¿Cómo ordenarnos metodológicamente?
Los estándares metodológicos permiten lograr mayor efectividad operativa, dentro de un marco legal y seguridad estratégica. Pero ¿conocemos cuáles son y si serían de utilidad para nuestra empresa? o son solo buenas intenciones para las corporaciones?
- Miguel Cisterna, Project Manager, Data Center & Security, Global Crossing
3. Introducción
¿Que se entiende por continuidad de ¿Su Organización cuenta con un plan
negocio? de continuidad de negocio?
Planificación
Continuidad
Recuperación de Negocio
BCP
Restablecimiento
¿Funciona?
6. BS 25999-1:2006
•Establecer la Política de BCM
•Asignar responsabilidades
•Definir, documentar, implementar y mantener
las actividades del Ciclo de Vida de BCM
•Entender la organización.
•Determinar la estrategia de BCM.
•Desarrollar e implementar la respuesta de BCM.
•Pruebas, mantenimiento y revisión.
•Concientizar y entrenar a los involucrados.
7. BS 25999-2:2007
Establecer el
BCMS
Mejora del
BCMS BCMS Implementar el
BCMS
Revisión del
BCMS
9. Estrategia del BCM
PERSONAS
PARTES
INSTALACIONES
INTERESADAS
Es el enfoque para asegurar el
recupero y continuidad del negocio
de la organización en caso de
desastre, incidente o interrupción
de las actividades
ACTIVOS / INSUMOS TECNOLOGÍA
INFORMACIÓN
10. Documentación del BCM
• Política de BCM
• Alcance de BCM
• Procesos definidos y documentados
• Análisis y Evaluación de Riesgos
• Análisis de Impacto en el Negocio (BIA)
• Estrategia de BCM
• Programa de Concientización
• Programa de Entrenamiento
• Plan de Gestión de Incidentes (IMP)
• Plan de Continuidad del Negocio (BCP)
• Plan de Recupero del Negocio (BRP)
• Programa de Pruebas y Registros
• SLAs y Contratos
11. Por donde empezar a Documentar
• Registro de BCM
• Funciones Críticas de los procesos.
• Impacto (de una interrupción, en términos cuantitativos
y/o cualitativos)
• Tolerancia (tiempo máximo de interrupción)
• Recovery Time Objective (objetivo de tiempo para la
recuperación de la función crítica)
• Recursos Requeridos (para cumplir con los RTOs)
• Mención a los Procedimientos Operativos de Respuesta
(IMP, BCP y BRP) y Prueba; y Registros de Prueba
asociados
12. Esquema Documental
Instructivo
de Trabajo Explica cómo llevar a cabo la actividad
de BCM
“BIA”
PRUEBAS
La actividad se evidencia en
Evidencian su
adecuado
mantenimiento en
Registro de BCM
Procedimientos
Operativos
Hace referencia a Registros
de pruebas
“BCP”
14. BIA
• Cuáles son las actividades claves de su negocio ?
Fase I • Qué procesos informáticos o de comunicaciones dan
apoyo para esas actividades ?
Análisis de
• Qué correlación tienen con el resto de los
Amenazas procesos ? (suben de categoría ?)
• Cuáles son las amenazas/vulnerabilidades claves de su
Análisis de negocio?
Interrupción
• Cual es el impacto económico por interrupción de su
Determinación
negocio ?
de Procesos • Cuánto tiempo soporta interrumpido?
•
Informáticos
Críticos Impacto Directo?
• Impacto Indirecto o posterior en tiempo (intangibles)?
15. Estrategias de Recuperación
• Cómo se levantará y seguirá su negocio después de
Fase II una interrupción ?
• Cómo se logrará el consenso dentro de la organización
Definir Definir para viabilizar y simplificar el proceso de
Estrategia Procesos
de de recuperación?
Recupero Recupero
Adecuar
Estrategia Determinar
de Factibilidad
Recupero
16. Finalizar Estrategias de Recuperación
• Determinar el esfuerzo e impacto en el plan de
Fase III recuperación
• Etapa crítica donde se debe lograr el consenso y la
aprobación de la gerencia para seguir adelante
Finalizar
Estrategia de
• En esta fase se identifican y desarrollan arreglos
Recuperación específicos de recuperación de la organización,
incluyendo actividades requeridas para trasladar
procesos / operaciones / recursos.
17. Documentación del Plan
• Cómo funcionará el negocio durante la pérdida de
Fase IV operaciones normales ?
• En esta fase se proveerá el desarrollo de una
alternativa para “operar en contingencia”, basada en
Adquirir las estrategias de recuperación definidas previamente.
Recursos
• Asimismo se identifican los procedimientos para
retornar a la operación normal partiendo de la
Documentar contingencia, una vez normalizada la situación.
18. Pruebas, Entrenamiento y Mantenimiento
• Continuará funcionando realmente la organización
Fase V durante el “Restablecimiento” que ha sido planeado?
• Pruebas y simulaciones
Prueba • Actualización del Plan por cambios tecnológicos y/o de
negocios.
Training
• Auditoría del plan en régimen, con evaluación de
documentación y de procedimientos.
Mantenimiento
• Simulacros de “escenarios” periódicos.
20. Plan
• Entender La organización. • Definir Estrategias C.N.
• Risk Management • Recuperación y Tiempos de
• B.I.A. Recuperación.
• Evaluar estrategias • Relacionamiento
Interno/Externo.
• Estructura de Respuesta a
Incidentes.
• Planes de Recuperación.
Plan Do • Comunicaciones
Act Check
• Validación y Actualización de • Pruebas Puntuales y Totales.
planes documentados • Sensibilización, Capacitación,
• Mejoramiento continuo. Entrenamiento .
• AC y AP
21. Do
• Entender La organización. • Definir Estrategias C.N.
• Risk Management • Recuperación y Tiempos de
• B.I.A. Recuperación.
• Evaluar estrategias • Relacionamiento
Interno/Externo.
• Estructura de Respuesta a
Incidentes.
• Planes de Recuperación.
Plan Do • Comunicaciones
Act Check
• Validación y Actualización de • Pruebas Puntuales y Totales.
planes documentados • Sensibilización, Capacitación,
• Mejoramiento continuo. Entrenamiento .
• AC y AP
22. Act
• Entender La organización. • Definir Estrategias C.N.
• Risk Management • Recuperación y Tiempos de
• B.I.A. Recuperación.
• Evaluar estrategias • Relacionamiento
Interno/Externo.
• Estructura de Respuesta a
Incidentes.
• Planes de Recuperación.
Plan Do • Comunicaciones
Act Check
• Validación y Actualización de • Pruebas Puntuales y Totales.
planes documentados • Sensibilización, Capacitación,
• Mejoramiento continuo. Entrenamiento .
• AC y AP
23. Check
• Entender La organización. • Definir Estrategias C.N.
• Risk Management • Recuperación y Tiempos de
• B.I.A. Recuperación.
• Evaluar estrategias • Relacionamiento
Interno/Externo.
• Estructura de Respuesta a
Incidentes.
• Planes de Recuperación.
Plan Do • Comunicaciones
Act Check
• Validación y Actualización de • Pruebas Puntuales y Totales.
planes documentados • Sensibilización, Capacitación,
• Mejoramiento continuo. Entrenamiento .
• AC y AP
24. Conclusiones
La estrategia de No implementar medidas para escenarios de
contingencia, es riesgoso para la Organización.
Las estrategias más efectivas, son también las más costosas.
El reto consiste en identificar aquellas estrategias o mezcla de ellas, que
son factibles pero que provean un nivel de riesgo apropiado.
TODOS A SUS PUESTOS