Guía completa de términos de continuidad de negocio

El Glosario de Preparis para la continuidad del negocio ha sido creado por nuestros expertos en la materia con el fin de recopilar y almacenar definiciones de términos utilizados en el sector de la continuidad del negocio. Esta página se actualiza periódicamente para promover un conjunto común de términos universales y crear coherencia entre múltiples recursos.

Para que un negocio funcione sin problemas, es necesario garantizar que cualquier imprevisto o contratiempo grave no afecte a las funciones y operaciones clave del negocio. Dado que este campo está repleto de jerga técnica, hemos creado el siguiente glosario de continuidad del negocio a partir de múltiples fuentes para ayudarle a usted y a su negocio.

A 

Tiempo de inactividad aceptable 

También denominado «tiempo de inactividad máximo permitido». El tiempo máximo que un sistema puede estar inactivo sin que ello tenga consecuencias directas o indirectas para la organización.

Alerta 

Notificación formal de una situación potencialmente peligrosa que es inminente o que ya se ha producido. Suele incluir una directiva para que los empleados se mantengan a la espera de una posible activación.

Todos los riesgos 

Un enfoque para la preparación, prevención, respuesta, mitigación, continuidad y recuperación que abordará una serie de amenazas y peligros, incluidos los naturales, los causados por la tecnología y los causados por el ser humano.

Sitio alternativo 

Cuando las funciones principales no funcionan, un sitio alternativo es una ubicación operativa independiente que pueden utilizar las funciones empresariales.

Activo 

Cualquier cosa que tenga valor para la empresa, como un equipo o la mano de obra.

Auditoría 

Una inspección formal y una confirmación para comprobar si se está siguiendo correctamente la norma o el conjunto de directrices, si los registros son precisos y si se están cumpliendo los objetivos de eficiencia y eficacia.

 

B 

Copia de seguridad 

El proceso de copiar datos a otra ubicación, de modo que si los datos originales se pierden o se destruyen, exista otra copia.

Cisne negro 

Un acontecimiento impredecible que puede traer consigo más de lo esperado en una situación y que tiene consecuencias potencialmente nefastas. Los acontecimientos «cisne negro» se caracterizan por su extrema rareza, su grave impacto y la afirmación generalizada de que eran evidentes en retrospectiva.

Continuidad de las actividades 

El proceso continuo que garantiza que se tomen las medidas necesarias para mantener la resiliencia organizativa, identificar las pérdidas potenciales y su impacto, y mantener estrategias y planes de recuperación viables, así como la continuidad de los servicios.

Gestión de la continuidad de las actividades (BCM) 

Un proceso integral de gestión de la continuidad del negocio identifica las amenazas a las que se enfrenta una empresa y el impacto que pueden tener. Este proceso proporciona una estructura para la resiliencia organizativa con una respuesta eficaz que protege a las partes interesadas clave de la empresa, su reputación, su marca y sus actividades de creación de valor.

Programa de gestión de la continuidad del negocio 

El proceso continuo de gestión y administración, respaldado por la alta dirección, cuenta con los recursos adecuados para garantizar que se tomen las medidas necesarias para identificar el impacto de las pérdidas. Garantiza estrategias de recuperación viables y la continuidad de los productos y servicios mediante la formación, la práctica, el mantenimiento y la revisión.

Sistema de gestión de la continuidad del negocio (BCMS) 

Parte del sistema de gestión general que establecerá, implementará, operará, supervisará, revisará, mantendrá y mejorará la continuidad del negocio.

Modelo de madurez de la continuidad del negocio (BCMM) 

Herramienta utilizada para medir el nivel y el grado en que las actividades de BCM se han convertido en una práctica habitual y garantizada dentro de las prácticas empresariales de una organización.

Plan de continuidad del negocio (BCP) 

Conjunto de procedimientos e información desarrollados, recopilados, documentados y mantenidos listos para su uso en caso de incidente, con el fin de permitir a la organización seguir suministrando productos y servicios críticos a un nivel predefinido aceptable.

Planificación de la continuidad de las actividades 

Implica desarrollar acuerdos previos que permitan a la organización responder a un evento de manera que las funciones críticas del negocio puedan continuar dentro de los niveles de interrupción previstos. Este proceso dará como resultado el BCP.

Programa de continuidad del negocio 

El proceso continuo de gestión y administración respaldado por la alta dirección y dotado de los recursos adecuados para implementar y mantener la gestión de la continuidad del negocio (BCM).

Estrategia de continuidad del negocio 

Enfoque adoptado por una empresa para garantizar la recuperación y la continuidad ante un desastre u otro acontecimiento grave o interrupciones en la actividad empresarial.

Análisis del impacto en el negocio (BIA) 

Proceso que define las funciones empresariales cruciales y determina la prioridad y el orden de recuperación para satisfacer los objetivos generales de la estrategia de continuidad empresarial declarados por la alta dirección. Los resultados del BIA proporcionan la base para una planificación eficaz de la continuidad, centrada en las prioridades empresariales.

Interrupción del negocio 

Un evento que interrumpe el curso normal de las operaciones en la ubicación de una empresa.

 

C 

Árbol de llamadas 

Modelo jerárquico de comunicación utilizado en situaciones de emergencia para alertar a personas específicas y coordinar la recuperación. También es un gráfico que representa las responsabilidades y el orden de llamada utilizados para contactar con la dirección, los empleados, los clientes, los proveedores y otros contactos clave.

Análisis coste-beneficio 

Tras una evaluación de riesgos, el análisis coste-beneficio es un proceso que calcula el impacto financiero de las diferentes opciones de BCM y compara el coste de las opciones con el ahorro potencial.

Crisis 

Un evento crítico que puede afectar drásticamente la reputación, la rentabilidad y la capacidad operativa de la empresa si no se maneja adecuadamente.

Gestión de crisis 

El enfoque y la respuesta de la organización para gestionar una emergencia de manera eficaz y oportuna. El objetivo es evitar o minimizar el tiempo de inactividad, el daño a la reputación de la empresa, la rentabilidad y la capacidad de funcionamiento.

Ciberataque 

Intento, a través del ciberespacio, de interrumpir, dañar u obtener acceso a un ordenador, sistema informático o red de comunicaciones electrónicas. Se trata de un intento malicioso dirigido al uso que hace una empresa del ciberespacio con el fin de inutilizar, destruir o controlar la infraestructura informática, los datos o la información controlada.

 

D 

Evaluación de daños 

Proceso de definición de la naturaleza y el alcance de una perturbación resultante de un desastre natural, accidental o provocado por el hombre. La evaluación de daños proporciona conocimiento de la situación e información crítica sobre el tipo, el alcance y la gravedad del evento.

Recuperación de datos 

La recuperación de datos es un proceso que consiste en rescatar datos no disponibles, perdidos, dañados o formateados de dispositivos de almacenamiento alternativos, soportes extraíbles o archivos cuando no se puede acceder a los datos almacenados en ellos de la forma habitual.

Declaración 

Anuncio formal preautorizado de que se prevé o se ha producido un evento o una interrupción grave. Esta acción activa medidas de mitigación previamente acordadas.

Recuperación ante desastres (DR) 

El proceso de reanudación de las operaciones comerciales tras una interrupción mediante la recuperación del acceso a los datos, los equipos de red, las ubicaciones físicas, la energía y la conectividad. El equipo de respuesta de recuperación ante desastres debe seguir siempre un plan de recuperación ante desastres.

Plan de recuperación ante desastres 

Proceso escrito o conjunto de procedimientos desarrollados para preparar a la organización para recuperarse lo más rápidamente posible tras una interrupción, incluyendo la reanudación de los sistemas de red, la seguridad de la plantilla y la recuperación física.

Gestión de desastres y emergencias 

Proceso continuo destinado a prevenir, reducir, prepararse para, responder a, mantener la continuidad durante y recuperarse de un incidente que amenace la vida de los empleados, los bienes de la empresa, las operaciones de la compañía o el medio ambiente.

Tiempo de inactividad 

Período de tiempo durante el cual las operaciones comerciales se interrumpen o dejan de funcionar con normalidad. También se denomina «interrupción» cuando se refiere a servicios o sistemas de tecnología de la información.

 

E 

Emergencia 

Una situación inesperada que podría causar la pérdida de vidas, lesiones y destrucción de bienes, y que puede requerir una acción inmediata. También podría tratarse de la interferencia, pérdida o interrupción de las operaciones normales de una empresa hasta el punto de que suponga una amenaza.

Gestión de emergencias  

La organización y gestión de los recursos y responsabilidades para hacer frente a todos los aspectos de una emergencia, incluyendo la preparación, la respuesta, la mitigación y la recuperación. El objetivo es minimizar los efectos nocivos de todos los peligros, incluidos los desastres.

Preparación para emergencias 

La capacidad de una organización o comunidad para responder a circunstancias imprevistas. Esto debe realizarse de manera oportuna, coordinada y eficaz para evitar la pérdida de vidas y lesiones o daños materiales.

Plan de respuesta ante emergencias 

Un plan bien documentado que facilita y organiza la reacción y respuesta de todas las personas involucradas en la situación ante cualquier emergencia que pueda ocurrir.

Gestión del riesgo empresarial (ERM) 

Una estrategia empresarial basada en un plan para toda la empresa cuyo objetivo es identificar, evaluar, prepararse y mitigar cualquier peligro, riesgo y otras posibilidades de desastre, tanto físico como figurado, que puedan interferir en las operaciones y los objetivos de una organización.

La ERM suele implicar la identificación de acontecimientos y circunstancias relevantes para los objetivos de la empresa (tanto riesgos como oportunidades). Estos se evaluarán en términos de probabilidad y magnitud del impacto, determinando una estrategia y supervisando los progresos.

Al identificar y abordar de forma proactiva los riesgos y las oportunidades, la empresa puede proteger y crear valor para las partes interesadas, entre las que se pueden incluir propietarios, empleados, clientes, reguladores e incluso la sociedad.

Plan de ejercicios 

Un plan diseñado para evaluar periódicamente las tareas, los equipos y los procedimientos documentados en el programa de continuidad del negocio, con el fin de garantizar la viabilidad del programa.

Un ejemplo de ello es una prueba de simulación, durante la cual los participantes revisan y debaten las medidas que tomaría cada empleado y miembro de la organización.

 

F 

Primeros auxilios 

Miembro de un servicio de emergencia que es el primero en llegar al lugar de un incidente. Por lo general, se trata de alguien de la policía, los bomberos o el personal de ambulancias.

 

G 

Análisis de deficiencias 

Una comparación que identificará las diferencias entre el resultado real y el resultado deseado.

 

H 

Sitio activo 

Una instalación diferente a la que una organización puede trasladarse tras un desastre. Esta ubicación de respaldo debe contar con toda la infraestructura necesaria, como el equipo, las telecomunicaciones y los elementos ambientales requeridos para recuperar las funciones comerciales o los sistemas de información.

 

I 

Plan de gestión de incidentes (IMP) 

Un plan de acción claramente definido y bien documentado para utilizar durante un incidente. Abarca el personal clave, los recursos, los servicios y los pasos necesarios para implementar el proceso de gestión de incidentes.

Proceso de gestión de incidentes 

Conjunto de medidas adoptadas para responder y resolver incidentes. Incluye cómo se detectan y comunican los incidentes, quién es responsable de las diferentes medidas, qué herramientas necesitará la empresa para resolverlos y qué pasos deben darse para mitigar el incidente.

Sistema de gestión de incidentes (IMS) 

Una combinación de equipos, instalaciones, personal, procedimientos y comunicaciones que operan dentro de una estructura organizativa para ayudar a gestionar los recursos durante los incidentes.

Equipo de gestión de incidentes 

Un grupo de personas responsables de desarrollar e implementar un plan completo y exhaustivo de respuesta ante incidentes. Este equipo estaría formado por un grupo de personas capacitadas en la toma de decisiones en materia de gestión de incidentes y preparadas para responder a cualquier situación.

Plan de respuesta ante incidentes 

El conjunto de documentos preparados que establecen un conjunto predeterminado de instrucciones y procedimientos para detectar, responder y limitar las consecuencias de un incidente contra los sistemas de tecnología de la información de la empresa.

Seguros 

Contrato para financiar el coste de cualquier riesgo calculado previamente. El contrato de seguro pagará al titular la cantidad contractual si se produce un evento de riesgo.

Contar con un seguro es extremadamente importante para cualquier negocio. El seguro está ahí para ayudar con los costos de cualquier imprevisto que pueda ocurrir. Sin seguro, el propietario de un negocio podría tener que pagar de su bolsillo cualquier daño o reclamación legal, lo que puede resultar bastante costoso. Los tipos de seguro incluyen:

• Seguro por interrupción del negocio: Un tipode cobertura de seguro que reemplaza la pérdida de ingresos debido al cierre o la reconstrucción relacionados con un desastre.
• Seguro de interrupción contingente del negocio: Unaextensión de otros seguros que compensa las pérdidas de beneficios y los gastos adicionales derivados de una interrupción de la actividad en las instalaciones del cliente o del proveedor.

Recuperación ante desastres informáticos (IT/DR)

La recuperación ante desastres informáticos es la estrategia de preservar o restaurar la infraestructura y los sistemas informáticos necesarios tras un evento disruptivo, ya sea causado por la naturaleza o por acciones humanas. La recuperación ante desastres implica políticas, herramientas y procedimientos diseñados para proteger los sistemas informáticos que son esenciales para las operaciones comerciales. El objetivo es garantizar la continuidad de las funciones comerciales vitales a pesar de las interrupciones significativas, lo que convierte a la TI/DR en un componente crítico de la continuidad comercial (BC).

 

M 

Código malicioso (malware) 

El código malicioso es un software diseñado para obtener acceso no autorizado a un programa con el fin de causar daños importantes, destruir datos o comprometer su disponibilidad, integridad y confidencialidad. Puede afectar negativamente al sistema operativo y a sus aplicaciones. El malware consta de varias variantes de software malicioso, entre las que se incluyen virus, ransomware, spyware y gusanos.

• Ransomware: Tipo de software malicioso extorsivo que bloquea el acceso de los usuarios a archivos importantes mediante el cifrado del sistema de su disco duro. El descifrado de los archivos se produce después de que el usuario pague el rescate para recuperar el acceso a su sistema.
• Spyware: Tipo de código malicioso que se instala de forma encubierta en un sistema de información. Obtiene información sobre una organización o persona sin que estas lo sepan.
• Virus: Programa de software malicioso instalado sin el conocimiento del usuario que se replica a sí mismo. A veces puede propagarse a otros ordenadores a través de programas de correo electrónico y puede corromper o eliminar datos e información del disco duro del ordenador.
• Gusano: Programa independiente que se copia y se propaga a través de una red informática. No necesita adjuntarse a un programa de software para causar daños y replicarse sin intervención humana. Una vez dentro de un sistema informático, puede realizar acciones maliciosas.

Tiempo máximo de inactividad tolerable (MTD) 

El tiempo total que un proceso empresarial puede permanecer inoperativo antes de que afecte negativamente a la misión de una organización.

Movilización 

La respuesta a una declaración de desastre que activa la recuperación de la organización. Implica el traslado de equipos y personal a sitios alternativos, lo que permite implementar plenamente el plan de continuidad del negocio para mantener los niveles mínimos de servicio para cada proceso empresarial esencial.

O 

Ubicación fuera del sitio 

Un lugar de almacenamiento para datos críticos (informatizados o en papel) o equipos. Suele estar situado a una distancia segura de la ubicación principal y permite acceder a los datos almacenados durante cualquier incidente que provoque la indisponibilidad o destrucción de los datos o equipos originales.

Operativo 

Las actividades que permiten a una organización seguir funcionando tras un evento crítico o un desastre. Implica la planificación a corto plazo, las actividades cotidianas o la ejecución de un proceso empresarial o un proceso de gestión de servicios de TI. Es el más bajo de los tres niveles de planificación y ejecución, que también incluyen el estratégico y el táctico.

Interrupción del servicio 

El tiempo durante el cual una función, servicio, proceso o sistema empresarial se ve interrumpido o inaccesible y afecta a la capacidad de la organización para alcanzar sus objetivos.

R 

Preparación 

Medidas proactivas implementadas para minimizar los efectos de una interrupción. Estas actividades ayudan a la organización a responder o apoyar la recuperación después de una interrupción. También se conoce como preparación.

Recuperación 

La recuperación rápida es fundamental para restablecer las funciones empresariales tras un desastre. Da prioridad a las medidas necesarias para garantizar la estabilidad operativa y respaldar las funciones y los procesos tras un desastre. La recuperación es uno de los tres componentes de un plan de continuidad empresarial, que también incluye la resiliencia y la contingencia.

Objetivo de punto de recuperación (RPO) 

El punto al que se debe restaurar el trabajo o recuperar los datos (en la ubicación externa designada) para permitir que una actividad funcione después de una interrupción.

Objetivo de tiempo de recuperación (RTO) 

El tiempo de restauración y recuperación de funciones o recursos tras una interrupción del servicio. Incluye la evaluación, ejecución y verificación de los niveles de rendimiento basados en un tiempo de inactividad aceptable.

Cronología de la recuperación 

La ruta crítica de las actividades de recuperación para reanudar un nivel aceptable de operaciones comerciales tras una interrupción. Describe la priorización y la velocidad del proceso de recuperación y puede durar desde minutos hasta semanas, dependiendo de los requisitos de recuperación.

Resiliencia 

La capacidad de una organización para resistir y responder a incidentes, incluidos desastres naturales, accidentes o ataques. Identifica los procesos y procedimientos necesarios para recuperarse rápidamente de interrupciones operativas. Incluye servicios críticos como el acceso remoto y la asistencia al usuario final.

Plan de respuesta 

Documentación desarrollada y mantenida para prepararse ante un incidente, en la que se describe la información y los procedimientos que deben utilizarse.

Tiempo de respuesta 

El tiempo de reacción necesario para evaluar el impacto de un incidente. Determina el nivel de actividad necesario para controlar o contener la situación.

Riesgo 

La posibilidad de que se produzca un evento que pueda afectar a la capacidad de una organización para alcanzar sus objetivos. Se puede determinar utilizando medidas cuantitativas o cualitativas. Tiene en cuenta la probabilidad de que se produzca la amenaza, la susceptibilidad de un activo a la amenaza y el impacto que tendría la amenaza si se produjera. Existen tres tipos de riesgos: empresariales, de desastre y operativos.

• Riesgo empresarial: El riesgo de que una organización sufra una pérdida inesperada debido a factores internos y externos, como una disminución de la demanda o la incapacidad de proporcionar productos o servicios.
• Riesgo de desastres: Probabilidad de destrucción, lesiones, pérdida de vidas o daños causados por un desastre que podría afectar a una sociedad o comunidad concreta en un momento determinado. A menudo es difícil de cuantificar; sin embargo, el riesgo de desastre puede evaluarse en términos generales basándose en el conocimiento de los peligros existentes, los patrones demográficos y el desarrollo socioeconómico.
• Riesgo operativo: El riesgo de pérdidas inesperadas como resultado de controles y procedimientos ineficaces. Puede incluir fallos internos relacionados con la infraestructura y la tecnología, problemas relacionados con el personal, interrupciones del negocio o factores externos, como cambios normativos.

Aceptación de riesgos  

Reconocimiento por parte de la dirección de que la pérdida potencial derivada de un riesgo concreto es mínima y, por lo tanto, no requiere ninguna medida.

Evaluación de riesgos 

El proceso de identificar los factores de riesgo que pueden perjudicar a una organización, analizar los eventos que pueden dañar a la organización e identificar las funciones clave necesarias para que la organización continúe operando si se produce el evento. También implica evaluar los costes asociados a la mitigación del riesgo. Evaluar la probabilidad de que se produzca un evento es un factor crítico en el análisis de riesgos.

Mitigación de riesgos 

La implementación de medidas que reducen y responden a la exposición de una organización al riesgo. Garantiza la continuidad de las operaciones comerciales y examina las actividades necesarias para disminuir la gravedad del riesgo. El proceso de gestión de riesgos implica la priorización, evaluación e implementación de medidas adecuadas para reducir el riesgo.

S 

Escenario 

Conjunto establecido de condiciones y eventos de continuidad del negocio que definen una interrupción, perturbación o cualquier pérdida que pueda afectar a las operaciones comerciales de una organización. Ayuda a la planificación previa y respalda la realización de un análisis del impacto en el negocio (BIA), el desarrollo de una estrategia de continuidad y los planes de continuidad y ejercicios. Los escenarios no son previsiones ni predicciones.

Acuerdo de nivel de servicio (SLA) 

Acuerdo oficial entre un proveedor de servicios y un cliente (cualquiera de las partes puede ser interna o externa). Incluye aspectos concretos del servicio: naturaleza, alcance, calidad, disponibilidad y puntualidad en la prestación del servicio por parte del proveedor. El SLA debe cubrir las variaciones del servicio durante desastres y cambios en situaciones cotidianas.

Punto único de fallo (SPOF) 

Una parte única de un sistema que, si no funciona correctamente, provocaría el colapso de todo el sistema. Por lo general, no hay alternativa ni contramedida, por lo que la pérdida de cualquier elemento da lugar a un fallo en una función o actividad crítica para la misión. Un SPOF puede ser un paso en un proceso o actividad, una persona o un componente o parte de una infraestructura de TI.

Conciencia situacional 

La percepción de los elementos ambientales que pueden afectar a una organización, incluyendo su postura de seguridad y las amenazas dentro de un volumen de tiempo y espacio. Incluye el significado de ambos juntos (riesgo) y su estado en el futuro.

T 

Plan de pruebas 

Documento en el que se describe un calendario de trabajo diseñado para poner a prueba el plan de continuidad del negocio, los sistemas, los procesos y el personal de una organización.

Evaluación de amenazas 

Proceso que determina formalmente la gravedad de una amenaza potencial para una organización o un sistema de información y describe la naturaleza de la amenaza.

Formación 

Su objetivo es desarrollar las habilidades y los conocimientos necesarios para mejorar la competencia y obtener un mejor rendimiento laboral. Es más formal que la concienciación y está dirigido a empleados con responsabilidades y funciones específicas. La concienciación es más general e implica a todo el personal. Sin embargo, la formación forma parte de la secuencia de aprendizaje de la concienciación y la educación.

V 

Registros vitales 

Los registros informáticos o en papel son esenciales para que una organización pueda seguir funcionando durante y después de una emergencia. Son fundamentales para proteger los derechos financieros y legales de la organización, así como los derechos de las personas directamente afectadas por las actividades de la organización.

Evaluación de vulnerabilidades 

Proceso de evaluación de un producto o sistema de información para detectar posibles puntos débiles. Determina si las medidas de seguridad son adecuadas e identifica las deficiencias de seguridad asignándoles niveles de gravedad. La evaluación proporciona datos que permiten valorar la eficacia de las medidas de seguridad previstas y confirmar su idoneidad tras su implementación. Recomienda mejoras cuando es necesario.

W 

Recorrido 

Una prueba que lleva a cabo la secuencia de pasos de recuperación descritos en el plan de continuidad del negocio. El objetivo de una prueba de simulación es determinar la viabilidad del plan, revelar fallos de diseño e identificar omisiones para mejorar el plan de continuidad del negocio.

Sitio cálido 

Un sitio de procesamiento de reserva equipado para permitir que una organización reanude sus actividades comerciales esenciales y evite cualquier efecto adverso a largo plazo en sus operaciones. Debe contar con electricidad, hardware y componentes de comunicación que proporcionen soporte operativo de respaldo tras la personalización del software y el aprovisionamiento adicional.