Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Gestión de Continuidad del Negocio

2.855 visualizaciones

Publicado el

Gestión de Continuidad del Negocio - GCN, necesidad, hechos, marco metodológico de referencia, justificación económica, pasos para implementar la GCN

Publicado en: Empresariales
  • Sé el primero en comentar

Gestión de Continuidad del Negocio

  1. 1. Fernando De los Ríos Director Gerente fdelosrios@cognotek.net Gestión de Continuidad del Negocio: Compartiendo Experiencias Lima, 28 de Mayo de 2014 PERÚ
  2. 2. CIO Perú – GCN, 28/05/14Pág. 2 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Fernando De los Ríos, Asesor Cognotek Procesos de Negocio, Gobierno y Gestión de TI Cencosud / E.Wong Sistemas de Información Telefónica – Perú Infraestructura Tecnológica Desarrollo de Sistemas PA2K Banco Latino Proyectos de Sistemas Pruebas de Software Oficial de Seguridad de Información Servicios Generales Hobbies La lectura, pasión por la tecnología, su evolución y aplicación práctica a la vida diaria, y la práctica del squash. www.cognotek.net
  3. 3. CIO Perú – GCN, 28/05/14Pág. 3 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Video
  4. 4. CIO Perú – GCN, 28/05/14Pág. 4 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ ¿Estamos preparados para …??
  5. 5. CIO Perú – GCN, 28/05/14Pág. 5 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ ¿O para…?
  6. 6. CIO Perú – GCN, 28/05/14Pág. 6 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ ¿Estamos atentos a nuestro entorno?
  7. 7. CIO Perú – GCN, 28/05/14Pág. 7 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ ¿Cuáles son los desafíos actuales?
  8. 8. CIO Perú – GCN, 28/05/14Pág. 8 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Recordemos… Jeolla – Corea del Sur, 27 de mayo 2014.- Un incendio en hospital rural cobró la vida de al menos 21 personas e hirió a muchas otras, algunas de gravedad. Soma, Manisa – Turquía, 13 de mayo 2014.- Un incendio provocado por la explosión de un transformador en una mina de carbón ocasionó > 274 muertes. Gwaechon – Corea del Sur, 20 de abril 2014.- Un incendio en un data center de Samsung provoca errores en terminales de todo el mundo. Lima, 14 de diciembre 2013.- Usuarios de Claro reportan caída masiva de su sistema de telefonía móvil. Caracas, 22 de noviembre 2013 – Noticias24.- Usuarios de Twitter reportaron que en la Torre IBM, ubicada en la Av. Ernesto Blohn de Chuao, hay un incendio desde la 1:00pm. Cercado de Lima, 28 de julio 2000.- Vándalos rompían lunas, prendían fuego y arrojaban bombas incendiarias al interior del Banco de la Nación. Cercado de Lima, 20 de marzo 1999.- Se produjo un incendio en el edificio del Data Center (Nicolás de Piérola) de Telefónica. Lima, xx de xxxxx de xxxx.- (Nuestra empresa) sufrió una corte de servicio debido a....
  9. 9. CIO Perú – GCN, 28/05/14Pág. 9 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Encuesta de Symantec – 2012 Muestra 2,053 Organizaciones 30 países NAM 2 (500) LATAM 14 (250) EMEA 5 (503) APJ 9 (800) Copyright © 2012 Symantec Corporation. All rights reserved.
  10. 10. CIO Perú – GCN, 28/05/14Pág. 10 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Cómo se deben preparar las empresas Requieren gestionar la Continuidad del Negocio
  11. 11. CIO Perú – GCN, 28/05/14Pág. 11 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Definición Qué es Gestión de la Continuidad del Negocio Es un proceso de gestión integral para establecer y mantener un plan que permita al Negocio y a TI responder a incidentes e interrupciones de servicio para la operación continua de los procesos críticos para el negocio y los servicios de TI requeridos, y mantener la disponibilidad de la información a un nivel aceptable para la empresa.
  12. 12. CIO Perú – GCN, 28/05/14Pág. 12 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Definición Qué NO es Gestión de la Continuidad del Negocio Un trabajo solo para el equipo de TI Solo un Plan de continuidad del negocio Un trabajo / esfuerzo de una sola vez
  13. 13. CIO Perú – GCN, 28/05/14Pág. 13 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Dependencias de una Organización Disponibilidad de los Sistemas (aplicaciones, datos, redes de comunicaciones, etc.) Organización Proveedores Subcontratistas Suministradores Clientes / Usuarios Distribuidores Dependencia de Infraestructura (energía, telecomunicaciones, etc.)
  14. 14. CIO Perú – GCN, 28/05/14Pág. 14 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Dependencias de una Organización
  15. 15. CIO Perú – GCN, 28/05/14Pág. 15 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Marco Metodológico
  16. 16. CIO Perú – GCN, 28/05/14Pág. 16 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Procesos COBIT5 Procesos de Gobierno de TI Empresarial Evaluar, Dirigir y Monitorear Procesos de Gestión de TI Empresarial Alinear, Planear y Organizar APO01 Gestionar el Marco de Gestión de TI APO02 Gestionar la Estrategia APO03 Administrar la Arquitectura Empresarial APO06 Gestionar los Costos y el Presupuesto APO04 Gestionar la Innovación APO05 Gestionar la Cartera APO07 Gestionar los Recursos Humanos APO08 Gestionar las Relaciones APO09 Gestionar los Acuerdos de Servicios APO10 Gestionar a los Proveedores APO11 Gestionar la Calidad APO12 Gestionar el Riesgo APO13 Gestionar la Seguridad Construir, Adquirir e Implementar BAI01 Gestionar Programas y Proyectos BAI02 Gestionar la Definición de Requerimientos BAI03 Gestionar la Identificación y Construcción de Soluciones BAI06 Gestionar los Cambios BAI04 Gestionar la Disponibilidad y Capacidad BAI05 Gestionar la Habilitación del Cambio Organizacional BAI07 Gestionar la Aceptación y Transición de los Cambios BAI08 Gestionar el Conocimiento BAI09 Gestionar los Activos BAI10 Gestionar la Configuración Operación, Servicio y Soporte DSS01 Gestionar las Operaciones DSS02 Gestionar los Requerimientos de Servicio e Incidentes DSS03 Gestionar los Problemas DSS06 Gestionar los Controles de los Procesos de Negocio DSS04 Gestionar la Continuidad DSS05 Gestionar los Servicios de Seguridad Monitorear, Medir y Evaluar MEA01 Monitorear, Medir y Evaluar el Rendimiento y la Conformidad MEA02 Monitorear, Medir y Evaluar el Sistema de Control Interno MEA03 Monitorear, Medir y Evaluar el Cumplimiento de los Requerimientos Externos EDM01 Asegurar el Establecimiento y Mantenimiento del Marco de Gobierno EDM02 Asegurar la Optimización del Valor EDM03 Asegurar la Optimización del Riesgo EDM04 Asegurar la Optimización de los Recursos EDM05 Asegurar la Transparencia a los Stakeholders
  17. 17. CIO Perú – GCN, 28/05/14Pág. 17 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Gestionar la Continuidad (DSS04) OBJETIVOS MÉTRICAS ► Información crítica disponible según los niveles de servicio mínimos requeridos ► Servicios críticos robustos ► Pruebas de efectividad del plan ► Plan de continuidad actualizado ► Stakeholders capacitados en el plan ► % servicios TI que cumplen con la disponibilidad requerida ► % restauraciones ok ► % back-ups transferidos y almacenados de manera segura ► # sistemas críticos no cubiertos en el plan ► # ejercicios y pruebas exitosas ► Frecuencia de pruebas ► % mejoras incorporadas al plan ► % stakeholders capacitados ► % de mejoras incorporadas en la capacitación
  18. 18. CIO Perú – GCN, 28/05/14Pág. 18 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Gestionar la Continuidad (DSS04) PRÁCTICAS DE GESTIÓN SALIDAS / ENTREGABLES ► Definir la política de continuidad del negocio, objetivos y alcance ► Mantener una estrategia de continuidad ► Desarrollar e implementar una respuesta a la continuidad del negocio ► Ejecutar, probar y revisar el PCN ► Revisar, mantener y mejorar el PCN ► Proporcionar capacitación en el PCN ► Gestionar acuerdos de respaldo ► Ejecutar revisiones post-reanudación ► Políticas y objetivos de continuidad del negocio ► Escenarios de incidentes que causan una interrupción ► Valoraciones de las capacidades actuales y vacíos de continuidad ► Análisis de impacto en el negocio ► Requerimientos de continuidad ► Opciones estratégicas aprobadas ► Acciones y recomendaciones de respuesta a incidentes ► Plan de Continuidad del negocio (PCN) ► Pruebas de objetivos ► Pruebas de ejercicios ► Pruebas de resultados y recomendaciones ► Resultados de las revisiones de los planes ► Cambios recomendados a los planes ► Requerimientos de capacitación ► Resultados de la supervisión de habilidades y competencias ► Probar los resultados de las copias de seguridad de los datos ► Informe de revisión post-reanudación ► Cambios aprobados a los planes
  19. 19. CIO Perú – GCN, 28/05/14Pág. 19 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Secuencia de Eventos de un Incidente Línea de Tiempo Recuperación / Reanudación a Operación Normal Respuesta al Incidente Continuidad del Negocio Incidente Objetivo General de Recuperación: Retornar a la normalidad lo antes posible De minutos a horas: - Identificar al personal y terceros afectados - Atender víctimas - Contener / limitar daños - Evaluar daños - Invocar al PCN De minutos a días: - Contactar al personal, clientes, proveedores, etc. - Restablecer procesos críticos de negocio - Reconstruir el trabajo perdido De semanas a meses: - Reparación de daños - Reubicación al lugar de trabajo permanente - Recuperación de gastos de las aseguradoras
  20. 20. CIO Perú – GCN, 28/05/14Pág. 20 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Gestión de Continuidad del Negocio GCN CICLO DE VIDA Entender la Organización Definir la estrategia de GCN Desarrollar e implementar el PCN Entrenar, mantener y revisar Administración del Programa de GCN
  21. 21. CIO Perú – GCN, 28/05/14Pág. 21 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Gestión de Continuidad del Negocio GCN Administración del Programa GCN ► Alcance de la GCN ► Acuerdo y firma de políticas ► Identificación y compromiso de las partes interesadas (stakeholders) ► Acuerdo sobre el enfoque ► Roles y responsabilidades ► Considerar el uso de una herramienta de SW Entender a la Organización ► Identificar los productos y servicios clave y las actividades críticas que los soportan ► Identificar los objetivos, obligaciones y deberes de la organización ► Identificar las actividades, activos y recursos de soporte ► Evaluar el impacto de fallos en las actividades, activos y recursos (BIA) ► Identificar y evaluar las amenazas ► Identificar todas las interdependencias de las actividades ► Entender la fortaleza de los terceros
  22. 22. CIO Perú – GCN, 28/05/14Pág. 22 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Gestión de Continuidad del Negocio GCN Entender a la Organización Línea de Tiempo Nivel de Servicio Nivel de Servicio Normal Mínimo Nivel de Servicio TOR TMCS Plan de Gestión de Incidente Plan de Continuidad del NegocioTMCS: Tolerancia Máxima de Corte de Servicio TOR: Tiempo Objetivo de Restablecimiento OK!
  23. 23. CIO Perú – GCN, 28/05/14Pág. 23 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Gestión de Continuidad del Negocio GCN Entender a la Organización Línea de Tiempo Nivel de Servicio Nivel de Servicio Normal Mínimo Nivel de Servicio TOR TMCS Plan de Gestión de Incidente Plan de Continuidad del NegocioTMCS: Tolerancia Máxima de Corte de Servicio TOR: Tiempo Objetivo de Restablecimiento Desastre!!
  24. 24. CIO Perú – GCN, 28/05/14Pág. 24 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Gestión de Continuidad del Negocio GCN Definir la Estrategia de GCN ► Definir una estructura de respuesta a incidentes habilitando una respuesta y recuperación efectiva ► Identificar los plazos y niveles de servicio después de una disrupción del servicio ► Acordar los plazos para restablecer los niveles de servicio normales ► Gestionar a las partes interesadas ► La estrategia puede variar, producto de una revisión de eventos externos o internos Desarrollar e Implementar el PCN ► Alineado a los objetivos de la estrategia de la GCN de la organización ► Desarrollo de planes para gestionar de manera efectiva un corte del servicio hasta contenerlo ► Crear planes de continuidad del negocio diseñados para facilitar el restablecimiento de las actividades críticas ► Planes detallados incluyendo personas, comunicaciones, roles y responsabilidades, locaciones, recursos, etc.
  25. 25. CIO Perú – GCN, 28/05/14Pág. 25 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Gestión de Continuidad del Negocio GCN Entrenar, mantener y revisar ► Valida la efectividad de los planes ► Asegura el entendimiento de los planes, roles y responsabilidades ► Identifica oportunidades de mejora ► Mantiene la relevancia de los planes como resultado de cambios en el negocio ► Diferentes tipos de ejercicios: ► Comprobación de puestos de trabajo ► Revisión de instalaciones ► Simulaciones ► Componentes / actividades ► Prueba completa ► Apoyos al ejercicio ► Programas de sensibilización ► Desarrollo de competencias
  26. 26. CIO Perú – GCN, 28/05/14Pág. 26 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Planificar – Hacer – Verificar – Actuar Planificar : Establecer Hacer : Implementar y Operar Verificar : Monitorear y Revisar Actuar : Mantener y Mejorar Partes Interesadas Requisitos para la Continuidad del Negocio Partes Interesadas Continuidad del Negocio Gestionada Mejora Continua del Sistema de Gestión de Continuidad del Negocio (SGCN)
  27. 27. CIO Perú – GCN, 28/05/14Pág. 27 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Consideraciones a Tener en Cuenta ► Compromiso de la Alta Dirección ► Compromiso e involucramiento de las áreas de negocio ► NO es un proyecto de TI ► Arquitectura empresarial ► Arquitectura tecnológica ► Utilizar una herramienta de SW para la GCN ► Hablar el idioma de los clientes / usuarios: $$$ ► Justificación viene por la parte económica – Análisis de Impacto ► Foco en los procesos críticos de negocio ► Procesos y procedimientos de contingencia: manuales o automáticos ► Capacitación constante ► Actualización de planes, incorporar mejoras y difundirlas ► Comunicación, comunicación, comunicación ► Monitoreo de métricas sugeridas ► Asegurar que respaldos funcionan ► Almacenar respaldos en otro site ► Probar, probar, probar ► Automatizar pruebas de transferencia automática de fuente de energía (comercial / grupo elect) ► Contratar servicios de diferentes proveedores (datos, energía) ► El PCN es un documento vivo y se debe mantener como tal
  28. 28. CIO Perú – GCN, 28/05/14Pág. 28 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Justificación Económica ► En función a los ingresos de la empresa ► En función a los costos de operación Ejemplo ► Empresa “A” tiene ingresos por S/.250M / año Ingresos por hora de empresa “A” 250M / 52 sem / 5 días / 12h = S/.80,128 / h ► Empresa “A” tiene 1,250 empleados Remuneración mensual promedio de un empleado S/.3,500 Costo por hora de 1 empleado 3,500 x 1.5 / 22 / 8 = S/.30 / h Costo por hora de 1,250 empleados 1,250 x 30 = S/.37,500 / h Un corte de servicio de 2 horas le cuesta a la empresa: 2 x (80,128+37,500) = S/.235,256 1 día sin servicio le cuesta: (12 x 80,128) + (8 x 37,500) = S/.1,261,536
  29. 29. CIO Perú – GCN, 28/05/14Pág. 29 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Beneficios de un SGCN ► Preserva los intereses de los stakeholders ► Mejora el resultado operacional de la empresa: ► Reduce riesgos, se traduce en reducción de costos. ► Reduce tiempos de inactividad. ► Mejora la competitividad. ► Mayor eficacia operativa: reingeniería de negocios ► Proteje los bienes materiales y el conocimiento (know-how) del negocio ► Mejora en el cumplimiento de las legislaciones de Seguridad y Salud ► Mejora la seguridad global
  30. 30. CIO Perú – GCN, 28/05/14Pág. 30 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Conclusiones ► Los desafíos actuales demandan que las empresas tengan una GCN ► La GCN es responsabilidad de la Alta Dirección ► El aporte de TI a la GCN es fundamental ► Visión holística: ► Partes interesadas ► Procesos críticos de negocio ► Facilidades / optimizar uso de recursos ► Contratos ► Obligaciones ► Proveedores de servicios públicos ► Marco metodológico ► COBIT 5 ► ISO 22301 / BS 25999 ► ITIL v3 ► ISO 27002 ► Velocidad de respuesta para restablecer los procesos críticos ► Respuesta al incidente – TMCS ► Continuidad del negocio ► Recuperación / restablecimiento a las condiciones normales de operación (BAU) ► Ciclo de vida de la GCN ► Entender la organización ► Definir la estrategia ► Desarrollar e implementar el PCN ► Entrenar, mantener y revisar ► Evaluar el uso de un software (nube) ► Hablar el idioma del usuario $$$ ► Nuevos sistemas: incorporarlos desde la planificación en la GCN ► Capacitar, capacitar, capacitar ► Probar, probar, probar ► Entrenar, entrenar, entrenar
  31. 31. CIO Perú – GCN, 28/05/14Pág. 31 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Estar atentos a los riesgos
  32. 32. CIO Perú – GCN, 28/05/14Pág. 32 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ En resumen…. Estar Preparados!! Cuanto más se suda en la paz, menos se sangra en la guerra
  33. 33. CIO Perú – GCN, 28/05/14Pág. 33 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Estándares existentes  ISACA: COBIT5  ISO 22301  ANSI/ASIS/BSI BCM.01:2010 Business Continuity Management Systems  British Standards Institute: BS 25999, Parts 1 and 2: Business Continuity  National Fire Protection Association: NFPA 1600:2010 Standard on Disaster / Emergency Management and Business Continuity Programs  ASIS International: ASIS SPC.1-2009: Organizational Resilience: Security, Preparedness, and Continuity Management Systems – Requirements with Guidance for Use  Australia / New Zealand Standard AS/NZS 5050: Business Continuity – Managing disruption-related risk  Singapore Standard SS540: Business Continuity Management  Canadian Standard: CSA Z1600: Emergency Management and Business Continuity Programs  Government of Japan BCP Guideline  Japanese Corporate Code – BCP  ISO 24762: Information Technology – Security Techniques – Guidelines for information and communications technology disaster recovery services  National Association of Stock Dealers: NASD 3510/3520: Business Continuity Plans and Emergency Contact Information  National Institute of Standards and Technology: NIST SP 800-34: Contingency Planning Guide for Federal Information Systems  New York Stock Exchange: NYSE Rule 446: Corporate-Wide BCP
  34. 34. CIO Perú – GCN, 28/05/14Pág. 34 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Enlaces de Interés www.isaca.org/cobit www.iso.org www.25999.info http://www.cirmagazine.com/cir/reports/BCSoftwareReport2013-14.pdf https://drii.org/ http://www.fema.gov/es http://www.pas56.com/ www.london.gov.uk/sites/default/files/guide-for-small-businesses.pdf www.gov.uk/government/uploads/system/uploads/attachment_data/file/1 37994/Business_Continuity_Managment_Toolkit.pdf http://www.slideshare.net/symantec/2012-smb-disaster-preparedness- survey-global-results-may-2012
  35. 35. CIO Perú – GCN, 28/05/14Pág. 35 ©Cognotek, 2014 www.cognotek.net fdelosrios@cognotek.net PERÚ Fernando De los Ríos fdelosrios@cognotek.net www.cognotek.net www.linkedin.com/fernandelos @fernandelos www.slideshare.net/fernandelos

×