Tabla de Contenido volúmen 2 número 1 3 Carta del Editor Cultura de BCM un esfuerzo perseverante 4 Cultura de BCM: Seguridad en el presente vs. calamidad futura Luis Enrique Luviano (México) A pesar de encontrar resistencia al interior de las organizaciones y creencias que limitan el desarrollo de un programa de BCM, existen alternativas para generar la sensación de seguridad. 4 8 Los estándares para la continuidad del negocio Sandra Patricia Camacho Bonilla Cuál es el beneficio que los estándares pueden brindar a la disciplina de continuidad del negocio? Están las organizaciones interesadas y preparadas para orientar esfuerzos al cumplimiento de este tipo de estándares? 12 Beneficios de un grupo de continuidad Jorge Escalera Alcázar (Mexico) Una entrevista con Miguel Ángel De la Rosa Ríos, Coordinador del Grupo de Continuidad de la Asociación de Bancos de México (ABM). 8 14 24 14 La seguridad sísmica de las construcciones en Latinoamérica Eduardo Reinoso, Miguel A. Jaimes y Marco A. Torres (México) Un estudio muestra que a pesar de contar con un reglamento de construcciones moderno y confiable, existen evidencias que indican que algunas edificaciones construidas recientemente podrían tener un riesgo inaceptable, 20 Seguridad industrial y salud ocupacional en la continuidad del negocio Carlos Alberto Vargas Sabogal (Colombia) Al hacer la estimación de los impactos financieros y operativos durante la conducción del análisis de impacto al negocio y la evaluación de los riesgos de continuidad, a las áreas de Seguridad Industrial y Salud Ocupacional no se les analiza con la debida importancia, 24 La tecnología en situaciones de alto riesgo Gipsy Rosas Falovo (Venezuela) Las nuevas tecnologías surgen como un aliado para los servicios de ayuda y prevención, 2 Thrive! Iberoamérica
Carta del Editor Cultura de BCM un esfuerzo perseverante En nuestras organizaciones, ya sean del sector público, privado o social, siempre ha sido y será un reto crear una cultura de continuidad del negocio o de business continuity management (BCM). Tengamos claro que cultura es un conjunto de: modos de vida, costumbres, conocimientos y de un grado de desarrollo, en este caso, científico y técnico, en una organización o grupo social. Crear una cultura de BCM, es un tema relacionado con la preparación y prevención para enfrentar desastres. Los profesionales de BCM tenemos una tendencia natural de tratar de convencer a nuestros jefes y colaboradores de aplicar BCM para evitar calamidades futuras. Sin embargo, al enfocarnos en potenciales desastres, que quizás no han ocurrido, o que probablemente no ocurrirán en mucho tiempo, tendemos a ignorar los beneficios de enfocarnos en estar mejor preparados ante cualquier eventualidad en el tiempo presente. Implementar una cultura de BCM no es una tarea fácil y se construye paso a paso, pero de manera constante y creciente. Para lograrlo, debemos saber aprovechar los pequeños y medianos incidentes, los cuales son más frecuentes que los desastres (gracias a Dios). Mantenerse estático o peor aún, abandonar el camino emprendido, no facilita el cambio cultural. No nos anclemos a vender calamidades futuras como base de la motivación para construir una cultura BCM, el bienestar presente de estar preparados ante desastres, es un aliciente de mayor permanencia y fortaleza en las personas y organizaciones. Saludos cordiales, Jorge Escalera Alcázar Director Editorial Thrive! Iberoamérica +52 (81) 8676-3405 jescalera@drii.org Thrive! Personal Editorial Editora Internacional Chloé Demrovsky cdemrovsky@drii.org Editora en Jefe Buffy Rojas brojas@drii.org Director Editorial, Thrive! Iberoamérica Jorge Escalera Alcázar jescalera@drii.org Editora Asociada, Thrive! Iberoamérica Pascale M. Phelan pphelan@drii.org Director de Arte Dave Beidleman dbeidleman@mac.com Thrive! Iberoamérica 3
Cultura 4 Thrive! Iberoamérica
de BCM: Seguridad en el presente vs. calamidad futura Luis Enrique Luviano A pesar de encontrar resistencia al interior de las organizaciones y creencias que limitan el desarrollo de un programa de Business Continuity Management (BCM), podemos buscar alternativas para generar la sensación de seguridad al tener la percepción de estar preparados para responder a un evento de crisis, con base en el fortalecimiento de una buena práctica y utilizando los alicientes correctos para favorecer la integración de la resiliencia en la organización. El reto de promover BCM Espera lo mejor y prepárate para lo peor es un refrán que siempre llamó mi atención porque a pesar de que no suena muy positivo e incluso tiene implícito cierto matiz de fatalismo, termina siendo una manera generalmente aceptada de orientar a alguien a que tome las debidas previsiones y esté listo para lo que venga. No obstante, desde mi rol de profesional de la continuidad, me parece que dicha filosofía no es la manera óptima de impulsar la práctica de BCM en una organización, porque plantea como premisa que una posible calamidad futura es el sustento de la acción que se tome en el presente, el problema con esta perspectiva es que si la gente llega a pensar que eso nunca les va a pasar a ellos, automáticamente se descarta como sustento y se pierde la fuerza para actuar. Lo ideal es que, independientemente de lo que el futuro nos depare, el incentivo para estar preparado sea el sabernos preparados para enfrentar cualquier incidente de la mejor manera, con lo cual se genera en la actualidad una sensación de seguridad. De ahí, que uno de los mayores retos que tenemos como principales promotores de BCM, es crear una concientización acerca de los beneficios de comprometerse a estar preparado ante un imprevisto, así como mantener el interés de los involucrados, sea cual sea su nivel de participación o el rol que deban desempeñar ante un desastre. Lo ideal es que, independientemente de lo que el futuro nos depare, el incentivo para estar preparados sea el sabernos preparados para enfrentar cualquier incidente de la mejor manera. Thrive! Iberoamérica 5
Cultura de BCM Seguridad en el presente o calamidad futura? El abanico de riesgos es cada vez más extenso y sus impactos con frecuencia son más complejos y poco comprendidos. Esto debería reforzar lo importante que es estar mejor preparados que antes. El dilema Si las organizaciones no consideran como necesario un programa robusto de continuidad, no debemos anclarnos en la preocupación si en realidad lo requieren o no. Por el contrario, puede ser motivo para ocuparse y nuestro trabajo debe consistir en identificar oportunidades para robustecer el programa de BCM. En mi experiencia, muchas veces se echan a andar iniciativas que comienzan siendo proyectos menores relacionados con posibles contingencias, que si son bien encaminados, terminan siendo los cómplices perfectos para impulsar cada vez más la práctica de BCM en la organización. Tomar ventaja de estos pequeños impulsos es muy positivo y sea cual sea el alcance de estos proyectos que rondan alrededor del BCM, si los ligamos de alguna manera al ámbito de nuestra responsabilidad, debemos mantener como objetivo el utilizar lo que ya existe en la organización, así como reforzar lo que se haya hecho bien anteriormente, de tal manera que paso a paso se vaya incrementando el nivel de madurez del programa y se integre paulatinamente la prevención como cultura en la organización. Construyendo una visión coherente A menudo la percepción de los colaboradores es que los planes de continuidad del negocio se actualizan sólo una vez al año, también he llegado a escuchar comentarios que afirman que quienes son los responsables de la gestión y el mantenimiento del programa de continuidad únicamente tienen trabajo cuando sucede una contingencia. El riesgo que encuentro en estas creencias es que se etiqueta al BCM como un proyecto, que por lo mismo tiene un principio y un fin, en lugar de percibirse como algo que es necesario incorporar en todos los niveles de la organización. Para construir una visión coherente de BCM, las preguntas que se deben enfrentar con total transparencia desde el interior de la organización son las siguientes: ción nos obligara a activar nuestros planes de continuidad del negocio? efectiva en el momento de una crisis? en los plazos convenidos? responsabilidades? nos permitiría mantener y mejorar la reputación de la empresa? Como proceso de mejora continua Con el fin de estar seguros de que las respuestas a las preguntas anteriores sean afirmativas, se debe ir más allá de la idea de que la actualización periódica de los planes es suficiente, o es lo único que se debe hacer; reconociendo como fundamental la incorporación gradual de un programa de BCM en la organización. Esta necesidad deriva del hecho de que las organizaciones están en permanente proceso de evolución y de cambio constante bajo bases sustentables: se mueven las personas, los procesos se modifican, se alteran las estructuras organizacionales para alinearse con los mercados o con otras fuerzas externas, también se transforma el entorno tecnológico y el uso de aplicaciones a nivel operativo, sin olvidar el esfuerzo que cada posición dentro de una empresa invierte constantemente para satisfacer las expectativas cada vez mayores de los clientes, lo cual representa un creciente compromiso por garantizar una disponibilidad permanente de los productos y/o servicios, así como de las áreas que son la cara hacia el exterior. Todos los cambios anteriormente citados en la operación normal de la organización involucran a las personas, los procesos, las instalaciones, los proveedores, las entidades 6 Thrive! Iberoamérica
regulatorias, los socios comerciales, los clientes o las herramientas tecnológicas; y estos elementos deben reflejarse a su vez dentro de los acuerdos de continuidad del negocio existentes, si es que estos requieren ser operados o entregados en el momento de una crisis, lo cual no será posible si el programa de continuidad del negocio no contempla un ciclo de mejora continua, independientemente de cuál sea la metodología, práctica o estándar BCM adoptado. La base de la preparación Para ayudarnos a evaluar la eficacia de nuestra preparación, debemos ser también conscientes de los riesgos que la organización enfrenta y a la vez asegurar que aquellos riesgos que emergen tienen un monitoreo y son entendidos. Asimismo, es necesario también vigilar el medio ambiente en el que opera la organización. La planificación de escenarios es una forma en la que podemos ayudar a crear conciencia y obtener algunas ideas útiles sobre cómo un cierto incidente puede afectar a la organización. Es evidente que las organizaciones en general son cada vez más complejas, están incrementando sus interdependencias y a la vez mejorando su eficiencia. Este desarrollo, que a menudo proporciona una ventaja comercial, en muchos casos da lugar a nuevos retos acerca de la comprensión de la naturaleza y del nivel de los riesgos. En particular, desde mi punto de vista, el riesgo de ocurrencia de eventos que pueden resultar en una interrupción parece estar en aumento, ya sea a través de fenómenos naturales, manifestaciones sociales o problemas tecnológicos, por citar algunos. El abanico de riesgos es cada vez más extenso y sus impactos con frecuencia son más complejos y poco comprendidos. Esto debería reforzar lo importante que es estar mejor preparados que antes. El análisis y las acciones que se destacan a través del planteamiento de escenarios nos apoyan a desarrollar e implementar los recursos necesarios para los planes de continuidad y a promover una cultura de prevención, la cual se ve reforzada cuando se ejercitan las estrategias que han sido implementadas. La complejidad de las pruebas y de los ejercicios va de la mano con el nivel de madurez del programa, pero más allá de este indicador, el beneficio de comprobar que lo que se tiene funciona, propicia un mejor estado anímico, el cual favorece una buena actitud y la seguridad con la cual se puede hacer frente a un evento real, en caso de que así sea requerido. El mejor aliciente El que existan tantos cambios a través de todas las vertientes mencionadas, representan el momento perfecto para desarrollar una cultura BCM que vaya más allá de la simple necesidad de dar una respuesta a un problema. El reto es integrar el BCM en nuestro día a día, con el fin de desarrollar programas permanentes que nos permitan contar con mecanismos proactivos de continuidad implementados, que agreguen valor a nuestras operaciones y que mejoren la capacidad de adaptación de nuestras organizaciones, brindando con ello una sensación de seguridad permanente, que puede utilizarse como el motor principal para conducirnos paso a paso hacia integrar la resiliencia como una cualidad inherente. La sensación de seguridad que brinda el sabernos listos para enfrentar cualquier incidente de la mejor manera posible, es el mejor aliciente para impulsar el desarrollo del programa de BCM, para incrementar su nivel de madurez, promover una cultura de prevención y para conducir a la organización a ser cada vez más resiliente. Sobre el autor Luis Enrique Luviano tiene más de ocho años de experiencia en la administración de la continuidad del negocio, es certified business continuity professional (CBCP) del DRI International e instructor certificado de cursos en español del mismo instituto, también es miembro de Business Continuity Institute (MBCI) y BCMS Auditor/Lead Auditor BS-25999 del BSI. Ha colaborado en áreas relacionadas con el análisis de procesos y administración de proyectos, se desempeñó como director de continuidad en Ixe Grupo Financiero en México y a principios del 2011 presidió el comité de continuidad de negocios en la Asociación de Bancos de México (ABM). Actualmente es el Head Regional de BCM para Latinoamérica, en Zurich Insurance Group. Thrive! Iberoamérica 7
Los estándares para la continuidad del negocio Sandra Patricia Camacho Bonilla Cuál es el beneficio que los estándares pueden brindar a la disciplina de continuidad del negocio? Están las organizaciones interesadas y preparadas para orientar esfuerzos al cumplimiento de este tipo de estándares? Los entes reguladores y las agencias calificadoras tienden a guiarse en éste tipo de normas para orientar sus calificaciones, sin embargo, no es solo en este sentido que se debe orientar el beneficio para las organizaciones, sino hacia un eficiente y eficaz desempeño y la credibilidad de la misma, en su preparación para enfrentar una crisis o un desastre, en el momento de presentarse. El pasado 18 de mayo de 2012 fueron publicadas las normas internacionales ISO 22301 con los Requerimientos para un sistema de gestión de continuidad del negocio y en marzo de 2011 las normas ISO/IEC 27031 con las Guías para la preparación de telecomunicaciones y tecnologías de la información (TIC) para la continuidad del negocio. Pero, cuál es el beneficio que los estándares pueden brindar a la disciplina de continuidad del negocio? Están las organizaciones interesadas y preparadas para orientar esfuerzos al cumplimiento de este tipo de estándares? Los entes reguladores y las agencias calificadoras tienden a guiarse en éste tipo de normas para orientar sus calificaciones, sin embargo, no es solo en este sentido que se debe orientar el beneficio para las organizaciones, sino hacia un eficiente y eficaz desempeño y la credibilidad de la misma, en su preparación para enfrentar una crisis o un desastre, en el momento de presentarse. En este sentido, es importante conocer cuáles son las mejores prácticas y estándares que existen, así como la relación entre ellos y como aplica en relación al tamaño de la organización, como a su cultura y entender el estado en el que la organización se encuentre y así, medir el esfuerzo y costo de su adopción. 8 Thrive! Iberoamérica
Normas de la continuidad del negocio Las recientes normas ISO de continuidad del negocio brindan a las organizaciones estándares para que se maximice la continuidad de sus operaciones, a pesar de eventos catastróficos o incluso de menor dimensión que puedan presentarse, y de manera particular, ocasionados por la tecnología, por lo que se cuenta con estándares particulares en este sentido. No es reciente la existencia de normativas al respecto, las normas ISO 22301 e ISO/IEC 27031 tienen su origen respectivamente en los estándares británicos BS 25999 Gestión de la continuidad del negocio de noviembre del 2006 y BS 25777 Gestión de la continuidad de la tecnología de información y telecomunicaciones de noviembre del 2008, y estos a su vez, de estándares internacionales fomentados por diversas organizaciones como el Disaster Recovery Institute International (DRI International), quienes desde 1988 han promovido a nivel internacional, las mejores prácticas respecto a la continuidad del negocio, así como el Business Continuity Institute (BCI), desde 1994, entre otros. Los estándares BS 25777 y BS 25999 presentan a su vez dos Códigos de práctica, el primero en cuanto a la gestión de continuidad de TIC y el segundo, en lo referente a la gestión de continuidad del negocio; introduciendo, desde cada perspectiva, el concepto de programa de continuidad presentado como un ciclo de vida compuesto por seis partes. Inicialmente y ubicado en el centro del ciclo, se presenta la Gestión del programa de continuidad, donde se define la gobernabilidad, la implementación, la continuidad y la documentación del programa, luego, representado como un ciclo de vida que va desde el Entendimiento de la organización, pasando por Determinación de las estrategias y Desarrollo e implementación de la respuesta y finalmente, Ejercicios, mantenimiento y revisión, a partir de donde se vuelve a iniciar el ciclo, el cual está inmerso en la Cultura organizacional, donde se incluyen los temas de concientización y entrenamiento. Luego, cada uno de ellos se concentra en su ámbito de aplicación, entrando a ser dos ciclos complementarios para lograr la gestión del programa de continuidad. Sintetizan el conocimiento BCI, a través de su Código de buenas prácticas para la gestión de continuidad del negocio, promueve el ciclo de vida presentado en el BS-25999 como el cuerpo de conocimiento para la disciplina, especificando adicionalmente, algunas herramientas en cada una de las fases del ciclo, es así como incluye el business impact analisys (BIA), continuity requirement analisys (CRA) y el risk assesment (RA), para la fase de Entendimiento de la organización, el establecimiento de parámetros como el recovery time objective (RTO), recovery point objective (RPO) así como el maximum tolerable period of disruption (MTPD) y el maximum tolerable data lost (MTDL) para la determinación de las estrategias, incluyendo la selección e identificación de respuestas tácticas y la consolidación de niveles de recursos, asimismo, presenta una serie de pasos detallados para las demás fases del ciclo, presentado un enfoque estructurado y claro para el desarrollo de un programa de gestión de la continuidad del negocio. Es así como, las diez prácticas profesionales propuestas por DRI International, la cual sintetiza el conocimiento completo de la disciplina, se consolidan como una base de conocimiento fundamental que incluye tanto las fases del ciclo de vida presentado por el British Standard como por el BCI, así como los requisitos presentados en estándares ISO. Planear-Hacer-Verificar-Actuar (PHVA) En cuanto a la reciente normalización ISO, tanto en los aspectos de Continuidad del negocio como de la Preparación TIC para la continuidad del negocio, ésta recoge las mejores prácticas y las normaliza con una serie de requisitos, facilitando una mejor gestión en ambos frentes, ya que está inmersa en los conocidos ciclos de mejora continua con los que ya estamos familiarizados planear, hacer, verificar y actuar (véase figura 1, página TBD). En este sentido, las diez prácticas profesionales de la continuidad del negocio de DRI International, se reflejan en el marco de la Norma ISO 22301 Continuidad del Negocio (la cual forma parte de la familia de normas ISO relacionadas con Seguridad Social ) de la manera PHVA : Planear: Establecer la política, metas, objetivos, controles, procesos y procedimientos de continuidad del negocio. Hacer: Implementar y operar las políticas, controles, procesos y procedimientos. Verificar: Implementar un monitoreo y revisar el desempeño con relación a la política y los objetivos de continuidad del negocio, reportar resultados a la dirección y acción de mejoramiento. Actuar: Mantener y mejorar el sistema de gestión de continuidad del negocio, tomando en cuenta las acciones correctivas, basadas en los resultados de las revisiones. Llevar a cabo la revalorización del objetivo del sistema y de la política y objetivos de continuidad. Thrive! Iberoamérica 9
Los estándares para la continuidad del negocio Cultura organizacional Mantener y mejorar el sistema de gestión de continuidad del negocio, tomando en cuenta las acciones correctivas, basadas en los resultados de las revisiones. Llevar a cabo la revalorización del objetivo del sistema y de la política y objetivos de continuidad. Actuar Planear Entendiendo la organización Implantando BCM en la cultura de la organizacióna Ejercitando, Administración del Determinando Manteniendo y programa y la estrategia Revisando política BCM BCM Política, gestión y entendimiento de la organización Establecer la política, metas, objetivos, controles, procesos y procedimientos de continuidad del negocio. Ejercicios, mantenimiento y Revisión Desarrollando e implementando una respuesta BCM Implementar un monitoreo y revisar el desempeño con relación a la política y los objetivos de continuidad del negocio, reportar resultados a la dirección y acción de mejoramiento. Verificar Hacer Determinación de estrategias y desarrollo e implementación de la respuesta Implementar y operar las políticas, controles, procesos y procedimientos. Prácticas del Disaster Recovery Institute International 1. Inicio y gestión del programa 2. Evaluación y control de riesgos 3. Análisis de impacto del negocio 4. Estrategias de continuidad del negocio 5. Operaciones y respuesta a la emergencia 6. Planes de continuidad del negocio 7. Programas de entrenamiento y concientización 8. Planes de ejercicios, auditorías y mantenimiento 9. Comunicación en crisis y 10. Coordinación con agencias externas Figura 1. Estándares para la continuidad del negocio: Mejores prácticas del DRI International, estándares y proceso PHVA. Las mejores prácticas del DRI International Por otro lado, y de manera complementaria a la guía BS 25777 Gestión de la continuidad de la tecnología de información y telecomunicaciones, la norma ISO/ IEC 27031 con las Guías para la preparación de TIC para la continuidad del negocio, se enmarca dentro del ciclo de mejora continua PHVA y a las mejores prácticas de continuidad del negocio del DRI International, con elementos similares a los descritos arriba pero aplicados a TIC, de tal manera que esta guía gira en torno a los siguientes principios: a) Prevención de incidentes: Protección de los servicios de TIC de las amenazas, tanto ambientales como fallas de hardware, errores operativos, ataques maliciosos, y desastres naturales. Es crítico mantener los niveles deseables de disponibilidad de los sistemas para una organización; b) Detección de incidentes: Detectar los incidentes en el momento oportuno podrá minimizar el impacto a los servicios, reduciendo los esfuerzos necesarios de recuperación, y preservando la calidad del servicio; c) Respuesta: Responder a un incidente de la manera más apropiada, dará lugar a una recuperación más eficiente y minimiza el tiempo de interrupción. Una mala reacción podría hacer que un incidente menor escale hacia una situación más seria; d) Recuperación: La identificación e implementación de estrategias de respuesta apropiadas asegurarán la recuperación oportuna de los servicios y mantener la integridad de los datos. El entendimiento de las 10 Thrive! Iberoamérica
prioridades de recuperación definirá el que los servicios críticos sean recuperados primero. Los servicios de una naturaleza no críticos, serán reintegrados en un momento posterior; e) Mejoramiento: Lecciones aprendidas, desde pequeños hasta grandes incidentes, deben ser documentadas, analizadas y revisadas. El entendimiento de estas lecciones permitirá a la organización estar mejor preparada, controlar y evitar incidentes e interrupciones. El ciclo PHVA Con un mayor detalle, la norma sigue el ciclo de mejoramiento de PHVA, de la siguiente manera: Planear: A partir del Análisis de impacto al negocio de la organización, se definen los requerimientos de continuidad, la política, el entendimiento de los servicios críticos de tecnología y los requerimientos para la preparación, identificando las brechas actuales de preparación con que cuenta TIC. A partir de estas, se formulan las estrategias, definiendo las habilidades y conocimientos necesarios, los recursos, la tecnología, los datos, los proveedores y los requerimientos de capacidad y desempeño resiliente requeridos. Hacer: Se considera como la recopilación, mantenimiento e implementación del plan de preparación de TIC, dentro de lo cual se encuentran: los procesos, las estrategias, los planes de respuesta y recuperación, los programas de concientización, competencia y entrenamiento así como el control de documentos relacionados. Verificar: Es el monitoreo y revisión continuos, para los cuales se consideran el análisis de amenazas, la medición del desempeño de preparación de TIC, las revisiones anuales, tanto de pruebas y ejercicios como de las auditorías internas y externas. Actuar: Consiste en la revisión por la dirección y el mejoramiento del plan de preparación de TIC. En conclusión, es importante contar con estándares y esquemas de medición que nos permitan identificar la posición en que se encuentra la organización, pero el gran riesgo es confiar en que solo la teoría y la documentación nos brinda protección y confiabilidad sin mantener el control en un evento de catástrofe, es en este sentido importante, resaltar que para contar con una exitosa preparación ante desastres, las pruebas y ejercicios se convierten en un elemento fundamental de las estrategias y arquitecturas tanto de TIC como operativas; las cuales deben ser realizadas de manera programada y constante, ya que nos permiten desarrollar confianza en nuestras capacidades de reacción, así como fortalecer las habilidades y experiencia de los equipos de encargados de la continuidad. Estas pruebas y ejercicios se deben hacer tanto de escritorio como simuladas, con escenarios de fallas totales o parciales de todos y cada uno de los recursos críticos para el negocio. Es importante superar el temor que nos representa simular una falla o crisis, mediante la preparación de todas las áreas, no solo de tecnología, sino también de las áreas operativas, ante la posibilidad de una falla severa a nivel de la provisión de recursos (personal clave, infraestructura, potencia, ambiente, tecnología, etc.), todo esto orientado al final, a minimizar la incertidumbre y conocer las propias vulnerabilidades, trabajar en ellas y aumentar la capacidad de resiliencia para la organización como un todo y así garantizar una real continuidad del negocio. Sobre el autor Sandra Patricia Camacho Bonilla tiene más de quince años de experiencia en las áreas de continuidad del negocio, gestión de riesgos y manejo de estándares y políticas de tecnología. Desde hace siete años es la directora de la unidad de soporte y continuidad de tecnología del Banco de la República de Colombia (Banco Central de Colombia). Es especialista en business impact analysis y emergency management and safety solutions. Entre sus experiencias ha liderado acciones de planeación, respuesta y recuperación de operaciones en diversos escenarios de contingencia en el sector financiero, implementación, control y seguimiento de centros de datos alternos remotos. Líder de los procesos de certificación de calidad ISO 9001 y auditor ISO 27001 para el área de tecnología del Banco de la República de Colombia. Es certificada en CBCP por el DRI International desde 2001 en Boston, MA, EEUU, ITIL versión 3, Auditor ISO 27001 e ISO 9001 y PMP por el PMI desde el 2005. Ingeniería y Maestría en Sistemas y Computación de la Universidad de Los Andes. Ha sido docente académica de la Universidad de Los Andes, Universidad Javeriana y Universidad Piloto de Colombia así como conferencista en eventos de seguridad informática y continuidad. Puede ser contactada en scamacbo@banrep.gov.co Thrive! Iberoamérica 11
Beneficios de un grupo de continuidad Una entrevista con Miguel Angel De la Rosa Ríos, Coordinador del Grupo de Continuidad de la Asociación de Bancos de México (ABM) La Asociación de Bancos de México A.C. (ABM) se fundó en noviembre de 1928, con el propósito de representar los intereses generales de la banca y brindar a los bancos servicios técnicos especializados. Dentro de los comités y subcomités de la ABM está el grupo de especialistas en continuidad del negocio (Business Continuity Management, BCM ) de los diferentes bancos en el país, formalmente establecido y reconocido, con capacidad de reacción gremial antes-durante y después de una crisis, que fomenta la capacitación continua en las mejores prácticas BCM y permite compartir casos de éxito en el grupo. En esta entrevista, su Coordinador del Grupo de Continuidad nos platica más acerca de este grupo y su contribución al sector bancario. Thrive! Iberoamerica: Cuál es su objetivo y misión? De la Rosa Ríos: Conformar un grupo de especialistas en continuidad del negocio (BCM) de los diferentes bancos en el país, formalmente establecido y reconocido, con capacidad de reacción gremial antes, durante y después de una crisis, que fomenta la capacitación continua en las mejores prácticas BCM y permite compartir casos de éxito en el grupo. Thrive! Iberoamerica: Por qué surge la necesidad de crear un grupo de continuidad del negocio en la ABM? De la Rosa Ríos: En la ABM existen comités especializados en diversos temas. En relación a la continuidad del negocio surgió como una necesidad de actuar como frente común ante situaciones de contingencia o desastre que podrían afectar al gremio bancario, el ejemplo claro fue durante la pandemia de influenza AH1N1 en 2009. Otro ejemplo es la llegada del papa Benedicto XVI el año 2012, donde se preveía que podría haber escases de dinero en los cajeros la zona por donde iba a pasar el papa. Asimismo, se requería informar al público de los cajeros que si estaban disponibles y de los cajeros estarían cerrados. En estos y otros eventos de otra índole, el grupo bancario actúa como un gremio organizado trabajando en equipo y estableciendo comunicación en todo momento. Para mantener esta coordinación en caso de contingencia, el grupo de continuidad sesiona antes, durante y después del evento. 12 Thrive! Iberoamérica
Thrive! Iberoamerica: pertenecer a este Grupo? De la Rosa Ríos: En todos y cada uno de los bancos de México, existe personal especializado en continuidad del negocio (BC, Business Continuity), y dependiendo de las necesidades de su operación, cuentan con un determinado número de personal dedicado en continuidad del negocio. Este personal a través del grupo de continuidad del negocio, pueden recibir capacitaciones especializadas en normatividad BC nacional e internacional, mejores prácticas como las de DRI International. Asimismo, a través de las sesiones que tenemos al menos una vez cada dos meses, se promueve y comparte la estandarización de las prácticas profesionales BC en la banca, se validan planes críticos, se analizan procesos críticos para la banca y se promueve la continuidad de operaciones como gremio en caso de desastre. Thrive! Iberoamerica: grupo de continuidad de la ABM para el año 2013? De la Rosa Ríos: Adicional a mantener la capacitación y coordinación constante entre los miembros de la ABM, buscaremos trabajar con mayor cercanía con los proveedores críticos y con el sector gobierno que regula y/o coordina en eventos de desastre. En caso de un desastre o catástrofe, sería importante conocer como participaría la banca en la activación de un plan de continuidad de operaciones nacional, donde consideramos que la ABM debe estar identificada como un sector crítico para el país. Thrive! Iberoamerica: Cuál es la situación en general en materia de continuidad del negocio en la banca en México? De la Rosa Ríos: De manera generalizada todos los bancos cuentan con un plan de Continuidad del Negocio (BCP, Business Continuity Plan). En general la banca en México es uno de los sectores con más avance en BCM, no solo por ser una industria regulada, sino que el sector ha trabajado por sí mismo para alcanzar un grado de madurez avanzado y planes BCP robustos. Podemos considerar que la banca está preparada para responder ante desastres con programas BCM. Thrive! Iberoamerica: Como grupo de continuidad, hacia dónde visualizan el futuro de BCM en México? De la Rosa Ríos: Considero que el país está en el camino de construir una cultura BCM fuerte, la nueva Ley General de Protección Civil emitida por el gobierno mexicano el pasado 6 de junio de 2012 donde ya se incluye temas como gestión integral de riesgos y continuidad de operaciones, facilitará el desarrollo de esta cultura. Ahora bien, si adicionalmente la autoridad que corresponda, exige el cumplimiento de la normatividad BCM tanto al sector público como privado, como se le exige actualmente a la banca, definitivamente esto generará la creación de planes BCP robustos. Con acciones como esta, México podría tener mayor cantidad de gente especializada en BCM, generación de puestos de continuidad en todos los sectores y una mayor resiliencia como país. Thrive! Iberoamerica: Con base a la experiencia del Grupo BCM a otros grupos o asociaciones como: aseguradoras, agentes de seguros, administradores de riesgos, proveedores de salud, telecomunicaciones, etc.? De la Rosa Ríos: Recomiendo ampliamente que otros grupos ya organizados y/o consolidados como asociación, creen grupos o comités de continuidad que puedan acelerar el desarrollo de BCM en dicho sector. Por otra parte, sectores relacionados con los riesgos y desastres como aseguradoras, proveedores de salud, telecomunicaciones, etc., convendría que incluyeran en la proveeduría de sus servicios el tema de continuidad de operaciones tanto para ellos mismos como para sus clientes y proveedores. Por ejemplo, al vender una póliza de daños tomar en cuenta en la valuación del riesgo si la empresa tiene o no desarrollado planes de BC. Esto en un desastre puede determinar la sobrevivencia de la empresa y la reducción de la pérdida a niveles manejables desde el punto de vista financiero tanto por la propia aseguradora como por la organización afectada. Sobre el autor Jorge Escalera es consultor líder en administración de la continuidad del negocio, administración de riesgos, seguros y fianzas. Es ingeniero químico administrador del tecnológico de Monterrey. Tiene un MBA de la EGADE Business School Monterrey. Es CBCP del Disaster Recovery Institute International (DRII) y CRM (Certified Risk Manager) de National Alliance for Insurance & Research. Tiene más de 25 años de experiencia con énfasis en administración de riesgos y administración de continuidad del negocio. Jorge es uno de los instructores certificados en español del DRII y CRM. Participa frecuentemente como conferencista en foros nacionales e internacionales y aplica las mejores prácticas de BCM, incluyendo el desarrollo de BCP ante pandemia. Thrive! Iberoamérica 13
La seguridad sísmica de las construcciones en Latinoamérica Eduardo Reinoso, Miguel A. Jaimes y Marco A. Torres Se presenta un estudio para conocer el grado en que las nuevas edificaciones cumplen con el reglamento de construcciones. Estos resultados, obtenidos para el caso de la ciudad de México, muestran que a pesar de contar con un reglamento de construcciones moderno y confiable existen evidencias que indican que algunas edificaciones construidas recientemente podrían tener un riesgo inaceptable al no cumplirlo, esto es, que probablemente tendrán grandes pérdidas económicas durante eventos futuros, interrumpiendo la continuidad del negocio (sector privado) o de operaciones (sector público) y, lo peor, podrían causar víctimas. Este fenómeno se observa en varias ciudades del mundo y es ocasionado en parte por las enormes presiones económicas para construir más rápido y más barato, en donde la calidad de la construcción se está sacrificando. Los desastres sísmicos recientes han demostrado que, a pesar de que en términos relativos las víctimas humanas durante sismos estadísticamente han disminuido en el mundo, aún nos encon- 14 Thrive! Iberoamérica
Foto 1. Zonas de estudio dentro de la ciudad de México y ubicación de los 150 edificios seleccionados (puntos pequeños). También se muestran las 20 edificaciones que fueron estudiadas con mayor detalle (puntos grandes). Fuente: Instituto de Ingeniería de la UNAM (Universidad Nacional Autónoma de México) tramos lejos de haber solucionado este problema, además de que no se han alcanzado avances sustanciales para reducir las pérdidas económicas que se han incrementado enormemente. La reglamentación de construcciones que la autoridad expide es fundamental, y tiene por objetivo garantizar un adecuado comportamiento de las mismas para evitar, en el caso de sismos, pérdidas económicas elevadas y, sobre todo, pérdida de vidas humanas. Esta reglamentación toma en cuenta las experiencias y conocimientos arrojados por eventos sísmicos recientes ocurridos en cada país y en el mundo, así como los estudios e investigaciones que de estos se realicen. Este es el caso del Reglamento de Construcciones para el Distrito Federal (RCDF) y sus normas técnicas en la ciudad de México y de las principales ciudades en Latinoamérica. Como ocurre en otras grandes ciudades en Latinoamérica, en los últimos años en la ciudad de México, se han construido un gran número de edificios con una gran diversidad de materiales, dimensiones en planta y altura, materiales y criterios que deberían cumplir con el reglamento de construcciones local de la zona. Sin embargo, existe una opinión generalizada entre expertos de que a pesar de haber excelentes despachos de ingeniería y arquitectura, e inversionistas y desarrolladores de negocios serios y con visiones de largo plazo, algunas de las nuevas edificaciones aparentemente no cumplen el Reglamento de Construcciones y, por tanto, pueden tener deficiencias estructurales que ponen en riesgo la continuidad de actividades cotidianas así como la posible seguridad de sus ocupantes por lo que medidas de mitigación deben ser tomadas. Para tener bases más firmes que permitan tomar decisiones se han hecho varios Thrive! Iberoamérica 15
La seguridad sísmica de las construcciones en Latinoamérica Figura 1. Estadísticas de características estructurales de la muestra de 150 edificios tomados al azar estudios, patrocinados por el gobierno de la ciudad para conocer el grado en que las nuevas edificaciones cumplen con la reglamentación vigente. Creación de base de datos de las construcciones para este estudio Se hizo una revisión del comportamiento sísmico de edificios de más de cuatro niveles construidos en la ciudad de México a partir del 2004 de una base de datos creada con el catastro de la ciudad, complementada con otras bases de datos y verificada por numerosas visitas a los edificios. El universo a estudiar consistió en 13,428 edificaciones localizadas en zonas donde se han observado los mayores daños estructurales en sismos pasados (sismos de 1957, 1979 y 1985), que cumplían con las condiciones mencionadas. De esta población se seleccionaron al azar 150 edificios a los que hicimos inspecciones de banqueta para recabar información adicional de sus características sismorresistentes. En la Foto 1 se muestra con puntos pequeños los 150 edificios seleccionados (con puntos grandes se muestran 20 edificios que además fueron estudiados con más detalle como se mostrará más adelante). De estas 150 inspecciones se muestran las estadísticas de algunos defectos constructivos (véase Figura 1) que de manera alarmante se repiten con frecuencia y señalan la tendencia de construir edificios con plantas bajas débiles (estacionamientos y comercios), muy pegados entre sí (golpeteo), con columnas cortas y con configuraciones irregulares en planta. Revisión de memorias de cálculo y planos estructurales De los edificios visitados se escogieron veinte también al azar para estudiarlos con más detalle. Para ello, se solicitaron sus respectivas memorias de cálculo y planos a la dependencia gubernamental encargada de contar con esta información. Del análisis y estudio de estas memorias y planos se concluye, primero, que 20% de las memorias y 15% de los planos de los edificios construidos a partir del 2004 no es posible ni siquiera consultarlos porque no existen. De las memorias y planos que sí se pudieron analizar: 16 Thrive! Iberoamérica
Figura 2. Estadística sobre la información solicitada a los Directores Responsables de Obra (DRO) 1. Una cuarta parte contiene una descripción aceptable de la estructuración del edificio 2. Una cuarta parte contiene una estimación detallada de las cargas 3. En una cuarta parte se identifica con claridad al Director Responsable de Obra (DRO) y al corresponsable estructural 4. En una cuarta parte se determina las fuerzas para diseño sísmico 5. En casi la mitad no se especifican los parámetros del espectro de diseño 6. Ni siquiera en uno de cada diez se indican las deformaciones estimadas ante sismos 7. En ninguna se presenta con claridad la modelación sísmica ni el método de análisis 8. Solo en una cuarta parte la información contenida en los planos coincide con lo presentado en las memorias de cálculo, y en pocos casos esta información coincide con lo que realmente se construyó. Esto ocurre a pesar de que el Reglamento obliga al DRO a entregar la información completa una vez concluida la obra Estos problemas se han incrementado en los años recientes debido a que para simplificar trámites y disminuir costos y corrupción, basta con entregar a las autoridades una manifestación de construcción, y ya no se requieren permisos. Pero desgraciadamente esto ha relajado enormemente el rigor en el análisis, diseño y construcción de obras, y ha golpeado a la calidad de la construcción. Cotejo de planos y memoria de cálculo con lo construido En esta parte del estudio se comparó la información proporcionada por la dependencia gubernamental, con la que se había obtenido la licencia, con el edificio tal como quedó construido. Además se solicitó por escrito a los DRO copia de los planos y memorias de cálculo estructural con los diseños finales utilizados en la construcción de los edificios para compararlos con los planos proporcionados por la dependencia gubernamental. En la Figura 2 se muestra las respuestas que se obtuvieron a las solicitudes de información: de los veinte edificios seleccionados únicamente fue posible obtener información en ocho casos. Al comparar la información proporcionada por las delegaciones con la obtenida a través de los DRO se observa que en el 62% de los casos la información era igual. Las principales diferencias encontradas consistían en mayor detalle de la información y cambio de algunas secciones estructurales. Por otro lado, se examinó si la resistencia del concreto y el detallado del acero de refuerzo cumplen con lo establecido en los planos; para esto se realizaron extracciones de corazones de concreto y escaneos del acero de refuerzo. Para la realización de las pruebas se enviaron solicitudes de inspección a cada uno de los dueños y administradores de los veinte edificios con el objeto de realizar inspecciones internas y analizarlos con más detalle; desgraciadamente, solo siete de veinte dieron respuesta y aceptaron la inspección. Esto lo hemos interpretado como una muestra del poco interés y participación que la población tiene en la evaluación y cuantificación del riesgo sísmico a pesar de estar directamente afectados. De los siete edificios analizados, solamente tres edificios cumplieron con lo establecido en los planos (resistencia a la compresión, el módulo de elasticidad y el peso volumétrico), mientras que los otros cuatro no cumplieron, lo que muestra una seria deficiencia en la etapa constructiva. Cabe mencionar que por la muestra seleccionada no se incluyeron edificios importantes en donde seguramente el control de calidad de los materiales es adecuado. Cálculos aproximados de los edificios inspeccionados Para contar con más elementos de evaluación de los inmuebles seleccionados, se contrató a un ingeniero para que con las prácticas usuales hiciera una revisión de los estados límite de las veinte estructuras escogidas. En la Figura 3 se presentan los resultados de evaluar los estados límite de servicio y último para los edificios estudiados. Thrive! Iberoamérica 17
La seguridad sísmica de las construcciones en Latinoamérica Figura 3. Cumplimiento de los estados límite de servicio (los que se deben garantizar para que un edificio se comporte adecuadamente ante sismos poco intensos pero frecuentes) y último (para garantizar la integridad del edificio ante sismos muy intensos) acorde al Reglamento de Construcciones en la ciudad de México Los resultados de los estados límite de servicio indican que el 53% de los edificios estudiados lo cumplen, mientras que para el estado último sólo el 48% de los edificios los satisfacen. Los edificios que no cumplen con el estado límite de servicio podrían tener un inadecuado comportamiento ante sismos de baja intensidad. En las visitas internas se encontraron algunos defectos como grietas en acabados y elementos estructurales lo cual podría agravar el comportamiento de estos elementos. Por otro lado, casi dos terceras partes de los edificios analizados superan el estado límite último, lo que teóricamente pone en riesgo su integridad ante un evento sísmico intenso. Estos resultados no son concluyentes pues están basados en información preliminar de planos de licencia y mucho menos pretenden señalar deficiencias de las estructuras analizadas que fueron escogidas al azar, pero nos dan una idea de la calidad de las construcciones de años recientes que están en los límites de seguridad. Para tomar medidas de mitigación se deberían hacer revisiones más detalladas o al menos consultar las memorias y planos definitivos que desgraciadamente no están en manos de la autoridad. Conclusión El hecho de que en una muestra aparentemente pequeña se hayan detectado irregularidades no parece ser sesgado o casual, y refleja la realidad de este tipo de construcciones en la práctica profesional. Si bien no fue el objetivo de este estudio, no existe ninguna evidencia que indique que el Reglamento de Construcciones de la ciudad requiera cambios ni revisiones significativas, y más bien los problemas que hoy se observan en la ciudad se deben a la forma en que este reglamento se interpreta y aplica por parte de los profesionales del ramo, lo que también se está observando en otras partes del mundo. En la ciudad de México recientemente se empieza a contar con mecanismos oficiales de revisión estructural, que dentro de su tarea estará la de regular y vigilar a todos los 18 Thrive! Iberoamérica
involucrados en la construcción, aunque esto no se puede aplicar a todas las estructuras, solo a las más importantes. Por otro lado, los colegios de profesionistas y las sociedades técnicas deben contribuir a mejorar esta situación de manera paralela e independiente a los gobiernos, simplemente haciéndole saber a la sociedad y tomadores de decisiones que existen arquitectos e ingenieros más capaces y éticos que otros. De esta elección dependerá el comportamiento y la seguridad de las estructuras ante sismos futuros. Los resultados de estos estudios nos muestran que existen evidencias de que algunas estructuras construidas recientemente podrían tener un riesgo inaceptable que llevarían a la interrupción de negocios o de operaciones e incluso la pérdida de vidas. Esto se debe en gran medida a la impunidad, al no verificarse de ninguna manera que el reglamento se cumpla; peor aún, si no existe verificación, mucho menos castigo por incumplimientos. De esta manera, la seguridad estructural recae únicamente en la ética profesional de los involucrados, lo que no es transparente para los planificadores de negocios y usuarios finales de las estructuras. Es por esto que los administradores de riesgo deben conocer el grado de riesgo estructural para todos los edificios existentes e implementar planes de mitigación y de contingencia ante las posibles pérdidas y la interrupción del negocio. Finalmente, un aspecto fundamental: el rol de los arquitectos e ingenieros. Existe un fenómeno mundial del cual ni México ni ningún país latinoamericano son ajenos, en el que arquitectos e ingenieros trabajan cada quien por su lado, los primeros con propuestas novedosas y audaces, inspiradas por la estética y funcionalidad, tímidamente acotadas por restricciones ambientales y económicas, pero solo en algunos casos acotadas por la seguridad sísmica; peor aún, el hecho de proveer seguridad sísmica a sus creaciones es juzgado por muchos arquitectos como un atentado inaceptable a la estética y funcionalidad. Los segundos, los ingenieros, hemos logrado especializarnos en un área muy compleja, con conceptos difíciles de entender y más difíciles de explicar, pero empleamos un lenguaje que solo permite la comunicación entre nosotros mismos: que no hayamos la manera, dicen, de explicar que tal edificio puede dañarse o caer por este o aquel detalle. No hay, en resumen, una comunicación sana entre ambos profesionistas y el distanciamiento es cada vez mayor, y por supuesto los usuarios finales no conocen esta problemática. Tan solo una o dos generaciones anteriores el ingeniero y el arquitecto eran la misma persona, y las obras se pensaban, analizaban, diseñaban y construían considerando simultáneamente estética, funcionalidad y seguridad. El resultado del divorcio actual es, a pesar de todos los avances en todos los campos, la existencia de obras esplendorosamente hermosas y funcionales, pero con riesgos sísmicos inaceptables, que probablemente tendrán grandes pérdidas económicas, interrumpiendo ciclos de negocios durante eventos futuros y, lo peor, podrían causar víctimas. Afortunadamente existen ingenieros y arquitectos ejemplares que trabajan en equipo y que crean obras así, ejemplares; pero no son la mayoría. Todas las obras, importantes y no, deben cumplir con los mejores estándares estéticos, funcionales, económicos y de seguridad que el usuario final asume sin preguntar. Sobre los autores Desde 1985, Eduardo Reinoso ha desarrollado investigaciones y productos para conocer y mitigar el riesgo sísmico. Recientemente ha extendido estas investigaciones a otras amenazas naturales como tsunami, huracán, inundación, erupción volcánica, granizo, entre otros. ERN es una empresa dedicada a ofrecer productos y servicios para la estimación de los riesgos naturales y poder así tomar medidas tanto financieras cómo físicas para protegerse y mitigarlos. Comuníquese con él en direccion@ern. com.mx. Miguel Jaimes ha realizado proyectos para el sector asegurador y del gobierno, los cuales consisten desde la estimación de pérdidas por sismo en edificios, en la red de agua potable y alcantarillado, en caminos y carreteras hasta del número esperado de víctimas a nivel ciudad y país. Además, ha colaborado en el desarrollo de proyectos como es el caso del R-FONDEN que permite la estimación probabilista de riesgos en la infraestructura, el primero para el fondo de desastres naturales en México para el gobierno federal. Comuníquese con él en mjaimest@ii.unam.mx. Marco A. Torres es ingeniero civil con especialidad en estructuras por la UNAM. Cuenta con alrededor de 30 publicaciones en congresos y revistas técnicas sobre temas de confiabilidad y análisis de riesgo. Actualmente labora en proyectos de evaluación de riesgos ante amenazas naturales. Comuníquese con él en mtorresp@ii.unam.mx. Thrive! Iberoamérica 19
Seguridad industrial y salud ocupacional en la continuidad del negocio Carlos Alberto Vargas Sabogal Al hacer la estimación de los impactos financieros y operativos durante la conducción del análisis de impacto al negocio y la evaluación de los riesgos de continuidad para la implementación de un programa de continuidad de negocio en la organización, a las áreas de seguridad Industrial y salud ocupacional no se les analiza con la debida importancia. La seguridad industrial (SI) y la salud ocupacional (SO) son dos elementos claves para la continuidad del negocio que han venido posicionándose en el diseño de estos programas, debido principalmente a tres factores mutuamente dependientes: los altos costos incurridos por las organizaciones por el pago de incapacidades, reemplazos e indemnizaciones como consecuencia de los accidentes y enfermedades profesionales; la cada vez más exigente legislación con la expedición de normas internacionales para garantizar mejores condiciones de trabajo para los empleados; y por último, la mayor toma de conciencia sobre la importancia real de la salud ocupacional en uno de los recursos estratégicos del negocio: el ser humano. 20 Thrive! Iberoamérica