Post on 02-Apr-2015
1
1. El entorno de la continuidad de negocios
2
El entorno de la continuidad de negocios
1. Problemáticas existentes
2. Sistemas de gestión para la continuidad de negocios
3. Normas internacionales
3
Problemáticas existentes
Haga clic en el icono para agregar una imagen
4
Problemáticas existentes¿preparados?
5
Problemáticas existentes
Empresa A: Centro Primario
Empresa B: Centro Primario
Empresa A: Centro Alterno
6
Problemáticas existenteslecciones aprendidas
Las pruebas del plan de continuidad de negocios fueron clave
Las operaciones críticas en un solo sitio no es una buena idea
Las personas no quieren trabajar lejos de sus familias
La empresa B no tuvo problemas por negocios, sino por edificios
El transporte fue problemático los primeros días
7
Problemáticas existentesretos
No contar con una estrategia de continuidad
Falta de apoyo de la dirección
Inexistencia de análisis de riesgos y de impacto de negocio
Falta de integración entre planes
Complejidad tecnológica
Planes no actualizados
No se realizan pruebas, auditoría, revisiones gerenciales
Planes demasiado generales o demasiado específicos
8
Problemáticas existentesefectos del 11/9
Los planes deben actualizarse y probarse frecuentemente
Se deben considerar todos los tipos de amenazas
Analizar cuidadosamente las dependencias e interdependencias
Las telecomunicaciones son esenciales
El apoyo de los empleados es importante
Las copias del plan deben almacenarse en ubicaciones seguras
La seguridad puede impedir el retorno de los empleados al edificio
El personal clave puede no estar disponible
9
Problemáticas existentes¿qué hacer en una emergencia?
¿Qué les digo a mis clientes?
¿Cómo me comunico con mis empleados y les digo a dónde llegar?
¡Mi casa está destruida! ¡No puedo llegar!
¿A dónde voy?Necesito suministros y una PC para trabajar
¿Qué le digo a los periodistas?Todos los datos se perdieron, ¿qué hago ahora?
¿Cómo me comunico con mis clientes?
10
Problemáticas existentesalgunos eventos: Hotel Dupont Plaza, San Juan, Puerto Rico
El 31 de diciembre de 1986 ocurrió un incendio en el Hotel Dupont Plaza en San Juan, Puerto Rico teniendo como resultado 97 muertos y 140 lesionados.
El fuego fue iniciado por un empleado incorme
2,300 demandantes
Drexel Heritage Furnishing fue encontrada “no responsable” por el jurado en 1989
11
Problemáticas existentesalgunos eventos: Play-Doh Co
En 1993, Play-Doh Co inhabilitó a 80 empleados debido a que uno de sus proveedores en Illinois era incapaz de proveer la harina utilizada para la fabricación de masa para modelar
El proveedor fue afectado por la “gran inundación de 1993”
Los trabajadores fueron llamados después de que se encontró un nuevo proveedor
12
Problemáticas existentesalgunos eventos: Federal Reserve Bank of San Francisco
En 1992, el Federal Reserve Bank de San Francisco realizó una prueba de su plan de recuperación ante desastres.
Como resultado de las actividades realizadas durante la prueba, un mainframe dejó de operar durante 12 horas, afectando a usuarios en California y Arizona.
15 instituciones bancarias fueron afectadas
El banco atribuye el hecho a un error humano
13
Problemáticas existentesalgunos eventos: Memorial Hospital, Martinsville, Virginia
En 1996, cinco hombres “enmascarados” ingresaron a la sala de emergencias del Memorial Hospital en Martinsville, Virginia, apuntando sus armas al personal y demandando medicamentos.
La prueba fue preparada por el staff de seguridad del hospital.
Ejercicio mal ejecutado
14
Naturales y ambientales
Inundaciones Incendios Sequía Tornados Rayos Huracanes Volcanes Gripes aviar/porcina Tormentas Terromotos
Problemáticas existentesAmenazas que impactan al negocio
15
Humanas
Robo/Sabotaje/Vandalismo Incendio Motines y disturbios civiles Conflictos laborales Avisos de bombas y Hoax Cambios regulatorios o legales Violencia en el puesto de trabajo Terrorismo y guerras Riesgos químicos y biológicos Errores humanos en
procesamiento
Problemáticas existentesAmenazas que impactan al negocio
16
Infraestructura
Caídas del sistema
Fallas en el link de comunicaciones
Cortes de energía
Fallas en componentes de la red
Intrusos
Ataques de virus
Problemas de transporte
Provisión de combustible
Contaminación de agua o comida
Problemáticas existentesAmenazas que impactan al negocio
17
Mitos Realidades
“No nos pasará a nosotros”
“Vamos a superarlo, siempre lo hacemos”
“Somos grandes como para caer”
“No somos objetivo de terroristas”
“Todo ha operado bien hasta ahora”
“Tenemos aseguradora”
“El riesgo es insignificante”
“Nuestros clientes comprenderán”
Pérdida de negocios e ingresos
Imagen corporativa
Multas y sanciones
Cuestionamiento de confiabilidad
Fuga de clientes y de recursos
Erosión en la participación de mercado
Eventual cierre del negocio
Problemáticas existentes
18
Problemáticas existentesHechos
La mayoría piensa que no tiene tiempo para dedicarlo a incidentes que nunca pasarán
El 40% de las empresas que han sufrido desastres nunca pudieron volver a operar. De las que abrieron, casi el 30% cerraron a los dos años
De las 930 empresas del WTC afectadas el 11/9, más de 550 cerraron 18 meses después
Las empresas pueden perder el 75% de sus negocios después de un desastre
El negocio puede quedar destruido por la pérdida de un activo crítico por más de 10 días
La pérdida de acceso al e-mail durante un día, ¿puede traerle serios daños al negocio?
19
20
Problemáticas existentes¿Cómo queremos estar en caso de una contingencia?
21
Sistemas de Gestión para la Continuidad de Negocios
Haga clic en el icono para agregar una imagen
22
Gestión de la continuidad de negocio
Tareas diarias
Actividad que se lleva a cabo en una organización para asegurar que todos los procesos de negocio críticos estarán disponibles para clientes, proveedores, y otras entidades que deben acceder a ellos
Gestión de proyectos
Copias de seguridad de los sistemas
Control de cambiosHelpdesk
Sistemas de Gestión para la Continuidad de Negociosdefiniciones
23
Sistemas de Gestión para la Continuidad de Negocios¿al momento del desastre?
La gestión de la continuidad no se implanta cuando ocurre un desastre, si no que hace referencia a todas aquellas actividades que se llevan a cabo diariamente para mantener el servicio y facilitar la recuperación
¿Base?
Políticas
Guías
Estándares
Procedimientos
Implementados por una organización
24
Recuperación de desastres
Son conceptos diferentes
Pequeña parte de la gestión de la continuidad
Sistemas de Gestión para la Continuidad de Negocios¿gestión de continuidad = gestión de recuperación tras un desastre?
25
Continuidad del negocioPlanificación de la continuidad de negocio
Describe una filosofía o metodología para desarrollar la actividad del negocio
Actividad que determina cual debe ser esta metodología
Sistemas de Gestión para la Continuidad de Negociosdefiniciones
26
Plan de continuidad del negocio
Metodología utilizada por los usuarios de la organización diariamente para asegurar el desarrollo normal del negocio
Sistemas de Gestión para la Continuidad de Negociosdefiniciones
27
Business Continuity (BC)
Business Continuity Plan (BCP)
Habilidad estratégica y táctica de la organización para planificar y responder a incidentes y/o disrupciones del negocio para poder continuar operando en un nivel aceptable predefinido
Es una colección de documentos con procedimientos e información, desarrollada, compilada, mantenida y lista para utilizar durante una crisis con objetivo de lograr que la organización continue desarrollando sus actividades críticas en un nivel aceptado predefinido
Sistemas de Gestión para la Continuidad de Negociosdefiniciones
28
Políticas Guías
Serie de normas impuestas por las esferas directivas de la organización que soportan todos los procesos de negocio y que se desarrollan siguiente un plan predeterminado
Serie de conceptos de los que se recomienda su seguimiento según el plan designado
Dependiendo de las necesidades y requisitos del negocios, pueden ser ignoradas o alteradas durante la implementación
Sistemas de Gestión para la Continuidad de Negociosdefiniciones
29
Estándares Procedimientos
Consisten en las especificaciones técnicas realizadas para la implementación de todos los procesos de negocio
Derivados de las políticas y las guías
El estándar británico BS 25999-1 ofrece especificaciones para la implementación de un sistema de gestión de la continuidad en una organización
Sistemas de Gestión para la Continuidad de Negociosdefiniciones
30
Incidente Desastre
Es una situación que puede terminar en una disrupción del negocio, pérdidas, emergencias o crisis
Un evento repentino, no planificado que trae aparejados grandes daños y pérdidas
Todo evento que impide a la organización desarrollar sus funciones críticas del negocio durante un cierto período crítico de tiempo
Sistemas de Gestión para la Continuidad de Negociosdefiniciones
31
Emergencia/Crisis
Cualquier evento no planificado que puede causar muertes o lastimar a los empleados, clientes, público en general o que puede cortar la operación del negocio, hacer cerrar el negocio, causar daños físicos o hacer perder imagen corporativa
Sistemas de Gestión para la Continuidad de Negociosdefiniciones
32
Operations Risk Management
Planificar la Continuidad del Negocio es un pre-requisito clave para minimizar los efectos negativos de una de las más importantes áreas del riesgo operaticional: disrupción del negocio y fallas en los sistemas
¿De qué depende la organización para operar?
¿Qué puede suceder?
¿Cuándo, dónde y cómo?
¿Cuáles son los procesos y activos críticos?
Sistemas de Gestión para la Continuidad de Negociosdefiniciones
33
Business Continuity Management
Es un proceso de gestión para identificar las posibles amenazas para la organización que impactan en las operaciones del negocio
Si estas amenazas ocurren, debe proveer un marco de trabajo para lograr que la organización sea resiliente, con capacidades efectivas de respuesta que permitan proteger los intereses de los stakeholders, reputación de la empresa, imagen corporativa y valores
Sistemas de Gestión para la Continuidad de Negociosdefiniciones
34
Sistemas de Gestión para la Continuidad de Negociosvolver a la normalidad lo antes posible
35
Sistemas de Gestión para la Continuidad de Negociosdefiniciones
36
Recovery Time Objective (RTO)
Recovery Point Objective (RPO)
Es el tiempo definido después de un incidente para:
Reanudar la entrega de productos
Reanudar el desempeño de una actividad
Recuperar TI o aplicaciones
Es el espacio de tiempo definido para: Recuperación de la
información, la más reciente posible
Basado en los tiempos de caída y pérdida de datos aceptada
Indica el punto en el tiempo más cercano en el que las operaciones del negocio reanudarán después de un desastre
Sistemas de Gestión para la Continuidad de Negociosdefiniciones
37
Sistemas de Gestión para la Continuidad de NegociosEvolución de la terminología
DRP/DRM• Disaster Recovery
Plan• Plan de
Recuperación de Tecnología
• Década de los 80’s
BCP/BCM• Business
Continuity Plan/Management
• Plan de recuperación de operaciones de negocio antes eventos
• Década de los 90’s• Estándar
dominante BS 25999
IPOCM• Incident
Preparedness and Operational Continuity Management
• Gestión de incidentes y Continuidad de Operaciones
• 2007 en adelante• Estándar
dominante ISO/PAS 22399
38
Sistemas de Gestión para la Continuidad de NegociosEvolución de la terminología
Plan Propósito Alcance
Continuidad de Negocio (BCP)
Provee procedimientos para sostener el negocio mientras se recupera de un incidente
Procesos de Negocio y soporte de tecnología necesaria
Recuperación antes Desastres (DRP)
Provee procedimientos para recuperar en un sitio alternativo
Enfocado en TI y limitado a grandes interrupciones con efectos de largo alcance
39
Sistemas de Gestión para la Continuidad de Negociosevolución de la terminología
Plan de contingencias (CP)Plan de Recuperación de Desastres (DRP)Plan de Continuidad de las Operaciones (COOP)Plan de Continuidad del Negocio (BCP)Plan de Reanudación del Negocio (BRP)Gestión de Continuidad del Negocio (BCM)Programa de Gestión de la Continuidad del Negocio
(BCMP)Sistema de Gestión de Continuidad del Negocio (BCMS)¿Sistema de Gestión de Preparación y Continuidad
(PCMS)?
40
Sistemas de Gestión para la Continuidad de NegociosRelación Jerárquica
IOCM (Incident Preparedness &
Operational Continuity)
BCM (Business Continuity
Management)
BCP (Business Continuity Plan)
DRP (Disaster Recovery Plan)
41
Sistemas de Gestión para la Continuidad de Negocios¿DRP o BCP?
Disaster Recovery Planning
Business Continuity Planning
Descripción Prevención y recuperación en escenarios de mayor probabilidad y ocurrencia
Mantenimiento de la actividad de la empresa mediante la recuperación de los procesos o la aplicación de procesos de emergencia
Ámbito de aplicación
Sistemas de información Empresa
Crítico Tiempos de pérdida y recuperación de información
Análisis de Impacto económico de Negocio de una detención de la actividad
42
Sistemas de Gestión para la Continuidad de Negocios
Objetivos de un plan de continuidad de negocio
Aumentar la probabilidad de continuidad de las funciones críticas de la organización en caso de que un incidente interrumpa las operaciones informáticas en las que se apoyan
Proporcionar un enfoque organizado y consolidado para dirigir actividades de respuesta y recuperación ante cualquier incidente o interrupción de trabajo imprevista, evitando confusión y reduciendo la situación de tensión
Proporcionar una respuesta rápida y apropiada a cualquier incidente imprevisto, reduciendo así los impactoa resultantes de interrupciones de trabajo a corto plazo
Recuperar las funciones críticas de negocio de manera oportuna, aumentando la capacidad de la organización para recuperarlas ante un incidente que haya dejado las instalaciones informáticas dañadas o destruidas
43
Sistemas de Gestión para la Continuidad de Negocios Objetivos de un plan de continuidad de negocio
Aumentar la probabilidad de continuidad del servicio informático de la organización en caso de que un incidente interrumpa sus operaciones normales
Reducir el tiempo de recuperación, y como consecuencia, las pérdidas económicas, directas o inducidas, como resultado de un desastre
Reducir el impacto, tangible o intangible, en las áreas funcionales como consecuencia de una interrupción del servicio informático
Realizar la recuperación de las funciones críticas, mediante el desarrollo de los procedimientos necesarios para:
Reducir la duración de la recuperación
Minimizar el costo de la recuperación
Evitar la confusión y reducir el riesgo de errores
Evitar la duplicación de esfuerzos
44
Sistemas de Gestión para la Continuidad de Negocios¿qué no puede faltar en el plan?
Por qué se debe hacer
Quién lo debe hacer
Cómo y qué se debe hacer
Cuándo y Dónde se debe hacer
Qué políticas, reglas y estándares se seguirán
Quién puede cambiar el plan y en qué circunstancias
Bajo que circunstancias se
declarará superado el incidente
45
Sistemas de Gestión para la Continuidad de Negocioselementos
Parte 1Prácticas no auditables(sugerencias, comentarios, guías,etc.)
Parte 2Requisitos de Sistemasde Gestión(auditoría, accióncorrectiva y preventiva,etc.)
RequisitosComunes
46
Sistemas de Gestión para la Continuidad de Negocioselementos
Parte 1Ciclo de vida de BCM
Parte 2BCMS basado en el modelo P-D-C-A
Planear – Hacer – Verificar – Actuar
47
Ciclo de vida de BCM BCMS
Sistemas de Gestión para la Continuidad de Negocioselementos
48
Sistemas de Gestión para la Continuidad de Negocioselementos del Ciclo de Vida de BCM
49
Sistemas de Gestión para la Continuidad de Negocioselementos del BCMS
50
Sistemas de Gestión para la Continuidad de Negocios
Administración
Business Continuity
Management
Site Recovery Planning
Business Continuity Planning
Crisis Management Planning
Technology Recovery Planning
Work Area Recovery Planning
Human Resources Planning
51
Normas internacionales
Haga clic en el icono para agregar una imagen
52
Normas internacionales¿por qué?
Tendemos a minimizar o ignorar riesgos
53
Normas internacionalesevolución en el tiempo
2006 BS 25999-1
2007 BS25999-2, ISO 22399
2008 BS 25777
2011 ISO 27031
2012 ISO 22301
54
Normas internacionalesBritish Standards (BS)
Continuidad de
Negocio
BS 25999-1Código de Práctica
BS 25999-2Sistema de Gestión de
Continuidad de Negocio
BS2577Código de
Práctica TIC
55
Normas internacionalesNormas Relacionadas ISO
Continuidad de
Negocio
ISO 22399Código de Práctica
ISO 22301Sistema de Gestión de
Continuidad de Negocio
ISO 27031Código de
Práctica TIC
56
Normas InternacionalesISO/PAS 22399:2007
Guía para la preparación de incidentes y Gestión de la Continuidad Operacional
57
Normales internacionalesantecedentes
ISO/PAS 22399:2007
NFPA 1600:2004 National Fire
Protection Association - USA
HB 221:2004Estándar australiano
BS 25999-1
Estándar Reino Unido
58
Normas internacionalesISO/PAS 22399
Guía general para que las empresas desarrollen su propio criterio específico de desempeño para
Preparación de Incidentes
Continuidad Operacional
Medir la capacidad de recuperación
59
Normas internacionalesISO/PAS 22399: aplicación
Comprender el contexto total de
operaciones
Comprender barreras, riesgos
y disrupciones que pueden impedir los
objetivos críticos
Evaluar el riesgo residual y la tolerancia al
riesgo
Planear la continuidad en
caso de que ocurra un evento
disruptivo
Desarrollar respuestas a incidentes y emergencias
Definir roles, responsabilidades
y recursos
Cumplir con requerimientos regulatorios y
leyes
60
Normas internacionalesISO/PAS 22399: fases
Mantenimiento del plan
Prueba del plan
Entrega del plan
Enfoque de diseño del plan
Análisis del impacto de negocio
Definir el marco de trabajo
61
Fin