miguel cisterna como ordenarnos metodologicamente

2º Foro Global Crossing de Tecnología y Negocios

Continuidad de Negocios, más allá de lo previsible

Bussiness Continuity Management BS-25999.

¿Cómo Ordenarnos Metodológicamente?

Miguel Cisterna L.

Introducción

¿Su Organización cuenta con un plan

de continuidad de negocio?

¿Funciona?

BCP

¿Que se entiende por continuidad de negocio?

Planificación

Recuperación

Restablecimiento

Continuidad de Negocio

Bussiness Continuity Management

BS 25999

Introducción

BS 25999-1:2006

•Establecer la Política de BCM

•Asignar responsabilidades

•Definir, documentar, implementar y mantener las actividades del Ciclo de Vida de BCM

•Entender la organización.

•Determinar la estrategia de BCM.

•Desarrollar e implementar la respuesta de BCM.

•Pruebas, mantenimiento y revisión.

•Concientizar y entrenar a los involucrados.

BS 25999-2:2007

BCMS

Establecer el BCMS

Implementar el BCMS

Revisión del BCMS

Mejora del BCMS

Aspectos Generales del BCMS

Estrategia del BCM

TECNOLOGÍA

PERSONAS

ACTIVOS / INSUMOS

INFORMACIÓN

PARTES

INTERESADAS

Es el enfoque para asegurar el

recupero y continuidad del negocio

de la organización en caso de

desastre, incidente o interrupción

de las actividades

INSTALACIONES

Documentación del BCM

• Política de BCM

• Alcance de BCM

• Procesos definidos y documentados

• Análisis y Evaluación de Riesgos

• Análisis de Impacto en el Negocio (BIA)

• Estrategia de BCM

• Programa de Concientización

• Programa de Entrenamiento

• Plan de Gestión de Incidentes (IMP)

• Plan de Continuidad del Negocio (BCP)

• Plan de Recupero del Negocio (BRP)

• Programa de Pruebas y Registros

• SLAs y Contratos

Por donde empezar a Documentar

• Registro de BCM

• Funciones Críticas de los procesos.

• Impacto (de una interrupción, en términos cuantitativos y/o cualitativos)

• Tolerancia (tiempo máximo de interrupción)

• Recovery Time Objective (objetivo de tiempo para la recuperación de la función crítica)

• Recursos Requeridos (para cumplir con los RTOs)

• Mención a los Procedimientos Operativos de Respuesta (IMP, BCP y BRP) y Prueba; y Registros de Prueba asociados

Esquema Documental

Instructivo de Trabajo

de BCM

Registro de BCMProcedimientos

Operativos

Registros de pruebas

Explica cómo llevar a cabo la actividad

Hace referencia a

Evidencian su adecuado mantenimiento en

La actividad se evidencia en

“BIA”

“BCP”

PRUEBAS

Consideraciones al momento de implementar

BIA

• Cuáles son las actividades claves de su negocio ?

• Qué procesos informáticos o de comunicaciones dan apoyo para esas actividades ?

• Qué correlación tienen con el resto de los procesos ? (suben de categoría ?)

• Cuáles son las amenazas/vulnerabilidades claves de su negocio?

• Cual es el impacto económico por interrupción de su negocio ?

• Cuánto tiempo soporta interrumpido?

• Impacto Directo?

• Impacto Indirecto o posterior en tiempo (intangibles)?

Análisis de Amenazas

Análisis de Interrupción

Determinación de Procesos Informáticos

Críticos

Fase I

Estrategias de Recuperación

• Cómo se levantará y seguirá su negocio después de una interrupción ?

• Cómo se logrará el consenso dentro de la organización para viabilizar y simplificar el proceso de recuperación?

Fase II

Definir Estrategia

deRecupero

Definir Procesos

deRecupero

AdecuarEstrategia

deRecupero

Determinar Factibilidad

Finalizar Estrategias de Recuperación

• Determinar el esfuerzo e impacto en el plan de recuperación

• Etapa crítica donde se debe lograr el consenso y la aprobación de la gerencia para seguir adelante

• En esta fase se identifican y desarrollan arreglos específicos de recuperación de la organización, incluyendo actividades requeridas para trasladar procesos / operaciones / recursos.

Fase III

Finalizar Estrategia de Recuperación

Documentación del Plan

• Cómo funcionará el negocio durante la pérdida de operaciones normales ?

• En esta fase se proveerá el desarrollo de una alternativa para “operar en contingencia”, basada en las estrategias de recuperación definidas previamente.

• Asimismo se identifican los procedimientos para retornar a la operación normal partiendo de la contingencia, una vez normalizada la situación.

Fase IV

AdquirirRecursos

Documentar

Pruebas, Entrenamiento y Mantenimiento

• Continuará funcionando realmente la organización durante el “Restablecimiento” que ha sido planeado?

• Pruebas y simulaciones

• Actualización del Plan por cambios tecnológicos y/o de negocios.

• Auditoría del plan en régimen, con evaluación de documentación y de procedimientos.

• Simulacros de “escenarios” periódicos.

Fase V

Prueba

Training

Mantenimiento

Metodología Bussiness Continuity Management

Plan

• Pruebas Puntuales y Totales.

• Sensibilización, Capacitación, Entrenamiento .

• Validación y Actualización de planes documentados

• Mejoramiento continuo.

• AC y AP

• Definir Estrategias C.N.

• Recuperación y Tiempos de Recuperación.

• Relacionamiento Interno/Externo.

• Estructura de Respuesta a Incidentes.

• Planes de Recuperación.

• Comunicaciones

• Entender La organización.

• Risk Management

• B.I.A.

• Evaluar estrategias

Plan Do

CheckAct

Do





• AC y AP






• Comunicaciones


• Risk Management

• B.I.A.


Plan Do

CheckAct

Act





• AC y AP






• Comunicaciones


• Risk Management

• B.I.A.


Plan Do

CheckAct

Check





• AC y AP






• Comunicaciones


• Risk Management

• B.I.A.


Plan Do

CheckAct

Conclusiones

La estrategia de No implementar medidas para escenarios de

contingencia, es riesgoso para la Organización.

Las estrategias más efectivas, son también las más costosas.

El reto consiste en identificar aquellas estrategias o mezcla de ellas, que

son factibles pero que provean un nivel de riesgo apropiado.

TODOS A SUS PUESTOS

miguel cisterna como ordenarnos metodologicamente

Business