Evolución y modelos de implementación de sistemas de gestión de continuidad del negocio*

Rocío Becerra Acevedo; John Richard Benavides Muñoz; Hernando Camacho Camacho; Claudia Janeth Obando

resúmenes

secciones

referencias

imágenes

Resumen: El sistema de gestión de la continuidad del negocio (BCMS) es una herramienta que permite a las organizaciones prepararse para escenarios que afecten el normal funcionamiento de las mismas. En este proceso, se requiere una evaluación de impacto y valoración de riesgos, de tal manera que se identifiquen, establezcan y evalúen los planes de continuidad del negocio (BCP) para asegurar la disponibilidad de recursos y personal necesario. Este artículo analiza la evolución, los modelos de implementación de BCM y las estrategias para la gestión de riesgos asociados. Se realiza un estudio de 37 artículos relacionados con BCM, los cuales se analizan y se concluye que la evolución de la BCM ha permitido a las organizaciones acceder a modelos que facilitan la implementación de este sistema, acorde a las necesidades, disponibilidad de recursos, competencia del personal y con un enfoque PHVA (planear, hacer, verificar y actuar).

Palabras clave:continuidad del negociocontinuidad del negocio,sistema de gestión de continuidad del negociosistema de gestión de continuidad del negocio,ISO 22301ISO 22301,modelos de gestiónmodelos de gestión.

Abstract: The business continuity management system (BCMS) is a tool that allows organizations to prepare for scenarios affecting their normal functioning. In this process, an impact assessment and risk assessment is required, identifying, establishing and evaluating business continuity plans (BCP) to ensure resources and necessary personnel availability. In this article the evolution, BCM implementation models, and associated risk management strategies are addressed. Thirty-seven (37) articles related to BCM are analized concluding that BCM evolution has allowed organizations to access models that facilitate the system implementation, according to the needs, availability of resources, personnel competence and with a PHVA approach (plan, do, check and act).

Keywords: business continuity, business continuity management system, ISO 22301, management models.

Resumo: O sistema de gerenciamento de continuidade de negócios (BCMS) é uma ferramenta que permite às organizações se prepar para cenários que afetam seu funcionamento normal. Nesse processo, é necessária uma avaliação de impacto e de risco, de modo a identificar, estabelecer e avaliar planos de continuidade de negócios (BCP), para garantir a disponibilidade dos recursos e pessoal necessários. Nesse artigo são analisados a evolução, os modelos de implementação de BCM e as estratégias de gerenciamento de risco associados. Trinta e sete (37) artigos relacionados ao BCM são analizados concluindo que a evolução do BCM permitiu às organizações acessar modelos que facilitam a implementação do sistema, de acordo com as necessidades, disponibilidade de recursos, competência de pessoal e com uma abordagem PHVA (planejar, fazer, verificar e agir).

Palavras-chave: continuidade do negócio, sistema de gestão da continuidade do negócio, ISO 22301, modelos de gestão.

Carátula del artículo

Artículos de Revisión

Evolución y modelos de implementación de sistemas de gestión de continuidad del negocio*

Evolution and implementation models of business continuity management systems

Evolução e modelos de implementação de sistemas de gestão da continuidade do negócio

Rocío Becerra Acevedo** rociobecerra@usantotomas.edu.co

Universidad Santo Tomás, Colombia

John Richard Benavides Muñoz*** johnbenavides@usantotomas.edu.co

Universidad Santo Tomás, Colombia

Hernando Camacho Camacho**** hernandocamacho@usantotomas.edu.co

USTA-Icontec, Colombia

Claudia Janeth Obando***** claudiajanethobando@gmail.com

Universidad Santo Tomás, Colombia

SIGNOS-Investigación en Sistemas de Gestión, vol. 13, núm. 2, 2021
Universidad Santo Tomás

Esta obra está bajo una Licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional.

Recepción: 09 Noviembre 2020

Revisado: 25 Enero 2021

Aprobación: 13 Marzo 2021

DOI: https://doi.org/10.15332/24631140.6669

Introducción

La continuidad del negocio (BCM) permite a las organizaciones identificar eventos potenciales que amenazan su normal funcionamiento y provee un marco para desarrollar la capacidad de recuperación y de responder ante estas situaciones de manera efectiva (Speight, 2011). Esta respuesta debe proteger las partes interesadas y sus necesidades, así como la marca, el reconocimiento y las actividades que hacen parte de la cadena de valor en la organización y se basa en la puesta en marcha de un plan de recuperación frente a catástrofes cuando estas acaecen (ISO, 2017).

Desde la década de 1970, el BCM ha evolucionado como una forma de gestión de crisis en respuesta a los riesgos técnicos y operativos que amenazan la recuperación de una organización frente a peligros e interrupciones (Nieto, 2012). Esta evolución ha sido impulsada por la generación de legislación, regulación y las normas comerciales nacionales e internacionales que a su vez han surgido en respuesta a y después de eventos históricos importantes causados por tormentas, terremotos, incendios, inundaciones, fallas de servicios públicos, terrorismo, brotes de enfermedades, pérdida de instalaciones, fallas de sistemas, e interrupciones de la cadena de suministro (Herbane, 2010).

El objetivo del BCM es evitar interrupciones graves que se pueden generar si no se recupera la normalidad en un periodo razonable (Bakar et ál., 2015); por esto, se deben plantear dos preguntas claves: ¿qué actividades son críticas e importantes y qué deberían mantenerse sin interrupción? y ¿cuánto tiempo se considera razonable una interrupción? (Hinson, 2012). La gestión de riesgos se transforma en una necesidad para las organizaciones, teniendo en cuenta que estas tienden a centralizarse en amenazas y oportunidades puntuales, que permite definir un plan de recuperación para utilizar en cualquier situación de crisis que pueda generar la interrupción del negocio (ISO, 2017).

La evaluación de riesgos es crítica para que una organización gestione la capacidad de recuperación de sus operaciones. Una dificultad involucrada en el análisis es determinar la probabilidad de eventos que puedan tener un impacto potencial (Strelicz y Bognár, 2020). Una serie de eventos de riesgo proporciona un paradigma para la transición de amenaza a crisis a disrupción e impacto (Filipović et ál., 2018). Las estrategias de riesgo se utilizan para gestionar el riesgo, en particular, aquellos riesgos que son potencialmente muy perjudiciales para una organización. Las decisiones de la estrategia de riesgo se dificultan por las incertidumbres que involucran costos, así como también aquellas que involucran la determinación de probabilidades (Engemann y Miller, 2015).

La ISO (International Organization for Standardization) ha creado el comité técnico ISO/ TC 292; el cual se estableció el 1 de enero de 2015 y participan más de 50 países. Tiene como misión producir estándares de alta calidad para apoyar a las naciones, sociedades, industria, organizaciones y personas en general. El propósito de estos estándares es mejorar y mantener un estado libre de peligro o amenaza y sentirse seguro, estable y libre de miedo o ansiedad; por esto, ha publicado la norma ISO 22301 que proporciona requisitos para los BCMS asociados con seguridad y resiliencia (Tzenev et ál., 2015), (ISO, 2020a) e (ISO, 2020b).

La mejor ventaja de BCM es construir la resiliencia de las organizaciones. La resiliencia es una manera de mejorar la capacidad de la organización para resistir el impacto de un desastre (Blos et ál., 2015), disminuye el tiempo para recuperar un nivel de funcionalidad aceptable, mejora la capacidad de la organización para monitorear amenazas, sustituir la parte dañada y responder con precisión (Bruneau et ál., 2003). Construir la resiliencia de las organizaciones es uno de los conceptos más nuevos que ayudan a organizar los procesos más rápidamente y el BCM es una herramienta para aumentar el nivel de resiliencia para cada organización (Rabbani et ál., 2016).

La norma ISO 22301:2019 describe las disposiciones para implementar y mejorar un sistema de gestión para protegerse, disminuir la probabilidad de ocurrencia, de prepararse, atender y sobreponerse de las interrupciones cuando estas se presenten. Los requisitos que se especifican en esta norma son genéricos e incluye la participación de las partes interesadas (Järveläinen, 2020) y están definidos para ser desarrollados en todas las organizaciones, o partes de ellas, sin tener en cuenta su tipo, dimensión o naturaleza. El nivel de implementación de estos lineamientos depende del entorno operacional y la complejidad de los procesos de la organización (Icontec, 2019).

Esta norma define algunos conceptos claves, como el plan de continuidad del negocio, el cual hace referencia a la información documentada que orienta a una organización para responder una interrupción y reanudar, recuperar y restaurar la oferta de productos y servicios de acuerdo con sus propósitos de continuidad de negocio; otro concepto es el de análisis de impacto al negocio, el cual hace referencia el proceso en el que se analiza el impacto de una interrupción conforme avanza el tiempo en la organización; y, por último, el concepto de impacto, que hace referencia al resultado de una interrupción que afecta los objetivos (Icontec, 2019).

En Colombia, el BCM se ha convertido en un enfoque clave para las organizaciones debido a la situación que se viene presentando por la pandemia, generada a raíz de la COVID-19. Este virus es denominado SARS-CoV-2, se generó en Wuhan, capital de la provincia de Hubei, en China, es el séptimo coronavirus que infecta a los seres humanos (Andersen et ál., 2020) y afecta la continuidad operativa de los negocios, la protección de los empleados y la preservación del mercado. Por esto, los negocios en los diferentes países deben analizar cómo pueden trabajar ante las catástrofes naturales y los ciclos de infección (Arias et ál., 2020).

Las contribuciones de este artículo se relacionan con la propuesta de un conjunto de técnicas analíticas para facilitar la realización de la evaluación y gestión de riesgos en el ámbito de los BCMS, teniendo en cuenta los siguientes pasos: 1) identificar riesgos potenciales de la organización; 2) analizar los riesgos en los que se cuantifican y analizan los factores asociados a los mismos; 3) evaluar los riesgos que necesitan tratamiento; y, 4) planificar la respuesta al riesgo en la que se desarrollen los planes adecuados (Torabi et ál., 2016).

El objetivo de este artículo es realizar un recorrido por la evolución de los sistemas de gestión de la continuidad del negocio, los cuales se han convertido en una estrategia clave en las organizaciones para asegurar la sostenibilidad del mismo; así mismo, la descripción general de modelos han permitido a diferentes organizaciones en el mundo la implementación del mismo para asegurar la existencia de los planes correspondientes que permitan estar preparados ante cualquier situación que impacte el normal funcionamiento de las actividades.

Metodología

Este artículo corresponde a una revisión sistemática exploratoria cualitativa para encontrar, ordenar y analizar la documentación existente, relacionada o que pueda contribuir con el artículo de investigación frente a la evolución y descripción de modelos de BCM. Para la búsqueda se definieron como descriptores los siguientes términos gestión de la continuidad del negocio, business continuity management e ISO 22301. La búsqueda se hizo en español e inglés.

La mayoría de los artículos consultados están en inglés; en español hay escasa información, por lo tanto, se efectúa la búsqueda con el descriptor business continuity management en los siguientes motores de búsqueda: ScienceDirect, Taylor & Francis Group, Scopus, Academic Search Premier y Google Scholar. En la tabla 1 se relacionan los motores de búsqueda y los descriptores.

Tabla 1
Motores de búsqueda y descriptores

Fuente: elaboración propia.

De la información obtenida en cada motor de búsqueda se alimentó una matriz; en la cual se incluye la información relevante a tener en cuenta para el desarrollo de las temáticas planteadas.

Criterios de inclusión y exclusión

Se incorporaron artículos que están relacionados directamente con la continuidad del negocio, cuyas publicaciones se hicieron entre los años 2004 y 2020, solamente ocho artículos se incluyeron en idioma español; se excluyeron los artículos que están relacionados con temas como hidrología y aeronáutica, se incluyeron los relacionados con cualquier otro tipo de organización que haya implementado BCM y gestión de riesgos.

Los artículos seleccionados pasan a través de dos filtros. En el primero, los que tienen que ver con el tema; en el segundo, los que se ajusten más a lo que se requiere; y, por último, se escogen los artículos más relacionados a los temas específicos de consulta. Los artículos seleccionados se importaron a Zotero para la gestión de referencias y eliminación de repetidos. En la tabla 2 se presenta el desarrollo de la selección de documentos para estudio:

Tabla 2
Listado de fuentes bibliográficas de consulta de artículos

Fuente: elaboración propia.

En la figura 1 se presenta el diagrama de flujo para la selección de los artículos para estudio, teniendo en cuenta los motores de búsqueda utilizados, y las etapas de identificación, selección, elegibles e incluidos.

Figura 1
Diagrama de flujo selección de artículos para estudio
Fuente: elaboración propia.

Los 37 artículos seleccionados se analizaron considerando variables bibliométricas como el año de publicación y su autor, además, se describe cualitativamente las siguientes variables técnicas: sector, tamaño de la organización, evolución conceptual, modelos, estrategias de implementación, identificación, análisis y evaluación de riesgos, y planificación de la respuesta al riesgo.

Resultados y discusión

En este apartado se presentan los resultados derivados del análisis de 37 artículos. Cabe mencionar que el 16 % fueron publicados en el año 2019.

Evolución conceptual de la gestión de continuidad del negocio

La BCM se ha convertido en una base para tomar decisiones por parte de la alta gerencia de las organizaciones, frente eventos que pueden afectar las actividades (Rodríguez, 2019). A continuación, se describe su proceso de evolución:

Tabla 3
Evolución de la gestión de continuidad del negocio

Fuente: adaptado de Herbane (2010), Morales (2010) y Jedynak (2013).

La evolución de la gestión de BC inició en los años setenta con la necesidad de las organizaciones para proteger sus bienes materiales, humanos y la recuperación después de un desastre o riesgo de cualquier naturaleza. Se puede analizar que en su proceso evolutivo se han implementado diferentes parámetros y normas, adecuándolas a las necesidades organizacionales, hasta la generación de la norma internacional NTC ISO 22301:2019, la cual incorpora el ciclo PHVA y se genera como resultado de la consolidación de diferentes referentes emitidos a través del tiempo, para ser implementada por las organizaciones independiente del tamaño o tipo de actividad que se realice.

Modelos para la gestión de continuidad del negocio

Desde al año 2012, se han generado una serie de propuestas frente a modelos de BCM con el fin de ayudar a las organizaciones a prepararse frente a situaciones que podrían afectar el desarrollo continuo de las actividades. En la tabla 4 se presentan algunos modelos que han sido referentes en este proceso de evolución del concepto BCM. Para definir cuál de estos es el más adecuado y conveniente, las organizaciones deben tener en cuenta variables tales como el tamaño, la competencia del personal, la disponibilidad de recursos, el nivel de madurez y el tiempo.

Tabla 4
Modelos de continuidad del negocio

Fuente: elaboración propia.

Estrategias de implementación de sistemas de gestión de BC

A continuación, se presentan las estrategias que pueden ayudar a ejecutar la BCM (ver tabla 5):

Tabla 5.
Estrategias de implementación de BCMS

Fuente: elaboración propia.

Existen diferentes estrategias para implementar sistemas de gestión de continuidad del negocio; sin embargo, las más representativas están asociadas con la gestión de activos y enfoque incremental. Estas involucran la identificación de las amenazas clave de la organización, incluye la participación de los trabajadores y tienen un enfoque hacia el cumplimento de los objetivos estratégicos, convirtiéndolas en una opción interesante para las organizaciones.

Identificación, análisis y evaluación del riesgo para la gestión de BC

El análisis de impacto empresarial (BIA) (Jafar y Taneja, 2017) y la evaluación de riesgos (RA) (Motevali Haghighi y Torabi, 2019) son procesos que deben realizarse al diseñar e implementar un BCMS: BIA y RA describen los productos clave de la organización; identifican, analizan, evalúan y tratan aquellos riesgos (Rezaei Soufi et ál., 2019) y las interrupciones que amenazan la entrega a tiempo de productos clave (Hinson, 2012). Por lo tanto, los BCP deben definirse de tal manera que mitiguen el impacto de las interrupciones identificadas en los productos clave (Gaspar Martínez, 2010).

La gestión de riesgos proporciona un mecanismo para salvaguardar la reputación y los valores de marca de muchas organizaciones (International Labour Organization, 2012). La gestión de riesgos representa la conciencia organizacional de las amenazas potenciales que pueden afectar la estabilidad de una organización. Al identificar los riesgos reales o potenciales, una organización puede proteger sistemáticamente sus recursos, ingresos y reputación (Speight, 2011).

A continuación, se describen algunas metodologías identificadas para gestionar los riesgos (ver tabla 6):

Tabla 6
Metodologías para la gestión de riesgos

Fuente: elaboración propia

Las metodologías para la gestión de riesgos identificadas proporcionan una visión general de las opciones que tienen las organizaciones para realizar una gestión que le permita garantizar una identificación y control de los riesgos claves que pueden afectar el normal funcionamiento. La selección de la metodología debe tener en cuenta aspectos como el tamaño de la organización, características de los productos y servicios, y el nivel de complejidad de las operaciones.

Identificación de riesgos

La empresa debe identificar las amenazas y los riesgos que se producen de forma natural, los que son resultado de eventos provocados por el hombre, y cualquier evaluación y estrategia de mitigación asociada a ellos. Esto ayuda a garantizar la coherencia del enfoque en todos los proyectos, así como a ahorrar tiempo y esfuerzo para llegar a sus mediciones (Gibb y Buchanan, 2006).

Análisis y evaluación del riesgo

Este es el proceso de identificar eventos, determinar las causas, estimar las probabilidades y el impacto, mientras que la evaluación de riesgo es el proceso de comparar el nivel de riesgo con los criterios definidos (Păunescu y Argatu, 2020). El propósito es priorizar la planificación mediante la evaluación de la probabilidad de eventos y su impacto potencial en las funciones críticas (Heng, 2015).

La evaluación de riesgos es fundamental para identificar la vulnerabilidad (Kato y Charoenrat, 2018) y es una base para la asignación de recursos y la mitigación de la exposición. La gestión de riesgos comprende los procesos de evaluación, comunicación y su tratamiento (Engemann y Miller, 2015).

Tratamiento del riesgo

El tratamiento del riesgo se puede abordar por categorías, etapas y tipos de controles o una combinación de ellas (ver figura 2):

Figura 2
Tratamiento del riesgo
Fuente: Engemann y Miller (2015), Speight (2011) y Hinson (2012).

Incluye la identificación y evaluación de las opciones para hacer frente a los riesgos identificados. Estos enfoques se pueden dividir en dos clases: las que se ocupan proactivamente del riesgo transfiriendo, minimizando, gestionando y las que reaccionan a los eventos de riesgo a través de planes de recuperación (Aziz y Jambari, 2019). Se debe realizar una evaluación de la opción para evaluar el impacto de la solución y el valor que generará en ahorros de costos o ingresos protegidos (Gibb y Buchanan, 2006).

Conclusiones

La evolución de la gestión de BC tiene origen en los años setenta con un enfoque hacia la prevención, toma de decisiones y con una visión de los sistemas sociotécnicos de la época dirigida hacia el manejo de crisis. Esta evolución se vio influenciada por hitos claves que comenzaron con la revolución tecnológica presentada en los setenta en donde aparecieron modelos como el IBM 360 y 370, los cuales fueron pioneros en manejo de la información de las organizaciones y generaron la necesidad de protección de los datos.

En 1988 se presentó un incendio en la oficina central de Illionis Bell Hinsdale; en 1990, 1992 y 1993 los eventos terroristas presentados en la bolsa de valores de Londres, en el distrito financiero de la misma ciudad, y en el World Trade Center sirvieron como referente de la vulnerabilidad de los sistemas informáticos de las organizaciones y generaron la necesidad de un enfoque hacia la planificación de la gestión para la atención de crisis y respaldar la planeación de la recuperación de desastres en las funciones claves de la organización. Esto conllevó la aparición de normas para diferentes sectores económicos tales como la NFPA 1600, COBIT 4.0, AS/NZ436 y la BS 7799.

El ataque terrorista ocurrido en Washington y New York en septiembre de 2001 tuvo un impacto alto para diferentes organizaciones y generó la necesidad de revisar y reevaluar la continuidad del negocio en las organizaciones, incluyendo aspectos asociados con la protección de la vida, servicios financieros, telecomunicaciones, servicios públicos, acceso a instalaciones y clientes. Países como Australia, Pakistán, Reino Unido, India, Sudáfrica y Estados Unidos generaron diferentes directrices frente a la continuidad del negocio y también la necesidad de crear un organismo internacional de normalización que emite la norma ISO 22301:2012. El cual recopile los aspectos claves para la BCM con un enfoque en el ciclo PHVA que incluya la gestión de riesgos, evaluación de impacto y establecimiento de las estrategias para actuar en caso de crisis, eventos catastróficos y otros que puedan afectar el normal funcionamiento de las organizaciones.

De los quince modelos de BCM identificados y analizados¹, se concluye que, desde el año 2012, el enfoque basado en el ciclo PHVA se convirtió en una herramienta para asegurar una gestión que permita preparar a las organizaciones para eventos que puedan interrumpir el normal funcionamiento de las mismas.

La implementación del modelo depende de la capacidad, nivel de madurez, tamaño y la suficiencia recursos necesarios para la planificación y el desarrollo del mismo. Las organizaciones pueden implementar diferentes modelos de manera complementaria acorde a sus necesidades, teniendo en cuenta diferentes enfoques a nivel de desastres naturales, activos de la compañía, seguridad de la información, madurez del programa de BCM, ciclo de vida, implementación de áreas de gestión de BC, entre otros referentes.

Material suplementario

Información adicional

Citar como: Becerra Acevedo, R., Benavides Muñoz, J. R., Camacho Camacho, H. y Obando, C. J. (2021). Evolución y modelos de implementación de sistemas de gestión de continuidad del negocio. Signos, Investigación en Sistemas de Gestión, 13(2). https://doi.org/10.15332/24631140.6669

Referencias

Andersen, K. G., Rambaut, A., Lipkin, W. I., Holmes, E. C., y Garry, R. F. (2020). The proximal origin of SARS-CoV-2. Nature Medicine, 26(4), 450-452. https://doi.org/10.1038/s41591-020-0820-9

Arias, Y. E., Pinzon, M. V., y Zuñiga, L. F. (2020). El nuevo coronavirus 2019. ¿Se necesita resiliencia estratégica, operativa y económica frente a los riesgos globales emergentes? ResearchGate. https://www.researchgate.net/publication/340088302_El_nuevo_coronavirus_2019_se_necesita_resiliencia_estrategica_operativa_y_economica_frente_a_los_riesgos_globales_emergentes

Aziz, N. M. A. A., y Jambari, D. I. (2019, 9-10 de julio). Information Management Procedures for Business Continuity Plan Maintenance. 2019 International Conference on Electrical Engineering and Informatics (ICEEI). Bandung, Indonesia. https://doi.org/10.1109/ICEEI47359.2019.8988804

Baba, H., Watanabe, T., Nagaishi, M., y Matsumoto, H. (2014). Area Business Continuity Management, a New Opportunity for Building Economic Resilience. Procedia Economics and Finance, 18, 296-303. https://doi.org/10.1016/S2212-5671(14)00943-5

Bakar, Z. A., Azbiya Yaacob, N. ul S., y Udin, Z. M. (2015). Business Continuity Management Factors and Organizational Performance: A study on the Moderating Role of it Capability. Journal of Management Info, 2(3), 5-12. https://doi.org/10.31580/jmi.v7i1.38

Blos, M. F., Hoeflich, S. L., & Miyagi, P. E. (2015). A General Supply Chain Continuity Management Framework. Procedia Computer Science, 55, 1160-1164. https://doi.org/10.1016/j.procs.2015.07.087

Bruneau, M., Chang, S. E., Eguchi, R. T., Lee, G. C., O’Rourke, T. D., Reinhorn, A. M., Shinozuka, M., Tierney, K., Wallace, W. A., y von Winterfeldt, D. (2003). A Framework to Quantitatively Assess and Enhance the Seismic Resilience of Communities. Earthquake Spectra, 19(4), 733-752. https://doi.org/10.1193/1.1623497

Bustos, J. D. (2016). Análisis de las metodologías de gestión de riesgos para garantizar la continuidad del negocio en el departamento de tecnologías de la información en la Corporación Nacional de Electricidad en Esmeraldas [tesis de pregrado]. Pontificia Universidad Católica del Ecuador.

Carrizo, D., Alfaro, A. A., y Loyola, R. (2016). Propuesta de un modelo de plan de continuidad: Un estudio de caso. Memorias de la Décima Quinta Conferencia Iberoamericana en Sistemas, Cibernética e Informática (CISCI 2016) (pp. 97-102). http://www.iiis.org/CDs2016/CD2016Summer/papers/CA539WU.pdf

Engemann, K. J., y Miller, H. E. (2015). Risk Strategy and Attitudinal Sensitivity. Cybernetics and Systems, 46(3-4), 188-206. https://doi.org/10.1080/01969722.2015.1012890

Faertes, D. (2015). Reliability of Supply Chains and Business Continuity Management. Procedia Computer Science, 55, 1400-1409. https://doi.org/10.1016/j.procs.2015.07.130

Filipović, D., Krišto, M., y Podrug, N. (2018). Impact of crisis situations on development of business continuity management in Croatia. Management Journal of Contemporary Management Issues, 23(1), 99-122. https://doi.org/10.30924/mjcmi/2018.23.1.99

Gaspar Martínez, J. (2010). El plan de continuidad de negocio: Guía práctica para su elaboración. Díaz de Santos. http://www.editdiazdesantos.com/wwwdat/pdf/9788479787783.pdf

Gibb, F., y Buchanan, S. (2006). A framework for business continuity management. International Journal of Information Management, 26(2), 128-141. https://doi.org/10.1016/j.ijinfomgt.2005.11.008

Granda, E. M. L., y Carrión, R. G. (2017). Modelo de evaluación de gestión de continuidad del negocio basado en la norma ISO 22301:2012. Espacios, 38(54). https://www.revistaespacios.com/a17v38n54/a17v38n54p03.pdf

Heng, G. M. (2015). Business Continuity Management Planning Methodology. International Journal of Disaster Recovery and Business Continuity, 6, 9-16. https://doi.org/10.14257/ijdrbc.2015.6.02

Herbane, B. (2010). The evolution of business continuity management: A historical review of practices and drivers. Business History, 52(6), 978-1002. https://doi.org/10.1080/00076791.2010.511185

Herbane, B., Elliott, D., y Swartz, E. M. (2004). Business Continuity Management: Time for a strategic role? Long Range Planning, 37(5), 435-457. https://doi.org/10.1016/j.lrp.2004.07.011

Hinson, G. (2012). Technical Briefing: Business Continuity Management. EDPACS, 45(3), 14-25. https://doi.org/10.1080/07366981.2012.678125

Icontec. (2019). Norma técnica colombiana NTC-ISO 22301:2019 Seguridad y resiliencia. Sistema de Gestión de Continuidad de Negocio. Requisitos. Icontec.

International Labour Organization. (2012). Multi-hazard business continuity management: Guide for small and medium enterprises. ILO. https://www.ilo.org/wcmsp5/groups/public/---ed_emp/documents/instructionalmaterial/wcms_187875.pdf

ISO. (2017). El arte de la gobernanza. ISOFocus, 125. https://www.iso.org/files/live/sites/isoorg/files/news/magazine/ISOfocus%20(2013-NOW)/sp/ISOfocus_125.pdf

ISO. (2020a). ISO / TC 292 Online. https://www.isotc292online.org/

ISO. (2020b). El arte de los negocios. ISOFocus, 139. https://www.iso.org/files/live/sites/isoorg/files/news/magazine/ISOfocus%20(2013-NOW)/sp/ISOfocus_139_sp.pdf

Jafar, E., y Taneja, U. (2017). Determinants of business continuity management in hospitals. International Journal of Critical Infrastructures, 13(1), 57-69. https://www.inderscienceonline.com/doi/pdf/10.1504/IJCIS.2017.083640

Järveläinen, J. (2020). Understanding the Stakeholder Roles in Business Continuity Management Practices – A Study in Public Sector. Proceedings of the 53rd Hawaii International Conference on System Sciences. https://scholarspace.manoa.hawaii.edu/bitstream/10125/63980/0195.pdf

Jedynak, P. (2013). Business continuity management-the perspective of management science. International Journal of Contemporary Management, 12(4), 85-96. https://www.ejournals.eu/pliki/art/5344/pl

Jingye, L., y Takehiro, T. (2016). Practical Process for Introducing Smart Business Continuity Management of Smart City in Japan. Procedia Engineering, 146, 288-295. https://doi.org/10.1016/j.proeng.2016.06.390

Kato, M., y Charoenrat, T. (2018). Business continuity management of small and medium sized enterprises: Evidence from Thailand. International Journal of Disaster Risk Reduction, 27, 577-587. https://doi.org/10.1016/j.ijdrr.2017.10.002

Miniati, R., Dori, F., Cecconi, G., Gusinu, R., Niccolini, F., y Gentili, G. B. (2013). HTA decision support system for sustainable business continuity management in hospitals. The case of surgical activity at the University Hospital in Florence. Technology and Health Care, 21(1), 49-61. https://doi.org/10.3233/THC-120709

Morales, Y. L. (2010). Propuesta de una metodología para elaborar un programa de continuidad del negocio en México [tesis de maestría]. Instituto Politécnico Nacional. https://tesis.ipn.mx/bitstream/handle/123456789/10868/59.pdf?sequence=1&isAllowed=y

Motevali Haghighi, S., y Torabi, S. A. (2019). Business continuity-inspired fuzzy risk assessment framework for hospital information systems. Enterprise Information Systems, 14(7), 1027-1060. https://doi.org/10.1080/17517575.2019.1686657

Nieto, W. M. (2012). Sistema de gestión de la continuidad del negocio. http://polux.unipiloto.edu.co:8080/00001889.pdf

Păunescu, C., y Argatu, R. (2020). Critical functions in ensuring effective business continuity management-Evidence from romanian companies. Journal of Business Economics and Management, 21(2), 497-520. https://doi.org/10.3846/jbem.2020.12205

Păunescu, C., Popescu, M. C., y Blid, L. (2018). Business impact analysis for business continuity: Evidence from Romanian enterprises on critical functions. Management & Marketing, 13(3), 1035-1050. https://doi.org/10.2478/mmcks-2018-0021

Quevedo, J. (2012). Revisión de modelos de gestión de continuidad del negocio. Revista de investigación de Sistemas e Informática, 9(1), 91-110. https://revistasinvestigacion.unmsm.edu.pe/index.php/sistem/article/view/5620

Rabbani, M., Soufi, H. R., y Torabi, S. A. (2016). Developing a two-step fuzzy cost-benefit analysis for strategies to continuity management and disaster recovery. Safety Science, 85, 9-22. https://doi.org/10.1016/j.ssci.2015.12.025

Rezaei Soufi, H., Torabi, S. A., y Sahebjamnia, N. (2019). Developing a novel quantitative framework for business continuity planning. International Journal of Production Research, 57(3), 779-800. https://doi.org/10.1080/00207543.2018.1483586

Rodríguez, L. A. M. (2019). La gestión de continuidad del negocio como herramienta para la toma de decisiones estratégicas en la gestión gerencial [tesis de especialización]. Universidad Militar Nueva Granada. https://repository.unimilitar.edu.co/handle/10654/21412

Sasaki, H., Maruya, H., Abe, Y., Fujita, M., Furukawa, H., Fuda, M., Kamei, T., Yaegashi, N., Tominaga, T., y Egawa, S. (2020). Scoping Review of Hospital Business Continuity Plans to Validate the Improvement after the 2011 Great East Japan Earthquake and Tsunami. The Tohoku Journal of Experimental Medicine, 251(3), 147-159. https://doi.org/10.1620/tjem.251.147

Schätter, F., Hansen, O., Herrmannsdörfer, M., Wiens, M., y Schultmann, F. (2015). Conception of a Simulation Model for Business Continuity Management Against Food Supply Chain Disruptions. Procedia Engineering, 107, 146-153. https://doi.org/10.1016/j.proeng.2015.06.068

Schätter, F., Hansen, O., Wiens, M., y Schultmann, F. (2019). A decision support methodology for a disaster-caused business continuity management. Decision Support Systems, 118, 10-20. https://doi.org/10.1016/j.dss.2018.12.006

Speight, P. (2011). Business Continuity. Journal of Applied Security Research, 6(4), 529-554. https://doi.org/10.1080/19361610.2011.604021

Strelicz, A., & Bognár, F. (2020). Integrated Risk and Business Impact Analysis: A Kind of Support for ISO 22301. European Scientific Journal ESJ, 16(4). https://doi.org/10.19044/esj.2020.v16n4p1

Suresh, N., Sanders, G. L., y Braunscheidel, M. J. (2020). Business Continuity Management for Supply Chains Facing Catastrophic Events. IEEE Engineering Management Review, 48(3), 129-138. https://doi.org/10.1109/EMR.2020.3005506

Tammineedi, R. L. (2010). Business Continuity Management: A Standards-Based Approach. Information Security Journal: A Global Perspective, 19(1), 36-50. https://doi.org/10.1080/19393550903551843

Torabi, S. A., Giahi, R., y Sahebjamnia, N. (2016). An enhanced risk assessment framework for business continuity management systems. Safety Science, 89, 201-218. https://doi.org/10.1016/j.ssci.2016.06.015

Tracey, S., O’Sullivan, T. L., Lane, D. E., Guy, E., y Courtemanche, J. (2017). Promoting Resilience Using an Asset-Based Approach to Business Continuity Planning. SAGE Open, 7(2). https://doi.org/10.1177/2158244017706712

Tzenev, I., Popov, G., y Shirkova, M. (2015). Risk Assessment model based on ISO 22301:2012 “societal security. Business continuity management systems. Requirements”. Materials, Methods & Technologies, 9, 531-540. https://www.scientific-publications.net/get/1000015/1433083886255659.pdf

Wong, W. N. Z. (2019). Transforming corporate performance: A business continuity management approach. Organizational Dynamics, 48(2), 29-36. https://doi.org/10.1016/j.orgdyn.2018.08.00

Notas

* Articulo de revisión.

¹ NFPA 1600, NIST, Prácticas globales de BCM, Madurez de BC 2,0, Planeación de gestión de crisis e incidentes, Buenas prácticas para la implementación de los requerimientos (PHVA), Evaluación del riesgo de desastres naturales y formulación del PCB, De decisión, de simulación, ciclo de vida BCI-v, Gestión inteligente de la BCM en ciudades inteligentes de Japón, Activos para la salud pública, De madurez, HBCPS y SBCPS.

Notas de autor

** Magíster en Calidad y Gestión Integral (c), especialista en Higiene, Seguridad y Salud en el Trabajo, especialista en Gestión Integrada QHSE e ingeniera industrial por la Universidad Santo Tomás, Bogotá, Colombia. CVLAC: https://scienti.minciencias.gov.co/cvlac/visualizador/generarCurriculoCv.do?cod_rh=0001776045

*** Magíster en Calidad y Gestión Integral (c), ingeniero civil, tecnólogo en Topografía por la Universidad Cesmag. Universidad Santo Tomás. Bogotá, Colombia.

**** Magíster en docencia e investigación, especialista en Administración de Empresas, Especialista en docencia universitaria e ingeniero metalúrgico. Líder de investigación del convenio USTA-Icontec. CVLAC: http://scienti.colciencias.gov.co:8081/cvlac/visualizador/generarCurriculoCv.do?cod_rh=0000696412

***** Magíster en Administración de Negocios e ingeniera industrial. Línea calidad y gestión integral, Universidad Santo Tomás. Bogotá, Colombia. CVLAC: https://scienti.minciencias.gov.co/cvlac/visualizador/generarCurriculoCv.do?cod_rh=0000130630

Tabla 1
Motores de búsqueda y descriptores

Fuente: elaboración propia.

Tabla 2
Listado de fuentes bibliográficas de consulta de artículos

Fuente: elaboración propia.

Figura 1
Diagrama de flujo selección de artículos para estudio
Fuente: elaboración propia.

Tabla 3
Evolución de la gestión de continuidad del negocio

Fuente: adaptado de Herbane (2010), Morales (2010) y Jedynak (2013).

Tabla 4
Modelos de continuidad del negocio

Fuente: elaboración propia.

Tabla 5.
Estrategias de implementación de BCMS

Fuente: elaboración propia.

Tabla 6
Metodologías para la gestión de riesgos

Fuente: elaboración propia

Figura 2
Tratamiento del riesgo
Fuente: Engemann y Miller (2015), Speight (2011) y Hinson (2012).