taller icontec bcp.pdf
TRANSCRIPT
-
25/09/2013
1
TALLER PARA INSTRUCTORES EN CONTINUIDAD DE NEGOCIO
ICONTEC
2013
PRESENTACION Y EXPECTATIVAS
Participantes
Asistentes
Facilitador: Juan C. Lobo T.
Expectativas
-
25/09/2013
2
Objetivo Fortalecer las capacidades de los instructores de ICONTEC en los temas
relacionados con la continuidad de negocio, basados en la norma ISO-22301.
Objetivos especficos Realizar un contexto de la continuidad de negocio en el marco de la
seguridad de la sociedad. Desarrollar los pasos necesarios para la construccin de un plan de
continuidad, basado en el ciclo descrito en la norma 22301. Desarrollar los pasos necesarios para construir un plan de contingencia
(recuperacin). Desarrollar las etapas necesarias para la fase de restauracin, sus planes
y los sitios de trabajo alternativos. Enumerar herramientas para la aplicacin de la continuidad de negocio
Objetivo de desempeo Los participantes a travs de lecturas previas y en un tiempo no
mayor a dos horas desarrollaran un bosquejo de un plan de continuidad con sus apndices aplicado a una empresa.
Metodologa: Se desarrolla el taller a travs del reforzamiento de conceptos
basado en ejemplos prcticos, se utiliza el mtodo interactivo de enseanza. En este mtodo se promueve la participacin activa y permanente de quienes necesitan conocimientos y habilidades para lograr determinado desempeo.
Tiempo 8 horas.
-
25/09/2013
3
Agenda1. Contexto de la continuidad de negocio en el marco de la seguridad de la sociedad, la gestin del riesgo y la Resiliencia.2. Pasos necesarios para la construccin de un plan de continuidad, basado en el ciclo descrito en la norma 22301.3. Pasos necesarios para construir un plan de contingencia (recuperacin).4. Etapas necesarias para la fase de restauracin, sus planes y los sitios de trabajo alternativos.5. Herramientas para la aplicacin de la continuidad de negocio6. Ejercicio final en equipo
28/08/2012 www.risklatam.com SGI 6
-
25/09/2013
4
-
25/09/2013
5
-
25/09/2013
6
-
25/09/2013
7
ACCIN ECOPETROL (EC) INCIDENTE DOSQUEBRADAS
COLOMBIA
1983 Destruccin 70% de Popayn. 1985 Avalancha de Armero. 1988 Huracn Joan 1992 Terremoto en Atrato Medio 1994 Sismo y avalancha del ro Pez. 1995 Sismo de Pereira. 1999 Terremoto Eje Cafetero. 1999 Fenmeno de La Nia 2001 Tornado Soledad (Atlntico) 2002 Deslizamiento Montecristo (Bolvar) 2003 Segunda Temporada Invernal (30
Departamentos) 2004 Temporada Invernal 2005 Temporada Invernal Febrero 2005 (4
departamentos) 2005 Huracn BETA 2006 Volcn Galeras 2006 Tornado en Barranquilla 2007 Incendios en Cundinamarca 2007 Avalancha (erupcin) Volcn Nevado
del Huila
2007 Inundaciones en La Mojana 2007 Inundaciones en Crdoba 2008 Primera y Segunda ola invernal 2009 Incendios Forestales Cali 2009 Inundaciones en Tumaco (rio Mira) 2010 Incendios Forestales en todo el
territorio nacional 2011 Inundaciones (fenmeno de la Nia)
Prdidas econmicas por los principales desastres:
Avalancha Armero (1985): $211.8 millones de dlares de 1985 (PNUD).
Terremoto Eje cafetero (1999): $1.800 millones de dlares, equivalentes a 2,2% del PIB de 1998 y 35.3 del PIB de los Departamentos (Forec)
Fenmeno del nio (1997-98): $570 millones de dlares (CAF).
Nia (2010-2011) Recuperacin 24 billones de pesos
-
25/09/2013
8
DESARROLLOS FUNERARIOS
DESPUS DE
DESASTRE
Un evento adverso que causa un intenso impactonegativo en personas, bienes, servicios y en el medioambiente, excediendo la capacidad existente.
reducir la vulnerabilidad,incrementar la capacidadincrementar la resiliencia
Cisne Negro: El impacto de lo altamente impensable, satisface estas tres propiedades: esta fuera del reino de las expectativas normales, produce un impacto tremendo y hace que inventemos explicaciones despues, con lo que se hace explicable y predecible. (Nassim N. Taleb)
-
25/09/2013
9
Mas vale prevenir que lamentar!
El costo de reduccin de la vulnerabilidad es menor cuando las medidas de reduccin forman parte del proyecto original y no cuando se las incorpora a raz de la ocurrencia de un evento desastroso. En donde los costos sern ampliamente mayores.
US$1 A US$7
Organismos de defensa civil
Organizaciones nacionales de
emergencias
Organizaciones nacionales de gestin
de riesgos y manejo de desastres
Sistemas nacionales
..
El indiscutible avance de la gestin de riesgos de desastre
-
25/09/2013
10
Entindase la gestin del riesgo de desastres como un procesosocial orientado a la formulacin, ejecucin, seguimiento yevaluacin de polticas, estrategias, planes, programas,regulaciones y acciones permanentes para el conocimiento yla reduccin del riesgo y para el manejo de desastres, con elpropsito explcito de contribuir a la seguridad, el bienestar, lacalidad de vida de las personas y al desarrollo sostenible.
Qu es la Gestin del Riesgo de Desastres
LEY 1523 DE 2012 (abril 24)Diario Oficial No. 48.411 de 24 de abril de 2012Por la cual se adopta la poltica nacional de gestin del riesgo de desastres y se establece el Sistema Nacional de Gestin del Riesgo de Desastres y se dictan otras disposiciones.
PROCESOS Y SUBPROCESOS DE LA GESTIN DEL RIESGO
Conocimiento del riesgo
Identificacin de componentes del riesgo (amenaza,
exposicin y vulnerabilidad)
Anlisis y evaluacin del
riesgo
Comunicacin del riesgo
Reduccin del riesgo
Intervencin correctiva (riesgo
actual)
Intervencin restrictiva y prospectiva
(nuevos riesgos)
Proteccin financiera
Manejo de desastres
Preparacin la respuesta
Respuesta, atencin y restitucin de
servicios esenciales
Rehabilitacin y Reconstruccin
-
25/09/2013
11
Estructura UNGRD
DIRECCINGENERAL
Oficina Asesora deComunicaciones
Oficina deControl Interno
Subdireccin para el Manejo
de Desastres
Subdireccin para la Reduccin
del Riesgo
Subdireccin para el Conocimiento
del Riesgo
Oficina Asesora dePlaneacin
e Informacin
Oficina AsesoraJurdica
SubdireccinGeneral
CONSEJO DIRECTIVO
Sistema Nacionalde Gestin del Riesgo de Desastres
CONSEJO NACIONAL PARA LA GESTIN DEL RIESGO
Comit Nacional para laReduccin del Riesgo
Comit Nacional para elConocimiento del Riesgo
Comit Nacional para elManejo de Desastres
Presidente de la Repblica
UNGRD
CONSEJO DEPARTAMENTAL PARA LA GESTIN DEL RIESGO (32)Comits para: Conocimiento, Reduccin, Manejo
CONSEJO MUNICIPAL PARA LA GESTIN DEL RIESGO (1102)Comits para: Conocimiento, Reduccin, Manejo
Alcalde
Gobernador
Fondo Nacional(5 Subcuentas)
Fondo Departamental
Fondo Municipal
CONSEJO NACIONAL PARA LA GESTIN DEL RIESGO
Comit Nacional para laReduccin del Riesgo
Comit Nacional para elConocimiento del Riesgo
Comit Nacional para elManejo de Desastres
Presidente de la Repblica
UNGRD
CONSEJO DEPARTAMENTAL PARA LA GESTIN DEL RIESGO (32)Comits para: Conocimiento, Reduccin, Manejo
CONSEJO MUNICIPAL PARA LA GESTIN DEL RIESGO (1102)Comits para: Conocimiento, Reduccin, Manejo
Alcalde
Gobernador
Fondo Nacional(5 Subcuentas)
Fondo Departamental
Fondo Municipal
-
25/09/2013
12
Published standards
ISO 22300:2012 Societal security -- Terminology
ISO 22301:2012 Societal security -- Business continuity management systems --- Requirements
ISO/TR 22312:2011 Societal security -- Technological capabilities
ISO 22320:2011 Societal security -- Emergency management -- Requirements for incident response
ISO/PAS 22399:2007 Societal security - Guideline for incident preparedness and operational continuity
management
Standards under development
ISO/DIS 22311 Societal security - Video-surveillance - Export interoperability
ISO/DIS 22313 Societal security -- Business continuity management systems -- Guidance
ISO/NP 22315 Societal security -- Mass evacuation
ISO/CD 22322 Societal security -- Emergency management -- Public warning
ISO/WD 22323 Organizational resilience management systems - Requirements with guidance for use
ISO/CD 22324 Societal security - Emergency managament - Colour-coded alert
ISO/NP 22351 Societal security -- Emergency management -- Shared situation awareness
ISO/CD 22397 Societal security -- Public Private Partnership -- Guidelines to set up partnership
agreements
ISO/DIS 22398 Societal security -- Guidelines for exercises
Published standards - Risk Management
ISO 31000:2009 Risk management -- Principles and guidelines
ISO Guide 73:2009 Risk management -- Vocabulary
ISO/IEC 31010:2009 Risk management -- Risk assessment techniques
28/08/2012 www.risklatam.com SGI 23
Planes de Emergencia
Ambiente externo
EXTERNALIDADES
-
25/09/2013
13
-
25/09/2013
14
-
25/09/2013
15
La gestin del riesgo y el manejo de desastres desde el punto de vista de los grupos de inters
Evaluacindel Riesgo
Manejopara
DesastresReduccin del Riesgo
RecuperacinRecuperacin
-
25/09/2013
16
ESCENARIOS
Impacto
FrecuenciaBajo Alto Muy alto
Inundaciones
Deslizamientos
Tecnologicos
Frecuente o Muy
probable
Erupciones
Volcnicas
Incendios
Forestales
Terremotos Probable
SequiasEnfermedades
(Gripa Aviar)Huracanes Tsunamis Ocasionalmente
-
25/09/2013
17
Amenaza
Factor externo al sujeto, objeto osistema expuesto, representado porla potencial ocurrencia de unsuceso de origen natural ogenerado por la actividad humana,que puede manifestarse en un lugarespecfico, con una intensidad yduracin determinadas.
Amenazas ms frecuentesAmenaza Causa Origen
Categora
Inundacin
Lluvia torrencialHuracanes
DeforestacinErosin
NaturalCausada por
hombre
Marejada ciclnica Huracanes Natural
Erupcin volcnicaEmisin de materias
procedentes del centro de la tierra
Natural
Huracn Sistema meteorolgico de baja presin
Natural
Contaminacin qumica
Disposicin inapropiada de desechos nucleares
Causada por el hombre
-
25/09/2013
18
Inundaciones y dao asociado
Actividad volcnica
Montserrat Volcano Observatory
-
25/09/2013
19
Vulnerabilidad
Factor interno de un sujeto, objeto o sistemaexpuesto a una amenaza, que corresponde asu disposicin intrnseca a ser daado.
Vulnerabilidad debido a los cortes excesivos en laderas
-
25/09/2013
20
Riesgo
Probabilidad de exceder un valor especficode daos sociales, ambientales yeconmicos, en un lugar especfico ydurante un tiempo de exposicindeterminado.
Riesgo Aceptable
El nivel de las prdidas potenciales queuna sociedad o comunidad consideranaceptable, segn sus condicionessociales, econmicas, polticas,culturales, tcnicas y ambientalesexistentes. EIRD 2009
-
25/09/2013
21
Desastre
Alteraciones en las personas, los bienes, losservicios y el ambiente, causadas por unsuceso natural o generado por la actividadhumana, que exceden la capacidad derespuesta de la comunidad afectada.
Gestin del riesgo de desastres
Componente del sistema social constituidopor un proceso eficiente de planificacin,organizacin, direccin y control dirigido alanlisis y la reduccin de riesgos, elmanejo de eventos adversos y larecuperacin ante los ya ocurridos.
-
25/09/2013
22
reas y componentes de la gestin de riesgo de desastres
reas Componentes
Anlisis del riesgo Estudios de amenaza y vulnerabilidad
Reduccin del riesgo Prevencin y mitigacin, transferencia y financiamiento
Manejo de eventos adversos Preparacin, alerta, respuesta
Recuperacin Rehabilitacin y reconstruccin
Evaluacin del riesgo
Uso sistemtico de la informacindisponible para determinar laprobabilidad de ocurrencia de ciertoseventos adversos as como la magnitudde sus posibles consecuencias.
-
25/09/2013
23
Reduccin del riesgo de desastres
Acciones orientadas a minimizar el impacto adverso de las amenazas a travs de incrementar la resiliencia de los grupos vulnerables y de las comunidades, reduciendo la vulnerabilidad, e incrementando la capacidad para prepararse, responder, y recuperarse del impacto del desastre.
Reduccin de riesgo
Acciones orientadas a minimizar el impactoadverso de las amenazas a travs deincrementar la resiliencia de los gruposvulnerables y de las comunidades, reduciendola vulnerabilidad, e incrementando lacapacidad para prepararse, responder, yrecuperarse del impacto del desastre.
-
25/09/2013
24
Categoras de las medidas de reduccin del riesgo
Fsicas
Socioeconmicas
Ambientales
De gestin e institucionales
Post
Medidas fsicas
Medidas estructurales y no estructurales que se ejecutan para ayudar a evitar o a aliviar el dao y las prdidas que resultan de eventos adversos.
-
25/09/2013
25
Malas prcticas de desarrollo
Medidas estructurales
Se refieren a la construccin fsica dirigida a reducir o evitar los posibles impactos de una amenaza, incluyendo medidas de ingeniera y la construccin de estructuras e infraestructura resistente a las amenazas y de proteccin.
-
25/09/2013
26
Medidas estructurales
Muros usados para reducir el efecto de las lluvias torrenciales en reas propensas a deslizamientos.
Medidas no estructurales
Se refieren a polticas,
aumento de conciencia,
desarrollo de conocimiento,
compromiso pblico y
mtodos y prcticas de
operacin, incluyendo
mecanismos participativos y
la provisin de informacin
que pueden reducir el riesgo
y los impactos relacionados.
-
25/09/2013
27
Medidas de GestinCdigos de construccin
Una serie de ordenamientos o
reglamentos relacionados con estndares
que buscan controlar aspectos de diseo,
construccin, materiales, modificaciones y
ocupacin de cualquier estructura, los
cuales son necesarios para velar por la
seguridad y el bienestar de los seres
humanos, incluida la resistencia a los
derrumbes y a los daos. EIRD 2009.
Medidas socioeconmicas
Son aquellas diseadas para tratar brechas y debilidades en los sistemas por los que las comunidades y la sociedad como un todo se preparan para responder a eventos adversos.
-
25/09/2013
28
Medidas ambientales
Son aquellas diseadas para proteger sistemas ambientales existentes, o rehabilitar los degradados, mejorando as su capacidad para enfrentar el impacto de futuros eventos adversos.
Prevencin
Conjunto de acciones cuyo objeto esimpedir o evitar que sucesos naturaleso generados por la actividad humana,causen eventos adversos.
-
25/09/2013
29
Mitigacin
Resultado de una intervencin dirigida a reducir riesgos.
Amenaza cuyo impacto se puede prevenir
Amenaza cuyo impacto se puede mitigar
Derrame de hidrocarburos Terremoto
Contaminacin por desechos txicos
Huracn
Contaminacin industrial Erupcin volcnica
Mitigacin y prevencin
-
25/09/2013
30
Transferencia de riesgo
Uso de instrumentos econmicos paradistribuir- compartir y proteger contralas perdidas y daos antes de queocurra un evento adverso.
Preparacin
Conjunto de medidas y acciones para reducir al mnimo la prdida de vidas humanas y otros daos, organizando oportuna y eficazmente la respuesta y la rehabilitacin.
-
25/09/2013
31
Alerta
Estado declarado con el fin de tomarprecauciones especficas, debido a la probabley cercana ocurrencia de un evento adverso.
Respuesta
Acciones llevadas a cabo ante un evento adverso yque tienen por objeto salvar vidas, reducir elsufrimiento y disminuir prdidas.
-
25/09/2013
32
Recuperacin
Proceso de restablecimiento de lascondiciones normales de vida en lacomunidad afectada.
Rehabilitacin
Recuperacin, a corto plazo, de los serviciosbsicos e inicio de la reparacin del daofsico, social y econmico.
-
25/09/2013
33
Reconstruccin
Proceso de reparacin, a mediano y largoplazo, del dao fsico, social y econmico, a unnivel de desarrollo superior al existente antesdel evento.
Desarrollo
Aumento acumulativo y durable decantidad y calidad de bienes, servicios yrecursos de una comunidad, unido acambios sociales, tendiente a mantener ymejorar la seguridad y la calidad de lavida humana, sin comprometer losrecursos de las generaciones futuras.
-
25/09/2013
34
Resiliencia
9/25/2013 68
-
25/09/2013
35
Resiliencia
Latn - resilire, recuperarse, retroceder o volver a la original
Ingls (siglo 17) resilience, calidad de las maderas para soportar cargas severas sin romperse
Fsica objetos que resisten los efectos de fuerzas externas
Qumica - capacidad de un metal para regresar a su estado original
Ingeniera - medida de la capacidad de un material para resistir el impacto, as como para absorber y liberar energa a travs de la elasticidad (McAsian, 2009).
Resiliencia
Psicologa - capacidad de funcionar en un ambiente inmensamente exigente, as como la capacidad de lidiar con el estrs (Norris et al, 2009)Sociologa - capacidad de los grupos a hacer frente al estrs generado por cambios en el medio ambiente (Platteau, 2000)
Ecologa - capacidad de un ecosistema para absorber los cambios, siguen funcionando y evolucionando (Klein et al, 2004)Sostenibilidad social - capacidad de los individuos, grupos y comunidades para identificar y abogar por sus necesidades, ahora y para las generaciones futuras (McKenzie, 2004)
-
25/09/2013
36
Del imperativo de respuesta
Al nfasis en la preparacin
El salto a la mitigacin
Las dificultades de la reduccin del riesgos
La opcin de la resiliencia
Resiliencia:Capacidad de un sistema, comunidad osociedad expuestos a una amenaza pararesistir, absorber, adaptarse y recuperarse de sus efectos de manera oportuna y eficaz, lo que incluye la preservacin y la restauracin de sus
estructuras y funciones bsicas. (UN-ISDR 2009)
-
25/09/2013
37
Propiedades de la resiliencia:Inherentes, se refieren a la capacidad de un individuo, familia, colectividad, institucin o sistema para funcionar apropiadamente en tiempos de normalidad (no crisis). Adaptativas, relacionadas con la flexibilidad demostrada, por el sujeto de estudio, durante y despus de un evento o crisis, para adecuar su comportamiento y la creatividad para abordar los problemas inducidos por el desastre.Estas dos propiedades de la resiliencia estn correlacionadas, sujetos con capacidad de recuperacin inherente, estn en mejores condiciones para desarrollar e implementar estrategias de adaptacin.
Midiendo la Resiliencia (Tierney &Bruneau )
Robustez, capacidad para soportar las fuerzas de desastre sin una degradacin significativa o prdida de rendimiento;Redundancia, si la degradacin o prdida de la funcionalidad se producen, hay elementos o unidades intercambiables, que permiten satisfacer los requisitos funcionales;Ingenio, capacidad de diagnosticar y priorizar los problemas y poner en marcha soluciones de identificacin y movilizacin de materiales, monetarios, de informacin, tecnologa y recursos humanos, yRapidez, capacidad para restaurar la funcionalidad de una manera oportuna, con las prdidas y evitar interrupciones.
-
25/09/2013
38
-
25/09/2013
39
-
25/09/2013
40
-
25/09/2013
41
NIVELES ORGANIZACIONALES Y SUS CARACTERSTICAS
-
25/09/2013
42
Como BCM minimiza las consecuencias
1. Asegura la continuidad de las operaciones criticas del negocio. Mediante la identificacin de planes de contingencia simples. 2. Permitir operaciones remotas. Un evento grande, como un incendio o inundacin, puede provocar que el personal no llegue a sus oficinas. 3. Proteger los activos importantes. Un BCP identifica los activos principales y crear un lugar de almacenamiento secundario. 4. Reducir el tiempo de inactividad. Con el BCP implementado, se pondr en funcionamiento con mayor rapidez. 5. Previniendo que quede fuera del negocio. El negocio podra estar cerrado por un perodo prolongado.
Las Metas del BCP son: Proteger los ingresos Minimizar el impacto a las operaciones o
gastos Mitigar las responsabilidades legales Cumplir con las regulaciones gubernamentales Preservar la marca y la lealtad del cliente
-
25/09/2013
43
Conceptos Claves
Procesos Crticos Cadena de Valor Manejo de Riesgos Anlisis de Impacto en el Negocio (BIA) Anlisis de Riesgo (RA) Riesgo Residual
Activos que estamos Protegiendo Gente Oficinas e Instalaciones Sistemas de T&I Cadena de Abastecimiento Registros / Documentos
Elementos Claves Respuesta del Negocio Plan de Continuidad del Espacio de Trabajo (OSCP) Plan de Recuperacin ante Desastre (DRP)
Como crear un PCN?
-
25/09/2013
44
-
25/09/2013
45
Importancia del BIA / RA
El BIA identifica el impacto que la no-disponibilidad de los activos claves tendrn sobre los procesos crticos del negocio.
La actividad de evaluacin de riesgos identifica los riesgos que enfrentan los activos claves y la probabilidad de que este se manifieste. Determinar: El impacto de suspender las actividades individuales del negocio En cunto tiempo cada actividad debe ser reanudada? Los requerimientos bsicos Es un prerrequisito indispensable para: Evaluacin de Riesgos Determinacin de las opciones Estrategia de BCM Proporcionar un registro documentado Aumentar la comprensin en todos los niveles de la organizacin
Cuales Son Actividades Criticas? Sin duda, todas las actividades son fundamentales, peroQu se entiende por crticas? "Importante - algo que es crtico es muy importante porque lo que sucede en el futuro depende de ello. Pre-planificacin para la recuperacin de estas actividades en caso de incidente es fundamental para garantizar la viabilidad futura de la organizacin. "Listados Crticos - La lista de actividades que deben llevarse a cabo o deben ser recuperadas rpidamente para evitar que la organizacin muera. "Hacer Juicios - Mirar a las actividades con un ojo crtico para determinar cules no sern recuperables, sin planificacin previa.
-
25/09/2013
46
Proteccin de los Activos Crticos
Documentar las estrategias especficas para proteger los activos crticos del proceso (personas, instalaciones, infraestructura digital, cadena de suministro y registros crticos). Los datos recogidos en la BIA / RA se convertirn en el punto de partida para definir el OCSP, el DRP, la seguridad de las personas, los entregables de la cadena de suministro y el mantenimiento de los registros y documentacin. Las estrategias se basan en los riesgos y en la tolerancia al riesgo, no todos los riesgos sern mitigados o eliminados, algunos debern ser aceptados. Las estrategias para el Espacio de Oficina / Instalaciones se basara en los riesgos del sitio, la tolerancia al riesgo, la criticidad del sitio y del personal, los sitios alternativos de trabajo y la capacidad de trabajo remoto.
-
25/09/2013
47
T&I es responsable de proporcionar las opciones para crear un DRP, y de aplicar las estrategias para el hardware y las aplicaciones, y las telecomunicaciones. Crear estrategias que aseguren que la cadena de suministro se mantiene durante un incidente. Las estrategias a considerar incluyen; no un nico proveedor, aumentar las existencias y acuerdos de reciprocidad con los competidores y socios. Crear una estrategia que asegure que los registros crticos se mantienen seguros. Las estrategias a considerar incluyen; guardar los registros en una bodega fuera de la Instalaciones, guardarlos en una bodega anti-desastres en la Instalacin, barrido / almacenamiento externo electrnico, etc.
-
25/09/2013
48
El BCP describe:
Roles y responsabilidades para invocar, activar, operar y mantener el plan. Perfil de riesgo. Los procesos crticos y los activos de apoyo (personas, instalaciones TI, Proveedores, Registros) Las estrategias de respuesta y los planes tcticos Planes sobre los activos (OSCP; DRP; etc.) Cmo el plan es invocado, conexiones y otros planes.. Detallar los procesos contingentes, o alternativos, a seguir por el negocio en caso de un incidente. La informacin de apoyo necesaria para operar los procesos (por ejemplo, informacin de contacto, ubicacin de los medios de comunicacin, etc.).
-
25/09/2013
49
-
25/09/2013
50
Definiciones de RTO & RPO
RTO (Recovery Time Objective) define la rapidez con que necesito encontrar, acceder y recuperar la informacin requerida. Se lo considera el plazo mximo para restaurar el proceso / servicio. El RTO ayuda a determinar que tipo de almacenamiento a utilizar para solucionar el tema de las copias de seguridad: discos, cintas o ambas cosas.
RPO (Recovery Point Objective) es el mximo periodo de tiempo durante el cual se pueden perder los datos, define el punto en el tiempo (PIT) en que estos necesitan ser recuperados. RPO es una medida de la tolerancia a la prdida de datos, cuntas transacciones u horas de trabajo tolera perder el negocio.
Planes Relacionados
Plan de Continuidad del Espacio de Trabajo (OSCP) se ocupa de la provisin de espacio alternativo, el cual incluye: El uso temporal de otras oficinas para el personal clave Contratos con terceros para proporcionar acomodamiento temporal Plan de Recuperacin de Desastres (DRP) se ocupa de la recuperacin y disponibilidad de la infraestructura de T&I y servicios para la empresa, y pueden incluir: Contratos con terceros para proporcionar servicios de T&I temporales Recuperacin de datos utilizando los medios en lugares fuera del sitio La adquisicin de equipos de sustitucin o temporal (por ejemplo, mediante contrato de arrendamiento / alquiler) Cada una de estas necesidades se basan en los requisitos de la empresa segn lo establecido en sus respectivos PCNs.
-
25/09/2013
51
Plan de Recursos Humanos (HRP) La planificacin sobre la sucesin es un proceso integrado que incluye capacitacin, desarrollo y evaluacin de desempeo. Es un enfoque sistemtico para identificar, nominar y seleccionar posibles candidatos Plan Cadena de Abastecimiento (PCA) Plan de accin para recuperar o mantener uno o ms proveedores durante un incidente. Plan de Manejo de Registros (PMR) Establecer, implementar y mantener procedimientos para proteger la integridad de los registros. implica acceso a la identificacin, almacenamiento, proteccin, recuperacin, retencin y eliminacin.
PRINCIPIOS Y NORMAS BCP
Por qu planificar?
Desarrollar estrategias que permitan a una organizacin responder y recuperarse de cualquier evento disruptivopara continuar con las operaciones crticas del negocio.
-
25/09/2013
52
PRINCIPIOS Y NORMAS DE BCP
Recordatorio
La preparacin
es un viaje,
no un destino
PRINCIPIOS Y NORMAS DE BCP
Propsito Bsico del Plan
Responder efectivamente a cualquier emergencia
Determinar prioridades para proteger personas, sistemas automatizados y operaciones crticas
Asegurar reducir el riesgo de que la empresa falle
Tecnologa
Procedimientos
Infraestructura
Operaciones
Personas
-
25/09/2013
53
PRINCIPIOS Y NORMAS BCP
Normas BCP
En Estados Unidos
Disaster Recovery Institute International (DRII)
Federal Emergency Management Agency (FEMA)
National Institute of Standards and Technology (NIST)
Federal Financial Institutional Examination Council (FFIEC)
PRINCIPIOS Y NORMAS BCP
Normas BCP
Propsito de las Normas BCP
Aplicar normas y principios comnmente aceptados para todos los BCP con informacin similar
Desarrollar BCP de forma similar para su aplicacin en el sector privado y a nivel central, estatal y local del gobierno
Desarrollar una base de datos comn de informacin crtica
-
25/09/2013
54
PRINCIPIOS Y NORMAS BCP
Normas BCP
Disaster Recovery Institute International (DRII)
Normas y principios de planificacin para emergencias reconocidos internacionalmente
Certificacin de profesionales en BCP
Capacitacin de profesionales en BCP
PRINCIPIOS Y NORMAS BCP
Normas BCP
Federal Emergency Management Agency (FEMA)
Normas y principios de planificacin de emergencias para las agencias federales
Requiere que las agencias federales adapten las normas para su propio uso
Recoleccin de datos sobre riesgos, emergencias y recuperacin
Coordinar la prevencin y recuperacin ante emergencias de las comunidades
-
25/09/2013
55
PRINCIPIOS Y NORMAS BCP
Normas BCP
National Institute of Standards and Technology (NIST)
Normas de planificacin de emergencias para el gobierno y el sector privado
Las normas NIST se aplican principalmente a tecnologas automatizadas
PRINCIPIOS Y NORMAS BCP
Normas BCP
Federal Financial Institutional Examination Council (FFIEC)
Normas y reglamentos del gobierno federal para la planificacin de emergencias para bancos y uniones de crdito
Examina bancos y uniones de crdito para verificar cumplimiento con las normas y reglamentos FFIEC
-
25/09/2013
56
PRINCIPIOS Y NORMAS BCP
Conceptos principales de BCP
Identifica riesgos/vulnerabilidades en la infraestructura del negocio
Analiza el impacto sobre el negocio
Identifica esfuerzos para reducir o eliminar los riesgos
Identifica las autoridades y equipos de respuesta a emergencias
Desarrolla estrategias y planes de gestin de emergencias
Rol de la gestin de emergencias en preparacin comunitaria
Pruebas y capacitacin de funcionarios en el plan de continuidad de negocios
PRINCIPIOS Y NORMAS BCP
Conceptos principales del BCP
Elementos clave de la poltica de planes de contingencia para sistemas informticos:
Roles y responsabilidades
Alcance aplicable a los diferentes tipos de equipo de computacin y funciones organizacionales sujetos a la planificacin de contingencias
Recursos necesarios
Requisitos de capacitacin
Cronograma de ejercicios y pruebas
Cronograma de mantenimiento del plan
Frecuencia de respaldo y almacenamiento de los medios de respaldo
-
25/09/2013
57
PRINCIPIOS Y NORMAS BCP
LEYENDA
Plan de continuidad del negocio (BCP)
MANTENER
Continuidaddel plan
de operaciones (COOP)
Plan de respuesta a un incidente ciberntico
Continuidad del plan de soporte / Plan de contingencia
informtica
Plan de recuperacin del desastre (DRP)
Plan de recuperacin (o
reinicio) despus del desastre
(BRP)
Plan de comunicacin de
crisis
Plan de emergencia para ocupantes (OEP)
Instalaciones
Informtica
Negocio
Impacto mayor
PRINCIPIOS Y NORMAS BCP
El planificador/coordinador de contingencias es responsable del proceso de planificacin y usualmente es un gerente funcional o de recursos dentro de la organizacin
El coordinador de contingencias desarrolla la estrategia con la cooperacin de otros gerentes de la organizacin
El coordinador de contingencias por lo general tambin es responsable del desarrollo y ejecucin del plan de contingencias
Todas las aplicaciones y sistemas de soporte en general deberan tener un plan de contingencia
-
25/09/2013
58
PRINCIPIOS Y NORMAS BCP
Proceso de planificacin de la continuidad del negocio
Las organizaciones deberan usar el siguiente enfoque para desarrollar y mantener un plan de contingencia efectivo:
Desarrollar una declaracin de la poltica de planificacin de contingencias
Conducir un anlisis del impacto al negocio (BIA)
Identificar controles preventivos
Desarrollar estrategias de recuperacin
Desarrollar un plan de contingencia
Planificar pruebas, capacitacin y ejercicios
Mantenimiento del plan
PRINCIPIOS Y NORMAS BCP
Definicin de Emergencias(Para fines de planificacin de la continuidad del negocio)
Una emergencia es cualquier evento disruptivo natural o causado por el hombre que afecte adversamente una o ms operaciones centrales del negocio por ms de 24 a 72 horas
Un evento disruptivo no es necesariamente un cataclismo o un desastre
El impacto de los efectos adversos vara entre organizaciones
La tolerancia al cese de operaciones es determinada por cada organizacin
-
25/09/2013
59
ANLISIS DE RIESGO AL NEGOCIO
Anlisis de riesgos
Definicin
Un anlisis de riesgos es una evaluacin formal que identifica las amenazas, riesgos y emergencias potenciales y el impacto potencial que estas emergencias podran tener sobre la comunidad y la organizacin.
ANLISIS DE RIESGO AL NEGOCIO
Anlisis de riesgos
Muchos riesgos pueden reducirse al mnimo o eliminarse a travs de soluciones tcnicas, gerenciales u operacionales como parte del esfuerzo de gestin de riesgos de la organizacin; sin embargo, es virtualmente imposible eliminar completamente todo riesgo.
La planificacin de contingencias est diseada para reducir el riesgo de que no est disponible el sistema o el servicio, enfocndose en soluciones efectivas y eficientes de recuperacin.
-
25/09/2013
60
ANLISIS DE RIESGO AL NEGOCIO
Anlisis de riesgos
El anlisis de riesgos involucra una amplia gama de actividades para identificar, controlar y mitigar los riesgos a una organizacin
Dos funciones primarias:
Primera, el anlisis de riesgos debera identificar las amenazas y las vulnerabilidades con el fin desarrollar controles apropiados para prevenir la ocurrencia de incidentes o para limitar los efectos de un incidente
Segunda, la gestin de riesgos debera identificar los riesgos residuales para los cuales se debe establecer un plan de contingencia
El plan de contingencia, por lo tanto, est relacionado con la evaluacin de riesgos y el proceso de mitigacin de stos
Promovemos un enfoque multi-amenaza en la planificacin mitigando los riesgos a instalaciones, sistemas, personas y resultados operativos.
ANLISIS DE RIESGO AL NEGOCIO
Los recursos crticos podran estar fuera del control de la organizacin (tales como el suministro elctrico o las telecomunicaciones) y la organizacin no podra garantizar su disponibilidad
Esta grfica ilustra la relacin entre identificar y ejecutar los controles de seguridad, desarrollar y dar mantenimiento al plan de contingencia y ejecutar el plan de contingencia si ha ocurrido una emergencia
Plan de contingencia
GESTIN DE RIESGOS
Implementacin de control de seguridad
Evento de Emergencia
EJECUCIN DEL PLAN DE CONTINGENCIA
-
25/09/2013
61
ANLISIS DE RIESGO AL NEGOCIO
Los controles de seguridad protegen o reducen el impacto sobre la organizacin de cuatro tipos de riesgos o amenazas
Naturales - huracanes, tornados, inundaciones, terremotos, deslizamientos, qumicos, materiales peligrosos e incendios
Humanos errores del operador, sabotaje, virus informticos, contaminacin del agua, disturbios civiles y ataques terroristas
Servicios de emergencia disponibilidad de policas, bomberos e instalaciones mdicas cercanas
Ambientales fallas de equipo, instalaciones, red de telecomunicaciones, energa elctrica y errores de software
ANLISIS DE RIESGO AL NEGOCIO
Anlisis de riesgos
Incluye el proceso de tomar y ejecutar decisiones para reducir al mnimo los efectos adversos de heridas, prdidas accidentales y responsabilidad de una organizacin
Lo ms crtico es la recuperacin rpida de las operaciones centrales despus de una emergencia, no la causa ni el tipo de dao
Debido a que los riegos pueden variar con el tiempo y riesgos nuevos pueden reemplazar a los viejos conforme un proceso evoluciona, el proceso de gestin de riesgos debe ser continuo y dinmico
La gestin de riesgos es crtica para el proceso de anlisis de riesgos
-
25/09/2013
62
ANLISIS DE RIESGO AL NEGOCIO
Anlisis de riesgos
El proceso de anlisis de riesgos debe ser preciso y exhaustivo, contando siempre con la experiencia y motivacin del personal
Existen muchas maneras de hacer un anlisis de riesgos
(no hay una manera correcta o incorrecta) Se debera usar cualquier metodologa o enfoque que funcione
efectivamente y se debe hacer referencia a stos en el BCP
Algunos procesos de anlisis de riesgos utilizan un mtodo de calificacin cuantitativo para clasificar las emergencias potenciales, pero esto no es esencial
ANLISIS DE RIESGO AL NEGOCIO
Anlisis de riesgos
Clave para un anlisis de riesgos adecuado: El equipo de planificacin para la gestin de emergencias de cada
organizacin identifica los eventos para los cuales se requiere preparacin El anlisis se realiza con un enfoque de cooperacin Debido a que los riegos pueden variar con el tiempo y riesgos nuevos
pueden reemplazar a los viejos conforme un proceso evoluciona, el proceso de gestin de riegos debe ser continuo y dinmico
Se debe desarrollar un proceso de toma de decisiones que distinga entre amenazas significativas y amenazas menores
emergencias de gran envergadura vs. emergencias localizadas
24 a 72 horas de interrupcin del servicio
-
25/09/2013
63
ANLISIS DE RIESGO AL NEGOCIO
Anlisis de riesgos
Tipos de procesos de anlisis de riesgos:Anlisis de rbol del evento (causa y efecto)
Modelacin del evento (veneno, incendio, explosin)
Anlisis del rbol de fallas (culpa/debilidad interna o externa)
Anlisis de error humano (error, capacitacin, actitud, instrucciones, polticas)
ANLISIS DE RIESGO AL NEGOCIO
Gestin de riesgosEstrategias recomendadas para la gestin de riesgos:
Utilice un enfoque multi-amenazas
Reconozca el potencial de un evento catastrfico
Recopile una lista de amenazas potenciales
Reconozca los problemas inherentes a las listas de amenazas
Evale y determine la prioridad de las amenazas en la lista
Ajuste la lista por medio de un anlisis de brechas
-
25/09/2013
64
ANLISIS DE RIESGO AL NEGOCIOGestin de riesgos
Enfoque multi-amenazas
Permite a las organizaciones prepararse para responder a varios y diversos tipos de emergencias.
Facilita la prevencin, preparacin, respuesta y recuperacin con base en una amplia gama de posibilidades de lo que podra ocurrir dentro y fuera de la organizacin.
Aumenta la percepcin de posibles fallas y vulnerabilidades de la infraestructura como advertencia para evitar mayores prdidas
El riesgo neto de peligro para personas e infraestructura de la organizacin depende de la amenaza especfica, la actividad que se est desempeando y la duracin de la exposicin
ANLISIS DE RIESGO AL NEGOCIO
Gestin de riesgos
La primer tarea del equipo de planificacin para la gestin de una emergencia es conducir un anlisis de riesgos de la organizacin y la comunidad alrededor de la organizacin.
Ninguna comunidad u organizacin es exactamente igual a otra ya que las estructuras, las leyes nacionales y locales, los recursos y las capacidades pueden variar ampliamente.
No es posible ni deseable producir un solo plan de emergencia para todas las posibilidades.
-
25/09/2013
65
ANLISIS DE RIESGO AL NEGOCIO
Gestin de riesgos
Un anlisis de riesgos debe identificar activamente lo que podraafectar a la comunidad u organizacin y el rea circundante
Eliminacin selectiva de amenazas y reduccin de riesgos dentro de una organizacin
Un anlisis de riesgos ayuda a vencer la resistencia individual o de la organizacin a la preparacin para emergencias
Ofrece una fuente objetiva de informacin y requiere conocimiento sobre varias disciplinas
ANLISIS DE RIESGO AL NEGOCIO
Gestin de riesgos
Conciencia comunitaria sobre los riesgos
Se debe vincular un programa de conocimiento de los riesgos con los programas de conciencia comunitaria de las autoridades civiles locales sobre emergencias
-
25/09/2013
66
ANLISIS DE RIESGO AL NEGOCIO
Gestin de riesgos
Conciencia comunitaria sobre los riesgos
Participar en pruebas de gestin local de emergencias
Pruebas de los hospitales locales de traumatologa
Pruebas de respuesta del departamento de bomberos
Pruebas de respuesta a emergencias del departamento de polica
ANLISIS DE RIESGO AL NEGOCIO
Gestin de Riesgos
Sirve como punto para verificar la calidad y fijar prioridades para la organizacin
Mide los posibles efectos de un cambio causado por una emergencia sobre un sistema
Determina los posibles puntos o causas de una falla
Se centra en prdidas por amenazas que todava no han ocurrido
Evala la seguridad, instalaciones fsicas, procedimientos de trabajo y estrategias organizacionales
Examina todos los tipos de prdida: daos a la propiedad, prdidas financieras y daos ambientales
-
25/09/2013
67
ANLISIS DE RIESGO AL NEGOCIO
Procedimientos de anlisis de riesgos
Identificar y documentar los riesgos, amenazas, peligros y problemas de responsabilidad conocidos
Excluir los problemas temporales, por ejemplo, apagones cortos, mal tiempo
Conducir entrevistas y tomar declaraciones para investigar temas principales de gestin de riesgos
Recolectar y organizar evidencia que pudiera ayudar en una defensa legal y que podra ser ms difcil de obtener despus
Aconsejar a los gerentes de la organizacin sobre temas de seguridad, riesgo y seguros
Discutir las consecuencias de la fallas operativas con los gerentes
ANLISIS DE RIESGO AL NEGOCIORiesgos potenciales especficos a analizar
Seguridad en acceso a las instalaciones Verificacin de antecedentes de los empleadosRequisito de registro de visitantes y proveedoresRequisitos para entrar a edificiosPolticas de uso de computadoras y acceso a e-mail/internetHistorial de entradas ilegales, robo o vandalismo
Construccin de edificios (cdigos mecnicos, elctricos, de incendio y seguridad, etc.)Documentacin sobre ltima inspeccin del edificio
Fallas de equipoHistorial de fallas
Peligros potenciales debido a las condiciones y limitaciones de las carreteras
Peligros potenciales debido a trfico areo o vial cercano (posible descarrilamiento de trenes, accidentes automotores o areos)
-
25/09/2013
68
ANLISIS DE RIESGO AL NEGOCIO
Riesgos potenciales especficos a analizar Falta de suministro elctrico en el rea
Comunicaciones (medios noticiosos y sistemas pblicos de alerta)
Peligro local de derrames, produccin, almacenamiento y transporte de materiales peligrosos (radiacin, qumicos txicos o agentes biolgicos)
Disponibilidad de respuesta a emergencias en la comunidad local
Historial de tasas de delitos y amenazas en o cerca de la organizacin
empleados, visitantes, contratistas, proveedores, suplidores, etc.,
Amenazas y extremos climticos, del tiempo o la geografa (terremotos, inundaciones, huracanes)
Revisar los datos histricos de emergencias en la comunidad
ANLISIS DE RIESGO AL NEGOCIO
Riesgos potenciales especficos a analizar
Problemas con empleados, proveedores, suplidores y residentes o compaas locales particulares
Disturbios civiles
Emergencias de salud pblica (epidemias)
EXPOSICIN A AMENAZASQu est en riesgo cuando un desastre
afecta su comunidad?
Las amenazas afectan a personas, hogares y negocios, instalaciones crticas, rutas de transporte, servicios pblicos, suministro de agua y al ambiente.
- La primera regla:
CONOZCA SU COMUNIDAD
-
25/09/2013
69
ANLISIS DE RIESGO AL NEGOCIO
Precaucin con las listas de anlisis de riesgos
Las listas de anlisis de riesgos presentan dos problemas
1. Posibilidad de exclusin u omisin Siempre existe el potencial de amenazas nuevas o inesperadas, lo que es parte de por qu es importante mantener una capacidad para enfrentar cualquier amenaza
2. Las listas de riesgos podran incluir grupos, lo que afecta el anlisis subsiguiente. Una lista podra dar la impresin de que las amenazas son independientes entre s, cuando de hecho a menudo estn relacionadas (por ejemplo, un terremoto podra causar el rompimiento de una represa).
Las listas podran agrupar en una sola categora diferentes causas o secuencias de eventos que podran requerir diferentes tipos de respuesta.
ANLISIS DE RIESGO AL NEGOCIO
Precaucin con las listas de anlisis de riesgos
Los cambios en condiciones, los errores y las actitudes contribuyen al peligro
Conforme evoluciona el anlisis de riesgos, podra ser necesario refinar las listas de riesgos para asegurar que se incluya cualquier nuevo riesgo identificado (por ejemplo, una nueva planta qumica en la regin) y que se eliminen riesgos previamente incluidos que ya no representan un peligro
-
25/09/2013
70
ANLISIS DE RIESGO AL NEGOCIO
Ajustes a la lista de anlisis de riesgos por medio de un
anlisis de brechas
Ayuda a identificar incidentes para los cuales la comunidad no est preparada
El anlisis de brechas - Identifica los componentes clave de cada riesgo y determina
los componentes comunes a mltiples amenazas
Identifica problemas que crean debilidades de alto impacto
Compara los costos relativos y los beneficios de los pasos necesarios para rectificar la situacin
ANLISIS DE RIESGO AL NEGOCIO
Lista final de anlisis de riesgos
La lista terminada de riesgos potenciales mostrar primero los eventos que ameritan mayor atencin por:
Probabilidad de ocurrencia O
Impacto sobre la comunidad O
Nivel de preparacin
-
25/09/2013
71
ANLISIS DE RIESGO AL NEGOCIO
Lista final de anlisis de riesgos
Las amenazas y riesgos que son menos serios y no tan susceptibles a ocurrir deberan estar en la parte inferior de la lista de anlisis de riesgos.
Esta clasificacin depende del juicio y la evaluacin de las diversas consideraciones mencionadas anteriormente.
ANLISIS DEL IMPACTO AL NEGOCIO
Anlisis de impacto al negocio (BIA)
BIA es una herramienta de gestin para caracterizar plenamente las operaciones, procesos e interdependencias crticas para el negocio y usar esta informacin para determinar los requisitos y prioridades de contingencia.
Hacerlo durante una emergencia sera demasiado tarde
-
25/09/2013
72
ANLISIS DEL IMPACTO AL NEGOCIO
Propsito del BIA
Evaluar y priorizar las amenazas
Desarrollar e implantar medidas de mitigacin
Identificar cada unidad organizacional y su relacin con elresto de la organizacin
Identificar procesos crticos dentro de cada unidadorganizacional
Identificar los recursos crticos y las capacidades necesariaspara llevar a cabo los procesos crticos
Priorizar la recuperacin de cada unidad
ANLISIS DEL IMPACTO AL NEGOCIO
Anlisis de impacto al negocio (BIA)
Procedimientos del BIA
Entrevistar a los empleados y completar cuestionarios para recopilar datos operativos y del negocio
Identificar funciones del negocio que sean crticas/sensibles al tiempo
Identificar productos e interdependencias clave de los procesos (internos/externos)
Identificar recursos crticos (personal, datos, equipo e interdependencias, por ejemplo, proveedores)
-
25/09/2013
73
ANLISIS DEL IMPACTO AL NEGOCIO
Anlisis de impacto al negocio (BIA)
Procedimientos BIA
Evaluar las operaciones del negocio para vincular estos servicios crticos con los recursos del negocio.
Este anlisis generalmente identificar la infraestructura requerida, incluyendo energa elctrica, telecomunicaciones y controles ambientales.
Los equipos especficos de computacin, tales como enrutadores, servidores de aplicaciones y servidores de autenticacin por lo general se consideran crticos.
Nota: Este anlisis podra determinar que ciertos equipos del negocio, como impresoras, copiadoras, mesa de reuniones, no son necesarios como soporte de los servicios crticos.
ANLISIS DEL IMPACTO AL NEGOCIO
Procedimientos BIA
El anlisis debera evaluar el impacto de la emergencia de dos maneras:
Dar seguimiento a los efectos de la emergencia a lo largo del tiempo.
Esto permitir al planificador de contingencias identificar el tiempo mximo en que se puede permitir la ausencia de un recurso antes de que ste impida o inhiba el desempeo de una funcin esencial.
Dar seguimiento a los efectos del faltante en los recursos relacionados y operaciones dependientes del negocio, identificando cualquier efecto resultante que pudiera ocurrir cuando la operacin interrumpida del negocio afecte a otras operaciones que dependen de sta.
-
25/09/2013
74
ANLISIS DEL IMPACTO AL NEGOCIO
Anlisis del impacto al negocio
El planificador de contingencias debera determinar el punto ptimo para recuperar las operaciones del negocio balanceando el costo de que el negocio no opere contra el costo de los recursos requeridos para restaurar el negocio.
Esto se puede representar utilizando un grfico simple.
El punto donde se encuentren las lneas va a determinar durante cunto tiempo la organizacin puede permitir la interrupcin del sistema.
Costo
Tiempo
Costo de Interrupcin
Costo de Recuperacin
ANLISIS DEL IMPACTO AL NEGOCIO
Anlisis del impacto al negocio
El impacto de la interrupcin y el tiempo permitido de interrupcin caracterizado en este proceso permiten al planificador de contingencias desarrollar y priorizar las estrategias de recuperacin a ser ejecutadas al activar el plan de contingencia.
Por ejemplo, si el paso para definir el impacto de la interrupcin determina que las operaciones del negocio deben ser recuperadas en 4 horas, el planificador de contingencias deber adoptar medidas para cumplir con este requisito.
Costo
Tiempo
Costo de Interrupcin
Costo de Recuperacin
-
25/09/2013
75
ANLISIS DEL IMPACTO AL NEGOCIO
Anlisis del impacto al negocio
Igualmente, si la mayora de las operaciones del negocio pueden tolerar una interrupcin de 24 horas pero una operacin crtica no puede dejar de estar disponible por ms de 8 horas, el planificador de contingencias deber priorizar los recursos necesarios para la operacin crtica.
Al priorizar estas estrategias de recuperacin, el planificador de contingencias podr tomar decisiones ms informadas y especficas sobre la asignacin y el uso de los recursos de contingencia, ahorrando as tiempo, esfuerzo y costos adicionales.
Costo
Tiempo
Costo de Interrupcin
Costo de Recuperacin
ANLISIS DEL IMPACTO AL NEGOCIO
Evaluacin de procedimientos BIA
Impacto de los limitados recursos de la comunidad sobre la seguridad de los empleados y el grado de respuesta a las emergencias
Potencial peligro para las instalaciones por trfico terrestre y areo
Potencial peligro para empleados e instalaciones por materiales peligrosos
Capacidad/incapacidad de notificar oportunamente a los ocupantes sobre una emergencia
-
25/09/2013
76
ANLISIS DEL IMPACTO AL NEGOCIO
Identificar los recursos y autoridades de respuesta a emergencias
rea local
Polica ms cercana
Departamento de bomberos ms cercano
Hospitales de traumatologa ms cercanos
Sistemas de trnsito masivo
Oficinas locales y nacionales de gestin de emergencias
Sector privado
Servicios de ambulancia
Ingeniera ambiental
ANLISIS DEL IMPACTO AL NEGOCIO
Evaluacin de procedimientos BIA Usar insumos gerenciales para priorizar el personal clave,
recursos, operaciones y servicios tangibles e intangibles crticos/esenciales para el negocio
Determinar y priorizar los procedimientos, cronogramas crticos y objetivos de recuperacin
Coordinar con las funciones de soporte (informtica, legal, administracin, personal, ingeniera y proveedura) y determinar las limitaciones del negocio
-
25/09/2013
77
ANLISIS DEL IMPACTO AL NEGOCIO
Identificar soluciones, impactos por interrupcin y tiempos permitidos de interrupcin
Amenaza de peligros/frecuencia de delitos sobre las operaciones de negocios
Peligro por limitaciones en carreteras o congestionamiento de trfico durante una emergencia
Impacto de un cierre prolongado de instalaciones (objetivos de tiempo de recuperacin por operacin central principal)
Limitacin en salidas de edificios y de la comunidad en una emergencia
Continuidad en cumplimiento con leyes nacionales y locales
ANLISIS DEL IMPACTO AL NEGOCIO
Desarrollar procedimientos preventivos y de mitigacin de impactos por la interrupcin
En algunos casos, los impactos por la interrupcin identificados en el BIA podran ser mitigados o eliminados con medidas preventivas que prevengan, detecten y/o reduzcan los impactos sobre las operaciones del negocio.
Cuando sea posible y eficiente en costos, los mtodos preventivos son preferibles a las acciones que pudieran ser necesarias para recuperar las operaciones del negocio despus de una interrupcin.
-
25/09/2013
78
ANLISIS DEL IMPACTO AL NEGOCIO
Controles comunes para prevenir y mitigar interrupciones
Generadores de gasolina o diesel para asegurar energa de respaldo por perodos prolongados
Sistemas de supresin de incendios
Detectores de incendio y humo
Lminas plsticas que puedan colocarse sobre los equipos para protegerlos de daos por agua
Receptculos a prueba de fuego y de agua para los registros vitales
Interruptor maestro del sistema en emergencias
Almacenamiento remoto de datos de respaldo de las computadoras
Controles tcnicos de seguridad, tales como gestin de llaves criptogrficas y controles de acceso de menor privilegio
Respaldo de datos frecuente y programado
ANLISIS DEL IMPACTO AL NEGOCIO
Ejemplo del proceso de anlisis del impacto al negocio para una
compaa o agencia gubernamental
Insumos de usuarios, dueos de procesos de
negocios, dueos de aplicaciones y
otros grupos asociados
IDENTIFICAR RECURSOS INFORMTICOS CRTICOS
Procesos crticos del negocio
Recursos crticos
Procesamiento de planillasReporte de horas y asistenciaVerificacin de horas y asistenciaAprobacin de horas y asistencia...X
Servidor LANAcceso WANE-mail Acceso a mainframeServidor de e-mail..
IDENTIFICAR IMPACTOS DE INTERRUPCIN Y TIEMPOS
PERMISIBLES DE INTERRUPCIN
PROCESO 2: Reporte de horas y asistencia
Recursos crticos
Tiempo mximo de
interrupcin Impacto
Servidor LANAcceso WANE-mail Acceso amainframeServidor de e-mail...
8 horas Demora en tiempo de procesamiento de hojas de trabajoIncapacidad de ejecutar operaciones normales de planillasDemora en procesamiento de planillas
Recursos
Servidor LAN AltaAcceso WAN MedianaE-mail BajaAcceso a AltamainframeServidor de Altae-mail...
Prioridad de Recuperacin
ESTABLECER PRIORIDADES DE RECUPERACIN
-
25/09/2013
79
MATRIZ DE DECISIONES (RIESGO)
(Usada en el anlisis de riesgo e impacto al negocio)
Proceso de evaluar los riesgos y el impacto asociado con un riesgo especfico y definido en trminos de probabilidad y frecuencia de ocurrencia, magnitud, severidad, exposicin y consecuencias
La matriz de decisiones permite a los planificadores de mitigacin de riesgos clasificar diversos tipos de riesgo en diferentes categoras de prioridad ubicndolos en una cuadrcula de acuerdo con su frecuencia y severidad.
Matriz para dimensionar las definiciones de impacto
en formato de tabla
MATRIZ DE DECISIONES (RIESGO)
Magnitud del
ImpactoDefinicin del Impacto
Alta
La ocurrencia del riesgo (1) podra resultar en una prdida sumamente costosa de activos
tangibles o recursos importantes; (2) podra violar, daar o impedir de manera significativa
la misin, reputacin y los intereses de una organizacin; o (3) podra resultar en muerte o
heridas graves.
Mediana
La ocurrencia del riesgo (1) podra resultar en una prdida costosa de activos tangibles o
recursos; (2) podra violar, daar o impedir la misin, reputacin y los intereses de una
organizacin; o (3) podra resultar en heridas graves.
Baja
La ocurrencia del riesgo (1) podra resultar en la prdida de algunos activos tangibles o
recursos; o (2) podra afectar de manera notable la misin, reputacin y los intereses de
una organizacin.
-
25/09/2013
80
Matriz para dimensionar las definiciones de impacto
Alto impacto Definicin > La ocurrencia del riesgo (1) podra resultar en una prdida sumamente costosa de activos tangibles o recursos importantes; (2) podra violar, daar o impedir de manera significativa la misin, reputacin y los intereses de una organizacin; o (3) podra resultar en muerte o heridas graves.
Mediano impacto Definicin > La ocurrencia del riesgo (1) podra resultar en una prdida costosa de activos tangibles o recursos; (2) podra violar, daar o impedir la misin, reputacin y los intereses de una organizacin; o (3) podra resultar en heridas graves.
Bajo impacto Definicin > La ocurrencia del riesgo (1) podra resultar en la prdida de algunos activos tangibles o recursos; o (2) podra afectar de manera notable la misin, reputacin y los intereses de una organizacin.
MATRIZ DE DECISIONES (RIESGO)
MATRIZ DE DECISIN (RIESGO)
Principal ventaja de un anlisis cuantitativo de impacto usando el mtodo de la matriz de decisiones
Ofrece una medicin cuantitativa de la magnitud del impacto que se puede utilizar para el anlisis costo beneficio de los controles recomendados
-
25/09/2013
81
MATRIZ DE DECISIN (RIESGO)
Tabla matriz para descripcin del nivel de riesgoLa escala de riesgo con calificaciones de alto, mediano y bajo representa la grado o nivel de riesgo al cual podra estar expuesto un sistema de computacin, una instalacin o un procedimiento si se da un riesgo dado. La escala de riesgo tambin incluye las acciones que debe tomar la alta gerencia para cada nivel de riesgo.
Nivel de riesgo Descripcin del riesgo y acciones necesarias
Alto
Si la observacin o hallazgo califica el riesgo como alto, existe una fuerte necesidad de tomar acciones correctivas. Un sistema existente podra continuar operando, pero se debe implantar un plan de acciones correctivas lo ms pronto posible.
Mediano
Si una observacin califica el riesgo como mediano, se necesitan acciones correctivas y se debe desarrollar un plan para incorporar estas acciones dentro de un perodo razonable de tiempo.
Bajo
Si una observacin describe el riesgo como bajo, el sistema de evaluacin de amenazas debe determinar si se requiere desarrollar acciones correctivas o decidir si se acepta el riesgo.
MATRIZ DE DECISIN (RIESGO)
TABLA MATRIZ PARA LA DETERMINACIN DEL RIESGO
La anterior tabla se utiliza para evaluar el nivel de riesgo para un sistema de computacin. La determinacin de riesgo para una amenaza particular puede ser expresada en funcin de: La probabilidad de que la fuente de una amenaza ponga a prueba una
vulnerabilidad especfica
La magnitud del impacto si la fuente de la amenaza logra poner a prueba la vulnerabilidad
La habilidad de los controles de seguridad diseados o existentes de reducir o eliminar el riesgo.
-
25/09/2013
82
MATRIZ DE DECISIN (RIESGO)
Matriz de nivel de riesgo
La determinacin final del riesgo de la misin se deriva multiplicando las clasificaciones asignadas para la amenaza (probabilidad) por el impacto de la amenaza.
La siguiente tabla muestra como se podran determinar las clasificaciones generales de riesgo con base en los insumos de la probabilidad de la amenaza y las categoras del impacto de la amenaza.
La siguiente es una matriz 3 x 3 de la probabilidad de la amenaza (alta, mediana y baja) y el impacto de la amenaza (alto, mediano y bajo).
Dependiendo de los requisitos del sitio y el desglose deseado de la evaluacin de riesgos, algunos sitios podran utilizar matrices 4 x 4 o 5 x 5.
MATRIZ DE DECISIONES (RIESGO)
La determinacin de estos niveles o clasificaciones de riesgo podra ser subjetiva.
El razonamiento para esta justificacin puede explicarse en trminos de la probabilidad asignada para cada nivel probable de amenaza y un valor asignado para cada nivel probable de impacto. Por ejemplo, La probabilidad asignada para cada nivel probable de amenaza es
1.0 para alta, 0.5 para mediana, 0.1 para baja
El valor asignado a cada nivel de impacto es 100 para alto, 50 para mediano y 10 para bajo.
-
25/09/2013
83
MATRIZ DE DECISIONES (RIESGO)
Matriz de nivel de riesgoEscala de riesgo: alto ( >50 a 100); mediano ( >10 a 50); bajo (1 a 10)
Bajo Mediano Alto
(10) (50) (100)
Bajo Mediano Alto
10 x 1.0 = 10 50 x 1.0 = 50 100 x 1.0 = 100
Bajo Mediano Mediano
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Bajo Bajo Bajo
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Mediana (0.5)
Baja (0.1)
Probabilidad de
amenaza
Impacto
Alta (1.0)
MATRIZ DE DECISIONES (RIESGO)
Matriz de decisin de riesgos - Ejemplo #1: Dos pulgadas de lluvia
Dos pulgadas de lluvia es una ocurrencia muy comn durante el verano de Costa Rica. Esto representa una ALTA FRECUENCIA. Su severidad en la mayora de los casos sera considerada MENOR.
Categoras de riesgo en los siguientes ejemplos Clase A: Condicin de riesgo alto con la mayor prioridad para mitigacin y accin
inmediata Clase B: Condicin de riesgo moderado a alto donde el riesgo es tratado con
mitigacin y accin pronta Clase C: Condicin de riesgo suficientemente alta para considerar mitigacin y
planificacin adicional Clase D: Condicin de bajo riesgo
-
25/09/2013
84
MATRIZ DE DECISIONES (RIESGO)
Matriz de decisin de riesgos - Ejemplo #1: Dos pulgadas de lluvia
Dos pulgadas de lluvia, una amenaza de alta frecuencia y de severidad menor, debera ser considerada un riesgo Clase C, para la posible mitigacin y planificacin adicional.
2 de Lluvia
Menor Seria Extensiva Catastrfico
SEVERIDAD
FRECUENCIA
Alta
Moderada
Baja
Muy Baja
MATRIZ DE DECISIONES (RIESGO)
Matriz de decisin de riesgo - Ejemplo #2: Ocho pulgadas de lluvia
Ocho pulgadas de lluvia representan una ocurrencia comn en verano en Costa Rica, lo que representa unaALTA FRECUENCIA. La categora de riesgo debera aumentarse a Clase B y considerarse una condicin de moderada a alta a ser tratada por mitigacin y planificacin de contingencias para una accin pronta, si esa cantidad llegase a caer en una hora.
Menor Seria Extensiva Catastrfico
SEVERIDAD
FRECUENCIA
Alta
Moderada
Baja
Muy Baja
8 de Lluvia
-
25/09/2013
85
CapacitacinVarios propsitos - La capacitacin peridica de empleados de respuesta y recuperacin de
emergencias en BCP aumentar significativamente la posibilidad de que las operaciones centrales del negocio se puedan recuperar exitosamente de alguna emergencia mayor.
Los empleados clave deberan participar en el proceso de desarrollo de continuidad del negocio, as como en ejercicios peridicos de capacitacin.
Los empleados deberan conocer: las condiciones que requieren al ejecutar parte o todo el BCP quin es responsable de ejecutar los BCP para las unidades de negocios y la
institucin y qu hacer si los empleados clave no estn disponibles en el momento de la
emergencia.
PLAN DE CONTINUIDAD DEL NEGOCIO (BCP)
CapacitacinDesarrollo de la capacitacin La capacitacin se debe desarrollar con base en los problemas
identificados o documentados durante las pruebas BCP. Se debe asegurar que la capacitacin sea razonable y especfica
para los empleados, las instalaciones, operaciones o funciones. Por ejemplo, si el material de capacitacin se desarrolla para asegurar que las operaciones del negocio sensibles al tiempo se puedan recuperar y continuar operando, se debe recolectar informacin de respuesta y recuperacin de desastres con tiempos asociados que incluya el impacto sobre esas operaciones, es decir, impacto de un incendio, edificio colapsado, destruccin de instalaciones/equipo, falla en las lneas de comunicacin, etc.
PLAN DE CONTINUIDAD DEL NEGOCIO (BCP)
-
25/09/2013
86
CapacitacinEjemplos de preguntas para determinar el conocimiento de los
empleados de sus tareas asignadas de BCP en una emergencia
Dnde est el sitio de reunin inicial o alterno de recuperacin despus de anunciar una emergencia?
Cules son las responsabilidades asignadas a usted como miembro de uno de los equipos de respuesta a emergencias?
Quin debera reportarse al sitio de reunin inicial o alterno de recuperacin despus de que se anuncia una emergencia y cules son los nmeros de telfono de estos dos sitios?
A cules empleados de la compaa puede usted contactar inmediatamente?
Si uno/una de sus contactos de emergencia no estuviera en su escritorio, cmo podra contactarle?
Mire su lista actual de contactos de emergencia e indique si est al da.
PLAN DE CONTINUIDAD DEL NEGOCIO (BCP)
PLAN DE CONTINUIDAD DEL NEGOCIO (BCP)
Capacitacin
Estrategias
Identificar y capacitar a individuos responsables de responder a una situacin de desastre. No toda persona es capaz de desempear toda funcin.
Asegurar programas de capacitacin basados en competencias con una programacin especfica para el rol de la persona en la respuesta a emergencias.
-
25/09/2013
87
PLAN DE CONTINUIDAD DEL NEGOCIO (BCP)
CapacitacinEstrategias
Quienes responden a una situacin de desastre deben tener los conocimientos, destrezas, habilidades y comportamientos necesarios para desempear las tareas de manera correcta y efectiva.
La capacitacin es importante para identificar debilidades en los planes de gestin de emergencias.
La capacitacin se usa para identificar debilidades en el plan de respuesta y poder corregirlas.
Evaluacin de riesgo
Una metodologa para determinar la naturaleza y el grado de riesgo a travs del anlisis de posibles amenazas y la evaluacin de las condiciones existentes de vulnerabilidad que conjuntamente podran daar potencialmente a la poblacin, la propiedad, los servicios y los medios de sustento expuestos, al igual que el entorno del cual dependen. EIRD 2009
-
25/09/2013
88
Primer abordaje al inventario de amenazas
Primer abordaje, Inventario de amenazas
IA 1: Enumere las amenazas potenciales
IA 2: Establezca prioridades para abordar las amenazas identificadas
Producto esperadoLista de amenazas en orden de prioridad
Pasos del anlisis de amenazas
Anlisis de la amenaza
AA 1: Investigue los registros
AA 2: Establezca las magnitudes potenciales
AA 3: Defina la frecuencia / perodo de retorno
AA 4: Defina la zonificacin
ProductoAmenazas identificadas con tres magnitudes
potenciales
-
25/09/2013
89
Pasos del anlisis de vulnerabilidad
Anlisis de vulnerabilidad
AV 1: Determine los elementos en peligro
AV 2: Determine las caractersticas de la poblacin en peligro
AV 3: Identifique el nivel organizacional
AV 4: Establezca la capacidad de respuesta de la comunidad
ProductoVulnerabilidad expresada con respecto a una amenazaidentificada en trminos de elementos en peligro,caractersticas de la poblacin en peligro y las capacidadesde respuesta tanto de las instituciones como de lascomunidades.
Pasos para la evaluacin de escenarios de riesgo
Evaluacin de escenarios de riesgo
ER 1: Decida sobre el nivel de magnitud del evento
ER 2: Describa el evento detonante (amenaza
ER 3: Detalle el impacto esperado
ProductoDescripcin del evento detonante especfico (amenaza) y los efectos consecuentes directos e indirectos esperados .
-
25/09/2013
90
EJERCICIO FINAL
ICONTEC
Tiempo 2.5 horas!
PREGUNTAS CASO
Objetivos: Identificar el impacto potencial de las interrupciones sobre el
negocio. Identificar las amenazas sobre los activos que soportan el negocio.
Tareas Elegir una actividad (grupo, gerencia, departamento, etc.) Describir el proceso o Cadena de Valor de esa actividad. Identificar los Procesos Crticos. Identificar dependencias. Definir RTO y RPO. Analizar el impacto financiero, regulatorio, reputacional, etc. Identificar los activos Entender el dao que las amenazas pueden causar sobre ellos. Proponer estrategias de continuidad
-
25/09/2013
91
FACTORES CRITICOS
Incrementar la Resiliencia
Visin Integral de la Gestin del Riesgo de Desastre (SeguridadSocietal/Societal Security ISO/TC 223, Risk management ISO31010, BCP)
Enfoque multi-amenazas
Conciencia comunitaria (Stakeholders , LEMA, Cadena)
Percepcin del riesgo aplicada (aprehender)
Usar herramientas existentes (SCI)
Integrar y Estructurar: Datos / Informacion / Conocimiento / Inteligencia
Prospectiva Aplicada (No esperar los desarrollos funebres)
-
25/09/2013
92
LECCIONES APRENDIDAS/POR APRENDER
Planes solo para mi!
Colaboracin (sin perderautoridad y responsabilidad)
Vision HD!
Invitar a jugar a las partesinteresadas
No ser
Somos una especie rara y preciada porque estamos capacitados para reflexionar y tenemos el privilegio
de influir en nuestro futuro y, quiz, de controlarlo.
CARL SAGAN
Miles de millones
Obra pstuma
Juan C. LoboEmail: [email protected]
cel.3192513749