taller icontec bcp.pdf

25/09/2013

1

TALLER PARA INSTRUCTORES EN CONTINUIDAD DE NEGOCIO

ICONTEC

2013

PRESENTACION Y EXPECTATIVAS

Participantes

Asistentes

Facilitador: Juan C. Lobo T.

Expectativas

25/09/2013

2

Objetivo Fortalecer las capacidades de los instructores de ICONTEC en los temas

relacionados con la continuidad de negocio, basados en la norma ISO-22301.

Objetivos especficos Realizar un contexto de la continuidad de negocio en el marco de la

seguridad de la sociedad. Desarrollar los pasos necesarios para la construccin de un plan de

continuidad, basado en el ciclo descrito en la norma 22301. Desarrollar los pasos necesarios para construir un plan de contingencia

(recuperacin). Desarrollar las etapas necesarias para la fase de restauracin, sus planes

y los sitios de trabajo alternativos. Enumerar herramientas para la aplicacin de la continuidad de negocio

Objetivo de desempeo Los participantes a travs de lecturas previas y en un tiempo no

mayor a dos horas desarrollaran un bosquejo de un plan de continuidad con sus apndices aplicado a una empresa.

Metodologa: Se desarrolla el taller a travs del reforzamiento de conceptos

basado en ejemplos prcticos, se utiliza el mtodo interactivo de enseanza. En este mtodo se promueve la participacin activa y permanente de quienes necesitan conocimientos y habilidades para lograr determinado desempeo.

Tiempo 8 horas.

25/09/2013

3

Agenda1. Contexto de la continuidad de negocio en el marco de la seguridad de la sociedad, la gestin del riesgo y la Resiliencia.2. Pasos necesarios para la construccin de un plan de continuidad, basado en el ciclo descrito en la norma 22301.3. Pasos necesarios para construir un plan de contingencia (recuperacin).4. Etapas necesarias para la fase de restauracin, sus planes y los sitios de trabajo alternativos.5. Herramientas para la aplicacin de la continuidad de negocio6. Ejercicio final en equipo

28/08/2012 www.risklatam.com SGI 6

25/09/2013

4

25/09/2013

5

25/09/2013

6

25/09/2013

7

ACCIN ECOPETROL (EC) INCIDENTE DOSQUEBRADAS

COLOMBIA

1983 Destruccin 70% de Popayn. 1985 Avalancha de Armero. 1988 Huracn Joan 1992 Terremoto en Atrato Medio 1994 Sismo y avalancha del ro Pez. 1995 Sismo de Pereira. 1999 Terremoto Eje Cafetero. 1999 Fenmeno de La Nia 2001 Tornado Soledad (Atlntico) 2002 Deslizamiento Montecristo (Bolvar) 2003 Segunda Temporada Invernal (30

Departamentos) 2004 Temporada Invernal 2005 Temporada Invernal Febrero 2005 (4

departamentos) 2005 Huracn BETA 2006 Volcn Galeras 2006 Tornado en Barranquilla 2007 Incendios en Cundinamarca 2007 Avalancha (erupcin) Volcn Nevado

del Huila

2007 Inundaciones en La Mojana 2007 Inundaciones en Crdoba 2008 Primera y Segunda ola invernal 2009 Incendios Forestales Cali 2009 Inundaciones en Tumaco (rio Mira) 2010 Incendios Forestales en todo el

territorio nacional 2011 Inundaciones (fenmeno de la Nia)

Prdidas econmicas por los principales desastres:

Avalancha Armero (1985): $211.8 millones de dlares de 1985 (PNUD).

Terremoto Eje cafetero (1999): $1.800 millones de dlares, equivalentes a 2,2% del PIB de 1998 y 35.3 del PIB de los Departamentos (Forec)

Fenmeno del nio (1997-98): $570 millones de dlares (CAF).

Nia (2010-2011) Recuperacin 24 billones de pesos

25/09/2013

8

DESARROLLOS FUNERARIOS

DESPUS DE

DESASTRE

Un evento adverso que causa un intenso impactonegativo en personas, bienes, servicios y en el medioambiente, excediendo la capacidad existente.

reducir la vulnerabilidad,incrementar la capacidadincrementar la resiliencia

Cisne Negro: El impacto de lo altamente impensable, satisface estas tres propiedades: esta fuera del reino de las expectativas normales, produce un impacto tremendo y hace que inventemos explicaciones despues, con lo que se hace explicable y predecible. (Nassim N. Taleb)

25/09/2013

9

Mas vale prevenir que lamentar!

El costo de reduccin de la vulnerabilidad es menor cuando las medidas de reduccin forman parte del proyecto original y no cuando se las incorpora a raz de la ocurrencia de un evento desastroso. En donde los costos sern ampliamente mayores.

US$1 A US$7

Organismos de defensa civil

Organizaciones nacionales de

emergencias

Organizaciones nacionales de gestin

de riesgos y manejo de desastres

Sistemas nacionales

..

El indiscutible avance de la gestin de riesgos de desastre

25/09/2013

10

Entindase la gestin del riesgo de desastres como un procesosocial orientado a la formulacin, ejecucin, seguimiento yevaluacin de polticas, estrategias, planes, programas,regulaciones y acciones permanentes para el conocimiento yla reduccin del riesgo y para el manejo de desastres, con elpropsito explcito de contribuir a la seguridad, el bienestar, lacalidad de vida de las personas y al desarrollo sostenible.

Qu es la Gestin del Riesgo de Desastres

LEY 1523 DE 2012 (abril 24)Diario Oficial No. 48.411 de 24 de abril de 2012Por la cual se adopta la poltica nacional de gestin del riesgo de desastres y se establece el Sistema Nacional de Gestin del Riesgo de Desastres y se dictan otras disposiciones.

PROCESOS Y SUBPROCESOS DE LA GESTIN DEL RIESGO

Conocimiento del riesgo

Identificacin de componentes del riesgo (amenaza,

exposicin y vulnerabilidad)

Anlisis y evaluacin del

riesgo

Comunicacin del riesgo

Reduccin del riesgo

Intervencin correctiva (riesgo

actual)

Intervencin restrictiva y prospectiva

(nuevos riesgos)

Proteccin financiera

Manejo de desastres

Preparacin la respuesta

Respuesta, atencin y restitucin de

servicios esenciales

Rehabilitacin y Reconstruccin

25/09/2013

11

Estructura UNGRD

DIRECCINGENERAL

Oficina Asesora deComunicaciones

Oficina deControl Interno

Subdireccin para el Manejo

de Desastres

Subdireccin para la Reduccin

del Riesgo

Subdireccin para el Conocimiento

del Riesgo

Oficina Asesora dePlaneacin

e Informacin

Oficina AsesoraJurdica

SubdireccinGeneral

CONSEJO DIRECTIVO

Sistema Nacionalde Gestin del Riesgo de Desastres

CONSEJO NACIONAL PARA LA GESTIN DEL RIESGO

Comit Nacional para laReduccin del Riesgo

Comit Nacional para elConocimiento del Riesgo

Comit Nacional para elManejo de Desastres

Presidente de la Repblica

UNGRD

CONSEJO DEPARTAMENTAL PARA LA GESTIN DEL RIESGO (32)Comits para: Conocimiento, Reduccin, Manejo

CONSEJO MUNICIPAL PARA LA GESTIN DEL RIESGO (1102)Comits para: Conocimiento, Reduccin, Manejo

Alcalde

Gobernador

Fondo Nacional(5 Subcuentas)

Fondo Departamental

Fondo Municipal

CONSEJO NACIONAL PARA LA GESTIN DEL RIESGO

Comit Nacional para laReduccin del Riesgo

Comit Nacional para elConocimiento del Riesgo

Comit Nacional para elManejo de Desastres

Presidente de la Repblica

UNGRD

CONSEJO DEPARTAMENTAL PARA LA GESTIN DEL RIESGO (32)Comits para: Conocimiento, Reduccin, Manejo

CONSEJO MUNICIPAL PARA LA GESTIN DEL RIESGO (1102)Comits para: Conocimiento, Reduccin, Manejo

Alcalde

Gobernador

Fondo Nacional(5 Subcuentas)

Fondo Departamental

Fondo Municipal

25/09/2013

12

Published standards

ISO 22300:2012 Societal security -- Terminology

ISO 22301:2012 Societal security -- Business continuity management systems --- Requirements

ISO/TR 22312:2011 Societal security -- Technological capabilities

ISO 22320:2011 Societal security -- Emergency management -- Requirements for incident response

ISO/PAS 22399:2007 Societal security - Guideline for incident preparedness and operational continuity

management

Standards under development

ISO/DIS 22311 Societal security - Video-surveillance - Export interoperability

ISO/DIS 22313 Societal security -- Business continuity management systems -- Guidance

ISO/NP 22315 Societal security -- Mass evacuation

ISO/CD 22322 Societal security -- Emergency management -- Public warning

ISO/WD 22323 Organizational resilience management systems - Requirements with guidance for use

ISO/CD 22324 Societal security - Emergency managament - Colour-coded alert

ISO/NP 22351 Societal security -- Emergency management -- Shared situation awareness

ISO/CD 22397 Societal security -- Public Private Partnership -- Guidelines to set up partnership

agreements

ISO/DIS 22398 Societal security -- Guidelines for exercises

Published standards - Risk Management

ISO 31000:2009 Risk management -- Principles and guidelines

ISO Guide 73:2009 Risk management -- Vocabulary

ISO/IEC 31010:2009 Risk management -- Risk assessment techniques

28/08/2012 www.risklatam.com SGI 23

Planes de Emergencia

Ambiente externo

EXTERNALIDADES

25/09/2013

13

25/09/2013

14

25/09/2013

15

La gestin del riesgo y el manejo de desastres desde el punto de vista de los grupos de inters

Evaluacindel Riesgo

Manejopara

DesastresReduccin del Riesgo

RecuperacinRecuperacin

25/09/2013

16

ESCENARIOS

Impacto

FrecuenciaBajo Alto Muy alto

Inundaciones

Deslizamientos

Tecnologicos

Frecuente o Muy

probable

Erupciones

Volcnicas

Incendios

Forestales

Terremotos Probable

SequiasEnfermedades

(Gripa Aviar)Huracanes Tsunamis Ocasionalmente

25/09/2013

17

Amenaza

Factor externo al sujeto, objeto osistema expuesto, representado porla potencial ocurrencia de unsuceso de origen natural ogenerado por la actividad humana,que puede manifestarse en un lugarespecfico, con una intensidad yduracin determinadas.

Amenazas ms frecuentesAmenaza Causa Origen

Categora

Inundacin

Lluvia torrencialHuracanes

DeforestacinErosin

NaturalCausada por

hombre

Marejada ciclnica Huracanes Natural

Erupcin volcnicaEmisin de materias

procedentes del centro de la tierra

Natural

Huracn Sistema meteorolgico de baja presin

Natural

Contaminacin qumica

Disposicin inapropiada de desechos nucleares

Causada por el hombre

25/09/2013

18

Inundaciones y dao asociado

Actividad volcnica

Montserrat Volcano Observatory

25/09/2013

19

Vulnerabilidad

Factor interno de un sujeto, objeto o sistemaexpuesto a una amenaza, que corresponde asu disposicin intrnseca a ser daado.

Vulnerabilidad debido a los cortes excesivos en laderas

25/09/2013

20

Riesgo

Probabilidad de exceder un valor especficode daos sociales, ambientales yeconmicos, en un lugar especfico ydurante un tiempo de exposicindeterminado.

Riesgo Aceptable

El nivel de las prdidas potenciales queuna sociedad o comunidad consideranaceptable, segn sus condicionessociales, econmicas, polticas,culturales, tcnicas y ambientalesexistentes. EIRD 2009

25/09/2013

21

Desastre

Alteraciones en las personas, los bienes, losservicios y el ambiente, causadas por unsuceso natural o generado por la actividadhumana, que exceden la capacidad derespuesta de la comunidad afectada.

Gestin del riesgo de desastres

Componente del sistema social constituidopor un proceso eficiente de planificacin,organizacin, direccin y control dirigido alanlisis y la reduccin de riesgos, elmanejo de eventos adversos y larecuperacin ante los ya ocurridos.

25/09/2013

22

reas y componentes de la gestin de riesgo de desastres

reas Componentes

Anlisis del riesgo Estudios de amenaza y vulnerabilidad

Reduccin del riesgo Prevencin y mitigacin, transferencia y financiamiento

Manejo de eventos adversos Preparacin, alerta, respuesta

Recuperacin Rehabilitacin y reconstruccin

Evaluacin del riesgo

Uso sistemtico de la informacindisponible para determinar laprobabilidad de ocurrencia de ciertoseventos adversos as como la magnitudde sus posibles consecuencias.

25/09/2013

23

Reduccin del riesgo de desastres

Acciones orientadas a minimizar el impacto adverso de las amenazas a travs de incrementar la resiliencia de los grupos vulnerables y de las comunidades, reduciendo la vulnerabilidad, e incrementando la capacidad para prepararse, responder, y recuperarse del impacto del desastre.

Reduccin de riesgo

Acciones orientadas a minimizar el impactoadverso de las amenazas a travs deincrementar la resiliencia de los gruposvulnerables y de las comunidades, reduciendola vulnerabilidad, e incrementando lacapacidad para prepararse, responder, yrecuperarse del impacto del desastre.

25/09/2013

24

Categoras de las medidas de reduccin del riesgo

Fsicas

Socioeconmicas

Ambientales

De gestin e institucionales

Post

Medidas fsicas

Medidas estructurales y no estructurales que se ejecutan para ayudar a evitar o a aliviar el dao y las prdidas que resultan de eventos adversos.

25/09/2013

25

Malas prcticas de desarrollo

Medidas estructurales

Se refieren a la construccin fsica dirigida a reducir o evitar los posibles impactos de una amenaza, incluyendo medidas de ingeniera y la construccin de estructuras e infraestructura resistente a las amenazas y de proteccin.

25/09/2013

26

Medidas estructurales

Muros usados para reducir el efecto de las lluvias torrenciales en reas propensas a deslizamientos.

Medidas no estructurales

Se refieren a polticas,

aumento de conciencia,

desarrollo de conocimiento,

compromiso pblico y

mtodos y prcticas de

operacin, incluyendo

mecanismos participativos y

la provisin de informacin

que pueden reducir el riesgo

y los impactos relacionados.

25/09/2013

27

Medidas de GestinCdigos de construccin

Una serie de ordenamientos o

reglamentos relacionados con estndares

que buscan controlar aspectos de diseo,

construccin, materiales, modificaciones y

ocupacin de cualquier estructura, los

cuales son necesarios para velar por la

seguridad y el bienestar de los seres

humanos, incluida la resistencia a los

derrumbes y a los daos. EIRD 2009.

Medidas socioeconmicas

Son aquellas diseadas para tratar brechas y debilidades en los sistemas por los que las comunidades y la sociedad como un todo se preparan para responder a eventos adversos.

25/09/2013

28

Medidas ambientales

Son aquellas diseadas para proteger sistemas ambientales existentes, o rehabilitar los degradados, mejorando as su capacidad para enfrentar el impacto de futuros eventos adversos.

Prevencin

Conjunto de acciones cuyo objeto esimpedir o evitar que sucesos naturaleso generados por la actividad humana,causen eventos adversos.

25/09/2013

29

Mitigacin

Resultado de una intervencin dirigida a reducir riesgos.

Amenaza cuyo impacto se puede prevenir

Amenaza cuyo impacto se puede mitigar

Derrame de hidrocarburos Terremoto

Contaminacin por desechos txicos

Huracn

Contaminacin industrial Erupcin volcnica

Mitigacin y prevencin

25/09/2013

30

Transferencia de riesgo

Uso de instrumentos econmicos paradistribuir- compartir y proteger contralas perdidas y daos antes de queocurra un evento adverso.

Preparacin

Conjunto de medidas y acciones para reducir al mnimo la prdida de vidas humanas y otros daos, organizando oportuna y eficazmente la respuesta y la rehabilitacin.

25/09/2013

31

Alerta

Estado declarado con el fin de tomarprecauciones especficas, debido a la probabley cercana ocurrencia de un evento adverso.

Respuesta

Acciones llevadas a cabo ante un evento adverso yque tienen por objeto salvar vidas, reducir elsufrimiento y disminuir prdidas.

25/09/2013

32

Recuperacin

Proceso de restablecimiento de lascondiciones normales de vida en lacomunidad afectada.

Rehabilitacin

Recuperacin, a corto plazo, de los serviciosbsicos e inicio de la reparacin del daofsico, social y econmico.

25/09/2013

33

Reconstruccin

Proceso de reparacin, a mediano y largoplazo, del dao fsico, social y econmico, a unnivel de desarrollo superior al existente antesdel evento.

Desarrollo

Aumento acumulativo y durable decantidad y calidad de bienes, servicios yrecursos de una comunidad, unido acambios sociales, tendiente a mantener ymejorar la seguridad y la calidad de lavida humana, sin comprometer losrecursos de las generaciones futuras.

25/09/2013

34

Resiliencia

9/25/2013 68

25/09/2013

35

Resiliencia

Latn - resilire, recuperarse, retroceder o volver a la original

Ingls (siglo 17) resilience, calidad de las maderas para soportar cargas severas sin romperse

Fsica objetos que resisten los efectos de fuerzas externas

Qumica - capacidad de un metal para regresar a su estado original

Ingeniera - medida de la capacidad de un material para resistir el impacto, as como para absorber y liberar energa a travs de la elasticidad (McAsian, 2009).

Resiliencia

Psicologa - capacidad de funcionar en un ambiente inmensamente exigente, as como la capacidad de lidiar con el estrs (Norris et al, 2009)Sociologa - capacidad de los grupos a hacer frente al estrs generado por cambios en el medio ambiente (Platteau, 2000)

Ecologa - capacidad de un ecosistema para absorber los cambios, siguen funcionando y evolucionando (Klein et al, 2004)Sostenibilidad social - capacidad de los individuos, grupos y comunidades para identificar y abogar por sus necesidades, ahora y para las generaciones futuras (McKenzie, 2004)

25/09/2013

36

Del imperativo de respuesta

Al nfasis en la preparacin

El salto a la mitigacin

Las dificultades de la reduccin del riesgos

La opcin de la resiliencia

Resiliencia:Capacidad de un sistema, comunidad osociedad expuestos a una amenaza pararesistir, absorber, adaptarse y recuperarse de sus efectos de manera oportuna y eficaz, lo que incluye la preservacin y la restauracin de sus

estructuras y funciones bsicas. (UN-ISDR 2009)

25/09/2013

37

Propiedades de la resiliencia:Inherentes, se refieren a la capacidad de un individuo, familia, colectividad, institucin o sistema para funcionar apropiadamente en tiempos de normalidad (no crisis). Adaptativas, relacionadas con la flexibilidad demostrada, por el sujeto de estudio, durante y despus de un evento o crisis, para adecuar su comportamiento y la creatividad para abordar los problemas inducidos por el desastre.Estas dos propiedades de la resiliencia estn correlacionadas, sujetos con capacidad de recuperacin inherente, estn en mejores condiciones para desarrollar e implementar estrategias de adaptacin.

Midiendo la Resiliencia (Tierney &Bruneau )

Robustez, capacidad para soportar las fuerzas de desastre sin una degradacin significativa o prdida de rendimiento;Redundancia, si la degradacin o prdida de la funcionalidad se producen, hay elementos o unidades intercambiables, que permiten satisfacer los requisitos funcionales;Ingenio, capacidad de diagnosticar y priorizar los problemas y poner en marcha soluciones de identificacin y movilizacin de materiales, monetarios, de informacin, tecnologa y recursos humanos, yRapidez, capacidad para restaurar la funcionalidad de una manera oportuna, con las prdidas y evitar interrupciones.

25/09/2013

38

25/09/2013

39

25/09/2013

40

25/09/2013

41

NIVELES ORGANIZACIONALES Y SUS CARACTERSTICAS

25/09/2013

42

Como BCM minimiza las consecuencias

1. Asegura la continuidad de las operaciones criticas del negocio. Mediante la identificacin de planes de contingencia simples. 2. Permitir operaciones remotas. Un evento grande, como un incendio o inundacin, puede provocar que el personal no llegue a sus oficinas. 3. Proteger los activos importantes. Un BCP identifica los activos principales y crear un lugar de almacenamiento secundario. 4. Reducir el tiempo de inactividad. Con el BCP implementado, se pondr en funcionamiento con mayor rapidez. 5. Previniendo que quede fuera del negocio. El negocio podra estar cerrado por un perodo prolongado.

Las Metas del BCP son: Proteger los ingresos Minimizar el impacto a las operaciones o

gastos Mitigar las responsabilidades legales Cumplir con las regulaciones gubernamentales Preservar la marca y la lealtad del cliente

25/09/2013

43

Conceptos Claves

Procesos Crticos Cadena de Valor Manejo de Riesgos Anlisis de Impacto en el Negocio (BIA) Anlisis de Riesgo (RA) Riesgo Residual

Activos que estamos Protegiendo Gente Oficinas e Instalaciones Sistemas de T&I Cadena de Abastecimiento Registros / Documentos

Elementos Claves Respuesta del Negocio Plan de Continuidad del Espacio de Trabajo (OSCP) Plan de Recuperacin ante Desastre (DRP)

Como crear un PCN?

25/09/2013

44

25/09/2013

45

Importancia del BIA / RA

El BIA identifica el impacto que la no-disponibilidad de los activos claves tendrn sobre los procesos crticos del negocio.

La actividad de evaluacin de riesgos identifica los riesgos que enfrentan los activos claves y la probabilidad de que este se manifieste. Determinar: El impacto de suspender las actividades individuales del negocio En cunto tiempo cada actividad debe ser reanudada? Los requerimientos bsicos Es un prerrequisito indispensable para: Evaluacin de Riesgos Determinacin de las opciones Estrategia de BCM Proporcionar un registro documentado Aumentar la comprensin en todos los niveles de la organizacin

Cuales Son Actividades Criticas? Sin duda, todas las actividades son fundamentales, peroQu se entiende por crticas? "Importante - algo que es crtico es muy importante porque lo que sucede en el futuro depende de ello. Pre-planificacin para la recuperacin de estas actividades en caso de incidente es fundamental para garantizar la viabilidad futura de la organizacin. "Listados Crticos - La lista de actividades que deben llevarse a cabo o deben ser recuperadas rpidamente para evitar que la organizacin muera. "Hacer Juicios - Mirar a las actividades con un ojo crtico para determinar cules no sern recuperables, sin planificacin previa.

25/09/2013

46

Proteccin de los Activos Crticos

Documentar las estrategias especficas para proteger los activos crticos del proceso (personas, instalaciones, infraestructura digital, cadena de suministro y registros crticos). Los datos recogidos en la BIA / RA se convertirn en el punto de partida para definir el OCSP, el DRP, la seguridad de las personas, los entregables de la cadena de suministro y el mantenimiento de los registros y documentacin. Las estrategias se basan en los riesgos y en la tolerancia al riesgo, no todos los riesgos sern mitigados o eliminados, algunos debern ser aceptados. Las estrategias para el Espacio de Oficina / Instalaciones se basara en los riesgos del sitio, la tolerancia al riesgo, la criticidad del sitio y del personal, los sitios alternativos de trabajo y la capacidad de trabajo remoto.

25/09/2013

47

T&I es responsable de proporcionar las opciones para crear un DRP, y de aplicar las estrategias para el hardware y las aplicaciones, y las telecomunicaciones. Crear estrategias que aseguren que la cadena de suministro se mantiene durante un incidente. Las estrategias a considerar incluyen; no un nico proveedor, aumentar las existencias y acuerdos de reciprocidad con los competidores y socios. Crear una estrategia que asegure que los registros crticos se mantienen seguros. Las estrategias a considerar incluyen; guardar los registros en una bodega fuera de la Instalaciones, guardarlos en una bodega anti-desastres en la Instalacin, barrido / almacenamiento externo electrnico, etc.

25/09/2013

48

El BCP describe:

Roles y responsabilidades para invocar, activar, operar y mantener el plan. Perfil de riesgo. Los procesos crticos y los activos de apoyo (personas, instalaciones TI, Proveedores, Registros) Las estrategias de respuesta y los planes tcticos Planes sobre los activos (OSCP; DRP; etc.) Cmo el plan es invocado, conexiones y otros planes.. Detallar los procesos contingentes, o alternativos, a seguir por el negocio en caso de un incidente. La informacin de apoyo necesaria para operar los procesos (por ejemplo, informacin de contacto, ubicacin de los medios de comunicacin, etc.).

25/09/2013

49

25/09/2013

50

Definiciones de RTO & RPO

RTO (Recovery Time Objective) define la rapidez con que necesito encontrar, acceder y recuperar la informacin requerida. Se lo considera el plazo mximo para restaurar el proceso / servicio. El RTO ayuda a determinar que tipo de almacenamiento a utilizar para solucionar el tema de las copias de seguridad: discos, cintas o ambas cosas.

RPO (Recovery Point Objective) es el mximo periodo de tiempo durante el cual se pueden perder los datos, define el punto en el tiempo (PIT) en que estos necesitan ser recuperados. RPO es una medida de la tolerancia a la prdida de datos, cuntas transacciones u horas de trabajo tolera perder el negocio.

Planes Relacionados

Plan de Continuidad del Espacio de Trabajo (OSCP) se ocupa de la provisin de espacio alternativo, el cual incluye: El uso temporal de otras oficinas para el personal clave Contratos con terceros para proporcionar acomodamiento temporal Plan de Recuperacin de Desastres (DRP) se ocupa de la recuperacin y disponibilidad de la infraestructura de T&I y servicios para la empresa, y pueden incluir: Contratos con terceros para proporcionar servicios de T&I temporales Recuperacin de datos utilizando los medios en lugares fuera del sitio La adquisicin de equipos de sustitucin o temporal (por ejemplo, mediante contrato de arrendamiento / alquiler) Cada una de estas necesidades se basan en los requisitos de la empresa segn lo establecido en sus respectivos PCNs.

25/09/2013

51

Plan de Recursos Humanos (HRP) La planificacin sobre la sucesin es un proceso integrado que incluye capacitacin, desarrollo y evaluacin de desempeo. Es un enfoque sistemtico para identificar, nominar y seleccionar posibles candidatos Plan Cadena de Abastecimiento (PCA) Plan de accin para recuperar o mantener uno o ms proveedores durante un incidente. Plan de Manejo de Registros (PMR) Establecer, implementar y mantener procedimientos para proteger la integridad de los registros. implica acceso a la identificacin, almacenamiento, proteccin, recuperacin, retencin y eliminacin.

PRINCIPIOS Y NORMAS BCP

Por qu planificar?

Desarrollar estrategias que permitan a una organizacin responder y recuperarse de cualquier evento disruptivopara continuar con las operaciones crticas del negocio.

25/09/2013

52

PRINCIPIOS Y NORMAS DE BCP

Recordatorio

La preparacin

es un viaje,

no un destino

PRINCIPIOS Y NORMAS DE BCP

Propsito Bsico del Plan

Responder efectivamente a cualquier emergencia

Determinar prioridades para proteger personas, sistemas automatizados y operaciones crticas

Asegurar reducir el riesgo de que la empresa falle

Tecnologa

Procedimientos

Infraestructura

Operaciones

Personas

25/09/2013

53


Normas BCP

En Estados Unidos

Disaster Recovery Institute International (DRII)

Federal Emergency Management Agency (FEMA)

National Institute of Standards and Technology (NIST)

Federal Financial Institutional Examination Council (FFIEC)


Normas BCP

Propsito de las Normas BCP

Aplicar normas y principios comnmente aceptados para todos los BCP con informacin similar

Desarrollar BCP de forma similar para su aplicacin en el sector privado y a nivel central, estatal y local del gobierno

Desarrollar una base de datos comn de informacin crtica

25/09/2013

54


Normas BCP

Disaster Recovery Institute International (DRII)

Normas y principios de planificacin para emergencias reconocidos internacionalmente

Certificacin de profesionales en BCP

Capacitacin de profesionales en BCP


Normas BCP

Federal Emergency Management Agency (FEMA)

Normas y principios de planificacin de emergencias para las agencias federales

Requiere que las agencias federales adapten las normas para su propio uso

Recoleccin de datos sobre riesgos, emergencias y recuperacin

Coordinar la prevencin y recuperacin ante emergencias de las comunidades

25/09/2013

55


Normas BCP

National Institute of Standards and Technology (NIST)

Normas de planificacin de emergencias para el gobierno y el sector privado

Las normas NIST se aplican principalmente a tecnologas automatizadas


Normas BCP

Federal Financial Institutional Examination Council (FFIEC)

Normas y reglamentos del gobierno federal para la planificacin de emergencias para bancos y uniones de crdito

Examina bancos y uniones de crdito para verificar cumplimiento con las normas y reglamentos FFIEC

25/09/2013

56


Conceptos principales de BCP

Identifica riesgos/vulnerabilidades en la infraestructura del negocio

Analiza el impacto sobre el negocio

Identifica esfuerzos para reducir o eliminar los riesgos

Identifica las autoridades y equipos de respuesta a emergencias

Desarrolla estrategias y planes de gestin de emergencias

Rol de la gestin de emergencias en preparacin comunitaria

Pruebas y capacitacin de funcionarios en el plan de continuidad de negocios


Conceptos principales del BCP

Elementos clave de la poltica de planes de contingencia para sistemas informticos:

Roles y responsabilidades

Alcance aplicable a los diferentes tipos de equipo de computacin y funciones organizacionales sujetos a la planificacin de contingencias

Recursos necesarios

Requisitos de capacitacin

Cronograma de ejercicios y pruebas

Cronograma de mantenimiento del plan

Frecuencia de respaldo y almacenamiento de los medios de respaldo

25/09/2013

57


LEYENDA

Plan de continuidad del negocio (BCP)

MANTENER

Continuidaddel plan

de operaciones (COOP)

Plan de respuesta a un incidente ciberntico

Continuidad del plan de soporte / Plan de contingencia

informtica

Plan de recuperacin del desastre (DRP)

Plan de recuperacin (o

reinicio) despus del desastre

(BRP)

Plan de comunicacin de

crisis

Plan de emergencia para ocupantes (OEP)

Instalaciones

Informtica

Negocio

Impacto mayor


El planificador/coordinador de contingencias es responsable del proceso de planificacin y usualmente es un gerente funcional o de recursos dentro de la organizacin

El coordinador de contingencias desarrolla la estrategia con la cooperacin de otros gerentes de la organizacin

El coordinador de contingencias por lo general tambin es responsable del desarrollo y ejecucin del plan de contingencias

Todas las aplicaciones y sistemas de soporte en general deberan tener un plan de contingencia

25/09/2013

58


Proceso de planificacin de la continuidad del negocio

Las organizaciones deberan usar el siguiente enfoque para desarrollar y mantener un plan de contingencia efectivo:

Desarrollar una declaracin de la poltica de planificacin de contingencias

Conducir un anlisis del impacto al negocio (BIA)

Identificar controles preventivos

Desarrollar estrategias de recuperacin

Desarrollar un plan de contingencia

Planificar pruebas, capacitacin y ejercicios

Mantenimiento del plan


Definicin de Emergencias(Para fines de planificacin de la continuidad del negocio)

Una emergencia es cualquier evento disruptivo natural o causado por el hombre que afecte adversamente una o ms operaciones centrales del negocio por ms de 24 a 72 horas

Un evento disruptivo no es necesariamente un cataclismo o un desastre

El impacto de los efectos adversos vara entre organizaciones

La tolerancia al cese de operaciones es determinada por cada organizacin

25/09/2013

59

ANLISIS DE RIESGO AL NEGOCIO

Anlisis de riesgos

Definicin

Un anlisis de riesgos es una evaluacin formal que identifica las amenazas, riesgos y emergencias potenciales y el impacto potencial que estas emergencias podran tener sobre la comunidad y la organizacin.


Anlisis de riesgos

Muchos riesgos pueden reducirse al mnimo o eliminarse a travs de soluciones tcnicas, gerenciales u operacionales como parte del esfuerzo de gestin de riesgos de la organizacin; sin embargo, es virtualmente imposible eliminar completamente todo riesgo.

La planificacin de contingencias est diseada para reducir el riesgo de que no est disponible el sistema o el servicio, enfocndose en soluciones efectivas y eficientes de recuperacin.

25/09/2013

60


Anlisis de riesgos

El anlisis de riesgos involucra una amplia gama de actividades para identificar, controlar y mitigar los riesgos a una organizacin

Dos funciones primarias:

Primera, el anlisis de riesgos debera identificar las amenazas y las vulnerabilidades con el fin desarrollar controles apropiados para prevenir la ocurrencia de incidentes o para limitar los efectos de un incidente

Segunda, la gestin de riesgos debera identificar los riesgos residuales para los cuales se debe establecer un plan de contingencia

El plan de contingencia, por lo tanto, est relacionado con la evaluacin de riesgos y el proceso de mitigacin de stos

Promovemos un enfoque multi-amenaza en la planificacin mitigando los riesgos a instalaciones, sistemas, personas y resultados operativos.


Los recursos crticos podran estar fuera del control de la organizacin (tales como el suministro elctrico o las telecomunicaciones) y la organizacin no podra garantizar su disponibilidad

Esta grfica ilustra la relacin entre identificar y ejecutar los controles de seguridad, desarrollar y dar mantenimiento al plan de contingencia y ejecutar el plan de contingencia si ha ocurrido una emergencia

Plan de contingencia

GESTIN DE RIESGOS

Implementacin de control de seguridad

Evento de Emergencia

EJECUCIN DEL PLAN DE CONTINGENCIA

25/09/2013

61


Los controles de seguridad protegen o reducen el impacto sobre la organizacin de cuatro tipos de riesgos o amenazas

Naturales - huracanes, tornados, inundaciones, terremotos, deslizamientos, qumicos, materiales peligrosos e incendios

Humanos errores del operador, sabotaje, virus informticos, contaminacin del agua, disturbios civiles y ataques terroristas

Servicios de emergencia disponibilidad de policas, bomberos e instalaciones mdicas cercanas

Ambientales fallas de equipo, instalaciones, red de telecomunicaciones, energa elctrica y errores de software


Anlisis de riesgos

Incluye el proceso de tomar y ejecutar decisiones para reducir al mnimo los efectos adversos de heridas, prdidas accidentales y responsabilidad de una organizacin

Lo ms crtico es la recuperacin rpida de las operaciones centrales despus de una emergencia, no la causa ni el tipo de dao

Debido a que los riegos pueden variar con el tiempo y riesgos nuevos pueden reemplazar a los viejos conforme un proceso evoluciona, el proceso de gestin de riesgos debe ser continuo y dinmico

La gestin de riesgos es crtica para el proceso de anlisis de riesgos

25/09/2013

62


Anlisis de riesgos

El proceso de anlisis de riesgos debe ser preciso y exhaustivo, contando siempre con la experiencia y motivacin del personal

Existen muchas maneras de hacer un anlisis de riesgos

(no hay una manera correcta o incorrecta) Se debera usar cualquier metodologa o enfoque que funcione

efectivamente y se debe hacer referencia a stos en el BCP

Algunos procesos de anlisis de riesgos utilizan un mtodo de calificacin cuantitativo para clasificar las emergencias potenciales, pero esto no es esencial


Anlisis de riesgos

Clave para un anlisis de riesgos adecuado: El equipo de planificacin para la gestin de emergencias de cada

organizacin identifica los eventos para los cuales se requiere preparacin El anlisis se realiza con un enfoque de cooperacin Debido a que los riegos pueden variar con el tiempo y riesgos nuevos

pueden reemplazar a los viejos conforme un proceso evoluciona, el proceso de gestin de riegos debe ser continuo y dinmico

Se debe desarrollar un proceso de toma de decisiones que distinga entre amenazas significativas y amenazas menores

emergencias de gran envergadura vs. emergencias localizadas

24 a 72 horas de interrupcin del servicio

25/09/2013

63


Anlisis de riesgos

Tipos de procesos de anlisis de riesgos:Anlisis de rbol del evento (causa y efecto)

Modelacin del evento (veneno, incendio, explosin)

Anlisis del rbol de fallas (culpa/debilidad interna o externa)

Anlisis de error humano (error, capacitacin, actitud, instrucciones, polticas)


Gestin de riesgosEstrategias recomendadas para la gestin de riesgos:

Utilice un enfoque multi-amenazas

Reconozca el potencial de un evento catastrfico

Recopile una lista de amenazas potenciales

Reconozca los problemas inherentes a las listas de amenazas

Evale y determine la prioridad de las amenazas en la lista

Ajuste la lista por medio de un anlisis de brechas

25/09/2013

64

ANLISIS DE RIESGO AL NEGOCIOGestin de riesgos

Enfoque multi-amenazas

Permite a las organizaciones prepararse para responder a varios y diversos tipos de emergencias.

Facilita la prevencin, preparacin, respuesta y recuperacin con base en una amplia gama de posibilidades de lo que podra ocurrir dentro y fuera de la organizacin.

Aumenta la percepcin de posibles fallas y vulnerabilidades de la infraestructura como advertencia para evitar mayores prdidas

El riesgo neto de peligro para personas e infraestructura de la organizacin depende de la amenaza especfica, la actividad que se est desempeando y la duracin de la exposicin


Gestin de riesgos

La primer tarea del equipo de planificacin para la gestin de una emergencia es conducir un anlisis de riesgos de la organizacin y la comunidad alrededor de la organizacin.

Ninguna comunidad u organizacin es exactamente igual a otra ya que las estructuras, las leyes nacionales y locales, los recursos y las capacidades pueden variar ampliamente.

No es posible ni deseable producir un solo plan de emergencia para todas las posibilidades.

25/09/2013

65


Gestin de riesgos

Un anlisis de riesgos debe identificar activamente lo que podraafectar a la comunidad u organizacin y el rea circundante

Eliminacin selectiva de amenazas y reduccin de riesgos dentro de una organizacin

Un anlisis de riesgos ayuda a vencer la resistencia individual o de la organizacin a la preparacin para emergencias

Ofrece una fuente objetiva de informacin y requiere conocimiento sobre varias disciplinas


Gestin de riesgos

Conciencia comunitaria sobre los riesgos

Se debe vincular un programa de conocimiento de los riesgos con los programas de conciencia comunitaria de las autoridades civiles locales sobre emergencias

25/09/2013

66


Gestin de riesgos

Conciencia comunitaria sobre los riesgos

Participar en pruebas de gestin local de emergencias

Pruebas de los hospitales locales de traumatologa

Pruebas de respuesta del departamento de bomberos

Pruebas de respuesta a emergencias del departamento de polica


Gestin de Riesgos

Sirve como punto para verificar la calidad y fijar prioridades para la organizacin

Mide los posibles efectos de un cambio causado por una emergencia sobre un sistema

Determina los posibles puntos o causas de una falla

Se centra en prdidas por amenazas que todava no han ocurrido

Evala la seguridad, instalaciones fsicas, procedimientos de trabajo y estrategias organizacionales

Examina todos los tipos de prdida: daos a la propiedad, prdidas financieras y daos ambientales

25/09/2013

67


Procedimientos de anlisis de riesgos

Identificar y documentar los riesgos, amenazas, peligros y problemas de responsabilidad conocidos

Excluir los problemas temporales, por ejemplo, apagones cortos, mal tiempo

Conducir entrevistas y tomar declaraciones para investigar temas principales de gestin de riesgos

Recolectar y organizar evidencia que pudiera ayudar en una defensa legal y que podra ser ms difcil de obtener despus

Aconsejar a los gerentes de la organizacin sobre temas de seguridad, riesgo y seguros

Discutir las consecuencias de la fallas operativas con los gerentes

ANLISIS DE RIESGO AL NEGOCIORiesgos potenciales especficos a analizar

Seguridad en acceso a las instalaciones Verificacin de antecedentes de los empleadosRequisito de registro de visitantes y proveedoresRequisitos para entrar a edificiosPolticas de uso de computadoras y acceso a e-mail/internetHistorial de entradas ilegales, robo o vandalismo

Construccin de edificios (cdigos mecnicos, elctricos, de incendio y seguridad, etc.)Documentacin sobre ltima inspeccin del edificio

Fallas de equipoHistorial de fallas

Peligros potenciales debido a las condiciones y limitaciones de las carreteras

Peligros potenciales debido a trfico areo o vial cercano (posible descarrilamiento de trenes, accidentes automotores o areos)

25/09/2013

68


Riesgos potenciales especficos a analizar Falta de suministro elctrico en el rea

Comunicaciones (medios noticiosos y sistemas pblicos de alerta)

Peligro local de derrames, produccin, almacenamiento y transporte de materiales peligrosos (radiacin, qumicos txicos o agentes biolgicos)

Disponibilidad de respuesta a emergencias en la comunidad local

Historial de tasas de delitos y amenazas en o cerca de la organizacin

empleados, visitantes, contratistas, proveedores, suplidores, etc.,

Amenazas y extremos climticos, del tiempo o la geografa (terremotos, inundaciones, huracanes)

Revisar los datos histricos de emergencias en la comunidad


Riesgos potenciales especficos a analizar

Problemas con empleados, proveedores, suplidores y residentes o compaas locales particulares

Disturbios civiles

Emergencias de salud pblica (epidemias)

EXPOSICIN A AMENAZASQu est en riesgo cuando un desastre

afecta su comunidad?

Las amenazas afectan a personas, hogares y negocios, instalaciones crticas, rutas de transporte, servicios pblicos, suministro de agua y al ambiente.

- La primera regla:

CONOZCA SU COMUNIDAD

25/09/2013

69


Precaucin con las listas de anlisis de riesgos

Las listas de anlisis de riesgos presentan dos problemas

1. Posibilidad de exclusin u omisin Siempre existe el potencial de amenazas nuevas o inesperadas, lo que es parte de por qu es importante mantener una capacidad para enfrentar cualquier amenaza

2. Las listas de riesgos podran incluir grupos, lo que afecta el anlisis subsiguiente. Una lista podra dar la impresin de que las amenazas son independientes entre s, cuando de hecho a menudo estn relacionadas (por ejemplo, un terremoto podra causar el rompimiento de una represa).

Las listas podran agrupar en una sola categora diferentes causas o secuencias de eventos que podran requerir diferentes tipos de respuesta.


Precaucin con las listas de anlisis de riesgos

Los cambios en condiciones, los errores y las actitudes contribuyen al peligro

Conforme evoluciona el anlisis de riesgos, podra ser necesario refinar las listas de riesgos para asegurar que se incluya cualquier nuevo riesgo identificado (por ejemplo, una nueva planta qumica en la regin) y que se eliminen riesgos previamente incluidos que ya no representan un peligro

25/09/2013

70


Ajustes a la lista de anlisis de riesgos por medio de un

anlisis de brechas

Ayuda a identificar incidentes para los cuales la comunidad no est preparada

El anlisis de brechas - Identifica los componentes clave de cada riesgo y determina

los componentes comunes a mltiples amenazas

Identifica problemas que crean debilidades de alto impacto

Compara los costos relativos y los beneficios de los pasos necesarios para rectificar la situacin


Lista final de anlisis de riesgos

La lista terminada de riesgos potenciales mostrar primero los eventos que ameritan mayor atencin por:

Probabilidad de ocurrencia O

Impacto sobre la comunidad O

Nivel de preparacin

25/09/2013

71


Lista final de anlisis de riesgos

Las amenazas y riesgos que son menos serios y no tan susceptibles a ocurrir deberan estar en la parte inferior de la lista de anlisis de riesgos.

Esta clasificacin depende del juicio y la evaluacin de las diversas consideraciones mencionadas anteriormente.

ANLISIS DEL IMPACTO AL NEGOCIO

Anlisis de impacto al negocio (BIA)

BIA es una herramienta de gestin para caracterizar plenamente las operaciones, procesos e interdependencias crticas para el negocio y usar esta informacin para determinar los requisitos y prioridades de contingencia.

Hacerlo durante una emergencia sera demasiado tarde

25/09/2013

72


Propsito del BIA

Evaluar y priorizar las amenazas

Desarrollar e implantar medidas de mitigacin

Identificar cada unidad organizacional y su relacin con elresto de la organizacin

Identificar procesos crticos dentro de cada unidadorganizacional

Identificar los recursos crticos y las capacidades necesariaspara llevar a cabo los procesos crticos

Priorizar la recuperacin de cada unidad



Procedimientos del BIA

Entrevistar a los empleados y completar cuestionarios para recopilar datos operativos y del negocio

Identificar funciones del negocio que sean crticas/sensibles al tiempo

Identificar productos e interdependencias clave de los procesos (internos/externos)

Identificar recursos crticos (personal, datos, equipo e interdependencias, por ejemplo, proveedores)

25/09/2013

73



Procedimientos BIA

Evaluar las operaciones del negocio para vincular estos servicios crticos con los recursos del negocio.

Este anlisis generalmente identificar la infraestructura requerida, incluyendo energa elctrica, telecomunicaciones y controles ambientales.

Los equipos especficos de computacin, tales como enrutadores, servidores de aplicaciones y servidores de autenticacin por lo general se consideran crticos.

Nota: Este anlisis podra determinar que ciertos equipos del negocio, como impresoras, copiadoras, mesa de reuniones, no son necesarios como soporte de los servicios crticos.


Procedimientos BIA

El anlisis debera evaluar el impacto de la emergencia de dos maneras:

Dar seguimiento a los efectos de la emergencia a lo largo del tiempo.

Esto permitir al planificador de contingencias identificar el tiempo mximo en que se puede permitir la ausencia de un recurso antes de que ste impida o inhiba el desempeo de una funcin esencial.

Dar seguimiento a los efectos del faltante en los recursos relacionados y operaciones dependientes del negocio, identificando cualquier efecto resultante que pudiera ocurrir cuando la operacin interrumpida del negocio afecte a otras operaciones que dependen de sta.

25/09/2013

74


Anlisis del impacto al negocio

El planificador de contingencias debera determinar el punto ptimo para recuperar las operaciones del negocio balanceando el costo de que el negocio no opere contra el costo de los recursos requeridos para restaurar el negocio.

Esto se puede representar utilizando un grfico simple.

El punto donde se encuentren las lneas va a determinar durante cunto tiempo la organizacin puede permitir la interrupcin del sistema.

Costo

Tiempo

Costo de Interrupcin

Costo de Recuperacin



El impacto de la interrupcin y el tiempo permitido de interrupcin caracterizado en este proceso permiten al planificador de contingencias desarrollar y priorizar las estrategias de recuperacin a ser ejecutadas al activar el plan de contingencia.

Por ejemplo, si el paso para definir el impacto de la interrupcin determina que las operaciones del negocio deben ser recuperadas en 4 horas, el planificador de contingencias deber adoptar medidas para cumplir con este requisito.

Costo

Tiempo



25/09/2013

75



Igualmente, si la mayora de las operaciones del negocio pueden tolerar una interrupcin de 24 horas pero una operacin crtica no puede dejar de estar disponible por ms de 8 horas, el planificador de contingencias deber priorizar los recursos necesarios para la operacin crtica.

Al priorizar estas estrategias de recuperacin, el planificador de contingencias podr tomar decisiones ms informadas y especficas sobre la asignacin y el uso de los recursos de contingencia, ahorrando as tiempo, esfuerzo y costos adicionales.

Costo

Tiempo




Evaluacin de procedimientos BIA

Impacto de los limitados recursos de la comunidad sobre la seguridad de los empleados y el grado de respuesta a las emergencias

Potencial peligro para las instalaciones por trfico terrestre y areo

Potencial peligro para empleados e instalaciones por materiales peligrosos

Capacidad/incapacidad de notificar oportunamente a los ocupantes sobre una emergencia

25/09/2013

76


Identificar los recursos y autoridades de respuesta a emergencias

rea local

Polica ms cercana

Departamento de bomberos ms cercano

Hospitales de traumatologa ms cercanos

Sistemas de trnsito masivo

Oficinas locales y nacionales de gestin de emergencias

Sector privado

Servicios de ambulancia

Ingeniera ambiental


Evaluacin de procedimientos BIA Usar insumos gerenciales para priorizar el personal clave,

recursos, operaciones y servicios tangibles e intangibles crticos/esenciales para el negocio

Determinar y priorizar los procedimientos, cronogramas crticos y objetivos de recuperacin

Coordinar con las funciones de soporte (informtica, legal, administracin, personal, ingeniera y proveedura) y determinar las limitaciones del negocio

25/09/2013

77


Identificar soluciones, impactos por interrupcin y tiempos permitidos de interrupcin

Amenaza de peligros/frecuencia de delitos sobre las operaciones de negocios

Peligro por limitaciones en carreteras o congestionamiento de trfico durante una emergencia

Impacto de un cierre prolongado de instalaciones (objetivos de tiempo de recuperacin por operacin central principal)

Limitacin en salidas de edificios y de la comunidad en una emergencia

Continuidad en cumplimiento con leyes nacionales y locales


Desarrollar procedimientos preventivos y de mitigacin de impactos por la interrupcin

En algunos casos, los impactos por la interrupcin identificados en el BIA podran ser mitigados o eliminados con medidas preventivas que prevengan, detecten y/o reduzcan los impactos sobre las operaciones del negocio.

Cuando sea posible y eficiente en costos, los mtodos preventivos son preferibles a las acciones que pudieran ser necesarias para recuperar las operaciones del negocio despus de una interrupcin.

25/09/2013

78


Controles comunes para prevenir y mitigar interrupciones

Generadores de gasolina o diesel para asegurar energa de respaldo por perodos prolongados

Sistemas de supresin de incendios

Detectores de incendio y humo

Lminas plsticas que puedan colocarse sobre los equipos para protegerlos de daos por agua

Receptculos a prueba de fuego y de agua para los registros vitales

Interruptor maestro del sistema en emergencias

Almacenamiento remoto de datos de respaldo de las computadoras

Controles tcnicos de seguridad, tales como gestin de llaves criptogrficas y controles de acceso de menor privilegio

Respaldo de datos frecuente y programado


Ejemplo del proceso de anlisis del impacto al negocio para una

compaa o agencia gubernamental

Insumos de usuarios, dueos de procesos de

negocios, dueos de aplicaciones y

otros grupos asociados

IDENTIFICAR RECURSOS INFORMTICOS CRTICOS

Procesos crticos del negocio

Recursos crticos

Procesamiento de planillasReporte de horas y asistenciaVerificacin de horas y asistenciaAprobacin de horas y asistencia...X

Servidor LANAcceso WANE-mail Acceso a mainframeServidor de e-mail..

IDENTIFICAR IMPACTOS DE INTERRUPCIN Y TIEMPOS

PERMISIBLES DE INTERRUPCIN

PROCESO 2: Reporte de horas y asistencia

Recursos crticos

Tiempo mximo de

interrupcin Impacto

Servidor LANAcceso WANE-mail Acceso amainframeServidor de e-mail...

8 horas Demora en tiempo de procesamiento de hojas de trabajoIncapacidad de ejecutar operaciones normales de planillasDemora en procesamiento de planillas

Recursos

Servidor LAN AltaAcceso WAN MedianaE-mail BajaAcceso a AltamainframeServidor de Altae-mail...

Prioridad de Recuperacin

ESTABLECER PRIORIDADES DE RECUPERACIN

25/09/2013

79

MATRIZ DE DECISIONES (RIESGO)

(Usada en el anlisis de riesgo e impacto al negocio)

Proceso de evaluar los riesgos y el impacto asociado con un riesgo especfico y definido en trminos de probabilidad y frecuencia de ocurrencia, magnitud, severidad, exposicin y consecuencias

La matriz de decisiones permite a los planificadores de mitigacin de riesgos clasificar diversos tipos de riesgo en diferentes categoras de prioridad ubicndolos en una cuadrcula de acuerdo con su frecuencia y severidad.

Matriz para dimensionar las definiciones de impacto

en formato de tabla


Magnitud del

ImpactoDefinicin del Impacto

Alta

La ocurrencia del riesgo (1) podra resultar en una prdida sumamente costosa de activos

tangibles o recursos importantes; (2) podra violar, daar o impedir de manera significativa

la misin, reputacin y los intereses de una organizacin; o (3) podra resultar en muerte o

heridas graves.

Mediana

La ocurrencia del riesgo (1) podra resultar en una prdida costosa de activos tangibles o

recursos; (2) podra violar, daar o impedir la misin, reputacin y los intereses de una

organizacin; o (3) podra resultar en heridas graves.

Baja

La ocurrencia del riesgo (1) podra resultar en la prdida de algunos activos tangibles o

recursos; o (2) podra afectar de manera notable la misin, reputacin y los intereses de

una organizacin.

25/09/2013

80

Matriz para dimensionar las definiciones de impacto

Alto impacto Definicin > La ocurrencia del riesgo (1) podra resultar en una prdida sumamente costosa de activos tangibles o recursos importantes; (2) podra violar, daar o impedir de manera significativa la misin, reputacin y los intereses de una organizacin; o (3) podra resultar en muerte o heridas graves.

Mediano impacto Definicin > La ocurrencia del riesgo (1) podra resultar en una prdida costosa de activos tangibles o recursos; (2) podra violar, daar o impedir la misin, reputacin y los intereses de una organizacin; o (3) podra resultar en heridas graves.

Bajo impacto Definicin > La ocurrencia del riesgo (1) podra resultar en la prdida de algunos activos tangibles o recursos; o (2) podra afectar de manera notable la misin, reputacin y los intereses de una organizacin.


MATRIZ DE DECISIN (RIESGO)

Principal ventaja de un anlisis cuantitativo de impacto usando el mtodo de la matriz de decisiones

Ofrece una medicin cuantitativa de la magnitud del impacto que se puede utilizar para el anlisis costo beneficio de los controles recomendados

25/09/2013

81


Tabla matriz para descripcin del nivel de riesgoLa escala de riesgo con calificaciones de alto, mediano y bajo representa la grado o nivel de riesgo al cual podra estar expuesto un sistema de computacin, una instalacin o un procedimiento si se da un riesgo dado. La escala de riesgo tambin incluye las acciones que debe tomar la alta gerencia para cada nivel de riesgo.

Nivel de riesgo Descripcin del riesgo y acciones necesarias

Alto

Si la observacin o hallazgo califica el riesgo como alto, existe una fuerte necesidad de tomar acciones correctivas. Un sistema existente podra continuar operando, pero se debe implantar un plan de acciones correctivas lo ms pronto posible.

Mediano

Si una observacin califica el riesgo como mediano, se necesitan acciones correctivas y se debe desarrollar un plan para incorporar estas acciones dentro de un perodo razonable de tiempo.

Bajo

Si una observacin describe el riesgo como bajo, el sistema de evaluacin de amenazas debe determinar si se requiere desarrollar acciones correctivas o decidir si se acepta el riesgo.


TABLA MATRIZ PARA LA DETERMINACIN DEL RIESGO

La anterior tabla se utiliza para evaluar el nivel de riesgo para un sistema de computacin. La determinacin de riesgo para una amenaza particular puede ser expresada en funcin de: La probabilidad de que la fuente de una amenaza ponga a prueba una

vulnerabilidad especfica

La magnitud del impacto si la fuente de la amenaza logra poner a prueba la vulnerabilidad

La habilidad de los controles de seguridad diseados o existentes de reducir o eliminar el riesgo.

25/09/2013

82


Matriz de nivel de riesgo

La determinacin final del riesgo de la misin se deriva multiplicando las clasificaciones asignadas para la amenaza (probabilidad) por el impacto de la amenaza.

La siguiente tabla muestra como se podran determinar las clasificaciones generales de riesgo con base en los insumos de la probabilidad de la amenaza y las categoras del impacto de la amenaza.

La siguiente es una matriz 3 x 3 de la probabilidad de la amenaza (alta, mediana y baja) y el impacto de la amenaza (alto, mediano y bajo).

Dependiendo de los requisitos del sitio y el desglose deseado de la evaluacin de riesgos, algunos sitios podran utilizar matrices 4 x 4 o 5 x 5.


La determinacin de estos niveles o clasificaciones de riesgo podra ser subjetiva.

El razonamiento para esta justificacin puede explicarse en trminos de la probabilidad asignada para cada nivel probable de amenaza y un valor asignado para cada nivel probable de impacto. Por ejemplo, La probabilidad asignada para cada nivel probable de amenaza es

1.0 para alta, 0.5 para mediana, 0.1 para baja

El valor asignado a cada nivel de impacto es 100 para alto, 50 para mediano y 10 para bajo.

25/09/2013

83


Matriz de nivel de riesgoEscala de riesgo: alto ( >50 a 100); mediano ( >10 a 50); bajo (1 a 10)

Bajo Mediano Alto

(10) (50) (100)

Bajo Mediano Alto

10 x 1.0 = 10 50 x 1.0 = 50 100 x 1.0 = 100

Bajo Mediano Mediano

10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50

Bajo Bajo Bajo

10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

Mediana (0.5)

Baja (0.1)

Probabilidad de

amenaza

Impacto

Alta (1.0)


Matriz de decisin de riesgos - Ejemplo #1: Dos pulgadas de lluvia

Dos pulgadas de lluvia es una ocurrencia muy comn durante el verano de Costa Rica. Esto representa una ALTA FRECUENCIA. Su severidad en la mayora de los casos sera considerada MENOR.

Categoras de riesgo en los siguientes ejemplos Clase A: Condicin de riesgo alto con la mayor prioridad para mitigacin y accin

inmediata Clase B: Condicin de riesgo moderado a alto donde el riesgo es tratado con

mitigacin y accin pronta Clase C: Condicin de riesgo suficientemente alta para considerar mitigacin y

planificacin adicional Clase D: Condicin de bajo riesgo

25/09/2013

84


Matriz de decisin de riesgos - Ejemplo #1: Dos pulgadas de lluvia

Dos pulgadas de lluvia, una amenaza de alta frecuencia y de severidad menor, debera ser considerada un riesgo Clase C, para la posible mitigacin y planificacin adicional.

2 de Lluvia

Menor Seria Extensiva Catastrfico

SEVERIDAD

FRECUENCIA

Alta

Moderada

Baja

Muy Baja


Matriz de decisin de riesgo - Ejemplo #2: Ocho pulgadas de lluvia

Ocho pulgadas de lluvia representan una ocurrencia comn en verano en Costa Rica, lo que representa unaALTA FRECUENCIA. La categora de riesgo debera aumentarse a Clase B y considerarse una condicin de moderada a alta a ser tratada por mitigacin y planificacin de contingencias para una accin pronta, si esa cantidad llegase a caer en una hora.

Menor Seria Extensiva Catastrfico

SEVERIDAD

FRECUENCIA

Alta

Moderada

Baja

Muy Baja

8 de Lluvia

25/09/2013

85

CapacitacinVarios propsitos - La capacitacin peridica de empleados de respuesta y recuperacin de

emergencias en BCP aumentar significativamente la posibilidad de que las operaciones centrales del negocio se puedan recuperar exitosamente de alguna emergencia mayor.

Los empleados clave deberan participar en el proceso de desarrollo de continuidad del negocio, as como en ejercicios peridicos de capacitacin.

Los empleados deberan conocer: las condiciones que requieren al ejecutar parte o todo el BCP quin es responsable de ejecutar los BCP para las unidades de negocios y la

institucin y qu hacer si los empleados clave no estn disponibles en el momento de la

emergencia.

PLAN DE CONTINUIDAD DEL NEGOCIO (BCP)

CapacitacinDesarrollo de la capacitacin La capacitacin se debe desarrollar con base en los problemas

identificados o documentados durante las pruebas BCP. Se debe asegurar que la capacitacin sea razonable y especfica

para los empleados, las instalaciones, operaciones o funciones. Por ejemplo, si el material de capacitacin se desarrolla para asegurar que las operaciones del negocio sensibles al tiempo se puedan recuperar y continuar operando, se debe recolectar informacin de respuesta y recuperacin de desastres con tiempos asociados que incluya el impacto sobre esas operaciones, es decir, impacto de un incendio, edificio colapsado, destruccin de instalaciones/equipo, falla en las lneas de comunicacin, etc.


25/09/2013

86

CapacitacinEjemplos de preguntas para determinar el conocimiento de los

empleados de sus tareas asignadas de BCP en una emergencia

Dnde est el sitio de reunin inicial o alterno de recuperacin despus de anunciar una emergencia?

Cules son las responsabilidades asignadas a usted como miembro de uno de los equipos de respuesta a emergencias?

Quin debera reportarse al sitio de reunin inicial o alterno de recuperacin despus de que se anuncia una emergencia y cules son los nmeros de telfono de estos dos sitios?

A cules empleados de la compaa puede usted contactar inmediatamente?

Si uno/una de sus contactos de emergencia no estuviera en su escritorio, cmo podra contactarle?

Mire su lista actual de contactos de emergencia e indique si est al da.



Capacitacin

Estrategias

Identificar y capacitar a individuos responsables de responder a una situacin de desastre. No toda persona es capaz de desempear toda funcin.

Asegurar programas de capacitacin basados en competencias con una programacin especfica para el rol de la persona en la respuesta a emergencias.

25/09/2013

87


CapacitacinEstrategias

Quienes responden a una situacin de desastre deben tener los conocimientos, destrezas, habilidades y comportamientos necesarios para desempear las tareas de manera correcta y efectiva.

La capacitacin es importante para identificar debilidades en los planes de gestin de emergencias.

La capacitacin se usa para identificar debilidades en el plan de respuesta y poder corregirlas.

Evaluacin de riesgo

Una metodologa para determinar la naturaleza y el grado de riesgo a travs del anlisis de posibles amenazas y la evaluacin de las condiciones existentes de vulnerabilidad que conjuntamente podran daar potencialmente a la poblacin, la propiedad, los servicios y los medios de sustento expuestos, al igual que el entorno del cual dependen. EIRD 2009

25/09/2013

88

Primer abordaje al inventario de amenazas

Primer abordaje, Inventario de amenazas

IA 1: Enumere las amenazas potenciales

IA 2: Establezca prioridades para abordar las amenazas identificadas

Producto esperadoLista de amenazas en orden de prioridad

Pasos del anlisis de amenazas

Anlisis de la amenaza

AA 1: Investigue los registros

AA 2: Establezca las magnitudes potenciales

AA 3: Defina la frecuencia / perodo de retorno

AA 4: Defina la zonificacin

ProductoAmenazas identificadas con tres magnitudes

potenciales

25/09/2013

89

Pasos del anlisis de vulnerabilidad

Anlisis de vulnerabilidad

AV 1: Determine los elementos en peligro

AV 2: Determine las caractersticas de la poblacin en peligro

AV 3: Identifique el nivel organizacional

AV 4: Establezca la capacidad de respuesta de la comunidad

ProductoVulnerabilidad expresada con respecto a una amenazaidentificada en trminos de elementos en peligro,caractersticas de la poblacin en peligro y las capacidadesde respuesta tanto de las instituciones como de lascomunidades.

Pasos para la evaluacin de escenarios de riesgo

Evaluacin de escenarios de riesgo

ER 1: Decida sobre el nivel de magnitud del evento

ER 2: Describa el evento detonante (amenaza

ER 3: Detalle el impacto esperado

ProductoDescripcin del evento detonante especfico (amenaza) y los efectos consecuentes directos e indirectos esperados .

25/09/2013

90

EJERCICIO FINAL

ICONTEC

Tiempo 2.5 horas!

PREGUNTAS CASO

Objetivos: Identificar el impacto potencial de las interrupciones sobre el

negocio. Identificar las amenazas sobre los activos que soportan el negocio.

Tareas Elegir una actividad (grupo, gerencia, departamento, etc.) Describir el proceso o Cadena de Valor de esa actividad. Identificar los Procesos Crticos. Identificar dependencias. Definir RTO y RPO. Analizar el impacto financiero, regulatorio, reputacional, etc. Identificar los activos Entender el dao que las amenazas pueden causar sobre ellos. Proponer estrategias de continuidad

25/09/2013

91

FACTORES CRITICOS

Incrementar la Resiliencia

Visin Integral de la Gestin del Riesgo de Desastre (SeguridadSocietal/Societal Security ISO/TC 223, Risk management ISO31010, BCP)

Enfoque multi-amenazas

Conciencia comunitaria (Stakeholders , LEMA, Cadena)

Percepcin del riesgo aplicada (aprehender)

Usar herramientas existentes (SCI)

Integrar y Estructurar: Datos / Informacion / Conocimiento / Inteligencia

Prospectiva Aplicada (No esperar los desarrollos funebres)

25/09/2013

92

LECCIONES APRENDIDAS/POR APRENDER

Planes solo para mi!

Colaboracin (sin perderautoridad y responsabilidad)

Vision HD!

Invitar a jugar a las partesinteresadas

No ser

Somos una especie rara y preciada porque estamos capacitados para reflexionar y tenemos el privilegio

de influir en nuestro futuro y, quiz, de controlarlo.

CARL SAGAN

Miles de millones

Obra pstuma

Juan C. LoboEmail: [email protected]

cel.3192513749

taller icontec bcp.pdf

Documents