro de ejercicios realizados previamente:
Tipo de Ejercicio Propósito Participantes Fecha(s) Ejercicio guiado de corte de comunicación Familiarizar al personal al plan de continuidad Área de Tecnología de información Por definir Simulacro post- desastre de denegación de servicios totales por causa de desastres naturales
Ejercer los acciones y evaluar el
desempeño frente a una crisis total.
Área de Tecnología de información Por definir Simulacro de caída de los sistemas de registros de Requerimientos e incidentes Verificar el procedimiento de emergencia Personal de Mesa de Ayuda nivel 1 y 2, y su supervisor Por definir Sabotaje a la base de datos de los activos informáticos Verificar el procedimiento de emergencia y de registro alternativo Personal encargado de la logística de activos y su supervisor Por definir
Anexo A: GLOSARIO DE CONTINUIDAD DEL NEGOCIO
Acuerdo recíproco: un acuerdo entre organizaciones con básicamente los mismos procesos de negocios y / o hardware de procesamiento de datos que permite a una organización continuar las operaciones de negocios para la otra en caso de desastre.
Actividades empresariales de misión crítica: las actividades operativas críticas y / o de apoyo empresarial (ya sea de forma interna o externa) requeridas por la organización para lograr su (s) objetivo (s), es decir, servicios y / o productos.
Almacenamiento electrónico: la transmisión de transacciones de diario o registros de datos a un sitio alternativo o almacenamiento externo mediante instalaciones de telecomunicaciones.
Almacenamiento externo: una instalación de almacenamiento designada, que no sea la instalación principal, donde se pueden almacenar registros vitales y documentos críticos para uso de emergencia durante la ejecución del Plan de Continuidad de Negocios de una organización.
Amenaza: un evento potencial que puede causar un riesgo de convertirse en una pérdida. Las amenazas consisten en fenómenos naturales como tornados y terremotos e incidentes causados por el hombre, como ataques terroristas, amenazas de bomba, empleados descontentos y fallas en el suministro eléctrico.
Análisis de impacto empresarial: el proceso de desarrollo y distribución de un cuestionario para determinar el impacto financiero y el impacto operativo en una organización si sus oficinas comerciales y / o las instalaciones del centro de datos no están disponibles por un tiempo prolongado (generalmente al menos un mes). El objetivo del BIA es proporcionar un análisis a nivel de gestión que documente específicamente el impacto financiero diario y el objetivo de tiempo de recuperación (RTO) para cada unidad de negocios y procesos asociados.
Auditoría: un examen y evaluación exhaustivos del Plan de Continuidad del Negocio de una organización y los procedimientos para verificar su exactitud y viabilidad.
BIA - Acrónimo para Análisis de Impacto Empresarial.
Cadena de suministro: el movimiento de los materiales a medida que fluyen desde su origen hasta el cliente final. La cadena de suministro incluye compras, fabricación, almacenamiento, transporte, servicio al cliente, planificación de la demanda, planificación de suministros y gestión de la cadena de suministro. Está compuesto por las personas, las
actividades, la información y los recursos involucrados en el traslado de un producto de su proveedor al cliente.
Categorías de riesgo: los riesgos de tipos similares se agrupan bajo títulos clave, también conocidos como "categorías de riesgo". Estas categorías incluyen reputación, estrategia, finanzas, inversiones, infraestructura operativa, negocios, cumplimiento normativo, subcontratación, personal, tecnología y conocimiento.
Centro de Operaciones de Emergencia (EOC, por sus siglas en inglés): un sitio alternativo con suficientes capacidades de comunicaciones de voz y espacio de trabajo utilizado para administrar los esfuerzos de recuperación iniciales, incluidas las notificaciones de emergencia utilizando la Lista de llamadas del Plan de continuidad comercial. El EOC puede ser inicialmente una ubicación temporal (por ejemplo, un hotel, un remolque) utilizado por el equipo de administración para comenzar a coordinar las operaciones de recuperación o puede ser el Sitio Frío, el Sitio Cálido o el Sitio Caliente designado para las operaciones de recuperación.
Comunicaciones de datos: la transmisión de datos, generalmente en forma digital, entre ubicaciones geográficamente separadas a través de sistemas de transmisión eléctricos u ópticos públicos y / o privados. Contraste con las comunicaciones de voz.
Comunicaciones de voz: la transmisión de sonido a frecuencias dentro del rango de audición humana que puede ser digital o analógica. Contraste con las comunicaciones de datos.
Continuidad de negocios: la capacidad de una organización para brindar servicio y soporte a sus clientes y mantener su viabilidad antes, durante y después de un evento de continuidad de negocios.
Controles: un término generalmente asociado con la auditoría y definido como procedimientos u otras medidas diseñadas para garantizar que los planes y sistemas funcionen correctamente.
Controles de riesgo: todos los métodos para reducir la frecuencia y / o la gravedad de las pérdidas, incluida la prevención de la exposición, la prevención de la pérdida, la reducción de la pérdida, la separación de las unidades de exposición y la transferencia de riesgo no asegurada.
Coordinador de Continuidad de Negocios (BCC): un miembro del Equipo de Gestión Ejecutiva y / o el Equipo de Gestión de Crisis con la responsabilidad del desarrollo, coordinación, capacitación, pruebas e implementación del Plan de Continuidad de Negocios.
Crisis: un evento que amenaza la seguridad, integridad o instalaciones de una organización y / o la seguridad de sus empleados. Una crisis puede ir desde la evacuación de un edificio debido a una amenaza de bomba hasta un desastre a gran escala y fácilmente reconocible. Para fines de planificación, una Crisis incluye, pero no se limita a, amenazas climáticas severas u ocurrencias (nieve, tornados, etc.), planificación de la sucesión de la alta gerencia, cortes de energía y comunicaciones, emergencias médicas, situaciones de rehenes, amenazas de bombas, terremotos, elevadores atrapamientos, etc., además de un desastre obvio y fácilmente reconocible.
Departamento: una entidad separada y discreta definida por cada organización o empresa. Un departamento generalmente realiza una función o proceso comercial específico. Ver también Unidad de Negocios.
Desastre: un suceso calamitoso repentino y no planeado que causa gran daño o pérdida. En el entorno empresarial: cualquier evento que genere una incapacidad por parte de una organización para proporcionar productos y / o servicios esenciales por un período de tiempo indefinido.
Ejercicio: una oportunidad brindada para demostrar, evaluar y mejorar la capacidad combinada y la interoperabilidad de los elementos para realizar las misiones y tareas asignadas a los estándares necesarios para lograr resultados exitosos.
Tipos de ejercicios -
Simulacro: una actividad coordinada y supervisada que generalmente se utiliza para probar una sola operación o función específica en una sola agencia. Los simulacros se usan comúnmente para brindar capacitación en nuevos equipos, desarrollar o probar nuevas políticas o procedimientos, o practicar y mantener las habilidades actuales. Los atributos típicos incluyen lo siguiente: un enfoque estrecho, medido en
comparación con los estándares establecidos; Retroalimentación
instantánea; desempeño en aislamiento; Ambiente realista.
Ejercicio de escala completa (FSE, por sus siglas en inglés): una actividad de múltiples organismos, múltiples jurisdicciones y múltiples organizaciones que pone a prueba muchas facetas de la preparación. Se centran en la implementación y el análisis de los planes, políticas, procedimientos y acuerdos de cooperación desarrollados en ejercicios basados en debates y perfeccionados en ejercicios anteriores, más pequeños, basados en operaciones. En los FSE, la realidad de las operaciones en múltiples áreas funcionales presenta problemas complejos y realistas que requieren pensamiento crítico, resolución rápida de problemas y respuestas
efectivas por parte de personal capacitado. Durante los FSE, los eventos se proyectan a través de un escenario de ejercicio con secuencias de comandos con flexibilidad incorporada para permitir que las actualizaciones impulsen la actividad. Los FSE se realizan en un entorno estresante en tiempo real que refleja fielmente los eventos reales.
Ejercicio funcional (FE): una actividad diseñada para probar y evaluar capacidades individuales, funciones múltiples, actividades dentro de una función o grupos interdependientes de funciones. Los eventos se proyectan a través de un escenario de ejercicio con actualizaciones de eventos que impulsan la actividad en el nivel de gestión. Una FE simula la realidad de las operaciones en un área funcional al presentar problemas complejos y realistas que requieren respuestas rápidas y efectivas por parte de personal capacitado en un ambiente altamente estresante. Ejercicio de mesa (TTX): una actividad que involucra a personal clave que discute
escenarios simulados en un entorno informal. Este tipo de ejercicio puede usarse para evaluar planes, políticas y procedimientos o para evaluar los sistemas necesarios para guiar la prevención, respuesta y recuperación de un incidente definido. Los TTX generalmente tienen como objetivo facilitar la comprensión de conceptos, identificar fortalezas y deficiencias, y lograr cambios en la actitud. Se alienta a los participantes a discutir temas en profundidad y desarrollar decisiones a través de la resolución de problemas a un ritmo lento, en lugar de tomar decisiones rápidas y espontáneas que se producen en condiciones de emergencia reales o simuladas.
EOC - Acrónimo de Centro de Operaciones de Emergencia.
Equipo: un grupo de individuos asignados a trabajar juntos para realizar una función específica en el Plan de Continuidad del Negocio. Un equipo está formado por un líder de equipo, un líder de equipo alternativo y miembros del equipo. El Líder del equipo es responsable de la finalización exitosa de todas las tareas asignadas (Ver Lista de tareas) a un Equipo.
Equipo de gestión ejecutiva: un equipo de personal directivo superior con la capacidad de comprometer fondos y tomar decisiones en nombre de la organización.
Equipo de proyecto: un grupo de personas que representan áreas organizativas clave que trabajan juntas y siguen las responsabilidades documentadas para el diseño, desarrollo e implementación de un plan de continuidad empresarial.
Estación de trabajo: un área de trabajo para una sola persona que generalmente incluye mobiliario de oficina (por ejemplo, un escritorio), equipo de cómputo (por ejemplo, una PC), un teléfono y una papelera.
Estrategia de Continuidad de Negocios: un curso de acción aprobado, documentado y financiado por la administración que se utilizará en el desarrollo e implementación del Plan de Continuidad de Negocios de una organización.
Evaluación / análisis de riesgos: proceso de identificación de riesgos para una organización, evaluación de las funciones críticas necesarias para que una organización continúe las operaciones comerciales, define los controles establecidos para reducir la exposición de la organización y evalúa el costo de dichos controles. El análisis de riesgos a menudo implica una evaluación de las probabilidades de un evento en particular.
Evaluación de daños / Equipo de recuperación: un grupo capacitado de personal, formado por representantes de seguridad, instalaciones y TI, que, tras la notificación del Equipo de seguridad de que es seguro volver a ingresar a la instalación, ingresa a la instalación o centro de datos dañado para evaluar y documentar daños a la estructura, infraestructura, equipo y mobiliario. Además, identifican los activos que pueden eliminarse del sitio y recuperarse mediante reparaciones, renovaciones o limpieza para su reutilización. Esta información, junto con las recomendaciones para la acción, se compila en un informe y se presenta al Equipo de Gestión Ejecutiva.
Funciones críticas: funciones comerciales esenciales que son sensibles al tiempo y deben restaurarse primero en caso de un desastre o interrupción para evitar impactos financieros u operativos inaceptables para garantizar la capacidad de proteger los activos de la organización, satisfacer las necesidades de la organización y cumplir con las regulaciones.
Función de negocios: una función o proceso separado y discreto realizado por una unidad de negocios. Por ejemplo, la unidad de negocios de contabilidad en una organización más pequeña puede incluir cuentas por pagar y cuentas por cobrar como funciones de negocios, mientras que una organización más grande puede tener unidades de negocios separadas que realizan estas funciones de negocios.
Gestión de proyectos: el desarrollo, la planificación, la organización y la gestión de tareas y recursos para lograr un objetivo definido, como un Plan de Continuidad de Negocios, generalmente bajo restricciones de tiempo y costo.
Gestión de riesgos: la cultura, los procesos y las estructuras que se implementan para gestionar con eficacia los posibles eventos negativos. Como no es posible o deseable eliminar todos los riesgos, el objetivo es reducir los riesgos a un nivel aceptable.
Hot Site: una instalación alternativa con equipo y recursos listos para usar para recuperar las funciones empresariales críticas afectadas por un desastre. Los sitios calientes varían según el tipo de instalaciones ofrecidas (como equipos de procesamiento de datos, equipos de comunicaciones, energía eléctrica, etc.). Los proveedores comerciales suelen proporcionar espacios / instalaciones independientes con suscripciones mensuales para recuperar las operaciones de las unidades de negocios y las operaciones informáticas. Véase también Cold Site y Warm Site.
HVAC - Siglas de calefacción, ventilación y aire acondicionado.
Impacto financiero: un impacto tangible, medido en dólares y generalmente negativo, como resultado de la falta de disponibilidad de la oficina de negocios de una organización y / o las instalaciones del centro de datos. Los impactos financieros generalmente se informan durante un Análisis de impacto empresarial (BIA) y generalmente se estiman a diario. Ver también Impacto Operacional.
Impacto operativo: un impacto intangible que resulta de la falta de disponibilidad de la oficina de negocios de una organización y / o las instalaciones del centro de datos. Un impacto operacional no se puede cuantificar en dólares, pero puede ser crítico debido a su efecto en una organización. Los ejemplos de impactos operativos incluyen, entre otros, el servicio al cliente, la confianza de los accionistas, la imagen de la industria, la regulación, la información financiera, la moral de los empleados, las relaciones con los proveedores, el flujo de efectivo (que no se puede cuantificar) y los aumentos de responsabilidad. Los impactos operacionales generalmente se informan durante un Análisis de impacto empresarial (BIA) y, por lo general, se estiman en una escala arbitraria, como 1-5, donde el mayor número representa el impacto más grave. Ver también Impacto Financiero.
Infraestructura: las instalaciones e instalaciones de soporte básicas de las que depende la continuidad y el crecimiento de una comunidad o empresa, como centrales eléctricas, suministros de agua, sistemas de transporte y sistemas de comunicaciones, etc. La infraestructura de una empresa incluye la planta física y los servicios públicos necesarios para lo operaciones esenciales.
Instalación de recuperación móvil (MRF, por sus siglas en inglés): un lugar cálido y móvil, normalmente un gran remolque de un proveedor comercial, que se puede transportar a una ubicación predeterminada para que el equipo necesario pueda obtenerse e instalarse cerca de la ubicación original. Dependiendo del proveedor, un MRF puede estar disponible en una "oficina de negocios" y una configuración de "centro de datos".
Inventarios: listas específicas de artículos requeridos para el Plan de continuidad del negocio que incluye la Lista de clientes con información de contacto, Lista de equipos (con Lista de proveedores e información de contacto), Lista de suministros (con Lista de proveedores e información de contacto), Lista de software (con Lista de proveedores e información de contacto), lista de telecomunicaciones (con lista de proveedores e información de contacto), lista de registros vitales (con ubicación de registros vitales). Consulte el artículo de inventario específico (que se muestra en cursiva) para obtener información adicional.
IT - Acrónimo de Tecnología de la Información. Un departamento o unidad de negocios que proporciona soporte de sistemas informáticos a una organización o empresa.
LAN - Acrónimo de red de área local.
La cartera - Una medida de la obra inacabada en horas o días.
Lista de clientes: una lista de inventario de todos los clientes principales, incluidos el nombre, la dirección, el número de teléfono y el contacto (si es necesario), que deben notificarse durante la recuperación de una unidad de negocios o de una compañía completa. La Lista de Clientes es una parte esencial del Plan de Continuidad del Negocio de una organización. Es una buena práctica tener una lista de inventario completa de TODOS los clientes existentes compilados para una organización.
Lista de equipos: una lista de todos los equipos y proveedores asociados necesarios para la recuperación de una unidad de negocios o de una compañía completa. El equipo incluye, entre otros, máquinas de fax, impresoras, sistemas informáticos, monitores, cables, escáneres, hardware de procesamiento de correo, etc. La Lista de equipos es una parte esencial del Plan de Continuidad de Negocio de una organización. Es una buena práctica tener una lista de inventario completa de TODOS los equipos existentes compilados y utilizados por una organización.
Lista de llamadas: una lista de todos los miembros del equipo y sus números de teléfono (hogar, trabajo, celular, buscapersonas, etc.) en un Plan para el Plan de Continuidad del Negocio.
Lista de proveedores: una lista de inventario de todos los proveedores primarios (proveedores), incluidos el nombre, la dirección, el número de teléfono y el representante del proveedor (si es necesario), que brindan un servicio o producto esencial requerido para la recuperación de una unidad de negocios o de una compañía completa. La Lista de proveedores es una parte esencial del Plan de continuidad del negocio de una organización. Es una buena práctica tener una lista de inventario completa de TODOS los proveedores existentes compilados y utilizados por una organización.
Lista de registros vitales: una lista de inventario que contiene el nombre y la ubicación externa de los registros vitales (ver Registro vital) necesarios para la recuperación de una unidad de negocios o de una compañía completa. La Lista de Registros Vitales es una parte esencial del Plan de Continuidad de Negocios de una organización.
Lista de software: una lista de inventario de todos los proveedores de software y asociados (ver Lista de proveedores) que se requiere para la recuperación de una unidad de negocios o de una compañía completa. La Lista de Software es una parte esencial del Plan de Continuidad del Negocio de una organización. Es una buena práctica tener una lista de inventario completa de TODO el software existente compilado y utilizado por una organización.
Lista de suministros: una lista de inventario de todos los suministros y proveedores asociados que se requieren para la recuperación de una unidad de negocios o de una compañía completa. Los suministros incluyen, entre otros, formularios (p. Ej., Control de existencias), sellos especiales de goma, bolígrafos, lápices, papel, clips, grapadoras, etc. La Lista de suministros es una parte esencial del Plan de Continuidad de Negocios de una organización. Es una buena práctica tener una lista de inventario completa de TODOS los suministros existentes compilados y utilizados por una organización.
Lista de tareas: una lista de todas las tareas, generalmente en forma de lista de verificación, que debe realizar un equipo para recuperar una parte específica de una organización, función empresarial y / o unidad de negocio. La Lista de tareas es una parte esencial del Plan de Continuidad de Negocios de una organización.
Lista de telecomunicaciones: una lista de inventario de todos los circuitos de comunicaciones de voz y datos que se requieren para la recuperación de una unidad de negocios o de una compañía completa. La Lista de Telecomunicaciones es una parte esencial del Plan de Continuidad del Negocio de una organización. Es una buena práctica tener una lista de inventario completa de TODOS los circuitos de telecomunicaciones existentes compilados y utilizados por una organización.
Mantenimiento del plan: el proceso de administración para mantener los Planes de Administración de Continuidad del Negocio de una organización actualizados y efectivos. Los procedimientos de mantenimiento son parte de este proceso para la revisión y actualización de los planes de BC en un horario definido.
Medidas preventivas: controles dirigidos a disuadir o mitigar la ocurrencia de eventos indeseables.
Mitigación de desastres: acciones, planes y actividades para reducir o eliminar los efectos de un desastre en las operaciones comerciales y / o del centro de datos.
Mitigar: hacer o volverse más suave, menos severo o menos doloroso.
Módem: acrónimo de modulador / demodulador, un dispositivo que convierte señales analógicas en señales digitales y viceversa, generalmente en circuitos de comunicaciones de