Read Microsoft PowerPoint - PLANES DE CONTINUIDAD NEGOCIO fernando y rodrigo v5.0.ppt text version

Plan de Continuidad para el Negocio

Rodrigo Ferrer Velásquez

CISA

Fernando Ferrer Olivares

CISA, CISM, PMP, CCSA COBIT Foundation Certificate COBIT Trainer Accredited

CISSP ABCP COBIT Foundation Certificate CSSA CST [email protected] www.sisteseg.com 310 2234533 Ing Electrico Esp. Telecomunicaciones Estudios de Maestría.

[email protected] [email protected]

314-2950236 Socio Fundador de FERROL International Group IT Governance, Control, Security and Audit Services Universidad Católica de Colombia Especialización Auditoría de Sistemas

El uso de TI tiene el potencial de ser el conductor principal de la abundancia económica en el Siglo XXI. Mientras que este recurso ya es crítico para el éxito de las empresas, proporciona oportunidades de obtener una ventaja competitiva y ofrece los medios para aumentar productividad, esto será aún más cierto en el futuro.

Pero, TI conlleva riesgos. Y es claro que en estos días de negocios a escala global, los tiempos improductivos han llegado a ser demasiado costosos para las empresas. En algunas industrias, es un recurso necesario para diferenciar y proporcionar una ventaja competitiva mientras que en muchos otras determina la supervivencia.

ITGI, Board Briefing on IT Governance, 2nd Edition, USA.

Copyright: Rodrigo Ferrer

AGENDA

1. 2.

Introducción FCE para la Implementación de PCNs eficientes Metodología Proyectos vs. Procesos Otros Frameworks Roles & Responsabilidades Concientización, Entrenamiento & Educación Empleo de Herramientas Mantenimiento del Plan Pruebas y Auditorías Conclusiones

3.

Copyright: Rodrigo Ferrer

Introducció Introducción

Por qué implementar BCM?

Presiones internas

­ ­

Logro de objetivos (alineamiento) Logro de beneficios

Presiones externas

­ ­

Exigencias o demandas Por mensajes del mercado (... moda)

Copyright: Rodrigo Ferrer

Por qué implementar BCM?

Logro de beneficios

­

Sobrevivencia corporativa ­ Mayor impacto en el valor de las acciones

The impact on shareholder value

After initial reflex (10 days), market begins to assess company's response.

Cumulative abnormal returns (%) i.e., change in market

cap adjusted for market movement

Effective crisis response Ineffective crisis responses

25

50

75

100

125

150

175

200

225

250

Trading days after the event

Source: "The Impact of Catastrophes on Shareholder Value," Rory F. Knight & Deborah J. Pretty, Templeton College, University of Oxford, p. 3.

­

Impacto en la reputación

Debida diligencia

Copyright: Rodrigo Ferrer

Por qué implementar BCM?

Exigencias o demandas (Compliance) Requerimientos legales o de terceras partes (stakeholders)

­

Legislación concerniente a:

Control Interno sobre Reportes Financieros - SOX Información Médica ­ HIPPA Superintendencia Financiera

­ ­ ­ ­ ­

Risk Management Requerimientos de Aseguradoras Requerimientos de Auditoría Clentes (SLAs) Obligación con accionistas & empleados

Copyright: Rodrigo Ferrer

Por qué implementar BCM?

ByIDA By-law 17.19

Every Member shall establish and maintain a business continuity plan identifying the necessary procedures to be undertaken during an emergency or significant business disruption. Such procedures shall be reasonably designed to enable the Member to stay in business in the event of a future significant business disruption in order to meet obligations to its customers and capital markets counterparts ...

Copyright: Rodrigo Ferrer

Por qué implementar BCM?

Por mensajes del mercado

­ ­ ­

Asociaciones Consultores Vendedores de Software

`Never before had the ability of business to recover been played out in the full glare of the worldwide media' (Honour, 2002)

Copyright: Rodrigo Ferrer

Pero qué es BCM?

Existen múltiples definiciones:

provides the availability of processes and resources in order to ensure the continued achievent of critical objectives

Standars Australia /NZ HB 221: 2003

[the] way an organization provides its products and services whilst increase its resilience to disruption, interruption or loss

Business Continuity Institute 2002

The uninterrupted availability of all key resources to support essential business processes

Australian National Audit Office

Copyright: Rodrigo Ferrer

Qué es Continuidad del Negocio?

La continuidad del servicio involucra capacidades estratégicas y tácticas, preaprobadas por la dirección de una entidad, para responder a incidentes e interrupciones del servicio con el fin de poder continuar con sus operaciones a un nivel aceptable previamente definido

BSI, BS-25999, pag. 6.

Copyright: Rodrigo Ferrer

Metodologí Metodología

prá Mejores prácticas

Copyright: Rodrigo Ferrer

Framewo Está Frameworks y Estándares

Copyright: Rodrigo Ferrer

DRII

Copyright: Rodrigo Ferrer

BCI

Business Continuity Management Principles (Chapter 1) Understanding the Organisation (Chapter 2) Determining BCM Strategy (Chapter 3) Developing and Implementing BCM Response (Chapter 4) Exercising, Maintaining & Reviewing BCM arrangements (Chapter 5) Embedding BCM in the Organisation's Culture (Chapter 6)

Copyright: Rodrigo Ferrer

NPFA 1600

¿Qué es la NFPA 1600?

La NFPA 1600 establece una base de normalización para el planeamiento y operaciones de manejo de desastres/ emergencias al brindar elementos comunes del programa, técnicas, y procedimientos enfocados en su totalidad en el programa.

Copyright: Rodrigo Ferrer

Metodología de BCP NIST ­ SP800- 34

Continuity of Operations Plan (COOP)

Occupant Emergency Plan (OEP)

Cyber Incident Response Plan

Crisis Communications Plan

Business Continuity Plan (BCP)

Continuity of Support Plan/IT Contingency Plan

Disaster Recovery Plan (DRP)

CARRERA 18 NO. Facilities 86A 14. TELÉFONO: IT +57 (1) 6386223. Business FAX: +57 (1) 6163030. Major Impact WWW.ESTEGANOS. for Information Technology Systems, Recommendations of the National Institute of Standards and Technology ­ NIST, June 2002 Contingency Planning Guide Copyright: Rodrigo Ferrer COM

Business Recovery (or Resumption) Plan (BRP)

"Crisis Management Planning ­ Part IV", Crisis in Organizations ­ Lawrence Barton.

Business Continuity Planning

Prevention Plans

Emergency Response Plans

Business Resumption Plan

Before

During

After

Risk Management

Incident Response Life Safety vs. Assest Protection Damage Assessment

Crisis Mgmt. Plan

Facility Plans

Bus. Units'Plans

Security Plans

I.S. Dept. Plan

Copyright: Rodrigo Ferrer

"Risk Management Policy ­ Appendix A ­ Risk Management Phases", Treasury Board of Canada Secretariat.

Risk Management

Before an Incident

During an Incident

After an Incident

Identify

Contain

Compensate or Restore and Recover

Minimize

Copyright: Rodrigo Ferrer

Metodología Metodologí

Copyright: Rodrigo Ferrer

Aná Análisis de Impacto al Servicio - BIA

Copyright: Rodrigo Ferrer

Impacto

Tiempo Impacto Financiero (3) Pérdida de Imagen o Reputación (4) Daño a la Comunidad (5)

10 minutos 30 minutos 1 hora 4 horas 16 horas 1 dia 2 dias 4 dias 1 semana 1 mes

Copyright: Rodrigo Ferrer

Crí Procesos Críticos del Negocio

Finanzas Salud ambiental Seguridad Edificios

Personal, proveedores y clientes

Tecnología Información

Procesos críticos de Negocio

Legal

Recursos Humanos Telecom Redes y Hardware Procesamiento Transaccional

Copyright: Rodrigo Ferrer

Aná Análisis de Impacto al Servicio - BIA

O

COSTO

PERDIDAS INTERRUPCION COSTO ESTRATEGIA

TIEMPO

Copyright: Rodrigo Ferrer

Gestió Gestión del Riesgo

Gestió Gestión del Riesgo

Copyright: Rodrigo Ferrer

El Riesgo La falta de una gestión del riesgo en cualquier entidad puede tener como consecuencia:

Perdida de tiempo Perdida de productividad Perdida de información confidencial Pérdida de clientes Pérdida de ingresos Pérdida de competitividad en el mercado Pérdida de imagen - credibilidad

Copyright: Rodrigo Ferrer

Las Amenazas

Amenazas Naturales & Ambientales Fuego Tormenta Eléctrica Terremoto Inundación Tornado Sequía Huracán, Tifón, Ciclón Volcán Tsunami Pandémica Accidentales Omisión Error Humanas Intencionales Omisión Error Fuego Robo Sabotaje Vandalismo Huelga Terrorismo Amenaza química o biológica Guerra Ciber-amenaza De Infraestructura Daño estructural Comunicaciones Sistemas de Seguridad Potencia eléctrica Calefacción / Aire Paro de transporte Pérdida de utilidades Contaminación de comida o agua 29 Cambio legal o regulatorio

Copyright: Rodrigo Ferrer

Gestión del riesgo - Tratamiento

ACEPTAR o ASUMIR EL RIESGO

EVITAR EL RIESGO

Estrategias de Tratamiento

TRANSFERIR EL RIESGO

MITIGAR EL RIESGO (mitigar el impacto o reducir la probabilidad)

ATOMIZAR EL RIESGO

Gestión del riesgo - Mitigación

Centros de Procesamiento Servidores

Tecnológicas

Comunicaciones Suministro Eléctrico

Estrategias de mitigación

Datos, Backups & Recuperación Equipos y Roles Procesos de Continuidad

No tecnológicas

Recurso Humano Capacitación Suministros

Cómo implementar BCM?

Retroalimentación Tomar conciencia y decidirse Identificar necesidades Analizar gaps (vacíos ­ diferencias) Analizar opciones Analizar riesgos Seleccionar procesos Revisión postimplementación

Definir dónde está usted Envision la solución

Definir dónde desea estar usted

Definir proyectos Planear la solución

Desarrollar e implementar el plan de cambio

Integrar a las prácticas del día a día Implementar la solución

Integrar medidas en IT-BSC

Adaptado de "IT Governance Hands-on: Using COBIT to implement IT Governance, Luc Kordel, Information Systems Control Journal, Volume 2, 2004

Copyright: Rodrigo Ferrer

Roles y Responsabilidades

COBIT 4.1 Responsabilidades

Copyright: Rodrigo Ferrer

Concientizació Concientización, Entrenamiento y Educació Educación

Concientización

Talleres

Deducción

Presentaciones

Énfasis en imagenes, experiencias, estadísticas, mensajes

Expertos

Internos y Externos

Copyright: Rodrigo Ferrer

Concientización

· Deducción

· Qué haría usted mañana si su compañía es · · ·

consumida por el fuego hoy? Qué harían sus clientes? Qué harían sus competidores? Qué harían sus bancos y accionistas?

CARRERA 18 NO. 86A 14. TELÉFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. Rodrigo Ferrer Copyright: WWW.ESTEGANOS.COM

Una imagen .....

Copyright: Rodrigo Ferrer

Una imagen .....

Could your company carry on if the unthinkable happened?

Copyright: Rodrigo Ferrer

Experiencias, eventos

Naturales

o o o o o

·

Causadas por el hombre

Terremotos Tornados Huracanes Inundaciones Pandemias

o Terrorismo o Robo o Ciberincidentes

`Las crisis causadas por los humanos pueden ahora rivalizar con los desastres naturales en alcance yymagnitud' `Las crisis causadas por los humanos pueden ahora rivalizar con los desastres naturales en alcance magnitud' (Mitroff, 2001) (Mitroff, 2001)

Copyright: Rodrigo Ferrer

Estadísticas Impactos / Pérdidas

INCIDENT DATE: LOCATION: LOSS:

Terrorist Attacks Hurricane Andrew Earthquake Floods Riots Blizzard Wildfires Bombing Heavy Rains Tornados Power Outages

Sep/2001 Aug/1992 Jan/1994 Apr/1992 May/1992 Mar/1993 Oct/1991 Feb/1993 Jan/1993 Apr/1991 Aug/2003

NY, PA and Wash DC Florida, Gulf Coast Los Angeles, CA Midwest Los Angeles 24 States Oakland, CA NY World Trade Center Arizona Andover, KS US and Canada

$27 Billion $24 Billion $11 Billion $10 Billion $2 Billion $1.8 Billion $1.7 Billion $540 Million $56 Million $50 Million $ N/A

NOTA: Los datos reflejan costos de infraestructura y limpieza ­ no las pérdidas de ingresos de negocio

Interrupción de negocio == MUCHO DINERO !!! Interrupción de negocio MUCHO DINERO !!!

Copyright: Rodrigo Ferrer

.... Pilas con

Todo lo anterior es cierto, pero

­ ­ ­

­

...Nosotros somos inmunes a desastres ...Eso nunca pasará aquí ...Nosotros tenemos una política de seguros, eso es suficiente ...Nosotros nunca hemos tenido problemas antes

CARRERA 18 NO. 86A 14. TELÉFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. Rodrigo Ferrer Copyright: WWW.ESTEGANOS.COM

Entrenamiento en BCM

El entrenamiento incluye, entre otros aspectos:

­ ­

­

El adiestramiento al personal en sus roles y responsabilidades relacionadas al Plan Así como el entrenamiento en habilidades especificas que necesitarán para llevar a cabo sus roles efectivamente Certificaciones

Copyright: Rodrigo Ferrer

Actividades a realizar

Copyright: Rodrigo Ferrer

Empleo de herramientas

Herramientas para el BCP

Copyright: Rodrigo Ferrer

Mantener contactos

Copyright: Rodrigo Ferrer

Alertas

Copyright: Rodrigo Ferrer

Beneficios Herramientas

El plan se mantiene actualizado Más fácil notificación a participantes Facilidad de realizar el BIA (incluido en la herramienta) Facil intercambio de planes específicos (workflow) Facilidad para el entrenamiento y educación Se debe considerar de la confiabilidad del sistema en donde se encuentre la herramienta en caso de fallas.

Se puede tener una plataforma o varias con el software Servicios de acceso web

Copyright: Rodrigo Ferrer

Entrenamiento Online

Copyright: Rodrigo Ferrer

Auditorí Auditoría

COBIT DS4DS4- Asegurar el servicio continuo

Framework de Continuidad de TI La Gerencia de TI, en cooperación con los propietarios de los procesos de negocio, debe: Establecer un framework de continuidad

Copyright: Rodrigo Ferrer

COBIT DS4DS4- Asegurar el servicio continuo

Framework de Continuidad de TI La Gerencia de TI, en cooperación con los propietarios de los procesos de negocio, debe: Establecer un framework de continuidad el cual define: - Roles, tareas y responsabilidades (estructura organizacional) Proyecto vs. Proceso Personal interno y externo (usuarios y proveedores de servicios)

Copyright: Rodrigo Ferrer

COBIT DS4DS4- Asegurar el servicio continuo

Pruebas al Plan de Continuidad de TI Para contar con un Plan de Continuidad efectivo, la gerencia necesita evaluar su adecuación de manera regular o cuando se presenten cambios mayores en el negocio o en la infraestructura de TI Esto requiere una preparación cuidadosa, documentación, reporte de los resultados de las pruebas e implementar un plan de acción de acuerdo con los resultados Considerar la extensión de las pruebas de recuperación de aplicaciones individuales, escenarios punto a punto e integradas

Copyright: Rodrigo Ferrer

Rol del Auditor

Aprendiz

­ ­

Capacitarse en estos temas Certificarse en estos temas Contribuir a la sensibilización y concientización sobre estos temas Durante la definición o establecimiento del Framework Durante el Proyecto Inicial de Construcción de Planes Sugiriendo innovaciones al Framework ­ Aporte de buenas prácticas Durante la elaboración de los Planes Revisiones posteriores a los Procesos de Construcción de Planes Revisiones posteriores a los Planes

Consultor

­ ­ ­ ­

Evaluador

­ ­ ­

Copyright: Rodrigo Ferrer

Técnicas

Inspección y observación Entrevista Revisión contra estándares aceptados Listas de chequeos y cuestionarios Simulación Prueba de escenarios Prueba sorpresa aleatoria Desconexión Participar en la prueba de compatibilidad Correr los sistemas críticos en sitios alternos Verificación del inventario de elementos para la recuperación Revisión de documentación Prueba del equipo tigre Observación de Programas de respaldo similares Revisar los resultados de las pruebas obtenidas por el equipo de recuperación Participar en pruebas de sitios de backup y Hot Simulacros de emergencia

Copyright: Rodrigo Ferrer

Conclusiones

Cómo se gestiona la Continuidad del Negocio?

Copyright: Rodrigo Ferrer

Porqué BCP? Porqué tener un BCP?

Es mejor tener un Plan que no tenerlo

­ ­

Debido cuidado ­ Diligencia profesional Actuar con responsabilidad disminuye la responsabilidad

Un Plan disminuye la confusión durante un evento

­ ­ ­ ­

"Proactivo" Vs "Reactivo" Tomar las acciones correctivas cuando sea necesario Se deben establecer controles que mitiguen el riesgo Respuesta ordenada ante un desastre

Copyright: Rodrigo Ferrer

Preguntas?

Information

Microsoft PowerPoint - PLANES DE CONTINUIDAD NEGOCIO fernando y rodrigo v5.0.ppt

60 pages

Find more like this

Report File (DMCA)

Our content is added by our users. We aim to remove reported files within 1 working day. Please use this link to notify us:

Report this file as copyright or inappropriate

610112