Segu-Info » estandares , iso , riesgos » Norma BS 65000: Resiliencia Organizacional y continuidad de negocio Norma BS 65000: Resiliencia Organizacional y continuidad de negocio

En los últimos tiempos mucho se ha hablado de resiliencia en diversas disciplinas del saber tales como la física, psicología, ciencias biológicas, sociología, ecología, economía, administración, etcétera, con su aplicación particular, desde luego, pero en esencia con el mismo significado.

En física, por ejemplo, se refiere a la capacidad de un cuerpo de volver a un estado natural, después de haber pasado por eventos de presión o perturbadores, o también como la cantidad de energía de deformación (o trabajo) que puede ser recuperada por un cuerpo sometido a una carga, cuando esta es eliminada. Pero el concepto de resiliencia no implica tanto una invulnerabilidad al estrés sino la habilidad de recuperarse de eventos negativos.

Aquí se utilizan los términos de "Guidance on cyber resilience for financial market infraestructures" publicado en junio de 2016 por el Comité de Pagos e Infraestructuras de Mercado del BIS y International Organization of Securities Commissions (IOSCO):

  • Ciberamenaza (Cyber threat): Circunstancia o evento que puede ser o no de naturaleza intencionada con la capacidad potencial de aprovechar una o varias vulnerabilidades de las infraestructuras de los mercados, dando lugar a una pérdida de confidencialidad, integridad o disponibilidad.
  • Ciberresiliencia (Cyber resilience): La capacidad para anticipar, absorber, adaptarse y/o recuperarse de manera rápida de un ciberataque.
  • Ciberseguridad (Cyber security): Es un concepto muy general sobre el que aún no existe una definición de consenso. En este documento se referirá a las estrategias, políticas y estándares dirigidos a la reducción de las amenazas, vulnerabilidades, disuasión, compromisos internacionales, respuestas a los ataques, resistencia y actividades de recuperación así como las políticas de seguridad de las infraestructuras de los mercados.
  • Ciberinteligencia: La recolección y análisis de la información que permitiría comprender y mitigar el impacto de las ciberamenazas.

Resiliencia organizacional (RO), concepto

En el campo particular de las ciencias de administración la resiliencia organizacional se entiende como "una capacidad de adaptación de las organizaciones para anticipar y gestionar la interrupción en todas sus formas, buscando minimizar el daño a las organizaciones y maximizar los beneficios asociados" (Tim Janes). Es decir, que no solo aplica para eventos de crisis en las empresas, sino que también surge como una herramienta o guía que logra hacer de las compañías organizaciones suficientemente sólidas, capaces de sobrevivir a cualquier dificultad mayor y, aún más, obtener ventajas competitivas de situaciones adversas. En general se habla de CORE (COntinuity y REsilience).

En este artículo se pretende resaltar la RO más allá de lo que se ha entendido como disciplinas protectivas (gestión de riesgo, plan de emergencias, recuperación de desastres, seguridad física, ciberseguridad, etc.). Con este enfoque, antes que ser disciplina reactiva o de prevención, debe asociarse más a la prospectiva y a la planeación.

Al contemplar los beneficios vinculados a situaciones o pronósticos que posiblemente se darían a futuro, es allí donde más se acerca a la prospectiva que permitirá la generación de estrategias acordes a los análisis de ejercicios de planeación, y donde se observa la cara positiva de la gestión del riesgo en el sentido de obtener beneficio de los cambios internos y del entorno, los cuales pueden afectar a la organización.

Resiliencia y continuidad de negocio

La resiliencia se refiere a la capacidad de recuperación que permite a las organizaciones superar los malos tiempos (continuidad) y prosperar en los tiempos cambiantes (adaptabilidad). La resiliencia de este modo referencia otras actividades gerenciales como la gestión de riesgos, la exploración de horizontes, la prospectiva y la gestión del cambio.

Vista así la RO, y asociada con la continuidad de negocio, permitirá a las organizaciones apreciar una óptica diferente ante la inversión, porque la alta gerencia podrá contemplar el retorno de sus inversiones para atender la implementación de soluciones de continuidad, desarrollando una fuerza colectiva que responda a desafíos futuros.

La resiliencia conlleva la capacidad de reinventarse y reorientarse, construye una nueva visión y perspectiva mayor que la gestión de la continuidad de negocio (BCM, Business Continuity Management), la cual se limita a mantener la disponibilidad de la operación y los indicadores de resultados del negocio. La resiliencia permite a la organización el enfoque de una dimensión mayor que la hace capaz de superar las expectativas y las condiciones previstas de continuar de manera inercial con las variables sistémicas, si las condiciones son iguales o similares a las presentadas en la situación actual.

Un nuevo paradigma

Como el entorno no es estático sino por el contrario es altamente cambiante, y lo que nos hizo exitosos en el pasado no necesariamente nos hará exitosos en el futuro, esto determina que se contemplen nuevos escenarios tanto de crisis como de oportunidad.

La continuidad de negocio justamente involucra el concepto de negocio, pero aquí en este enfoque o nueva perspectiva, más que mantener el negocio y sostener la situación de manera "conservadora" se trata de hacer de la compañía una empresa viable, desde luego rentable y, ¿por qué no?, mucho más rentable que en el pasado.

Así pues, así nuestros ejercicios BIA (Business Impact Analisys), ya no se restringen a visualizar situaciones negativas, funestas y desastrosas, sino que abordan la posibilidad de los cambios positivos posibles y otros menos probables, que determinen estrategias ante escenarios en los que se obtengan beneficios y mayor provecho.

Este es un nuevo paradigma, y el BIA deberá efectuarse contemplando los impactos positivos de situaciones de las que se pueda sacar ventaja competitiva.

Es allí donde la prospectiva, RO y la BC tienen perspectivas más congruentes y convergentes. Esto es no solo contemplar en las metodologías y ejercicios las amenazas y posibles pérdidas si los riesgos se materializan, sino también las oportunidades y los impactos positivos en situación de desastre y de oportunidad.

La Norma BS 65000 y la RO

Conforme a la Norma BS 65000, "Guía para la Resiliencia Organizacional", emitida en noviembre de 2014 por el BSI (British Standards Institution), "Una organización altamente resiliente es aquella que es coherente, adaptable, competitiva, ágil y robusta".

Algunos de los aspectos fundamentales y beneficios de la resiliencia que destaca esta Norma BS-65000 son:

  • Obtener una ventaja competitiva mediante la identificación de las deficiencias y aprovechar las oportunidades.
  • Adaptarse exitosamente a entornos cambiantes imprevistos y perjudiciales.
  • Ser más ágil e innovador, aprendiendo de las tendencias.
  • Reducir los costos y aumentar la eficiencia al evitar peligros potenciales.
  • Obtener una mejor comprensión de los riesgos y oportunidades.
  • Preservar y mejorar la reputación de la organización al ser percibida como robusta.
  • Generar confianza entre clientes externos e internos.
  • Cultivar una cultura de propósitos y valores compartidos.
  • Permitir a la alta gerencia determinar una estrategia de resiliencia organizacional que identifique los beneficios e impactos positivos posibles.
  • Ofrecer herramientas básicas para la evaluación de las medidas de resiliencia de una organización.
  • LA BS 65000 contiene un modelo de madurez para la evaluación del desempeño e incluye un test que las organizaciones pueden utilizar para evaluar sus medidas de resiliencia.
Algunos de los objetivos y aspectos fundamentales de esta norma BS 65000 son:

  • Permitir la gestión de nivel superior para dibujar una estrategia de resiliencia organizacional que identifique los beneficios y los comportamientos de los organismos resistentes;
  • Ofrecer herramientas básicas para la evaluación de las medidas de resiliencia de una organización;
  • Contiene un modelo de madurez para la evaluación del desempeño;
  • Incluye un test que las organizaciones pueden utilizar para evaluar sus medidas de resiliencia.

Estándar ISO 22.301:2012

Las empresas y la sociedad en general afrontan riesgos geopolíticos, sociales, económicos, ambientales y tecnológicos, entre otros y esos riesgos se nos aparecen con una creciente complejidad por la globalización en un mundo cada vez más interdependiente y también por los cambios demográficos.

Es improbable un desastre; pero somos muy vulnerables a ellos. No todos los eventos se pueden evitar, pero a través de la prevención se puede contribuir a que no se conviertan en una catástrofe.

Ante un Incidente por fuego, por ejemplo, se debe llamar a los bomberos y el que no se pueda acceder al edificio, causa una interrupción, que tiene un impacto, por afectar la capacidad de operar el negocio.

Los principales factores que afectan a la continuidad de negocio son:

  1. Dependencia creciente de la tecnología.
  2. Interdependencia de los proveedores.
  3. Un acto individual puede tener consecuencias planetarias.
  4. La competencia (feroz) no perdona interrupciones prolongadas o, simplemente, apreciables por los usuarios.
  5. Cualquier obligación legal o regulación sectorial.
Algunos de los impactos posibles son:

  • Pérdida de productividad
  • Pérdida de ingresos directa
  • Incremento de los costes de proceso
  • Incremento en las reclamaciones de clientes
  • Retraso en el suministro de productos/servicios
  • Daño a la marca y la reputación
  • Multas o penalizaciones
  • Caída de valor de las acciones

Conclusión

Un nuevo paradigma surge de reorientar los esfuerzos entre disciplinas como prospectiva, planeación estratégica, gestión de riesgo, gestión de crisis y gestión de continuidad de negocio; y la Norma BS 65000 puede trabajar junto a sus estrategias.

La resiliencia organizacional y la gestión de la continuidad de negocio pretenden crear compañías flexibles, y no rígidas empeñadas en mantener el orden actual de las cosas. Esta nueva perspectiva impulsa a visualizar la RO y el quehacer de la BCM de manera más proactiva, antes que protectiva, e incluso promover el crecimiento, las ventajas competitivas y la prosperidad de las compañías.

Fuente: SeguInfo

Comentarios

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos