miguel cisterna como ordenarnos metodologicamente
-
Upload
foro-global-crossing -
Category
Business
-
view
1.386 -
download
1
description
Transcript of miguel cisterna como ordenarnos metodologicamente
2º Foro Global Crossing de Tecnología y Negocios
Continuidad de Negocios, más allá de lo previsible
Bussiness Continuity Management BS-25999.
¿Cómo Ordenarnos Metodológicamente?
Miguel Cisterna L.
Introducción
¿Su Organización cuenta con un plan
de continuidad de negocio?
¿Funciona?
BCP
¿Que se entiende por continuidad de negocio?
Planificación
Recuperación
Restablecimiento
Continuidad de Negocio
Bussiness Continuity Management
BS 25999
Introducción
BS 25999-1:2006
•Establecer la Política de BCM
•Asignar responsabilidades
•Definir, documentar, implementar y mantener las actividades del Ciclo de Vida de BCM
•Entender la organización.
•Determinar la estrategia de BCM.
•Desarrollar e implementar la respuesta de BCM.
•Pruebas, mantenimiento y revisión.
•Concientizar y entrenar a los involucrados.
BS 25999-2:2007
BCMS
Establecer el BCMS
Implementar el BCMS
Revisión del BCMS
Mejora del BCMS
Aspectos Generales del BCMS
Estrategia del BCM
TECNOLOGÍA
PERSONAS
ACTIVOS / INSUMOS
INFORMACIÓN
PARTES
INTERESADAS
Es el enfoque para asegurar el
recupero y continuidad del negocio
de la organización en caso de
desastre, incidente o interrupción
de las actividades
INSTALACIONES
Documentación del BCM
• Política de BCM
• Alcance de BCM
• Procesos definidos y documentados
• Análisis y Evaluación de Riesgos
• Análisis de Impacto en el Negocio (BIA)
• Estrategia de BCM
• Programa de Concientización
• Programa de Entrenamiento
• Plan de Gestión de Incidentes (IMP)
• Plan de Continuidad del Negocio (BCP)
• Plan de Recupero del Negocio (BRP)
• Programa de Pruebas y Registros
• SLAs y Contratos
Por donde empezar a Documentar
• Registro de BCM
• Funciones Críticas de los procesos.
• Impacto (de una interrupción, en términos cuantitativos y/o cualitativos)
• Tolerancia (tiempo máximo de interrupción)
• Recovery Time Objective (objetivo de tiempo para la recuperación de la función crítica)
• Recursos Requeridos (para cumplir con los RTOs)
• Mención a los Procedimientos Operativos de Respuesta (IMP, BCP y BRP) y Prueba; y Registros de Prueba asociados
Esquema Documental
Instructivo de Trabajo
de BCM
Registro de BCMProcedimientos
Operativos
Registros de pruebas
Explica cómo llevar a cabo la actividad
Hace referencia a
Evidencian su adecuado mantenimiento en
La actividad se evidencia en
“BIA”
“BCP”
PRUEBAS
Consideraciones al momento de implementar
BIA
• Cuáles son las actividades claves de su negocio ?
• Qué procesos informáticos o de comunicaciones dan apoyo para esas actividades ?
• Qué correlación tienen con el resto de los procesos ? (suben de categoría ?)
• Cuáles son las amenazas/vulnerabilidades claves de su negocio?
• Cual es el impacto económico por interrupción de su negocio ?
• Cuánto tiempo soporta interrumpido?
• Impacto Directo?
• Impacto Indirecto o posterior en tiempo (intangibles)?
Análisis de Amenazas
Análisis de Interrupción
Determinación de Procesos Informáticos
Críticos
Fase I
Estrategias de Recuperación
• Cómo se levantará y seguirá su negocio después de una interrupción ?
• Cómo se logrará el consenso dentro de la organización para viabilizar y simplificar el proceso de recuperación?
Fase II
Definir Estrategia
deRecupero
Definir Procesos
deRecupero
AdecuarEstrategia
deRecupero
Determinar Factibilidad
Finalizar Estrategias de Recuperación
• Determinar el esfuerzo e impacto en el plan de recuperación
• Etapa crítica donde se debe lograr el consenso y la aprobación de la gerencia para seguir adelante
• En esta fase se identifican y desarrollan arreglos específicos de recuperación de la organización, incluyendo actividades requeridas para trasladar procesos / operaciones / recursos.
Fase III
Finalizar Estrategia de Recuperación
Documentación del Plan
• Cómo funcionará el negocio durante la pérdida de operaciones normales ?
• En esta fase se proveerá el desarrollo de una alternativa para “operar en contingencia”, basada en las estrategias de recuperación definidas previamente.
• Asimismo se identifican los procedimientos para retornar a la operación normal partiendo de la contingencia, una vez normalizada la situación.
Fase IV
AdquirirRecursos
Documentar
Pruebas, Entrenamiento y Mantenimiento
• Continuará funcionando realmente la organización durante el “Restablecimiento” que ha sido planeado?
• Pruebas y simulaciones
• Actualización del Plan por cambios tecnológicos y/o de negocios.
• Auditoría del plan en régimen, con evaluación de documentación y de procedimientos.
• Simulacros de “escenarios” periódicos.
Fase V
Prueba
Training
Mantenimiento
Metodología Bussiness Continuity Management
Plan
• Pruebas Puntuales y Totales.
• Sensibilización, Capacitación, Entrenamiento .
• Validación y Actualización de planes documentados
• Mejoramiento continuo.
• AC y AP
• Definir Estrategias C.N.
• Recuperación y Tiempos de Recuperación.
• Relacionamiento Interno/Externo.
• Estructura de Respuesta a Incidentes.
• Planes de Recuperación.
• Comunicaciones
• Entender La organización.
• Risk Management
• B.I.A.
• Evaluar estrategias
Plan Do
CheckAct
Do
• Pruebas Puntuales y Totales.
• Sensibilización, Capacitación, Entrenamiento .
• Validación y Actualización de planes documentados
• Mejoramiento continuo.
• AC y AP
• Definir Estrategias C.N.
• Recuperación y Tiempos de Recuperación.
• Relacionamiento Interno/Externo.
• Estructura de Respuesta a Incidentes.
• Planes de Recuperación.
• Comunicaciones
• Entender La organización.
• Risk Management
• B.I.A.
• Evaluar estrategias
Plan Do
CheckAct
Act
• Pruebas Puntuales y Totales.
• Sensibilización, Capacitación, Entrenamiento .
• Validación y Actualización de planes documentados
• Mejoramiento continuo.
• AC y AP
• Definir Estrategias C.N.
• Recuperación y Tiempos de Recuperación.
• Relacionamiento Interno/Externo.
• Estructura de Respuesta a Incidentes.
• Planes de Recuperación.
• Comunicaciones
• Entender La organización.
• Risk Management
• B.I.A.
• Evaluar estrategias
Plan Do
CheckAct
Check
• Pruebas Puntuales y Totales.
• Sensibilización, Capacitación, Entrenamiento .
• Validación y Actualización de planes documentados
• Mejoramiento continuo.
• AC y AP
• Definir Estrategias C.N.
• Recuperación y Tiempos de Recuperación.
• Relacionamiento Interno/Externo.
• Estructura de Respuesta a Incidentes.
• Planes de Recuperación.
• Comunicaciones
• Entender La organización.
• Risk Management
• B.I.A.
• Evaluar estrategias
Plan Do
CheckAct
Conclusiones
La estrategia de No implementar medidas para escenarios de
contingencia, es riesgoso para la Organización.
Las estrategias más efectivas, son también las más costosas.
El reto consiste en identificar aquellas estrategias o mezcla de ellas, que
son factibles pero que provean un nivel de riesgo apropiado.
TODOS A SUS PUESTOS