1. el entorno de la continuidad de negocios 1. el entorno de la continuidad de negocios 1....

1

1. El entorno de la continuidad de negocios

2

El entorno de la continuidad de negocios

1. Problemáticas existentes

2. Sistemas de gestión para la continuidad de negocios

3. Normas internacionales

3

Problemáticas existentes

Haga clic en el icono para agregar una imagen

4

Problemáticas existentes¿preparados?

5


Empresa A: Centro Primario

Empresa B: Centro Primario

Empresa A: Centro Alterno

6

Problemáticas existenteslecciones aprendidas

Las pruebas del plan de continuidad de negocios fueron clave

Las operaciones críticas en un solo sitio no es una buena idea

Las personas no quieren trabajar lejos de sus familias

La empresa B no tuvo problemas por negocios, sino por edificios

El transporte fue problemático los primeros días

7

Problemáticas existentesretos

No contar con una estrategia de continuidad

Falta de apoyo de la dirección

Inexistencia de análisis de riesgos y de impacto de negocio

Falta de integración entre planes

Complejidad tecnológica

Planes no actualizados

No se realizan pruebas, auditoría, revisiones gerenciales

Planes demasiado generales o demasiado específicos

8

Problemáticas existentesefectos del 11/9

Los planes deben actualizarse y probarse frecuentemente

Se deben considerar todos los tipos de amenazas

Analizar cuidadosamente las dependencias e interdependencias

Las telecomunicaciones son esenciales

El apoyo de los empleados es importante

Las copias del plan deben almacenarse en ubicaciones seguras

La seguridad puede impedir el retorno de los empleados al edificio

El personal clave puede no estar disponible

9

Problemáticas existentes¿qué hacer en una emergencia?

¿Qué les digo a mis clientes?

¿Cómo me comunico con mis empleados y les digo a dónde llegar?

¡Mi casa está destruida! ¡No puedo llegar!

¿A dónde voy?Necesito suministros y una PC para trabajar

¿Qué le digo a los periodistas?Todos los datos se perdieron, ¿qué hago ahora?

¿Cómo me comunico con mis clientes?

10

Problemáticas existentesalgunos eventos: Hotel Dupont Plaza, San Juan, Puerto Rico

El 31 de diciembre de 1986 ocurrió un incendio en el Hotel Dupont Plaza en San Juan, Puerto Rico teniendo como resultado 97 muertos y 140 lesionados.

El fuego fue iniciado por un empleado incorme

2,300 demandantes

Drexel Heritage Furnishing fue encontrada “no responsable” por el jurado en 1989

11

Problemáticas existentesalgunos eventos: Play-Doh Co

En 1993, Play-Doh Co inhabilitó a 80 empleados debido a que uno de sus proveedores en Illinois era incapaz de proveer la harina utilizada para la fabricación de masa para modelar

El proveedor fue afectado por la “gran inundación de 1993”

Los trabajadores fueron llamados después de que se encontró un nuevo proveedor

12

Problemáticas existentesalgunos eventos: Federal Reserve Bank of San Francisco

En 1992, el Federal Reserve Bank de San Francisco realizó una prueba de su plan de recuperación ante desastres.

Como resultado de las actividades realizadas durante la prueba, un mainframe dejó de operar durante 12 horas, afectando a usuarios en California y Arizona.

15 instituciones bancarias fueron afectadas

El banco atribuye el hecho a un error humano

13

Problemáticas existentesalgunos eventos: Memorial Hospital, Martinsville, Virginia

En 1996, cinco hombres “enmascarados” ingresaron a la sala de emergencias del Memorial Hospital en Martinsville, Virginia, apuntando sus armas al personal y demandando medicamentos.

La prueba fue preparada por el staff de seguridad del hospital.

Ejercicio mal ejecutado

14

Naturales y ambientales

Inundaciones Incendios Sequía Tornados Rayos Huracanes Volcanes Gripes aviar/porcina Tormentas Terromotos

Problemáticas existentesAmenazas que impactan al negocio

15

Humanas

Robo/Sabotaje/Vandalismo Incendio Motines y disturbios civiles Conflictos laborales Avisos de bombas y Hoax Cambios regulatorios o legales Violencia en el puesto de trabajo Terrorismo y guerras Riesgos químicos y biológicos Errores humanos en

procesamiento


16

Infraestructura

Caídas del sistema

Fallas en el link de comunicaciones

Cortes de energía

Fallas en componentes de la red

Intrusos

Ataques de virus

Problemas de transporte

Provisión de combustible

Contaminación de agua o comida


17

Mitos Realidades

“No nos pasará a nosotros”

“Vamos a superarlo, siempre lo hacemos”

“Somos grandes como para caer”

“No somos objetivo de terroristas”

“Todo ha operado bien hasta ahora”

“Tenemos aseguradora”

“El riesgo es insignificante”

“Nuestros clientes comprenderán”

Pérdida de negocios e ingresos

Imagen corporativa

Multas y sanciones

Cuestionamiento de confiabilidad

Fuga de clientes y de recursos

Erosión en la participación de mercado

Eventual cierre del negocio


18

Problemáticas existentesHechos

La mayoría piensa que no tiene tiempo para dedicarlo a incidentes que nunca pasarán

El 40% de las empresas que han sufrido desastres nunca pudieron volver a operar. De las que abrieron, casi el 30% cerraron a los dos años

De las 930 empresas del WTC afectadas el 11/9, más de 550 cerraron 18 meses después

Las empresas pueden perder el 75% de sus negocios después de un desastre

El negocio puede quedar destruido por la pérdida de un activo crítico por más de 10 días

La pérdida de acceso al e-mail durante un día, ¿puede traerle serios daños al negocio?

20

Problemáticas existentes¿Cómo queremos estar en caso de una contingencia?

21

Sistemas de Gestión para la Continuidad de Negocios


22

Gestión de la continuidad de negocio

Tareas diarias

Actividad que se lleva a cabo en una organización para asegurar que todos los procesos de negocio críticos estarán disponibles para clientes, proveedores, y otras entidades que deben acceder a ellos

Gestión de proyectos

Copias de seguridad de los sistemas

Control de cambiosHelpdesk

Sistemas de Gestión para la Continuidad de Negociosdefiniciones

23

Sistemas de Gestión para la Continuidad de Negocios¿al momento del desastre?

La gestión de la continuidad no se implanta cuando ocurre un desastre, si no que hace referencia a todas aquellas actividades que se llevan a cabo diariamente para mantener el servicio y facilitar la recuperación

¿Base?

Políticas

Guías

Estándares

Procedimientos

Implementados por una organización

24

Recuperación de desastres

Son conceptos diferentes

Pequeña parte de la gestión de la continuidad

Sistemas de Gestión para la Continuidad de Negocios¿gestión de continuidad = gestión de recuperación tras un desastre?

25

Continuidad del negocioPlanificación de la continuidad de negocio

Describe una filosofía o metodología para desarrollar la actividad del negocio

Actividad que determina cual debe ser esta metodología


26

Plan de continuidad del negocio

Metodología utilizada por los usuarios de la organización diariamente para asegurar el desarrollo normal del negocio


27

Business Continuity (BC)

Business Continuity Plan (BCP)

Habilidad estratégica y táctica de la organización para planificar y responder a incidentes y/o disrupciones del negocio para poder continuar operando en un nivel aceptable predefinido

Es una colección de documentos con procedimientos e información, desarrollada, compilada, mantenida y lista para utilizar durante una crisis con objetivo de lograr que la organización continue desarrollando sus actividades críticas en un nivel aceptado predefinido


28

Políticas Guías

Serie de normas impuestas por las esferas directivas de la organización que soportan todos los procesos de negocio y que se desarrollan siguiente un plan predeterminado

Serie de conceptos de los que se recomienda su seguimiento según el plan designado

Dependiendo de las necesidades y requisitos del negocios, pueden ser ignoradas o alteradas durante la implementación


29

Estándares Procedimientos

Consisten en las especificaciones técnicas realizadas para la implementación de todos los procesos de negocio

Derivados de las políticas y las guías

El estándar británico BS 25999-1 ofrece especificaciones para la implementación de un sistema de gestión de la continuidad en una organización


30

Incidente Desastre

Es una situación que puede terminar en una disrupción del negocio, pérdidas, emergencias o crisis

Un evento repentino, no planificado que trae aparejados grandes daños y pérdidas

Todo evento que impide a la organización desarrollar sus funciones críticas del negocio durante un cierto período crítico de tiempo


31

Emergencia/Crisis

Cualquier evento no planificado que puede causar muertes o lastimar a los empleados, clientes, público en general o que puede cortar la operación del negocio, hacer cerrar el negocio, causar daños físicos o hacer perder imagen corporativa


32

Operations Risk Management

Planificar la Continuidad del Negocio es un pre-requisito clave para minimizar los efectos negativos de una de las más importantes áreas del riesgo operaticional: disrupción del negocio y fallas en los sistemas

¿De qué depende la organización para operar?

¿Qué puede suceder?

¿Cuándo, dónde y cómo?

¿Cuáles son los procesos y activos críticos?


33

Business Continuity Management

Es un proceso de gestión para identificar las posibles amenazas para la organización que impactan en las operaciones del negocio

Si estas amenazas ocurren, debe proveer un marco de trabajo para lograr que la organización sea resiliente, con capacidades efectivas de respuesta que permitan proteger los intereses de los stakeholders, reputación de la empresa, imagen corporativa y valores


34

Sistemas de Gestión para la Continuidad de Negociosvolver a la normalidad lo antes posible

35


36

Recovery Time Objective (RTO)

Recovery Point Objective (RPO)

Es el tiempo definido después de un incidente para:

Reanudar la entrega de productos

Reanudar el desempeño de una actividad

Recuperar TI o aplicaciones

Es el espacio de tiempo definido para: Recuperación de la

información, la más reciente posible

Basado en los tiempos de caída y pérdida de datos aceptada

Indica el punto en el tiempo más cercano en el que las operaciones del negocio reanudarán después de un desastre


37

Sistemas de Gestión para la Continuidad de NegociosEvolución de la terminología

DRP/DRM• Disaster Recovery

Plan• Plan de

Recuperación de Tecnología

• Década de los 80’s

BCP/BCM• Business

Continuity Plan/Management

• Plan de recuperación de operaciones de negocio antes eventos

• Década de los 90’s• Estándar

dominante BS 25999

IPOCM• Incident

Preparedness and Operational Continuity Management

• Gestión de incidentes y Continuidad de Operaciones

• 2007 en adelante• Estándar

dominante ISO/PAS 22399

38

Sistemas de Gestión para la Continuidad de NegociosEvolución de la terminología

Plan Propósito Alcance

Continuidad de Negocio (BCP)

Provee procedimientos para sostener el negocio mientras se recupera de un incidente

Procesos de Negocio y soporte de tecnología necesaria

Recuperación antes Desastres (DRP)

Provee procedimientos para recuperar en un sitio alternativo

Enfocado en TI y limitado a grandes interrupciones con efectos de largo alcance

39

Sistemas de Gestión para la Continuidad de Negociosevolución de la terminología

Plan de contingencias (CP)Plan de Recuperación de Desastres (DRP)Plan de Continuidad de las Operaciones (COOP)Plan de Continuidad del Negocio (BCP)Plan de Reanudación del Negocio (BRP)Gestión de Continuidad del Negocio (BCM)Programa de Gestión de la Continuidad del Negocio

(BCMP)Sistema de Gestión de Continuidad del Negocio (BCMS)¿Sistema de Gestión de Preparación y Continuidad

(PCMS)?

40

Sistemas de Gestión para la Continuidad de NegociosRelación Jerárquica

IOCM (Incident Preparedness &

Operational Continuity)

BCM (Business Continuity

Management)

BCP (Business Continuity Plan)

DRP (Disaster Recovery Plan)

41

Sistemas de Gestión para la Continuidad de Negocios¿DRP o BCP?

Disaster Recovery Planning

Business Continuity Planning

Descripción Prevención y recuperación en escenarios de mayor probabilidad y ocurrencia

Mantenimiento de la actividad de la empresa mediante la recuperación de los procesos o la aplicación de procesos de emergencia

Ámbito de aplicación

Sistemas de información Empresa

Crítico Tiempos de pérdida y recuperación de información

Análisis de Impacto económico de Negocio de una detención de la actividad

42


Objetivos de un plan de continuidad de negocio

Aumentar la probabilidad de continuidad de las funciones críticas de la organización en caso de que un incidente interrumpa las operaciones informáticas en las que se apoyan

Proporcionar un enfoque organizado y consolidado para dirigir actividades de respuesta y recuperación ante cualquier incidente o interrupción de trabajo imprevista, evitando confusión y reduciendo la situación de tensión

Proporcionar una respuesta rápida y apropiada a cualquier incidente imprevisto, reduciendo así los impactoa resultantes de interrupciones de trabajo a corto plazo

Recuperar las funciones críticas de negocio de manera oportuna, aumentando la capacidad de la organización para recuperarlas ante un incidente que haya dejado las instalaciones informáticas dañadas o destruidas

43

Sistemas de Gestión para la Continuidad de Negocios Objetivos de un plan de continuidad de negocio

Aumentar la probabilidad de continuidad del servicio informático de la organización en caso de que un incidente interrumpa sus operaciones normales

Reducir el tiempo de recuperación, y como consecuencia, las pérdidas económicas, directas o inducidas, como resultado de un desastre

Reducir el impacto, tangible o intangible, en las áreas funcionales como consecuencia de una interrupción del servicio informático

Realizar la recuperación de las funciones críticas, mediante el desarrollo de los procedimientos necesarios para:

Reducir la duración de la recuperación

Minimizar el costo de la recuperación

Evitar la confusión y reducir el riesgo de errores

Evitar la duplicación de esfuerzos

44

Sistemas de Gestión para la Continuidad de Negocios¿qué no puede faltar en el plan?

Por qué se debe hacer

Quién lo debe hacer

Cómo y qué se debe hacer

Cuándo y Dónde se debe hacer

Qué políticas, reglas y estándares se seguirán

Quién puede cambiar el plan y en qué circunstancias

Bajo que circunstancias se

declarará superado el incidente

45

Sistemas de Gestión para la Continuidad de Negocioselementos

Parte 1Prácticas no auditables(sugerencias, comentarios, guías,etc.)

Parte 2Requisitos de Sistemasde Gestión(auditoría, accióncorrectiva y preventiva,etc.)

RequisitosComunes

46


Parte 1Ciclo de vida de BCM

Parte 2BCMS basado en el modelo P-D-C-A

Planear – Hacer – Verificar – Actuar

47

Ciclo de vida de BCM BCMS


48

Sistemas de Gestión para la Continuidad de Negocioselementos del Ciclo de Vida de BCM

49

Sistemas de Gestión para la Continuidad de Negocioselementos del BCMS

50


Administración

Business Continuity

Management

Site Recovery Planning

Business Continuity Planning

Crisis Management Planning

Technology Recovery Planning

Work Area Recovery Planning

Human Resources Planning

51

Normas internacionales


52

Normas internacionales¿por qué?

Tendemos a minimizar o ignorar riesgos

53

Normas internacionalesevolución en el tiempo

2006 BS 25999-1

2007 BS25999-2, ISO 22399

2008 BS 25777

2011 ISO 27031

2012 ISO 22301

54

Normas internacionalesBritish Standards (BS)

Continuidad de

Negocio

BS 25999-1Código de Práctica

BS 25999-2Sistema de Gestión de

Continuidad de Negocio

BS2577Código de

Práctica TIC

55

Normas internacionalesNormas Relacionadas ISO

Continuidad de

Negocio

ISO 22399Código de Práctica

ISO 22301Sistema de Gestión de

Continuidad de Negocio

ISO 27031Código de

Práctica TIC

56

Normas InternacionalesISO/PAS 22399:2007

Guía para la preparación de incidentes y Gestión de la Continuidad Operacional

57

Normales internacionalesantecedentes

ISO/PAS 22399:2007

NFPA 1600:2004 National Fire

Protection Association - USA

HB 221:2004Estándar australiano

BS 25999-1

Estándar Reino Unido

58

Normas internacionalesISO/PAS 22399

Guía general para que las empresas desarrollen su propio criterio específico de desempeño para

Preparación de Incidentes

Continuidad Operacional

Medir la capacidad de recuperación

59

Normas internacionalesISO/PAS 22399: aplicación

Comprender el contexto total de

operaciones

Comprender barreras, riesgos

y disrupciones que pueden impedir los

objetivos críticos

Evaluar el riesgo residual y la tolerancia al

riesgo

Planear la continuidad en

caso de que ocurra un evento

disruptivo

Desarrollar respuestas a incidentes y emergencias

Definir roles, responsabilidades

y recursos

Cumplir con requerimientos regulatorios y

leyes

60

Normas internacionalesISO/PAS 22399: fases

Mantenimiento del plan

Prueba del plan

Entrega del plan

Enfoque de diseño del plan

Análisis del impacto de negocio

Definir el marco de trabajo

61

Fin

1. el entorno de la continuidad de negocios 1. el entorno de la continuidad de negocios 1....

Documents