Business Continuity Training Course - Introduction
1. La gestión de continuidad
del negocio
Descripción general:
2. Introducción
Michael Bittle, MA, CCM
Director General del Instituto Educativo de
Continuidad del Negocio (www.IBCT.com)
Secretario del Instituto Nacional de La
Gestión de Continuidad de Negocios
(www.NIBCM.org)
Más de 40 años de experiencia en la
administración de los desastres, la
continuidad del negocio, la tecnología
informática, la administración de registros,
administración financiera, desarrollo
organizacional, y asuntos internacionales
Primer Miembro de Honorario Elegido a la
Sociedad Internacional de Administración
de Emergencias (www.TIEMS.org)
Correo electrónico: mbittle@IBCT.com
2
3. Introducción
ROBERT M SWIFT, CCM, CPCU, CIPA, CBCP
Un especialista en las interrupción de negocio con
más de treinta años en la administración de seguro
y riesgos, asesorando para los ejecutivos de
empresas sobre los beneficios de preparar
adecuadamente para un desastre. Tiene una amplia
base de clientes en los Estados Unidos, Canadá, y
otros destinos internacionales.
Sr. Swift cuenta con una vasta experiencia de
trabajo con empresas del sector financiero mundial,
desde la preparación para casos de desastre y la
recuperación para las empresas, y aporta un
conocimiento holístico y perspicacia en los
negocios.
Sr. Swift es un miembro de el Instituto de
Recuperación de Desastres, la Sociedad de
Administración de Riesgos y Seguros, la Sociedad
de Seguros de Contingencias de Propiedades, la
Sociedad de Seguros Nacional de Auditores
Asociados, y miembro del Instituto de Seguros de
Londres.
Correo electrónico: rswift@IBCT.com
3
4. 4
Introducción a la Gestión de Continuidad del Negocio
o ¿Qué es la Administración de Continuidad del Negocio?
o ¿Por qué es mportante?
o ¿Cómo desarrollar un Plan de Continuidad del Negocio?
Análisis de Impacto de el Negocio (BIA)
Programa: Lunes
o Repaso de el proceso BIA
o Practica del BIA
5. 5
Análisis de Impacto de el Negocio
oContinuación de la practica del BIA
Programa: Martes
Programa: Miércoles
Evaluación de Riesgos
o Repaso del Proceso de Evaluación de Riesgos
o Practica de evaluación de riesgos
6. 6
Programa: Jueves
Evaluación de Riesgos
o Continuación de Practica de Evaluación de Riesgos
Desarrollo de la Estrategia
o Identificación de estrategias para reducir el Riesgo y el Impacto
o Practica de el Desarrollo de la Estrategia
9. 9
Continuidad del Negocio en los 1960’s
Procesamiento por Lotes
Computadoras mainframe comenzaron
automatizar funciones manuales
rutinarias
Inactividad excesiva creaba enormes
retrasos en la tramitación
Los respaldos del sistema ordinario
eran críticos
Procedimientos de contingencia
manuales también son esenciales
Las empresas reconocieron cada vez más la necesidad de proteger
a los nuevos (y muy caros) equipos de cómputacion
10. 10
Continuidad del Negocio en los 1970’s
El procesamiento en línea
Los usuarios se conectaron a la unidad central
mediante CRT's, reduciendo el ciclo de
procesamiento
Cualquier tiempo de falla del sistema podría
inmediatamente interrumpir las operaciones
Procedimientos de contingencia manuales se
estaban convirtiendo inadecuados
Mantener la “alta disponibilidad” de las redes era
cada vez más crítica
El término "Recuperación de Desastres" se empezó a usar para
describir las estrategias para proteger y, si es necesario, restaurar
sistemas informáticos, telecomunicaciones, y otras tecnologías de
alto costo
11. 11
Continuidad del Negocio en los 1980’s
Procesamiento distribuido
Plan de Recuperación de Desastres (DRP)
para los centros de datos se ha
convertido en práctica
Pero el proceso comenzaron a salir de los
centros de datos en ordenadores de
gama media y de PCs independientes
Procesamiento distribuido, y el uso de
EDI (Intercambio de Datos
Electronicamente ), acortar ciclos de
negocio aun más
Planificación de la recuperación ante
desastres se hizo más detallado y más
crítico
Los proveedores de servicios
comenzaron a ofrecer centros de
procesamiento de datos para recuperar
las operaciones de TI en caso de desastre
El término "Sitio
Caliente" entró en uso
Y un nuevo servicio
nació
12. 12
Continuidad del Negocio en los 1990’s
La Revolucion del Escritorio
La proliferación de PC conectado a
la redes colocaba tecnología en el
escritorio
Redes digitales de alta velocidades
de internet permiten conectividad
global
Tolerancia para la falla del sistema
disminuyo rápidamente mientras la
vulnerabilidad escalado
Aumento de conciencia de que la
recuperacion de la tecnología de la
compañía, no significaba su
habilidad para ofrecer sus productos
o servicios
Planificación de la
Recuperación de
Desastres
se convirtio en La
Planificación de la
Continuidad del Negocio
13. 13
Continuidad del Negocio en el Siglo 21
E-Commerce (Comercio Electronico)
Como se demostró por Y2K, la
dependencia a la tecnología se ha
convertido en obligación
E-Commerce ha creado nuevas
oportunidades de negocio y
nuevos riesgos
El impacto en el negocio de
adversidades menores puede ser
desastrosos
Disponibilidad 24/7 de la tecnología
es ahora la norma aceptada
14. 14
Continuidad del Negocio en el Siglo 21
Aumento de Amenazas
Desde el 9/11, todo el mundo sabe ahora que
incluso lo inimaginable es posible
Brotes de SRAS en China, Hong Kong y Canadá
han despertado el temor de la enfermedad del
empleado o cuarentena; H1N1 causó
preocupación internacional
Importantes apagones en Estados Unidos,
Canadá y en otros lugares han puesto de
manifiesto la fragilidad de las infraestructuras
críticas
El catastrófico terremoto y tsunami en Japón en
el año 2011, y huracanes como Katrina y Sandy,
han demostrado el poder de la Madre Naturaleza
15. 15
Aumento de las expectativas
El catastrófico colapso de Enron,
Arthur Andersen, Worldcom, etc.
resultaron en aumento de
estándares para la
administración de riesgos y
responsabilidad ejecutiva
Sarbanes-Oxley (SOX), HIPAA,
Basil II, y un numero de otros
reglamentos han hecho una
buena gobernación de los
asuntos públicos y
administración eficaz de los
riesgos una prioridad en las
mesas directivas empresariales
Continuidad del Negocio en el Siglo 21
Como un componente
esencial de la
administración de riesgo y
la buena gobernación de los
asuntos públicos, GCN ya
no es considerado opcional
17. 17
Continuidad del Negocio se ha convertido en una disciplina
profesional, con sus propios organismos de certificación, entre
los que se incluyen:
Instituto Nacional de Administración de Continuidad
del Negocio (NIBCM.org)
ACM (Gerente Asociado de Continuidad)
CCM (Gerente Certificado de Continuidad)
Disaster Recovery Institute International (DRII.org)
ABCP (Planificador Asociado de Continuidad del Negocio)
CBCP (Profesional Certificado de Continuidad del Negocio)
Business Continuity Institute (TheBCI.org)
ABCI (Asociado del Instituto de Continuidad del Negocio)
MBCI (Miembro del Instituto de Continuidad del Negocio)
La Profesión de Continuidad del Negocio
18. 18
Conferencias, revistas y Recursos en línea
Revista de Continuidad del Negocio
BusinessContinuityJournal.com/
Revista de la Continuidad del Negocio y Planes de Emergencia
www.henrystewart.com/jbcep.aspx
Disaster Recovery Journal (DRJ.com)
Recursos y enlaces en línea
Revista gratuita cada temporada
Conferencias Semi-Anuales
San Diego y Orlando
18
La Profesión de Continuidad del Negocio
19. 19
Planes de Contingencia y Administración (ContingencyPlanning.com)
CPM Conferencia Anual - Marzo
Conocimientos de Continuidad (www.ContinuityInsights.com)
Conferencia Directiva de Conocimientos de Continuidad - Abril
El Instituto de Continuidad del Negocio (www.bcm2014.com)
Conferencia - Londres - Noviembre
www.continuitycentral.com
Cientos de artículos gratuitos
www. Disaster-Resource .com
Revista anual gratuita, artículos, directorio proveedores
Listas de Discusión por Correo Electrónico
http://www.linkedin.com
La Profesión de Continuidad del Negocio
20. 20
Asociaciones sin fines de lucro:
E.E.U.U. - La Asociación de Planificadores de Contingencia
www.acp-international.com
Canadá - Intercambio de Información de Recuperación de
Desastres
www.drie.org
Caribe - Asociación de Profesionales de la Continuidad del
Negocio del Caribe
www.cabcp.org
REINO UNIDO y Europa - Instituto de la Continuidad del Negocio
www.thebci.org
La Profesión de Continuidad del Negocio
22. ¿Qué es Gestión de Continuidad del Negocio?
Gestión de la continuidad del negocio es un
conjunto de procedimientos documentados y
probados para asegurarse de que la organización
no sufra interrupciones inaceptable en cualquiera
de sus actividades clave de la empresa, incluso en
el caso de un desastre
- No importa qué.
22
23. ¿Qué es un desastre?
Desde una perspectiva empresarial:
Un "desastre" es un evento interno o externo que afecta las
operaciones normales por un período de tiempo inaceptable
Ejemplos de una empresa después de un desastre pueden
incluir:
Pérdida de sistemas críticos para el negocio (un desastre
tecnologíco)
Pérdida de oficina o instalaciones de producción (un
desastre de edificación)
Pérdida de personal clave (un desastre en personal)
Determinar qué es una perturbación inaceptable depende
de impacto en el negocio, tales como:
Pérdida de ingresos
Pérdida de cuota de mercado
Pérdida de la reputación o imagen de marca, etc.
23
24. GCN vs Administración de Crisis
Dirijiendo un desastre de empresa no es el mismo
que responder a un crisis.
Un crisis/emergencia es
generalmente un evento de
corto plazo que requiere
acciones inmediatas
predeterminadas por unos
pocos individuos
capacitados, esto es
Administracion de
Crisis/Emergencias
Un desastre de negocio es
generalmente un evento a largo
plazo que requiere una
cuidadosa planificación y la
ejecución coordinada de
muchos interdependientes
actividades relacionados con
todos los aspectos del negocio,
se requiere Gestión de
Continuidad del Negocio (GCN)
Respuesta a la
Crisis es táctica
Gestión de CN
es estratégia
24
25. En cuestión de minutos a días:
• Contactar con el personal, clientes,
proveedores, etc.
• Relocacion a lugar de trabajo alternativo
si es necesario
• Reconstruir trabajos perdidos
• Reanudación de las actividades clave
de la empresa
En cuestión de minutos a horas :
• Reducción de los daños/la
limitación
• El personal y los visitantes son
tomados en cuenta
• Percances son manejados
• Evaluación de daños
• Invocación de GCN si es
necesario
GCN vs Administración de Crisis
Dentro de unas semanas o meses :
• Reparación de daños/sustitución
• Traslado a lugar de trabajo
permanente
• Recuperación de los costos de las
compañías de seguros
Cronograma
Incidente!
Administración de Crisis
Gestión de continuidad del negocio
Objetivo general de la recuperación:
volver-a-normal tan pronto posible
25
26. GCN vs Administración de Crisis (cont.)
26
Un plan de
continuidad del
negocio
proporciona la
capacidad de
administrar una
interrupción de
los procesos
importantes
empresariales:
Velar por el bienestar de los
empleados
mantener las actividades clave
de la empresa y minimizar
impactos de negocios
proteger la reputación de la
empresa
evitar responsabilidades legales
innecesarias
acelerar el retorno a las
condiciones de estabilidad y evitar
la incidencia creciente de
desastres en una empresa
27. GCN vs Administración de Crisis (cont.)
27
La capacidad de
administrar una
importante
interrupción de
negocio eficaz
requiere:
Nombramiento de un Equipo de
Administración de Crisis (EAC) con
la capacidad y autoridad de tomar
decisiones
los procedimientos para la
escalada de una situación de
emergencia, y notificación de los
miembros del equipo
procedimientos para activar
diversos equipos designados y los
planes
GCN listas de acciones para el
EAC con “administración de crisis"
28. ¿Qué es un
Plan de
Continuidad del
Negocio?
Detalles de la
Actividad
Lista de acciones
Materiales de sitio
alternativo
Los miembros del
equipo
Requisitos
Estrategia general
Plan de
Continuidad
Del Negocio
Su empresa
28
29. ¿Qué es un Plan de Continuidad del negocio?
En un nivel alto, un Plan de Continuidad del negocio es una
combinación de:
Definir las estrategias y procedimientos detallados para la
recuperación del sistema
Definir las estrategias y procedimientos detallados para
reanudar las operaciones
Un equipo formal estructurado para ejecutar los
procedimientos aplicables y administracion de un crisis
Todo arreglo necesarias para apoyar la anteriormente
dicho
29
30. ¿Qué es un Plan de Continuidad del negocio?
A un nivel detallado, un Plan de Continuidad del
negocio es la siguiente:
Una serie de actividades que puede ser
necesario llevar a cabo por los equipos de
recuperación de sistemas y/o reanudar las
operaciones esenciales tras un incidente
perjudicial
30
31. Detalles de la Actividad
Lista de actividades
¿Qué debería contener estos planes detallados?
Off-site Materiales
Los miembros del equipo
Requisitos de
recuperación
Estrategia general
Su empresa
Plan de
Continuidad
Del Negocio
Cada plan debe contener:
Descripción general de la estrategia
para cada tipo de incidente (o
"escenario de desastre".
Lista de los minimos requisitos para la
recuperación
Miembros del equipo y la información
de contacto.
Lista de materiales para sitios
alternativos y los demás documentos
justificativos
Listas de actividades (organizadas por
fase y escenario)
Detalles de la Actividad
31
32. ¿Qué es la continuidad de negocio?
Planes GCN, sin importar qué tan bien diseñados o
documentados, serán inútiles a menos que hay personas
que conocen la forma de ejecutar los planes
Para activar sus planes, una estructura de equipo formal
de continuidad del negocio debe ser establecido
Los equipos deben ser capaces de trabajar juntos para
administrar:
El incidente y esfuerzo de recuperación
La recuperación y restauración de las instalaciones
afectadas
La recuperación/restauración de la tecnologías afectados
Reanudación de cada departamento de las actividades
claves funciones
Relaciones públicas y comunicación corporativa
Cuestiones relativas a los recursos humanos, asuntos
legales, asuntos financieros
32
33. ¿Qué es un equipo GCN?
Equipo de Continuidad del negocio es un grupo de
personas responsables, después de un incidente de
importancia, para lo siguiente:
Determinar las actividades que se deben realizar
Coordinar la ejecución de las actividades
Comunicarse con otros equipos d GCN
Cada equipo debe tener un jefe de equipo y suplente(s),
y un número adecuado de miembros y miembros
suplentes ( se necesita lo suficiente para proporcionar
una adecuada cobertura, pero no tantos que el equipo no
puede ser manejable)
33
34. Equipos de GCN deberían
realizar ejercicios regulares
para asegurarse de que sean
competentes en sus
funciones
34
35. Típica estructura de un equipo de una empresa
Ubicación 4
Ubicación 3
Ubicación 2
Los Equipos que
Responden
Coordinador GCN
Equipo
Administrativo
De Crisis
Los equipos
departamentales
Departamento 2
Departamento 3
Departamento 4
Departamento 1
Desktop
Los servidores
Red
Mainframe/
De gama media
Los equipos de
Sistemas
Finanzas
Las
Comunicaciones
Los Equipos de Soporte
Ubicación 1
La estructura del equipo de una empresa más pequeña, por supuesto,
sería mucho más fácil
35
Recursos
humanos
Instalaciones/
Telefonía
36. Las claves para el Éxito
Desarrollo de Plan de continuidad no es ciencia de cohetes, pero …
Cada departamento debe seguir una metodología coherente
para asegurar que los planes trabajaran, y trabajaran con los
demás, cuando sea necesario
Los planes deben ser documentados con el suficiente detalle
que pueden ser ejecutados incluso en ausencia del experto
principal
Formatos estándarizados y la terminología debe ser utilizado
para evitar malentendidos y facilitar el mantenimiento
El uso de plantillas o herramientas de software por sí solo, no
podrá garantizar que estos objetivos se cumplan
36
37. Las claves del éxito (cont.)
Las claves del éxito para desarrollar un plan son los
siguientes:
Compromiso por parte de todos los departamentos
Selección de las personas adecuadas para la
elaboración de cada plan del equipo
Formación práctica de las personas en el proceso
de elaboración del plan
37
38. 38
¿Por qué es la
continuidad de
negocio
importante?
… Y este es el impacto previsto sobre
nuestros bonos si la planta deja de funcionar.
39. Continuidad de Negocio contra No Continuidad
de Negocio
Cronograma
Incidente!
Con un Plan de Continuidad del Negocio
SIN un Plan de Continuidad empresarial
Objetivo general de la recuperación:
volver-a-normal tan pronto posible
En cuestión de horas a días:
• Planes bien probados se ponen en acción
• Sus principales actividades se mantienen
• Espacio de trabajo dañado empieza a ser
reparado o sustituido
• Las operaciones empresariales normales
resumen lo más pronto posible
Dentro de unas semanas o meses :
• Los planes son creados sobre una base de ad
hoc
• Personal, datos y equipo necesario
lentamente es obtenido
• Los clientes comienzan a ir a otro lugar
• Empresa sufre importantes pérdidas y,
eventualmente, puede cerrar
39
40. ¿Por qué es necesario hacerlo?
El cambiante entorno de las amenazas ha
puesto en forma dramática la necesidad de
que las empresas puedan mejorar su
capacidad para continuar sus principales
actividades
- No importa qué
40
41. GCN es a menudo descrito
como "planificación de lo
desconocido"
Este es un concepto
equivocado, la mayoría de la
planificación que hacemos
es para eventos predecibles
Puede que no sepamos
cuándo,
Puede que no sepamos
cómo,
Pero por lo general sabe lo que puede pasar y de las consecuencias
posibles
¿Por qué se debe elaborar un
Plan de Continuidad del negocio?
41
42. Un análisis de impacto en el negocio puede determinar las
consecuencias de la interrupción de las actividades
comerciales, así como una evaluación de los riesgos puede
ayudar a determinar la vulnerabilidad de la empresa a la
interrupción
Basándose en la información recopilada durante la BIA, RA,
la administración tendrá que seleccionar y aplicar, en función
de los costos para justificar las estrategias:
Reducción de la vulnerabilidad
Reducir el impacto
Reanudar las operaciones esenciales
Recuperar sistemas informáticos
Conocimiento del riesgo y el impacto
42
43. Conocimiento del riesgo y el impacto
Selecciónando la “correcta" estrategia de continuidad por lo
general implica un compromiso
A menudo las estrategias más efectivas son también las más
caras
En cambio, lo menos costoso que las estrategias no resultan
práctico, son arriesgados, y dejan de atender a las
necesidades operacionales
El reto es identificar las estrategias, o una mezcla de estrategias,
que se venden a precios accesible pero proporcionará un nivel
apropiado de la gestión de riesgos
Esto sólo puede hacerse con un conocimiento profundo de
las amenazas a continuación de la operación y los posibles
impactos de una interrupción prolongada
43
45. • Las inundaciones
• Los tornados
• Los huracanes
• Terremotos
• Los incendios
forestales
45
Las amenazas tipicas a las que se enfrenta una
empresa
46. • Fuego
• Explosión
• Fallo de
alimentación
• Daños por agua
• Pérdida de
acceso
• Averías
mecánicas
46
Las amenazas tipicas a las que se enfrenta una
empresa
47. • Las huelgas
• Las epidemias
• Materiales
peligrosos
• Problemas de
transporte
• Pérdida de personal
clave
Amenazas de
Personal
47
Las amenazas tipicas a las que se enfrenta una
empresa
48. • Los virus
• Hacking
• Pérdida de datos
• Error de hardware
• Fallo de Software
• Fallo en la red
• Falla en el sistema
telefónico
Amenazas de
Personal
Las amenazas
tecnológicas
48
Las amenazas tipicas a las que se enfrenta una
empresa
49. • Las crisis financieras
• Cadena de Suministro
interrupción
• Fallo del equipo
• Cuestiones de
Reglamentación
• Mala publicidad
• Falta de diligencia
debida
Amenazas de
Personal
Las amenazas
tecnológicas
49
Las amenazas tipicas a las que se enfrenta una
empresa
50. • Disturbios
• Las protestas
• Sabotaje
• Vandalismo
• Amenazas de
bomba
• Violencia en el
lugar de trabajo
• El terrorismo
Amenazas de
Personal
Las amenazas
tecnológicas
50
Las amenazas tipicas a las que se enfrenta una
empresa
52. Las amenazas a las actividades de la empresa
Un eficaz plan de continuidad asegura amenazas de todo tipo de
riesgos. Las amenazas que plantean un nivel de riesgo de las
actividades industriales son minimizadas por el desarrollo
sistemático de una capacidad operativa que no depende de un
individuo.
Amenazas se refiere a los posibles incidentes que pudieran
perturbar el desarrollo de sus operaciones y estos son evaluados
en base a gravedad y probabilidad
La probabilidad ( probabilidad de que un incidente ocurre ),
frecuencia ( cuántas veces ocurre un incidente ), y la gravedad
(impacto de la incidencia) son factores que pesan mucho en CN.
Normalmente, las evaluaciones de riesgos determinan que las
amenazas más probable / frecuentes son menos severos y que las
más graves amenazas tienen menos probabilidades y ocurren con
menos frecuencia.
52
53. Las amenazas a las actividades de la empresa
Algunos ejemplos de las amenazas de todo tipo de riesgos :
Oficinas de trabajo no disponible, evento local
Oficinas de trabajo no disponible, a escala de un evento de toda la
región
Pérdida de registros vitales o claves de bases de datos
Pérdida de un sistema de comunicaciones
Pérdida de equipo especializado o sistemas informáticos
Pérdida de los principales servicios del proveedor (o de otros
servicios de la empresa )
Pérdida de personal
53
54. Conclusión
Elaboración de un Plan de Continuidad del negocio
puede ayudar a una organización para administrar
eficientemente los riesgos
El punto de inicio debe ser:
Evaluar los riesgos de la organización
Determinar que riesgos deben ser mitigados, y cómo
Asignar prioridades a la mitigación de riesgos
54
55. ¿Cómo se puede accionar un
Programa de Continuidad del negocio?
REVISAR - Revisión y Evaluación
PLANIFICAR: Planificación del SGCN
ACTUAR - Mejora continua - Administración del programa
Ejercicios
y
Pruebas
Estructura
para Respon-
der a
Incidentes
Procedimientos
para Reanud-
ación de
Empresa
Análisis de
Impacto
Del el Negocio
Evaluación
De Riesgo
Desarrollo de
la estrategia
de Continui-
dad
55
57. 57
Resumen de las normas de ISO 22301
El 15 de mayo de 2012, la Organización Internacional de
Normalización (ISO) lanzó oficialmente “El ISO 22301:2012
Seguridad Social – Sistema de Gestión de continuidad del negocio
– Requisitos seguridad de la sociedad" , el nuevo estándar
internacional de gestión de la continuidad de los Negocios (GCN).
ISO 22301 especifica los requisitos para planificar, establecer,
implementar, operar, supervisar, revisar, mantener y mejorar
continuamente un sistema de administración documentado a la
preparación, respuesta y recuperación de eventos perjudiciales
cuando se presenten.
58. 58
Alcance de las normas de ISO 22301
ISO 22301 está destinado a ser aplicable a todas las organizaciones (o
partes de ellas), independientemente de su tipo, el tamaño y la
naturaleza de la organización, que deseen:
Establecer, implementar, mantener y mejorar un SGCN;
Garantizar su conformidad con la declaración de la política de
continuidad del negocio;
Demostrar la conformidad de los demás;
Buscar la certificación/registro de su SGCN por una
organización certificada de tercera parte
Hacer una auto-determinación y auto-declaración de
conformidad con esta norma internacional.
60. Resumen de las normas de ISO 22301
Las cláusulas 1 y 3 definen el ámbito de aplicación de las normas de ISO y
proporcionan definiciones de términos utilizados dentro de ella
Principales Definiciones
Actividad: Proceso o conjunto de procesos de una organización (o en su nombre) que
produce o es compatible con uno o más de los productos y servicios, actividades
prioritarias son aquellos a los que debe darse prioridad después de un incidente con el fin
de mitigar los impactos
Análisis del Impacto en el negocio – Business Impact Analysis – BIA - proceso de análisis
de las actividades y el efecto que una interrupción del negocio podría tener sobre ellas
Partido interesada : persona u organización que pueden afectar, pueden verse afectados
por, o se consideran afectados por una decisión o actividad
Invocación - ley de la declaración de que la continuidad de negocio de la organización
deben establecerse disposiciones en vigor con el fin de seguir entrega de productos o
servicios
Corte máximo aceptable - tiempo que tomaría para efectos adversos, que podrían surgir
como resultado de no ofrecer un producto/servicio o realizar una actividad, inaceptables (aka
Período máximo tolerable de interrupción )
60
61. 1. ESTABLECIMIENTO
Cláusula 4 - Contexto de la organización
Primer paso implica llegar a conocer la organización, tanto internos como externos, y
establecer límites claros para el ámbito de aplicación de la gestión de la continuidad del
negocio. Para ello, la organización deberá comprender los requisitos de todas las partes
interesadas pertinentes, tales como los organismos reguladores, los clientes y el personal
Cláusula 5 - Liderazgo
ISO 22301 hace un enfoque particular a la necesidad de liderazgo apropiado de GCN.
Requiere la administración alta para asegurar recursos adecuados, establecer políticas y
nombrar personas competentes para implementar y mantener el SGCN
Cláusula 6: Planificación
Exige que la organización identifique los riesgos de la aplicación del sistema de
administración y establecer con claridad los objetivos y los criterios que se pueden
utilizar para medir su éxito.
61
62. 1. ESTABLECIMIENTO
Cláusula 7 - Soporte
Las personas con conocimientos, habilidades y experiencia adecuados debe estar en
lugar de contribuir a la SGCN y responder a incidentes cuando se producen. También es
importante que todos los funcionarios esten conscientes de su propio papel en la respuesta
a incidentes
La necesidad de la comunicación sobre el SGCN - por ejemplo, en que los clientes que la
empresa cuenta con una apropiada SGCN en el lugar, y preparación para comunicarse
después de un incidente (cuando los canales normales puede ser interrumpido) también es
necesario
62
63. 2. IMPLEMENTACION
Cláusula 8 - Operaciones
Las organizaciones deben realizar análisis de impacto en el negocio para comprender
cómo su negocio se ve afectado por la interrupción y cómo cambia esto con el tiempo. Las
evaluaciones de riesgo tratan de conocer los riesgos de su negocio de una manera
estructurada
Estos datos elaboran la estrategia de continuidad del negocio . Medidas para evitar o
reducir la probabilidad de accidentes se han desarrollado junto a medidas que se han de
adoptar cuando se producen incidentes.
ISO 22301 hace enfoque en la necesidad de una estructura de respuesta a incidentes
bien definida. Esto asegura que cuando se producen incidentes, las respuestas se
comunican de manera oportuna y la gente está preparada para tomar las medidas
necesarias para ser eficaces.
Un requisito que no se había abordado en las normas de continuidad del negocio es la
necesidad de un plan para el retorno a las actividades normales.
63
64. 2. IMPLEMENTACION
Cláusula 8 - Operaciones
Ejercicios y Pruebas son fundamentales en las normas de ISO 22301 : sólo a través de
ejercicios estructurados, que involucran los individuos y los equipos implicados, es como una
organización puede lograr el objetivo de su trabajo como se había previsto, y cuando sea
necesario.
64
65. 3. VERIFICAR
Cláusula 9 - Comprobación
Para cualquier sistema de administración, es fundamental para evaluar el
desempeño contra el plan.
ISO 22301 requiere, por tanto, que la organización seleccione y mida contra los
rendimientos establecidos.
Las auditorías internas se deberá llevar a cabo, y es un requisito que la
gerencia revise el SGCN y actuar sobre estos exámenes.
Cláusula 10 - Acto - No Conformidades y acciones correctivas
Ningun sistema de administración es perfecto desde el comienzo, y de las
organizaciones y su entorno están en constante cambio y requieren
mejoramiento continuo.
Cláusula 10 define las acciones a tomar para mejorar el SGCN y asegurar que
las acciones correctivas derivadas de las auditorías, revisiones, maniobras, etc.
están dirigidas.
65
4. LEY
66. Para aplicar el P-D-C-A ciclo descrito en ISO 22301, se han identificado
9 pasos diferenciados que hay que seguir
66
9 Pasos para implementar ISO 22301
67. 67
REVISAR: Revisión y Evaluación
PLANIFICAR - Planificación de la SGCN
ACTUAR: Mejora continua - Administración del programa
Ejercicio
Y
Pruebas
Estructura
para Respon-
der a
Incidentes
Procedimientos
para Reanud-
ación de
Empresa
Análisis de
impacto en
el negocio
Evaluación
de Riesgos
Seleccion de
la estrategia
de Continui-
dad
HACER
Desarrollo de un Plan GCN – 9 Pasos
68. PLANIFICAR - Planificación de la SGCN
68
Desarrollo de un Plan GCN – Paso 1
PLANIFICAR
Iniciar un programa :
Nombe un Director del Programa SGCN
Seleccione un Equipo De Planificación SGCN
Identifique los recursos necesarios
Establesca objetivos e hitos
Determine los procedimientos para la
recolección de información y decisiones
Diseñe las Estrategias de Comunicación
Diseñe el programa de aprendizaje y
concienciación
69. Análisis de
impacto en
el negocio
PLANIFICAR - Planificación de la SGCN
HACER - BIA
Identificar los impactos dependen del tiempo de
interrupción de los negocios, tales como:
Pérdida de ingresos
Pérdida de cuota de mercado
Pérdida de reputación
Pérdida de productividad
Incumplimiento de las normativas, etc.
69
Desarrollo de un Plan GCN – Paso 2
HACER
70. Análisis de
impacto en
el negocio
Evaluación
de Riesgos
PLANIFICAR - Planificación de la SGCN
70
Desarrollo de un Plan GCN – Paso 3
HACER
HACER
Evaluar las posibles interrupciónes de las
operaciones debido a:
Pérdida de las oficinas
Pérdida de sistemas informáticos
Pérdida de datos
Pérdida de comunicaciones
Pérdida de personal clave, etc.
71. Análisis de
impacto en
el negocio
Evaluación
de Riesgos
Seleccion de
la estrategia
de Continui-
dad
PLANIFICAR - Planificación de la SGCN
71
Desarrollo de un Plan GCN – Paso 4
HACER
HACER
Seleccionar y aplicar estrategias adecuadas
para:
Reducción de los riesgos
Reducir los impactos
Recuperación de los sistemas y datos
Reanudar las operaciones
72. Análisis de
impacto en
el negocio
Evaluación
de Riesgos
Continuidad
Estrategia
Selección
PLANIFICAR - Planificación de la SGCN
Estructura
para Respon-
der a
Incidentes
72
Desarrollo de un Plan GCN – Paso 5
HACER
HACER
Desarrollar un marco para administrar
incidentes críticos, incluyendo:
Procedimientos de respuesta a incidentes
Procedimientos de comunicación
Los criterios para la toma de decisiones
Direccion de la Sucesión
Las políticas de RR.HH., etc.
73. Análisis de
impacto en
el negocio
Evaluación
de Riesgos
Continuidad
Estrategia
Selección
Procedimientos
para Reanud-
ación de
Empresa
Estructura
para Respon-
der a
Incidentes
PLANIFICAR - Planificación de la SGCN
73
Desarrollo de un Plan GCN – Paso 6
HACER
HACER
Desarrollar y documentar los procedimientos
detallados para reanudar actividades prioritarias en
sitio alternativo, entre los que se incluyen:
Definición de los requisitos de recursos
Miembro del equipo información de contacto
Listas de procedimientos
Documentación de procedimientos detallados
Off-site lista de materiales, etc.
74. 74
Desarrollo de un Plan GCN – Paso 7
Ejercicio
Y
Pruebas
Incidente
Respuesta
Estructura
Empresa
Reanudación
Procedimientos
PLANIFICAR - Planificación de la SGCN
Análisis de
impacto en
el negocio
Evaluación
de Riesgos
Seleccion de
la estrategia
de Continui-
dad
DO
HACER
Establecer procesos de planes de pruebas y
ejercicios para los equipos como:
Controles documentales, los exámenes por pares
Tutoriales estructurado
Pruebas del Árbol de llamadas, pruebas de
funcionamiento
Parte superior de la Mesa y ejercicios de simulación
Ejercicios Operacionales
Ejercicios, simulacros los desastres
HACER
75. PLANIFICAR - Planificación de la SGCN
75
Desarrollo de un Plan GCN – Paso 8
Ejercicio
Y
Pruebas
Incidente
Respuesta
Estructura
Empresa
Reanudación
Procedimientos
Análisis de
impacto en
el negocio
Evaluación
de Riesgos
Seleccion de
la estrategia
de Continui-
dad
REVISAR: Revisión y Evaluación
DO
REVISAR
Establecer los procesos en curso para:
Evaluar Plan GCN eficacia
Auditoría procesos SGCN
Regular de informes de administración y
revisión
HACER
76. Ejercicio
Y
Pruebas
Incidente
Respuesta
Estructura
Empresa
Reanudación
Procedimientos
Análisis de
impacto en
el negocio
Evaluación
de Riesgos
Seleccion de
la estrategia
de Continui-
dad
DOHACER
REVISAR: Revisión y Evaluación
PLANIFICAR - Planificación de la SGCN
76
Desarrollo de un Plan GCN – Paso 9
ACTUAR: Mejora continua - Gestión del programa
ACTUAR
Establecer un marco de referencia permanente para la
mejora continua de los GCN programa:
Revisión de políticas y normas
Contenido de la Actualización del Plan GCN
Distribuir actualizaciones del Plan GCN
Controlar el acceso al Plan de GCN
Mantener la responsabilidad
Supervisión por parte de un comité de dirección
Revisar los presupuestos anuales y objetivos
77. 77
REVISAR: Revisión y Evaluación
PLANIFICAR - Planificación de la SGCN
ACTUAR: Mejora continua - Administración del programa
Ejercicio
Y
Pruebas
Estructura
para Respon-
der a
Incidentes
Procedimientos
para Reanud-
ación de
Empresa
Análisis de
impacto en
el negocio
Evaluación
de Riesgos
Seleccion de
la estrategia
de Continui-
dad
HACER
Desarrollo de un Plan GCN – 9 Pasos
78. Análisis de
impacto en
el negocio
Evaluación
de Riesgos
Seleccion de
la estrategia
de Continui-
dad
78
Nuestro objetivo esta semana
DOHACER