1. Plan de Continuidad de Negocios
Plan de Continuidad de Negocio
(BCP)
April 12th, 2018
Gustavo Specht
g.a.specht@gmail.com
2. Plan de Continuidad de Negocios
¿Esta Usted Preparado para una
Interrupción de su Negocio?
3. Plan de Continuidad de Negocios
• Definiciones.
• Amenazas y Riesgos.
• Gestión de Continuidad de Negocio (BCM).
• Evolución de la Continuidad de Negocio.
• Comparación de Noma ISO Vs. N.F.P.A.
• Norma N.F.P.A. 1600-2016.
• Amenazas y Riesgos al Negocio.
• Análisis de Impacto sobre el Negocio (BIA).
• Diagrama de un BCP.
• Conclusiones.
Agenda
4. Plan de Continuidad de Negocios
• 1991. Disaster Recovery Institute (DRII) Prácticas Profesionales.
• 1994. Business Continuity Institute (BCI). REINO UNIDO.
• 1995. NFPA 1600. Ed. 2000; 2004; 2007; 2010; 2013; 2016. EEUU.
• 2002. Guía de Buenas Prácticas. BCI.
• 2006. BS 25 999-1 Guía Continuidad Manejo Negocios.
• 2006. Primer Taller ISO de Continuidad.
• 2007. BS 25 999 2.Requisitos “Certificable”. ISO 22399 Guía Preparación Continuidad.
• 2008. ISO/PIEC 24762 Guía Provisión de Información y Comunicación para la
Recuperación de Desastres. BS 24777 Código Buenas Prácticas
• 2010. ASIS/BSI Business Continuity Management Standard.
• 2011. ISO/IEC 2703. Conceptos para ICT.
• 2012. ISO 22301 Norma de Requisito “Certificable”.
Evolución:
5. Plan de Continuidad de Negocios
Amenaza
Es una situación o
elemento potencial
que puede causar un
evento no deseado.
Vulnerabilidad
Son las características y
las circunstancias de un
sistema o un bien, que los
hace susceptibles a los
efectos de una amenaza.
Riesgo
Es la probabilidad de
consecuencias resultado
de la interacción entre
amenaza y
vulnerabilidad.
Incidente
Un evento que tiene el
potencial de causar
alteración, interrupción,
pérdida, emergencia,
crisis, desastre o
catástrofe.
Definiciones:
8. Plan de Continuidad de Negocios
Continuidad de Negocio
(BC)
Estrategias y Reubicación
Recuperación de Negocio
(BR)
Recuperación tras Evento
Respuesta a Emergencia
(ER)
Salvaguardar Integridad
Gestión de Crisis
(CM)
Protección de Negocio
Gestión de Continuidad de
Negocio
(BCM)
Soluciones Integradas
9. Plan de Continuidad de Negocios
Beneficios
• Gestión de Riesgos.
• Mejora de Todos los Procesos.
• Mayor Madurez Organizacional.
• Mayor Disponiblidad y
Confiabilidad.
• Ventaja de Mercado.
10. Plan de Continuidad de Negocios
Comparación con ISO:
ISO 22301:2012 NFPA 1600:2016
Vs.
11. Plan de Continuidad de Negocios
Comparación con ISO:
ISO 22301:2012
“Estándar en Desastres / Gestión de Emergencias
y Programa de Continuidad de Negocios”.
• Estándar Local de EE. UU. de la N.F.P.A.
• Su Implementación es Gratis.
• Define Comités de Programa.
• La evaluación de Riesgos son muchos más
precisos.
• Más adecuada para organizaciones
medianas y grandes
• Más Larga.
NFPA 1600:2016
“Seguridad de la Sociedad – Sistemas de Gestión
de la Continuidad del Negocio – Requisitos”
• Estándar Internacional de ISO.
• Su implementación es muy costosa.
• Clara definición de las responsabilidades de
la Dirección.
• Mejora en la planificación de los recursos
para garantizar la Continuidad del Negocio.
• Más Flexible para Organizaciones de todos
los tamaños.
• Más corta.
=
90%
12. Plan de Continuidad de Negocios
Estructura de la NFPA 1600-2016
Liderazgo,
Compromiso y
Estructura
Gestión de
Riesgos
Evaluación de
Necesidades y
Recursos
Objetivos de
Rendimiento.
Análisis de
Impacto en el
Negocio (BIA)
4 Gestión de
Programa
5 Planificación
7 Capacitación y
Educación
8 Evaluación del
Programa
9 Evaluación del
Programa
6 Implementación Comunicaciones
Prevención y
Mitigación
Continuidad y
Recuperación
Plan de
Formación
Evaluaciones y
Ejercicios.
Mantenimiento
y Mejora
13. Plan de Continuidad de Negocios
Identificación de Amenazas y
valoración de Riesgos
• Análisis de amenazas generales que pueden
afectar al Site.
• El impacto de las amenazas en tres áreas debe ser
considerado: Humano, Propiedad y Negocio para
ser calificado de 1 a 3.
• Se debe evaluar la probabiliad de la ocurrencia de 1
a 3, con el objetivo de estimar el Riesgo.
• Si existen medios de mitigación que reducen el nivel
de riesgo (impacto o probabilidad), los pasos
anteriores deben repetirse para reevaluar el impacto
y la probabilidad y para obtener el riesgo final (es el
riesgo el que permanece a pesar de los medios de
mitigación)
• Nivel de Riesgo
A. Impacto
Humano.
3
La amenaza muy probablemente resultará en muerte o
lesiones graves.
2
La amenaza puede ocasionar lesiones pero es poco probable
que resulte en muerte.
1
Es poco probable que la ameneza afecte a la Seguridad del
personal.
B. Impacto a
la Propiedad.
3
La amenaza probablemente cause un gran daño a la
propiedad.
2 La amenaza puede causar daños limitados a la propiedad.
1
Es poco probable que la amenaza resulte en daño a la
propiedad.
C. Impacto al
Negocio.
3
La amenaza tiene la capacidad de interrumpir por complete
las Operaciones del Negocio.
2
La amenaza tiene la capacidad de impeder, limitar pero no
interrumpir por complete las Operaciones del Negocio.
1
Es poco probable que la amenaza tenga un impacto serio en
las Operaciones del Negocio.
Total Impacto Score Sum A + B + C
Probabilidad
3 Lo más probable es que ocurra, Ya ha sucedido con anterioridad. .
2 Puede Ocurrir, Hay posiblidades de ocurrir, pero no tan a menudo.
1 No es Probable que Ocurra.
Evaluación Score Total Impacto x Probabilidad
Alto Score ≥ 18 Estrategia – Control
Medio 9 < Score < 18 Estrategia- Prevención y Plan.
Bajo Score ≤ 9 Estrategia – Acceptada.
14. Plan de Continuidad de Negocios
Amenazas
Ligeramente
Dañino (1)
Dañino (2)
Extremadamente
Dañino (3)
Baja (1)
Media (2)
Alta (3)
Probabilidad
Trivial (1)
Tolerable (2)
Moderado (3) Alto (9)
Importante (6)
Importante (6)
Tolerable (2)
Moderado (4)
Moderado (3)
Matriz de Riesgos:
15. Plan de Continuidad de Negocios
Análisis de Impacto en el Negocio (BIA - Business Impact Analysis)
• BIA analiza cada producto, proceso, servicio y actividad dentro de la organización para comprender su
importancia y determinar el impacto en el tiempo que se produciría si se interrumpe.
• Para comprender el efecto de una interrupción, una BIA debe preguntar:
1. ¿Cuál es el objetivo de la organización?
2. ¿Qué productos y servicios se requieren para cumplir el objetivo de la organización?
3. ¿Cuáles son los procesos clave de negocios / servicios en la organización?
4. ¿Quién y qué se debe involucrar (tanto interna como externamente) para lograr los
objetivos? (Recursos) ...
5. Y lo más importante, ¿cuándo deben alcanzarse estos objetivos?
• Una vez que se han determinado los impactos, se puede estimar el período de interrupción máximo tolerable
(MTPD) preguntando cuánto tiempo pasará antes de que el No Éxito en llevar a cabo la actividad cree un
impacto intolerable para la organización.
• Definición
16. Plan de Continuidad de Negocios
MTPD (Período Máximo de Interrupción Tolerable)
• Es el tiempo máximo después del comienzo de una interrupción del negocio, dentro del cual se debe reanudar la operación a su
normalidad. De no recuperarse la operación, el impacto se vuelve inaceptable.
Los Tiempos en el BCP
RPO RTO
MTPD
Tiempo
RTO (Tiempo Objetivo de Recuperación)
• Es el tiempo de recuperación objetivo para tener, los sistemas y procesos operativos nuevamente.
RPO (Punto de Recuperación Objetivo)
• Es el tiempo que existe entre las copias de seguridad de datos y respaldos de sistemas. Define la pérdida de datos máxima
tolerable antes una interrupción.
Interrupción Recupero Operaciones
17. Plan de Continuidad de Negocios
• Análisis de los riesgos operacionales que pueden
afectar los procesos. Cada proceso / área se
evaluará por separado.
• Los Items en riesgo tienen que identificarse y
enumerarse por proceso / área.
• RPO, RTO & MTPD tiene que estar indicado para
los Items enumerados.
• El nivel de impacto y la probabilidad de ocurrencia
deben evaluarse (de 1 a 3) para estimar el riesgo.
• Si existen medios de mitigación vigentes que
reducen el nivel de riesgo (impacto o probabilidad),
se necesita una nueva evaluación del impacto y la
probabilidad para obtener el riesgo final.
• Nivel de puntaje de riesgo final:
Análisis de Impacto en el Negocio (BIA - Business Impact Analysis) Proceso
Tipo de Riesgo
P Proceso
E Una pieza clave del equipo del que depende el proceso
B Una instalación o parte de la propiedad
T Tecnología que apoya el proceso
H Mano de Obra
3 Proveedores.
U Servicios Críticos
EvaluacióndeRiesgo
Impacto al
Negocio.
3
La amenaza tiene la capacidad de interrumpir por complete las Operaciones
del Negocio.
2
La amenaza tiene la capacidad de impeder, limitar pero no interrumpir por
complete las Operaciones del Negocio.
1
Es poco probable que la amenaza tenga un impacto serio en las Operaciones
del Negocio.
Probabilidad
3 Lo más probable es que ocurra, Ya ha sucedido con anterioridad. .
2 Puede Ocurrir, Hay posiblidades de ocurrir, pero no tan a menudo.
1 No es Probable que Ocurra.
Total
Riesgo Total Total Impacto x Probabilidad
Alto Score ≥7
Medio 3 < Score < 7
Bajo Score ≤ 3
18. Plan de Continuidad de Negocios
Diagrama de Flujo de un BCP:
Amenazas /
BIA
Riesgo
Inicial
Preparación /
Mitigación
¿Están todos
los medios
de control
aplicados?
Plan de
Estrategias
¿El BRP
Funciona?
Medio Alto
Prepare BRP
FinInicio
Medio AltoBajo Bajo
Sí
No
Riesgo
Final
Sí No
=
19. Plan de Continuidad de Negocios
MTPD nos dice cuánto tiempo la
organización puede sobrevivir
después del incidente.
El BIA y el MTPD determinarán el
nivel correcto de inversión para el
nivel de protección requerido.
Mientras más corto sea el MTPD,
Los costos de recuperación serán
más altos.
Estrategias de Recuperación – Tiempo vs costos
TiempoCostos
Diversas
Ubicaciones
respaldando
Minutos,
Horas
Días
Ubicación
Preparada,
Reubicación
Semanas
No Planes
Meses
?Ubicación No
Preparada,
Reubicación
20. Plan de Continuidad de Negocios
Respuesta de
Emergencia
(ERP)
Gestión de Crisis (CM)
Plan de Continuidad Operativa (BCP)
Recuperación y Reanudación de
Operaciones
Restauración de las Operaciones
Negocio
Normal
Negocio
Normal
Tiempo
Actividades
Gestión de Continuidad de
Negocio
(BCM)
• Identificación de Amenazas
• Evaluación de Riesgos.
• Análisis de Impacto de
Negocio. (BIA)
• Mitigación.
• Planeación
• Formación y Entrenamiento.
• Ejercicios.
RPO RTO
MTD
21. Plan de Continuidad de Negocios
Los entes reguladores y los gobiernos están poniendo mayor énfasis en la necesidad de que las
organizaciones tengan procedimientos efectivos de BCP.
Algunas compañías de seguros están estableciendo el nivel de primas por interrupción de
negocios de acuerdo con la velocidad a la que una organización puede reanudar sus actividades
comerciales.
Las grandes organizaciones están empezando a insistir en que los proveedores tengan
procesos robustos de BCP en su lugar antes de comercializar con ellos.
La planificación efectiva de BCP ayuda a:
Proteger el personal, negocio, los clientes y los accionistas.
Puede prevenir y resolver posibles interrupciones.
Aumenta el conocimiento y las habilidades de los empleados.
Tener una ventaja competitiva en una crisis.
¿Por qué es importante un BCP?:
22. Plan de Continuidad de Negocios
•Muchas Gracias
Gustavo Specht
g.a.specht@gmail.com