Plan de Continuidad de Negocios

5.858 visualizaciones

Publicado el

Una guía de porque establecer un Plan de Continuidad de Negocios, las normas relacionadas y una breve introducción a la norma ISO/PAS 22399

Publicado en: Empresariales
0 comentarios
2 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
5.858
En SlideShare
0
De insertados
0
Número de insertados
871
Acciones
Compartido
0
Descargas
354
Comentarios
0
Recomendaciones
2
Insertados 0
No insertados

No hay notas en la diapositiva.

Plan de Continuidad de Negocios

  1. 1. PLAN DE CONTINUIDAD DE NEGOCIOS Carlos Francavilla http://cafrancavilla.com
  2. 2. ¿Porqué un Plan de Continuidad? Carlos Francavilla
  3. 3. ¿A qué nos Exponemos? Sabotaje Accidentes Desastres Naturales Fallas de servicios públicos Ataques cibernéticos Desastres del entorno Energía Carlos Francavilla
  4. 4. Los efectos del 9-11 Los planes deben actualizarse y probarse frecuentemente • Se deben considerar todos los tipos de amenazas • Analizar cuidadosamente las dependencias e interdependencias • Las telecomunicaciones son esenciales • El apoyo de los empleados es importante • Las copias del plan deben almacenarse en ubicaciones seguras • La seguridad puede impedir el retorno de los empleados al edificio El personal clave puede no estar disponible Carlos Francavilla
  5. 5. ¿Qué tan Preparados estamos? ¡Menos mal que salimos a tiempo! Carlos Francavilla
  6. 6. ¿Porqué una Norma Internacional? Tendemos a Minimizar o Ignorar Riesgos Carlos Francavilla
  7. 7. Impacto de Incidentes De 5 empresas que experimentaron un desastre o falla extendida • Dos nunca continuaron su operación • Una cerro en los siguientes dos años 60 % de las empresas que experimentaron un desastre cerraron sus puertas a los dos años Fuente Gartner Business are fragile entities Carlos Francavilla
  8. 8. Ciclo de Vida de la Continuidad Comprender la Organización Estrategia de Continuidad Desarrollo e Implantación del Plan Prueba y Revisión Continua del Plan Carlos Francavilla
  9. 9. Evolución de la Terminología DRP/DRM •Disater Recovery Plan •Plan de Recuperación de Tecnología •Década del 80 BCP/BCM •Business Continuity Plan/Management •Plan de recuperación de operaciones de negocio ante eventos •Década del 90 •Estándar dominante BS 25999 IPOCM •Incident Preparedness and Operational Continuity Management •Gestión de incidentes y Continuidad de Operaciones •2007 en adelante •Estándar dominante ISO/PAS 22399 Plan Propósito Alcance Continuidad de Negocio (BCP) Provee procedimientos para sostener el negocio mientras se recupera de un incidente Procesos de Negocio y soporte de tecnología necesaria Recuperación ante Desastres (DRP) Provee procedimientos detallados para recuperar en un sitio alternativo Enfocado en TI y limitado a grandes interrupciones con efectos de largo alcance Carlos Francavilla
  10. 10. Relación Jerárquica IPOCM Incident Preparedness & Operational Continuity BCM Business Continuity Management BCP Business Continuity Plan DRP Disaster Recovery Plan Carlos Francavilla
  11. 11. Pero DRP o BCP Disaster Recovery Planning Prevención y recuperación en escenarios de mayor probabilidad y ocurrencia Ámbito de aplicación: Sistemas de Información Crítico: Tiempos de pérdida y recuperación de información Business Continuity Planning Mantenimiento de la actividad de la empresa Mediante la recuperación de los procesos o la aplicación de procesos de emergencia Crítico: Análisis de Impacto económico de Negocio de una detención de la actividad Carlos Francavilla
  12. 12. Normas: Evolución en el tiempo 2006 BS 25999-1 2007 BS 25999-2 & ISO 22399 2008 BS 25777 2011 ISO 27031 2012 ISO 22301 Carlos Francavilla
  13. 13. Normas Relacionadas BS (British Standards) Continuidad de Negocio BS 25999-1 Código de Práctica BS 25999-2 Sistema de Gestión de Continuidad de Negocio BS 25777 Código de Práctica TIC Carlos Francavilla
  14. 14. Normas Relacionadas ISO Continuidad de Negocio ISO 22399 Código de Práctica ISO 22301 Sistema de Gestión de continuidad de Negocio ISO 27031 Código de Práctica TIC Carlos Francavilla
  15. 15. ISO/PAS 22399:2007 Guía para la Preparación de Incidentes y Gestión de la Continuidad Operacional PAS Publicly Available Specification Normas Relacionadas ISO Carlos Francavilla
  16. 16. Antecedentes ISO/PAS 22399:2007 ISO/PAS 22399:2007 NFPA 1600:2004 •National Fire Protection Association USA •Gestión de Desastres/Emergencias y Programas de Continuidad de Negocio HB 221:2004 •Estándar Australiano •Gestión de Continuidad de Negocio (BCM) BS 25999-1 •Estándar Reino Unido •Gestión de Continuidad de Negocio Carlos Francavilla
  17. 17. ¿Qué Es? ISO/PAS 22399 Guía General para que las empresas desarrollen su propio criterio especifico de desempeño para; Preparación de Incidentes (Incident Preparedness ) Continuidad Operacional (Operational Continuity) Medir la Capacidad de Recuperación Carlos Francavilla
  18. 18. ¿Para qué se aplica? Comprender el contexto total de operaciones Comprender Barreras, Riesgos y Disrupciones que pueden impedir los objetivos críticos Evaluar el riesgo residual y la tolerancia al riesgo Planear la continuidad en caso de que ocurra un evento disruptivo Desarrollar respuestas a incidentes y emergencias Definir Roles, Responsabilidades y Recursos Cumplir con requerimientos Regulatorios y leyes Carlos Francavilla
  19. 19. Fases que Cubre Mantenimiento del Plan Prueba del Plan Entrega del Plan Enfoque de Diseño del Plan Análisis de Impacto de Negocio Definir el Marco de Trabajo Carlos Francavilla
  20. 20. Fases Definir el Marco de Trabajo del Plan Iniciar el Programa • Equipo de trabajo • Estrategia y política del programa • Identificación de Tiempos y Responsabilidades Identificar la Organización • Identificar actividades y objetivos críticos de operación de acuerdo a; • Estrategia • Planes de negocio • Análisis de Riesgos • Análisis FODA Asignar Responsabilidades • Desde lo alto de la pirámide • Recursos, roles, responsabilidades, autoridad Definir Política del Programa • Documentar el alcance del programa IPOCM • Definir la relación con interesados y otras organizaciones • Revisar las regulaciones y leyes aplicables IPOCM : Incident Preparedness and Operational Continuity Management
  21. 21. Fases Análisis de Impacto Identificar Riesgos e Impactos • Identificar riesgos y amenazas • Considerar • Tecnología y Recursos Humanos • Bienestar y seguridad de los interesados • Daños a la propiedad • Infraestructura • Entrega de servicios Análisis de Resultados • Programa de prevención y mitigación • Análisis de costo y beneficio del tratamiento de riesgos Prioridades • Definir recursos críticos • Detallar los requerimientos mínimos de recursos del plan Carlos Francavilla
  22. 22. Fases Enfoque del Plan Determinar las Opciones de Recuperación •Sitio Alternativo •Ayuda Mutua •Salteo temporario de trabajo •Suspender, terminar actividades •Cambiar procesos Carlos Francavilla
  23. 23. Fases Entrega del Plan Plan de Reanudación de Negocios Acciones necesarias para retornar al estado pre-incidente Plan de Comunicación y Medios Información a difundir Antes, durante y después Pública, privada Cualquier afectado Plan de Soporte de Recuperación Documentos separados para cada función u operación crítica Plan de Recupero de Negocio Basado en el plan de Gestión de Incidentes Documentos separados para cada función u operación crítica Plan de Gestión de Incidentes Propósito y contenido Acciones Puntos de disparo Responsabilidades Requerimientos de TI Plan de Respuesta a Incidentes Propósito y contenido del plan Importancia de conservar la vida y las propiedades Carlos Francavilla
  24. 24. Fases Prueba del Plan Determinar el Tipo de Prueba •Plan de Comunicaciones •Recuperación de Tecnología •Plan de Recursos Humanos •Otros Planes •Prueba Parcial y/o Total Documentar el Plan de Pruebas •Determinar los escenarios realistas •Acordados y planificados con los interesados Desarrollar las Pruebas •Ejecutar los escenarios Informe de la Prueba •Documentar los resultados •Recomendaciones para mejorar el plan Carlos Francavilla
  25. 25. Fases Mantener el Plan Entrenar a los empleados •Desarrollar conciencia •Implementar, Mantener y Mejorar el plan Mantener y Revisar el Plan •Evaluar periódicamente •Reflejar los cambios de procedimientos •Establecer y documentar el programa de mantenimiento •Supervisión proactiva del programa para verificar la efectividad •Desarrollar auditorias internas •Revisión periódica por el nivel ejecutivo Desarrollar Conciencia •Cada empleado debe ser el dueño del programa •Todos deben comprender porqué se realiza el plan •El plan IPOCM debe incorporarse a la cultura organizacional Carlos Francavilla
  26. 26. Desarrollo de Respuestas Volver a la Normalidad lo Antes Posible Incidente Respuesta al Incidente •Minutos a horas •Contención del daño •Evaluación del daño •Invocación del Plan Continuidad de Negocio Minutos a Días •Recuperación de funciones críticas •Contacto con clientes y proveedores Recuperación de la normalidad Semanas a Meses •Reparación de daños •Cobro de seguros •Reubicación Evento T=0 Carlos Francavilla
  27. 27. RPO (Recovery Point Objective) RTO (Recovery Time Objective) Segundos Minutos Horas Días Días Horas Minutos Segundos Evento RTO Representa el tiempo en el que deben recuperarse los servicios y procesos de negocio RPO Representa el punto en el tiempo en el que deben recuperarse los datos Acordar la perdida de datos soportada Evitar consecuencias no deseadas Carlos Francavilla
  28. 28. Análisis de Impacto y Riesgos Análisis de Impacto Identificar procesos que soportan a productos y servicios claves Determinar las interdependencias de los procesos Identificar los recursos necesarios Comprender y justificar el tiempo máximo de interrupción de un proceso Determinar las inversiones de acuerdo al RTO y RPO definidos
  29. 29. Análisis de Impacto y Riesgos Proceso Vulnerabilidad o Amenaza Probabilidad de Ocurrencia Impacto Efecto Financiero Tratamiento Control Implantado Análisis probabilidad de interrupción por evento Severidad del impacto Impacto Financiero Controles actuales Controles propuestos Carlos Francavilla
  30. 30. Factores Claves del Plan Plan de Continuidad Ser comprensible, fácil de usar y mantener Mantener la confidencialidad e integridad de los datos Proveer a los ejecutivos una clara comprensión de los efectos adversos de los incidentes Obtener compromiso de la junta directiva Identificar las condiciones que disparan el plan Identificar los posibilitadores del plan, personas y tecnología Responsabilidades y roles para cambiar el plan en proceso Carlos Francavilla
  31. 31. ¿Qué no puede faltar en el plan? Porqué se debe hacer Quién lo debe hacer Cómo y Qué se debe hacer Cuándo y Dónde se debe hacer Qué políticas, reglas y estándares se seguirán Quién puede cambiar el plan y en que circunstancias Bajo que circunstancias se declarara superado el incidente Carlos Francavilla
  32. 32. PLAN DE CONTINUIDAD DE NEGOCIOS Carlos Francavilla http://cafrancavilla.com

×