TALLER ICONTEC BCP.pdf

25/09/2013

TALLER PARA INSTRUCTORES EN CONTINUIDAD DE NEGOCIO

ICONTEC 2013

PRESENTACION PRESENT ACION Y EXPECT EXPECTA ATIV TIVAS AS • Participantes

• Expectativas

 – Asistentes…  – Facilitador: Juan C. Lobo T.

1

25/09/2013

• Objetivo • Fortalecer las capacidades de los instructores de ICONTEC en los temas relacionados con la continuidad de negocio, negocio, basados en la norma ISO22301.

Objetivos específicos específicos • Objetivos • Realizar un contexto de la continuidad de negocio en el marco de la seguridad de la sociedad. • Desarrollar los pasos necesarios para la construcción de un plan de continuidad, basado en el ciclo descrito en la norma 22301. • Desarrollar los pasos necesarios para construir un plan de contingencia (recuperación). • Desarrollar las etapas necesarias para la fase de restauración, sus planes y los sitios de trabajo alternativos. • Enumerar herramientas para la aplicación de la continuidad de negocio

Objetivo de desempeño • Los participantes a través de lecturas previas y en un tiempo no mayor a dos horas desarrollaran un bosquejo de un plan de continuidad con sus apéndices aplicado a una empresa. Metodología: • Se desarrolla el taller a través del reforzamiento de conceptos basado en ejemplos prácticos, se utiliza el método interactivo de enseñanza. En este método se promueve la participación activa y permanente de quienes necesitan conocimientos y habilidades para lograr determinado desempeño. Tiempo • 8 horas.

2

25/09/2013

Agenda 1. Con Contexto exto de la con continu tinuid idad ad de nego negoci cio o en en el el mar marco co de la seguridad de la sociedad, la gestión del riesgo y la Resiliencia. 2. Paso Pasoss nece necesa sari rios os par para la la con consstruc trucci ción ón de un plan plan de continuidad, basado en el ciclo descrito en la norma 22301. 3. Pasos asos nece necesa sari rios os par para con consstrui truirr un plan plan de contingencia (recuperación). 4. Etapa tapass nec neces esar aria iass par para a la la fas fase e de de res resta taur urac ació ión, n, sus sus planes y los sitios de trabajo alternativos. 5. Herr He rram amie ien ntas tas par para a la la apl aplic icac ació ión n de la con continu tinuid idad ad de negocio 6. Ejercicio final en equipo

28/08/2012

www.risklatam.com SGI®

6

3

25/09/2013

4

25/09/2013

5

25/09/2013

6

25/09/2013

ACCIÓN ECOPETROL (EC) – INCIDENTE DOSQUEBRADAS

COLOMBIA • • • • • • • • • • • • • • • • • •

1983 Destrucción 70% de Popayán. 1985 Avalancha de Armero. 1988 Huracán Joan 1992 Terremoto en Atrato Medio 1994 Sismo y avalancha del río Páez. 1995 Sismo de Pereira. 1999 Terremoto Eje Cafetero. 1999 Fenómeno de La Niña 2001 Tornado Soledad (Atlántico) 2002 Deslizamiento Montecristo (Bolívar) 2003 Segunda Temporada Invernal (30 Departamentos) 2004 Temporada Invernal 2005 Temporada Invernal Febrero 2005 (4 departamentos) 2005 Huracán BETA 2006 Volcán Galeras 2006 Tornado en Barranquilla 2007 Incendios en Cundinamarca 2007 Avalancha (erupción) Volcán Nevado del Huila

• • • • • • • • • •

• •

2007 Inundaciones en La Mojana 2007 Inundaciones en Córdoba 2008 Primera y Segunda ola invernal 2009 Incendios Forestales Cali 2009 Inundaciones en Tumaco (rio Mira) 2010 Incendios Forestales en todo el territorio nacional 2011 Inundaciones (fenómeno de la Niña) Pérdidas económicas por los principales desastres: Avalancha Armero (1985): $211.8 millones de dólares de 1985 (PNUD). Terremoto Eje cafetero (1999): $1.800 millones de dólares, equivalentes a 2,2% del PIB de 1998 y 35.3 del PIB de los Departamentos (Forec) Fenómeno del niño (1997-98): $570 millones de dólares (CAF). Niña (2010-2011) Recuperación 24 billones de pesos

7

25/09/2013

DESARROLLOS FUNERARIOS DESPUÉS DE…

Cisne Negro: El impacto de lo altamente impensable,

DESASTRE

satisface estas tres propiedades: esta fuera del reino de las expectativas norm ales, produce un impacto tremendo y hace que inventemos explicaciones despues, con lo que se hace explicable y predecible. (Nassim N. Taleb)

Un evento adverso que causa un intenso impacto negativo en personas, bienes, servicios y en el medio ambiente, excediendo la capacidad existente. reducir la vulnerabilidad, incrementar la capacidad incrementar la resiliencia

8

25/09/2013

¡Mas vale prevenir que lamentar! El costo de reducción de la vulnerabilidad es menor cuando las medidas de reducción forman parte del proyecto original y no cuando se las incorpora a raíz de la ocurrencia de un evento desastroso. En donde los costos serán ampliamente mayores. US$1 A US$7

El indiscutible avance de la gestión de riesgos de desastre 

Organismos de defensa civil



Organizaciones nacionales de emergencias



Organizaciones nacionales de gestión de riesgos y manejo de desastres



Sistemas nacionales



……………..

9

25/09/2013

Qué es la Gestión del Riesgo de Desastres Entiéndase la gestión del riesgo de desastres como un proceso social orientado a la formulación, ejecución, seguimiento y evaluación de políticas, estrategias, planes, programas, regulaciones y acciones permanentes para el conocimiento y la reducción del riesgo y para el manejo de desastres, con el propósito explícito de contribuir a la seguridad, el bienestar, la calidad de vida de las personas y al desarrollo sostenible. LEY 1523 DE 2012 (abril 24) Diario Oficial No. 48.411 de 24 de abril de 2012 Por la cual se adopta la política nacional de gestión del riesgo de desastres y se establece el Sistema Nacional de Gestión del Riesgo de Desastres y se dictan otras disposiciones.

PROCESOS Y SUBPROCESOS DE LA GESTIÓN DEL RIESGO Conocimiento del riesgo

Identificación de componentes del riesgo (amenaza, exposición y vulnerabilidad)

Análisis y evaluación del riesgo

Comunicación del riesgo

Reducción del riesgo

Intervención correctiva (riesgo actual)

Intervención restrictiva y prospectiva (nuevos riesgos)

Protección financiera

Manejo de desastres

Preparación la respuesta

Respuesta, atención y restitución de servicios esenciales

Rehabilitación y Reconstrucción

10

25/09/2013

Estructura UNGRD CONSEJO DIRECTIVO DIRECCIÓN GENERAL Oficina Asesora de Planeación e Información

Oficina Asesora de Comunicaciones

Oficina Asesora Jurídica

Oficina de Control Interno

Subdirección General

Subdirección para el Conocimiento del Riesgo

Subdirección para la Reducción del Riesgo

Subdirección para el Manejo de Desastres

Sistema Nacional de Gestión del Riesgo de Desastres Presidente de la República CONSEJO NACIONAL PARA LA GESTIÓN DEL RIESGO Fondo Nacional

UNGRD Comité Nacional para el Conocimiento del Riesgo

Comité Nacional para la Reducción del Riesgo

(5 Subcuentas)

Comité Nacional para el Manejo de Desastres

Gobernador 

Fondo Departamental

CONSEJO DEPARTAMENTAL PARA LA GESTIÓN DEL RIESGO (32) Comités para: Conocimiento, Reducción, Manejo

Alcalde

Fondo Municipal

CONSEJO MUNICIPAL PARA LA GESTIÓN DEL RIESGO (1102) Comités para: Conocimiento, Reducción, Manejo

11

25/09/2013

Published standards ISO 22300:2012 ISO 22301:2012 ISO/TR 22312:2011 ISO 22320:2011 ISO/PAS 22399:2007

Societal security -- Terminology Societal security -- Business continuity management systems --- Requirements Societal security -- Technological capabilities Societal security -- Emergency management -- Requirements for incident response Societal security - Guideline for incident preparedness and operational continuity management

Standards under development Societal security - Video-surveillance - Export interoperability ISO/DIS 22311 Societal security -- Business continuity management systems -- Guidance ISO/DIS 22313 ISO/NP 22315 Societal security -- Mass evacuation Societal security -- Emergency management -- Public warning ISO/CD 22322 Organizational resilience management systems - Requirements with guidance for use ISO/WD 22323 Societal security - Emergency managament - Colour-coded alert ISO/CD 22324 ISO/NP 22351 Societal security -- Emergency management -- Shared situation awareness Societal security -- Public Private Partnership -- Guidelines to set up partnership ISO/CD 22397 agreements Societal security -- Guidelines for exercises ISO/DIS 22398 Published standards - Risk Management Risk management -- Principles and guidelines ISO 31000:2009 Risk management -- Vocabulary ISO Guide 73:2009 Risk management -- Risk assessment t echniques ISO/IEC 31010:2009

28/08/2012

www.risklatam.com SGI®

23

Planes de Emergencia

Ambiente externo

EXTERNALIDADES

12

25/09/2013

13

25/09/2013

14

25/09/2013

Evaluación del Riesgo Manejo para Desastres

Recuperación Reducción del Riesgo

La gestión del riesgo y el manejo de desastres desde el punto de vista de los grupos de interés

15

25/09/2013

ESCENARIOS Impacto Frecuencia Bajo

Alto

Erupciones Volcánicas Incendios Forestales Sequias

Muy alto

Inundaciones Deslizamientos Tecnologicos

Frecuente o Muy probable

Terremotos

Probable

  Enfermedades Huracanes Tsunamis (Gripa Aviar)

Ocasionalmente

16

25/09/2013

Amenaza • Factor externo al sujeto, objeto o sistema expuesto, representado por la potencial ocurrencia de un suceso de origen natural o generado por la actividad humana, que puede manifestarse en un lugar específico, con una intensidad y duración determinadas.

Amenazas más frecuentes Amenaza Inundación Marejada ciclónica

Causa Lluvia torrencial Huracanes Deforestación Erosión Huracanes

Origen Categoría Natural Causada por hombre Natural

Erupción volcánica

Emisión de materias procedentes del centro de la tierra

Natural

Huracán

Sistema meteorológico de baja presión

Natural

Contaminación química

Disposición inapropiada de desechos nucleares

Causada por el hombre

17

25/09/2013

Inundaciones y daño asociado

Actividad volcánica

© Montserrat Volcano Observatory

18

25/09/2013

Vulnerabilidad Factor interno de un sujeto, objeto o sistema expuesto a una amenaza, que corresponde a su disposición intrínseca a ser dañado.

Vulnerabilidad debido a los cortes excesivos en laderas

19

25/09/2013

Riesgo Probabilidad de exceder un valor específico de daños sociales, ambientales y económicos, en un lugar específico y durante un tiempo de exposición determinado.

Riesgo Aceptable El nivel de las pérdidas potenciales que una sociedad o comunidad consideran aceptable, según sus condiciones sociales, económicas, políticas, culturales, técnicas y ambientales existentes. EIRD 2009

20

25/09/2013

Desastre Alteraciones en las personas, los bienes, los servicios y el ambiente, causadas por un suceso natural o generado por la actividad humana, que exceden la capacidad de respuesta de la comunidad afectada.

Gestión del riesgo de desastres Componente del sistema social constituido por un proceso eficiente de planificación, organización, dirección y control dirigido al análisis y la reducción de riesgos, el manejo de eventos adversos y la recuperación ante los ya ocurridos.

21

25/09/2013

Áreas y componentes de la gestión de riesgo de desastres Áreas

Componentes

 Análisis del riesgo

Estudios de amenaza y vulnerabilidad

Reducción del riesgo

Prevención y mitigación, transferencia y financiamiento

Manejo de eventos adversos

Preparación, alerta, respuesta

Recuperación

Rehabilitación y reconstrucción

Evaluación del riesgo Uso sistemático de la información disponible para determinar la probabilidad de ocurrencia de ciertos eventos adversos así como la magnitud de sus posibles consecuencias.

22

25/09/2013

Reducción del riesgo de desastres Acciones orientadas a minimizar el impacto adverso de las amenazas a través de incrementar la resiliencia de los grupos vulnerables y de las comunidades, reduciendo la vulnerabilidad, e incrementando la capacidad para prepararse, responder, y recuperarse del impacto del desastre.

Reducción de riesgo Acciones orientadas a minimizar el impacto adverso de las amenazas a través de incrementar la resiliencia de los grupos vulnerables y de las comunidades, reduciendo la vulnerabilidad, e incrementando la capacidad para prepararse, responder, y recuperarse del impacto del desastre.

23

25/09/2013

Categorías de las medidas de reducción del riesgo • • • • •

Físicas Socioeconómicas Ambientales De gestión e institucionales Post

Medidas físicas

Medidas estructurales y no estructurales que se ejecutan para ayudar a evitar o a aliviar el daño y las pérdidas que resultan de eventos adversos.

24

25/09/2013

Malas prácticas de desarrollo

Medidas estructurales Se refieren a la construcción física dirigida a reducir o evitar los posibles impactos de una amenaza, incluyendo medidas de ingeniería y la construcción de estructuras e infraestructura resistente a las amenazas y de protección.

25

25/09/2013

Medidas estructurales Muros usados para reducir el efecto de las lluvias torrenciales en áreas  propensas a deslizamientos.

Medidas no estructurales Se refieren a políticas, aumento de conciencia, desarrollo de conocimiento, compromiso público y métodos y prácticas de operación, incluyendo mecanismos participativos y la provisión de información que pueden reducir el riesgo y los impactos relacionados.

26

25/09/2013

Medidas de Gestión Códigos de construcción Una serie de ordenamientos o reglamentos relacionados con estándares que buscan controlar aspectos de diseño, construcción, materiales, modificaciones y ocupación de cualquier estructura, los cuales son necesarios para velar por la seguridad y el bienestar de los seres humanos, incluida la resistencia a los derrumbes y a los daños. EIRD 2009.

Medidas socioeconómicas Son aquellas diseñadas para tratar brechas y debilidades en los sistemas por los que las comunidades y la sociedad como un todo se preparan para responder a eventos adversos.

27

25/09/2013

Medidas ambientales Son aquellas diseñadas para proteger sistemas ambientales existentes, o rehabilitar los degradados, mejorando así su capacidad para enfrentar el impacto de futuros eventos adversos.

Prevención Conjunto de acciones cuyo objeto es impedir o evitar que sucesos naturales o generados por la actividad humana, causen eventos adversos.

28

25/09/2013

Mitigación Resultado de una intervención dirigida a reducir riesgos.

Mitigación y prevención Amenaza cuyo impacto se puede prevenir

Amenaza cuyo impacto se puede mitigar

Derrame de hidrocarburos

Terremoto

Contaminación por desechos tóxicos

Huracán

Contaminación industrial

Erupción volcánica

29

25/09/2013

Transferencia de riesgo Uso de instrumentos económicos para distribuir- compartir y proteger contra las perdidas y daños antes de que ocurra un evento adverso.

Preparación Conjunto de medidas y acciones para reducir al mínimo la pérdida de vidas humanas y otros daños, organizando oportuna y eficazmente la respuesta y la rehabilitación.

30

25/09/2013

Alerta Estado declarado con el fin de tomar precauciones específicas, debido a la probable y cercana ocurrencia de un evento adverso.

Respuesta Acciones llevadas a cabo ante un evento adverso y que tienen por objeto salvar vidas, reducir el sufrimiento y disminuir pérdidas.

31

25/09/2013

Recuperación Proceso de restablecimiento de las condiciones normales de vida en la comunidad afectada.

Rehabilitación Recuperación, a corto plazo, de los servicios básicos e inicio de la reparación del daño físico, social y económico.

32

25/09/2013

Reconstrucción Proceso de reparación, a mediano y largo plazo, del daño físico, social y económico, a un nivel de desarrollo superior al existente antes del evento.

Desarrollo • Aumento acumulativo y durable de cantidad y calidad de bienes, servicios y recursos de una comunidad, unido a cambios sociales, tendiente a mantener y mejorar la seguridad y la calidad de la vida humana, sin comprometer los recursos de las generaciones futuras.

33

25/09/2013

Resiliencia

9/25/2013

68

34

25/09/2013

Latín - resilire, recuperarse, retroceder o volver a la

original Inglés (siglo 17)– resilience, calidad de las maderas

para soportar cargas severas sin romperse Resiliencia

Física – objetos que resisten los efectos de fuerzas

externas Química - capacidad de un metal para regresar a su

estado original Ingeniería - medida de la capacidad de un material

para resistir el impacto, así como para absorber y liberar energía a través de la elasticidad (McAsian, 2009) .

Psicología - capacidad de funcionar en un

ambiente inmensamente exigente, así como la capacidad de lidiar con el estrés (Norris et al, 2009) Sociología - capacidad de los grupos a hacer frente al estrés generado por cambios en el medio ambiente Resiliencia

(Platteau, 2000)

Ecología - capacidad de un ecosistema para

absorber los cambios, siguen funcionando y evolucionando (Klein et al, 2004) Sostenibilidad social - capacidad de los individuos, grupos y comunidades para identificar y abogar por sus necesidades, ahora y para las generaciones futuras (McKenzie, 2004)

35

25/09/2013

Del imperativo de respuesta  Al énfasis en la preparación El salto a la mitigación Las dificultades de la reducción del riesgos La opción de la resiliencia

Resiliencia:

Capacidad de un sistema, comunidad o sociedad expuestos a una amenaza para resistir, absorber, adaptarse y recuperarse de sus efectos de manera oportuna y eficaz, lo que incluye la preservación y la restauración de sus estructuras y funciones básicas. (UN-ISDR 2009)

36

25/09/2013

Propiedades de la resiliencia:

Inherentes, se refieren a la capacidad de un individuo, familia, colectividad, institución o sistema para funcionar apropiadamente en tiempos de normalidad (no crisis). Adaptativas, relacionadas con la flexibilidad demostrada, por el sujeto de estudio, durante y después de un evento o crisis, para adecuar su comportamiento y la creatividad para abordar los problemas inducidos por el desastre. Estas dos propiedades de la resiliencia están correlacionadas, sujetos con capacidad de recuperación inherente, están en mejores condiciones para desarrollar e implementar estrategias de adaptación.

Midiendo la Resiliencia (Tierney&Bruneau) Robustez, capacidad para soportar las fuerzas de desastre sin

una degradación significativa o pérdida de rendimiento; Redundancia, si la degradación o pérdida de la funcionalidad se producen, hay elementos o unidades intercambiables, que permiten satisfacer los requisitos funcionales; Ingenio, capacidad de diagnosticar y priorizar los problemas y poner en marcha soluciones de identificación y movilización de materiales, monetarios, de información, tecnología y recursos humanos, y Rapidez, capacidad para restaurar la funcionalidad de una manera oportuna, con las pérdidas y evitar interrupciones.

37

25/09/2013

38

25/09/2013

39

25/09/2013

40

25/09/2013

NIVELES ORGANIZACIONALES Y SUS CARACTERÍSTICAS

41

25/09/2013

Como BCM minimiza las consecuencias

1. Asegura la continuidad de las operaciones criticas del negocio.  Mediante la identificación de planes de contingencia simples. 2. Permitir operaciones remotas.  Un evento grande, como un incendio o inundación, puede provocar que el personal no llegue a sus oficinas. 3. Proteger los activos importantes.  Un BCP identifica los activos principales y crear un lugar de almacenamiento secundario. 4. Reducir el tiempo de inactividad.  Con el BCP implementado, se pondrá en funcionamiento con mayor rapidez. 5. Previniendo que quede fuera del negocio.  El negocio podría estar cerrado por un período prolongado.

Las Metas del BCP son: • Proteger los ingresos • Minimizar el impacto a las operaciones o gastos • Mitigar las responsabilidades legales • Cumplir con las regulaciones gubernamentales • Preservar la marca y la lealtad del cliente

42

25/09/2013

Conceptos Claves Procesos Críticos  Cadena de Valor  Manejo de Riesgos  Análisis de Impacto en el Negocio (BIA)  Análisis de Riesgo (RA)  Riesgo Residual Activos que estamos Protegiendo  Gente  Oficinas e Instalaciones  Sistemas de T&I  Cadena de Abastecimiento  Registros / Documentos

Elementos Claves  Respuesta del Negocio  Plan de Continuidad del Espacio de Trabajo (OSCP)  Plan de Recuperación ante Desastre (DRP)

Como crear un PCN?

43

25/09/2013

44

25/09/2013

Importancia del BIA / RA El BIA identifica el impacto que la no-disponibilidad de los activos claves tendrán sobre los procesos críticos del negocio. La actividad de evaluación de riesgos identifica los riesgos que enfrentan los activos claves y la probabilidad de que este se manifieste. Determinar:  El impacto de suspender las actividades individuales del negocio  En cuánto tiempo cada actividad debe ser reanudada?  Los requerimientos básicos  Es un prerrequisito indispensable para:  Evaluación de Riesgos  Determinación de las opciones  Estrategia de BCM  Proporcionar un registro documentado  Aumentar la comprensión en todos los niveles de la organización

¿Cuales Son Actividades Criticas?  Sin duda, todas las actividades son fundamentales, pero…¿Qué se entiende por “críticas”?  "Importante” - algo que es crítico es muy importante porque lo que sucede en el futuro depende de ello. Pre-planificación para la recuperación de estas actividades en caso de incidente es fundamental para garantizar la viabilidad futura de la organización.  "Listados Críticos” - La lista de actividades que deben llevarse a cabo o deben ser recuperadas rápidamente para evitar que la organización muera.  "Hacer Juicios” - Mirar a las actividades con un ojo crítico para determinar cuáles no serán recuperables, sin planificación previa.

45

25/09/2013

Protección de los Activos Críticos  Documentar las estrategias estrategias específicas para proteger los activos críticos del proceso (personas, instalaciones, infraestructura digital, cadena de suministro y registros críticos).  Los datos recogidos en la BIA BIA / RA se convertirán en el punto de partida para definir el OCSP O CSP,, el DRP, DRP, la seguridad de las personas, los entregables de la cadena de suministro y el mantenimiento de los registros y documentación.  Las estrategias se basan basan en los riesgos y en la tolerancia al riesgo, no todos los riesgos serán mitigados o eli minados, algunos deberán ser aceptados.  Las estrategias para el Espacio de Oficina / Instalaciones se basara basara en los riesgos del sitio, la tolerancia al riesgo, la criticidad del sitio y del personal, los sitios alternativos de trabajo y la capacidad de trabajo remoto.

46

25/09/2013

T&I es responsable de proporcionar las opciones para crear un DRP, DRP, y de aplicar las estrategias para el hardware y las aplicaciones, y las telecomunicaciones.  Crear estrategias que aseguren que la cadena de suministro se mantiene durante un incidente. Las estrategias a considerar incluyen; no un único proveedor, proveedor, aumentar las existencias y acuerdos de reciprocidad con los competidores y socios.  Crear una estrategia que asegure que los registros críticos se mantienen seguros. Las estrategias a considerar incluyen; guardar los registros en una bodega fuera de la Instalaciones, guardarlos guardarlos en una bodega antidesastres en la Instalación, barrido / almacenamiento externo electrónico, etc.

47

25/09/2013

El BCP describe:  Roles y responsabilidades para invocar, activar activar,, operar y mantener el plan.  Perfil Perfil de riesgo. riesgo.  Los procesos críticos y los activos de apoyo (personas, instalaciones instalaciones TI, Proveedores, Registros)  Las estrategias de respuesta respuesta y los planes tácticos tácticos  Planes sobre los activos activos (OSCP; DRP; DRP; etc.)  Cómo el plan es invocado, conexiones y otros otros planes..  Detallar los procesos contingentes, contingentes, o alternativos, a seguir por el negocio en caso de un incidente.  La información de apoyo necesaria para para operar los procesos (por ejemplo, información de contacto, ubicación de los medios de comunicación, etc.). etc.).

48

25/09/2013

49

25/09/2013

Definiciones de RTO & RPO  RTO (Recovery Time Objective) define la rapidez con que necesito encontrar, acceder y recuperar la información requerida. Se lo considera el plazo máximo para restaurar el proceso / servicio. El RTO ayuda a determinar que tipo de almacenamiento a utilizar para solucionar el tema de las copias de seguridad: discos, cintas o ambas cosas.  RPO (Recovery Point Objective) es el máximo periodo de tiempo durante el cual se pueden perder los datos, define el punto en el tiempo (PIT) en que estos necesitan ser recuperados. RPO es una medida de la tolerancia a la pérdida de datos, ¿cuántas transacciones u horas de trabajo tolera perder el negocio.

Planes Relacionados  Plan de Continuidad del Espacio de Trabajo (OSCP) se ocupa de la provisión de espacio alternativo, el cual incluye:  El uso temporal de otras oficinas para el personal clave  Contratos con terceros para proporcionar acomodamiento temporal  Plan de Recuperación de Desastres (DRP) se ocupa de la recuperación y disponibilidad de la infraestructura de T&I y servicios para la empresa, y pueden incluir:  Contratos con terceros para proporcionar servicios de T&I temporales  Recuperación de datos utilizando los medios en lugares fuera del sitio  La adquisición de equipos de sustitución o temporal (por ejemplo, mediante contrato de arrendamiento / alquiler)  Cada una de estas necesidades se basan en los requisitos de la empresa según lo establecido en sus respectivos PCN’s.

50

25/09/2013

Plan de Recursos Humanos (HRP)  La planificación sobre la sucesión es un proceso integrado que incluye capacitación, desarrollo y evaluación de desempeño.  Es un enfoque sistemático para identificar, nominar y seleccionar posibles candidatos Plan Cadena de Abastecimiento (PCA)  Plan de acción para recuperar o mantener uno o más proveedores durante un incidente. Plan de Manejo de Registros (PMR)  Establecer, implementar y mantener procedimientos para proteger la integridad de los registros.  implica acceso a la identificación, almacenamiento, protección, recuperación, retención y eliminación.

PRINCIPIOS Y NORMAS BCP

►

¿Por qué planificar?

Desarrollar estrategias que  permitan a una organización responder y recuperarse de cualquier evento disruptivo  para continuar con las operaciones críticas del negocio.

►

51

25/09/2013

PRINCIPIOS Y NORMAS DE BCP

Recordatorio La preparación es un viaje, no un destino

PRINCIPIOS Y NORMAS DE BCP

Propósito Básico del Plan ► Responder

efectivamente a cualquier emergencia ► Determinar prioridades para  proteger personas, sistemas automatizados y operaciones críticas ► Asegurar reducir el riesgo de que la empresa falle

Tecnología

Infraestructura

Operaciones

Personas

Procedimientos

52

25/09/2013

PRINCIPIOS Y NORMAS BCP

Normas BCP En Estados Unidos Disaster Recovery Institute International (DRII)  Federal Emergency Management Agency (FEMA)  National Institute of Standards and Technology (NIST)  Federal Financial Institutional Examination Council (FFIEC) 

PRINCIPIOS Y NORMAS BCP

Normas BCP Propósito de las Normas BCP Aplicar normas y principios comúnmente aceptados  para todos los BCP con información similar  Desarrollar BCP de forma similar para su aplicación en el sector privado y a nivel central, estatal y local del gobierno  Desarrollar una base de datos común de información crítica 

53

25/09/2013

PRINCIPIOS Y NORMAS BCP

Normas BCP ► Disaster Recovery Institute International

(DRII)  Normas y principios de planificación para emergencias reconocidos internacionalmente  Certificación de profesionales en BCP  Capacitación de profesionales en BCP

PRINCIPIOS Y NORMAS BCP

Normas BCP ► Federal Emergency Management Agency (FEMA)

 Normas y principios de planificación de emergencias  para las agencias federales  Requiere que las agencias federales adapten las normas para su propio uso  Recolección de datos sobre riesgos, emergencias y recuperación  Coordinar la prevención y recuperación ante emergencias de las comunidades 

54

25/09/2013

PRINCIPIOS Y NORMAS BCP

Normas BCP ► National

Institute of Standards and Technology

(NIST)  Normas de planificación de emergencias para el gobierno y el sector privado  Las normas NIST se aplican principalmente a tecnologías automatizadas 

PRINCIPIOS Y NORMAS BCP

Normas BCP ► Federal Financial Institutional Examination

Council (FFIEC)  Normas y reglamentos del gobierno federal para la  planificación de emergencias para bancos y uniones de crédito  Examina bancos y uniones de crédito para verificar cumplimiento con las normas y reglamentos FFIEC 

55

25/09/2013

PRINCIPIOS Y NORMAS BCP

Conceptos principales de BCP ► Identifica riesgos/vulnerabilidades en la infraestructura del

negocio ► Analiza el impacto sobre el negocio ► Identifica esfuerzos para reducir o eliminar los riesgos ► Identifica las autoridades y equipos de respuesta a emergencias ► Desarrolla estrategias y planes de gestión de emergencias ► Rol de la gestión de emergencias en preparación comunitaria ► Pruebas y capacitación de funcionarios en el plan de continuidad de negocios

PRINCIPIOS Y NORMAS BCP Conceptos principales del BCP ►

Elementos clave de la política de planes de contingencia para sistemas informáticos:  

    

Roles y responsabilidades Alcance aplicable a los diferentes tipos de equipo de computación y funciones organizacionales sujetos a la planificación de contingencias Recursos necesarios Requisitos de capacitación Cronograma de ejercicios y pruebas Cronograma de mantenimiento del plan Frecuencia de respaldo y almacenamiento de los medios de respaldo

56

25/09/2013

PRINCIPIOS Y NORMAS BCP MANTENER

Plan de emergencia para ocupantes (OEP)

Plan de comunicación de crisis

Continuidad del plan de operaciones (COOP)

Plan de respuesta a un incidente cibernético

Plan de continuidad del negocio (BCP)

Plan de recuperación (o reinicio) después del desastre (BRP)

LEYENDA

Continuidad del plan de soporte / Plan de contingencia informática

Plan de recuperación del desastre (DRP)

Instalaciones Informática Negocio Impacto mayor 

PRINCIPIOS Y NORMAS BCP ►El “planificador/coordinador de contingencias” es

responsable del proceso de planificación y usualmente es un gerente funcional o de recursos dentro de la organización ► El coordinador de contingencias desarrolla la estrategia con la cooperación de otros gerentes de la organización ►El coordinador de contingencias por lo general también es responsable del desarrollo y ejecución del plan de contingencias ►Todas las aplicaciones y sistemas de soporte en general deberían tener un plan de contingencia

57

25/09/2013

PRINCIPIOS Y NORMAS BCP Proceso de planificación de la continuidad del negocio Las organizaciones deberían usar el siguiente enfoque para desarrollar y mantener un plan de contingencia efectivo: Desarrollar una declaración de la política de planificación de contingencias Conducir un análisis del impacto al negocio (BIA) Identificar controles preventivos Desarrollar estrategias de recuperación Desarrollar un plan de contingencia Planificar pruebas, capacitación y ejercicios Mantenimiento del plan



     

PRINCIPIOS Y NORMAS BCP

Definición de Emergencias (Para fines de planificación de la continuidad del negocio) ►

Una emergencia es cualquier evento disruptivo natural o causado  por el hombre que afecte adversamente una o más operaciones centrales del negocio por más de 24 a 72 horas  

►

Un evento disruptivo no es necesariamente un cataclismo o un desastre El impacto de los efectos adversos varía entre organizaciones

La tolerancia al cese de operaciones es determinada por cada organización

58

25/09/2013

ANÁLISIS DE RIESGO AL NEGOCIO

Análisis de riesgos Definición Un análisis de riesgos es una evaluación formal que identifica las amenazas, riesgos y emergencias potenciales y el impacto potencial que estas emergencias podrían tener sobre la comunidad y la organización.

ANÁLISIS DE RIESGO AL NEGOCIO

Análisis de riesgos  Muchos

riesgos pueden reducirse al mínimo o eliminarse a través de soluciones técnicas, gerenciales u operacionales como parte del esfuerzo de gestión de riesgos de la organización; sin embargo, es virtualmente imposible eliminar completamente todo riesgo.  La planificación de contingencias está diseñada para reducir el riesgo de que no esté disponible el sistema o el servicio, enfocándose en soluciones efectivas y eficientes de recuperación.

59

25/09/2013

ANÁLISIS DE RIESGO AL NEGOCIO Análisis de riesgos ► El análisis de riesgos involucra una amplia gama de actividades para identificar,

controlar y mitigar los riesgos a una organización

► Dos funciones primarias:

Primera, el análisis de riesgos debería identificar las amenazas y las vulnerabilidades con el fin desarrollar controles apropiados para prevenir la ocurrencia de incidentes o para limitar los efectos de un incidente  Segunda, la gestión de riesgos debería identificar los riesgos residuales  para los cuales se debe establecer un plan de contingencia 

► El plan de contingencia, por lo tanto, está relacionado con la evaluación de riesgos y el

 proceso de mitigación de éstos ► Promovemos un enfoque multi-amenaza en la planificación – mitigando los riesgos a instalaciones, sistemas, personas y res ultados operativos.

ANÁLISIS DE RIESGO AL NEGOCIO 



Los recursos críticos podrían estar fuera del control de la organización (tales como el suministro eléctrico o las telecomunicaciones) y la organización no podría garantizar su disponibilidad Esta gráfica ilustra la relación entre identificar y ejecutar los controles de seguridad, desarrollar y dar mantenimiento al plan de contingencia y ejecutar el plan de contingencia si ha ocurrido una emergencia

Plan de contingencia GESTIÓN DE RIESGOS Implementación de control de seguridad

Evento de Emergencia

EJECUCIÓN DEL PLAN DE CONTINGENCIA

60

25/09/2013

ANÁLISIS DE RIESGO AL NEGOCIO ► Los controles de seguridad protegen o reducen el impacto sobre la

organización de cuatro tipos de riesgos o amenazas  Naturales - huracanes, tornados, inundaciones, terremotos, deslizamientos, químicos, materiales peligrosos e incendios  Humanos – errores del operador, sabotaje, virus informáticos, contaminación del agua, disturbios civiles y ataques terroristas  Servicios de emergencia – disponibilidad de policías, bomberos e instalaciones médicas cercanas  Ambientales – fallas de equipo, instalaciones, red de telecomunicaciones, energía eléctrica y errores de software

ANÁLISIS DE RIESGO AL NEGOCIO Análisis de riesgos Incluye el proceso de tomar y ejecutar decisiones para reducir al mínimo los efectos adversos de heridas, pérdidas accidentales y responsabilidad de una organización ► Lo más crítico es la recuperación rápida de las operaciones centrales después de una emergencia, no la causa ni el tipo de daño ► Debido a que los riegos pueden variar con el tiempo y riesgos nuevos pueden reemplazar a los viejos conforme un proceso evoluciona, el proceso de gestión de riesgos debe ser continuo y dinámico ► La “gestión de riesgos” es crítica para el proceso de análisis de riesgos ►

61

25/09/2013

ANÁLISIS DE RIESGO AL NEGOCIO Análisis de riesgos ► ►

El proceso de análisis de riesgos debe ser preciso y exhaustivo, contando siempre con la experiencia y motivación del personal Existen muchas maneras de hacer un análisis de riesgos

(no hay una manera correcta o incorrecta) ► ►

Se debería usar cualquier metodología o enfoque que funcione efectivamente y se debe hacer referencia a éstos en el BCP Algunos procesos de análisis de riesgos utilizan un método de calificación cuantitativo para clasificar las emergencias potenciales, pero esto no es esencial

ANÁLISIS DE RIESGO AL NEGOCIO

Análisis de riesgos Clave para un análisis de riesgos adecuado: El equipo de planificación para la gestión de emergencias de cada organización identifica los eventos para los cuales se requiere preparación  El análisis se realiza con un enfoque de cooperación  Debido a que los riegos pueden variar con el tiempo y riesgos nuevos  pueden reemplazar a los viejos conforme un proceso evoluciona, el  proceso de gestión de riegos debe ser continuo y dinámico  Se debe desarrollar un proceso de toma de decisiones que distinga entre amenazas significativas y amenazas menores 

• “emergencias de gran envergadura vs. emergencias

localizadas” • 24 a 72 horas de interrupción del servicio

62

25/09/2013

ANÁLISIS DE RIESGO AL NEGOCIO

Análisis de riesgos Tipos de procesos de análisis de riesgos: Análisis de árbol del evento (causa y efecto)  Modelación del evento (veneno, incendio, explosión)  Análisis del árbol de fallas (culpa/debilidad interna o externa)  Análisis de error humano (error, capacitación, actitud, instrucciones, políticas) 

ANÁLISIS DE RIESGO AL NEGOCIO

Gestión de riesgos Estrategias recomendadas para la gestión de riesgos:      

Utilice un “enfoque multi-amenazas” Reconozca el potencial de un evento catastrófico Recopile una lista de amenazas potenciales Reconozca los problemas inherentes a las listas de amenazas Evalúe y determine la prioridad de las amenazas en la lista Ajuste la lista por medio de un “análisis de brechas”

63

25/09/2013

ANÁLISIS DE RIESGO AL NEGOCIO Gestión de riesgos

Enfoque multi-amenazas

Permite a las organizaciones prepararse para responder a varios y diversos tipos de emergencias. ► Facilita la prevención, preparación, respuesta y recuperación con base en una amplia gama de posibilidades de lo que  podría ocurrir dentro y fuera de la organización. ► Aumenta la percepción de posibles fallas y vulnerabilidades de la infraestructura como advertencia para evitar mayores  pérdidas ► El riesgo neto de peligro para personas e infraestructura de la organización depende de la amenaza específica, la actividad que se esté desempeñando y la duración de la exposición ►

ANÁLISIS DE RIESGO AL NEGOCIO Gestión de riesgos La primer tarea del equipo de planificación para la gestión de una emergencia es conducir un análisis de riesgos de la organización y la comunidad alrededor de la organización. ►  Ninguna comunidad u organización es exactamente igual a otra ya que las estructuras, las leyes nacionales y locales, los recursos y las capacidades pueden variar ampliamente. ►  No es posible ni deseable producir un solo plan de emergencia  para todas las posibilidades. ►

64

25/09/2013

ANÁLISIS DE RIESGO AL NEGOCIO Gestión de riesgos 

Un análisis de riesgos debe identificar activamente lo que podría afectar a la comunidad u organización y el área circundante



Eliminación selectiva de amenazas y reducción de riesgos dentro de una organización



Un análisis de riesgos ayuda a vencer la resistencia individual o de la organización a la preparación para emergencias



Ofrece una fuente objetiva de información y requiere conocimiento sobre varias disciplinas

ANÁLISIS DE RIESGO AL NEGOCIO

Gestión de riesgos ► Conciencia



comunitaria sobre los riesgos

Se debe vincular un programa de conocimiento de los riesgos con los programas de conciencia comunitaria de las autoridades civiles locales sobre emergencias

65

25/09/2013

ANÁLISIS DE RIESGO AL NEGOCIO Gestión de riesgos • Conciencia comunitaria sobre los

riesgos  – Participar en pruebas de gestión local de emergencias  Pruebas de los hospitales

locales de traumatología  Pruebas de respuesta del departamento de bomberos  Pruebas de respuesta a emergencias del departamento de policía

ANÁLISIS DE RIESGO AL NEGOCIO

Gestión de Riesgos Sirve como punto para verificar la calidad y fijar prioridades para la organización ► Mide los posibles efectos de un cambio causado por una emergencia sobre un sistema ► Determina los posibles puntos o causas de una falla ► Se centra en pérdidas por amenazas que todavía no han ocurrido ► Evalúa la seguridad, instalaciones físicas, procedimientos de trabajo y estrategias organizacionales ► Examina todos los tipos de pérdida: daños a la propiedad,  pérdidas financieras y daños ambientales ►

66

25/09/2013

ANÁLISIS DE RIESGO AL NEGOCIO Procedimientos de análisis de riesgos Identificar y documentar los riesgos, amenazas, peligros y  problemas de responsabilidad conocidos ► Excluir los problemas temporales, por ejemplo, apagones cortos, mal tiempo ► Conducir entrevistas y tomar declaraciones para investigar temas  principales de gestión de riesgos ► Recolectar y organizar evidencia que pudiera ayudar en una defensa legal y que podría ser más difícil de obtener después ► Aconsejar a los gerentes de la organización sobre temas de seguridad, riesgo y seguros ► Discutir las consecuencias de la fallas operativas con los gerentes ►

ANÁLISIS DE RIESGO AL NEGOCIO Riesgos “potenciales” específicos a analizar  Seguridad en acceso a las instalaciones  Verificación de antecedentes de los empleados  Requisito de registro de visitantes y proveedores  Requisitos para entrar a edificios  Políticas de uso de computadoras y acceso a e-mail/internet  Historial de entradas ilegales, robo o vandalismo  Construcción de edificios (códigos mecánicos, eléctricos, de incendio y seguridad, etc.)  Documentación sobre última inspección del edificio  Fallas de equipo  Historial de fallas  Peligros potenciales debido a las condiciones y limitaciones de las carreteras  Peligros potenciales debido a tráfico aéreo o vial cercano (posible descarrilamiento de trenes, accidentes automotores o aéreos)

67

25/09/2013

ANÁLISIS DE RIESGO AL NEGOCIO Riesgos “potenciales” específicos a analizar     

Falta de suministro eléctrico en el área Comunicaciones (medios noticiosos y sistemas públicos de alerta) Peligro local de derrames, producción, almacenamiento y transporte de materiales peligrosos (radiación, químicos tóxicos o agentes biológicos) Disponibilidad de respuesta a emergencias en la comunidad local Historial de tasas de delitos y amenazas en o cerca de la organización  empleados, visitantes, contratistas, proveedores, suplidores, etc.,

 

Amenazas y extremos climáticos, del tiempo o la geografía (terremotos, inundaciones, huracanes) Revisar los datos históricos de emergencias en la comunidad

ANÁLISIS DE RIESGO AL NEGOCIO Riesgos “potenciales” específicos a analizar 

 

Problemas con empleados,  proveedores, suplidores y residentes o compañías locales particulares Disturbios civiles Emergencias de salud  pública (epidemias)

EXPOSICIÓN A AMENAZAS ¿Qué está en riesgo cuando un desastre afecta su comunidad?

• Las amenazas afectan a personas, hogares y negocios, instalaciones críticas, rutas de transporte, servicios públicos, suministro de agua y al ambiente. • - La primera regla:

“CONOZCA SU COMUNIDAD” 

68

25/09/2013

ANÁLISIS DE RIESGO AL NEGOCIO Precaución con las listas de análisis de riesgos ► 



Las listas de análisis de riesgos presentan dos problemas 1. Posibilidad de exclusión u omisión – Siempre existe el potencial de amenazas nuevas o inesperadas, lo que es parte de por qué es importante mantener una capacidad para enfrentar cualquier amenaza 2. Las listas de riesgos podrían incluir grupos, lo que afecta el análisis subsiguiente. Una lista podría dar la impresión de que las amenazas son independientes entre sí, cuando de hecho a menudo están relacionadas (por ejemplo, un terremoto podría causar el rompimiento de una represa). Las listas podrían agrupar en una sola categoría diferentes causas  o secuencias de eventos que podrían requerir diferentes tipos de respuesta.

ANÁLISIS DE RIESGO AL NEGOCIO Precaución con las listas de análisis de riesgos ►

Los cambios en condiciones, los errores y las actitudes contribuyen al peligro

►

Conforme evoluciona el análisis de riesgos, podría ser necesario refinar las listas de riesgos para asegurar que se incluya cualquier nuevo riesgo identificado (por ejemplo, una nueva planta química en la región) y que se eliminen riesgos previamente incluidos que ya no representan un peligro

69

25/09/2013

ANÁLISIS DE RIESGO AL NEGOCIO Ajustes a la lista de análisis de riesgos por medio de un “análisis de brechas” Ayuda a identificar incidentes para los cuales la comunidad no está preparada El análisis de brechas -

► ►   

Identifica los componentes clave de cada riesgo y determina los componentes comunes a múltiples amenazas Identifica problemas que crean debilidades de alto impacto Compara los costos relativos y los beneficios de los pasos necesarios para rectificar la situación

ANÁLISIS DE RIESGO AL NEGOCIO

Lista final de análisis de riesgos La lista terminada de riesgos potenciales mostrará primero los eventos que ameritan mayor atención por:  Probabilidad de ocurrencia O  Impacto sobre la comunidad O   Nivel de preparación

70

25/09/2013

ANÁLISIS DE RIESGO AL NEGOCIO

Lista final de análisis de riesgos ►

►

Las amenazas y riesgos que son menos serios y no tan susceptibles susc eptibles a ocurrir deberían estar en la parte inferior inferior de la lista lista de análisis de riesgos. Esta clasificació clasificaciónn depende depende del juicio y la evaluación evaluación de las diversas consideraci consideraciones ones mencionadas anteriormente.

ANÁLISIS DEL IMPACTO AL NEGOCIO Análisis de impacto al negocio (BIA) ► BIA es una herramienta de gestión para caracterizar  plenamente  plenamente las operaciones,  procesos e interdependencias críticas para el negocio y usar esta información información para determinar los requisitos y  prioridades de contingencia. contingencia. ► Hacerlo durante una emergencia sería demasiado tarde

71

25/09/2013

ANÁLISIS DEL IMPACTO AL NEGOCIO

► ► ► ► ► ►

Propósito del BIA Eval Evaluar uar y priori priorizar zar las amen amenaz azas as Desa De sarrol rrolllar e implan plantar tar medida edidass de mitigac tigaciión Identif tificar cada uni unidad org organizacional onal y su relac elaciión con el resto resto de la organ organiizaci zación Identificar procesos crít icos dentro de cada unidad organizacional Iden Identi tifi fica carr los recu recurs rsos os crí crítico ticoss y las capa capaci cida dade dess neces ecesar ariias  para llevar llevar a cabo los procesos críticos Priori Prioriza zarr la recupe recuperac raciión de cada cada un uniidad dad

ANÁLISIS DEL IMPACTO AL NEGOCIO

Análisis de impacto al negocio (BIA) Procedimientos del BIA 



Entrevistar a los empleados y completar completar cuestionarios  para recopilar datos datos operativos y del negocio negocio Identificar funciones del negocio que sean críticas/sensibles críticas/sensibles al tiempo



Identificar Identificar productos e interdependencias clave de los  procesos (internos/externos) (internos/externos)



Identificar Identificar recursos críticos (personal, datos, equipo e interdependencias, interdependencias, por ejemplo, proveedores)

72

25/09/2013

ANÁLISIS DEL IMPACTO AL NEGOCIO Análisis de impacto al negocio (BIA) Procedimientos BIA Evaluar las operaciones del negocio para vincular estos est os servicios servicios críticos con los recursos del negocio.  Este análisis generalmente identificará la infraestructura requerida, incluyendo energía eléctrica, telecomunicaciones y controles ambiental ambientales. es.  Los equipos específicos de computación, tales como enrutadores, servidores de aplicaciones aplicaciones y servidores servidores de autenticación por lo general se consideran críticos. análisis podría determinar determinar que ciertos equipos del Nota: Este análisis negocio, como impresoras, copiadoras, mesa de reuniones, no son necesarios como co mo soporte de los servicios servicios críticos. 

ANÁLISIS DEL IMPACTO AL NEGOCIO Procedimientos BIA El análisis debería debería evaluar el impacto de la emergencia de dos maneras:

► 

Dar seguimiento a los efectos de la emergencia a lo largo la rgo del tiempo. Esto permitirá al planificador de contingencias identificar el tiempo  máximo en que se puede permitir per mitir la ausencia de un recurso antes de que éste impida o in hiba el desempeño de una función esencial.



Dar seguimiento a los efectos del faltante en los recursos r ecursos relacionados y operaciones dependientes del negocio, n egocio, identificando cualquier efecto efecto resultante que pudiera ocurrir cuando la operación interrumpida del negocio afecte a otras operaciones que dependen de ésta.

73

25/09/2013

ANÁLISIS DEL IMPACTO AL NEGOCIO Análisis del impacto al negocio 





El planificador de contingencias debería determinar el punto óptimo para recuperar las operaciones del negocio balanceando el costo de que el negocio no opere contra el costo de los recursos requeridos para restaurar el negocio. Esto se puede representar utilizando un gráfico simple. El punto donde se encuentren las líneas va a determinar durante cuánto tiempo la organización puede permitir la interrupción del sistema.

Costo de Interrupción

Costo

Costo de Recuperación

Tiempo

ANÁLISIS DEL IMPACTO AL NEGOCIO Análisis del impacto al negocio 



El impacto de la interrupción y el tiempo  permitido de interrupción caracterizado en este proceso permiten al planificador de contingencias desarrollar y priorizar las estrategias de recuperación a ser ejecutadas al activar el plan de contingencia.

Costo de Interrupción

Costo

Por ejemplo, si el paso para definir el impacto de la interrupción determina que las operaciones del negocio deben ser recuperadas en 4 horas, el planificador de contingencias deberá adoptar medidas para cumplir con este requisito.

Costo de Recuperación

Tiempo

74

25/09/2013

ANÁLISIS DEL IMPACTO AL NEGOCIO Análisis del impacto al negocio 



Igualmente, si la mayoría de las operaciones del negocio pueden tolerar una interrupción de 24 horas pero una operación crítica no puede dejar de estar disponible por más de 8 horas, el  planificador de contingencias deberá  priorizar los recursos necesarios para la operación crítica.

Costo de Interrupción

Costo

Al priorizar estas estrategias de recuperación, el planificador de contingencias podrá tomar decisiones más informadas y específicas sobre la asignación y el uso de los recursos de contingencia, ahorrando así tiempo, esfuerzo y costos adicionales.

Costo de Recuperación

Tiempo

ANÁLISIS DEL IMPACTO AL NEGOCIO

Evaluación de procedimientos BIA 







Impacto de los limitados recursos de la comunidad sobre la seguridad de los empleados y el grado de respuesta a las emergencias Potencial peligro para las instalaciones por tráfico terrestre y aéreo Potencial peligro para empleados e instalaciones por materiales peligrosos Capacidad/incapacidad de notificar oportunamente a los ocupantes sobre una emergencia

75

25/09/2013

ANÁLISIS DEL IMPACTO AL NEGOCIO ►

Identificar los recursos y autoridades de respuesta a emergencias  Área local →Policía más cercana →Departamento de bomberos más cercano →Hospitales de traumatología más cercanos →Sistemas de tránsito masivo →Oficinas locales y nacionales de gestión de emergencias  Sector privado →Servicios de ambulancia →Ingeniería ambiental

ANÁLISIS DEL IMPACTO AL NEGOCIO

Evaluación de procedimientos BIA Usar insumos gerenciales para priorizar el personal clave, recursos, operaciones y servicios tangibles e intangibles críticos/esenciales para el negocio  Determinar y priorizar los procedimientos, cronogramas críticos y objetivos de recuperación 



Coordinar con las funciones de soporte (informática, legal, administración, personal, ingeniería y proveeduría) y determinar las limitaciones del negocio

76

25/09/2013

ANÁLISIS DEL IMPACTO AL NEGOCIO Identificar soluciones, impactos por interrupción y tiempos permitidos de interrupción 

Amenaza de peligros/frecuencia de delitos sobre las operaciones de negocios



Peligro por limitaciones en carreteras o congestionamiento de tráfico durante una emergencia



Impacto de un cierre prolongado de instalaciones ( objetivos de tiempo de



Limitación en salidas de edificios y de la comunidad en un a emergencia



Continuidad en cumplimiento con leyes nacionales y locales

recuperación por operación central principal)

ANÁLISIS DEL IMPACTO AL NEGOCIO

Desarrollar procedimientos preventivos y de mitigación de impactos por la interrupción En algunos casos, los impactos por la interrupción identificados en el BIA podrían ser mitigados o eliminados con medidas preventivas que prevengan, detecten y/o reduzcan los impactos sobre las operaciones del negocio.  Cuando sea posible y eficiente en costos, los métodos  preventivos son preferibles a las acciones que pudieran ser necesarias para recuperar las operaciones del negocio después de una interrupción. 

77

25/09/2013

ANÁLISIS DEL IMPACTO AL NEGOCIO Controles comunes para prevenir y mitigar interrupciones ► ► ► ► ► ► ► ► ►

Generadores de gasolina o diesel para asegurar energía de respaldo por  períodos prolongados Sistemas de supresión de incendios Detectores de incendio y humo Láminas plásticas que puedan colocarse sobre los equipos para  protegerlos de daños por agua Receptáculos a prueba de fuego y de agua para los registros vitales Interruptor maestro del sistema en emergencias Almacenamiento remoto de datos de respaldo de las computadoras Controles técnicos de seguridad, tales como gestión de llaves criptográficas y controles de acceso de menor privilegio Respaldo de datos frecuente y programado

ANÁLISIS DEL IMPACTO AL NEGOCIO Ejemplo del proceso de análisis del impacto al negocio para una compañía o agencia gubernamental

Insumos de usuarios, dueños de procesos de negocios, dueños de aplicaciones y otros grupos asociados

IDENTIFICAR RECURSOS INFORMÁTICOS CRÍTICOS

IDENTIFICAR IMPACTOS DE INTERRUPCIÓN Y TIEMPOS PERMISIBLES DE INTERRUPCIÓN

ESTABLECER PRIORIDADES DE RECUPERACIÓN

PROCESO 2: Reporte de horas y asistencia Procesos críticos del negocio

•Procesamiento de planillas •Reporte de horas y asistencia •Verificaciónde horas y asistencia •Aprobación de horas y asistencia . . . X

Recursos críticos •Servidor LAN •Acceso WAN •E-mail •Acceso a mainframe •Servidor de e-mail . .

Recursos críticos •Servidor LAN •Acceso WAN •E-mail •Acceso a mainframe •Servidor de e-mail . . .

Tiempo máximo de interrupción

Impacto

8 horas •Demora en tiempo de procesamiento de hojas de trabajo •Incapacidad de ejecutar operaciones normales de planillas •Demora en procesamiento de planillas

Recursos

Prioridad de Recuperación

•Servidor LAN •Acceso WAN •E-mail •Acceso a mainframe •Servidor de e-mail . . .

Alta Mediana Baja Alta Alta

78

25/09/2013

MATRIZ DE DECISIONES (RIESGO)

(Usada en el análisis de riesgo e impacto al negocio) ►

Proceso de evaluar los riesgos y el impacto asociado con un riesgo específico y definido en términos de probabilidad y frecuencia de ocurrencia, magnitud, severidad, exposición y consecuencias

►

La matriz de decisiones permite a los planificadores de mitigación de riesgos clasificar diversos tipos de riesgo en diferentes categorías de prioridad ubicándolos en una cuadrícula de acuerdo con su frecuencia y severidad.

MATRIZ DE DECISIONES (RIESGO) Matriz para dimensionar las definiciones de impacto en formato de tabla

Magnitud del Impacto Alta

Mediana

Baja

Definición del Impacto La ocurrencia del riesgo (1) podría resultar en una pérdida sumamente costosa de activos tangibles o recursos importantes; (2) podría violar, dañar o impedir de manera significativa la misión, reputación y los intereses de una organización; o (3) podría resultar en muerte o heridas graves. La ocurrencia del riesgo (1) podría resultar en una pérdida costosa de activos tangibles o recursos; (2) podría violar, dañar o impedir la misión, reputación y los intereses de una organización; o (3) podría resultar en heridas graves. La ocurrencia del riesgo (1) podr a resultar en la p rdida de algunos activos tangibles o recursos; o (2) podría afectar de manera notable la misión, reputación y los intereses de una organización.

79

25/09/2013

MATRIZ DE DECISIONES (RIESGO) Matriz para dimensionar las definiciones de impacto 





Alto impacto – Definición > La ocurrencia del riesgo (1) podría resultar en una pérdida sumamente costosa de activos tangibles o recursos importantes; (2) podría violar, dañar o impedir de manera significativa la misión, reputación y los intereses de una organización; o (3) podría resultar en muerte o heridas graves. Mediano impacto – Definición > La ocurrencia del riesgo (1) podría resultar en una pérdida costosa de activos tangibles o recursos; (2) podría violar, dañar o impedir la misión, reputación y los intereses de una organización; o (3)  podría resultar en heridas graves. Bajo impacto – Definición > La ocurrencia del riesgo (1) podría resultar en la  pérdida de algunos activos tangibles o recursos; o (2) podría afectar de manera notable la misión, reputación y los intereses de una organización.

MATRIZ DE DECISIÓN (RIESGO)

Principal ventaja de un análisis cuantitativo de impacto usando el método de la matriz de decisiones Ofrece una medición cuantitativa de la magnitud del impacto que se puede utilizar para el análisis costo – beneficio de los controles recomendados

80

25/09/2013

MATRIZ DE DECISIÓN (RIESGO) Tabla matriz para descripción del nivel de riesgo La escala de riesgo con calificaciones de alto, mediano y bajo representa la grado o nivel de r iesgo al cual podría estar expuesto un sistema de computación, una instalación o un procedimiento si se da un riesgo dado. La escala de riesgo también incluye las acciones que debe tomar la alta gerencia  para cada nivel de riesgo. Nivel de riesgo

Alto

Mediano

Bajo

Descripción del riesgo y acciones necesarias

Si la observación o hallazgo califica el riesgo como alto, existe una fuerte necesidad de tomar acciones correctivas. Un sistema existente podría continuar operando, pero se debe implantar un plan de acciones correctivas lo más pronto posible. Si una observación califica el riesgo como mediano, se necesitan acciones correctivas y se debe desarrollar un plan para incorporar estas acciones dentro de un período razonable de tiempo. Si una observación describe el riesgo como bajo, el sistema de evaluación de amenazas debe determinar si se requiere desarrollar acciones correctivas o decidir si se acepta el riesgo.

MATRIZ DE DECISIÓN (RIESGO) TABLA MATRIZ PARA LA DETERMINACIÓN DEL RIESGO ► La anterior tabla se utiliza para evaluar el nivel de riesgo para un

sistema de computación. La determinación de riesgo para una amenaza particular puede ser expresada en función de: 





La probabilidad de que la fuente de una amenaza ponga a prueba una vulnerabilidad específica La magnitud del impacto si la fuente de la amenaza logra poner a prueba la vulnerabilidad La habilidad de los controles de seguridad diseñados o existentes de reducir o eliminar el riesgo.

81

25/09/2013

MATRIZ DE DECISIÓN (RIESGO) Matriz de nivel de riesgo ► La determinación final del riesgo de la misión se deriva multiplicando las

clasificaciones asignadas para la amenaza (probabilidad) por el impacto de la amenaza. ► La siguiente tabla muestra como se podrían determinar las clasificaciones generales de riesgo con base en los insumos de la  probabilidad de la amenaza y las categorías del impacto de la amenaza. ► La siguiente es una matriz 3 x 3 de la probabilidad de la amenaza (alta, mediana y baja) y el impacto de la amenaza (alto, mediano y bajo). ► Dependiendo de los requisitos del sitio y el desglose deseado de la evaluación de riesgos, algunos sitios podrían utilizar matrices 4 x 4 o 5 x 5.

MATRIZ DE DECISIONES (RIESGO)

La determinación de estos niveles o clasificaciones de riesgo podría ser subjetiva. ► El razonamiento para esta justificación puede explicarse en términos de la probabilidad asignada para cada nivel  probable de amenaza y un valor asignado para cada nivel  probable de impacto. Por ejemplo, ►





La probabilidad asignada para cada nivel probable de amenaza es • 1.0 para alta, • 0.5 para mediana, • 0.1 para baja El valor asignado a cada nivel de impacto es 100 para alto, 50 para mediano y 10 para bajo.

82

25/09/2013

MATRIZ DE DECISIONES (RIESGO)

Matriz de nivel de riesgo  Escala de riesgo: alto ( >50 a 100); mediano ( >10 a 50); bajo (1 a 10)

Probabilidad de amenaza

Alta (1.0)

Mediana (0.5)

Baja (0.1)

Impacto Bajo

Mediano

Alto

(10)

(50)

(100)

Bajo

Mediano

Alto

10 x 1.0 = 10

50 x 1.0 = 50

100 x 1.0 = 100

Bajo

Mediano

Mediano

10 x 0.5 = 5

50 x 0.5 = 25

100 x 0.5 = 50

Bajo

Bajo

Bajo

10 x 0.1 = 1

50 x 0.1 = 5

100 x 0.1 = 10

MATRIZ DE DECISIONES (RIESGO) Matriz de decisión de riesgos - Ejemplo #1: Dos pulgadas de lluvia Dos pulgadas de lluvia es una ocurrencia muy común durante el verano de Costa Rica. Esto representa una ALTA FRECUENCIA. Su  severidad  en la mayoría de los casos sería considerada MENOR. Categorías de riesgo en los siguientes ejemplos    

Clase A: Condición de riesgo alto con la mayor prioridad para mitigación y acción inmediata Clase B: Condición de riesgo moderado a alto donde el riesgo es tratado con mitigación y acción pronta Clase C: Condición de riesgo suficientemente alta para considerar mitigación y  planificación adicional Clase D: Condición de bajo riesgo

83

25/09/2013

MATRIZ DE DECISIONES (RIESGO) Matriz de decisión de riesgos - Ejemplo #1: Dos pulgadas de lluvia Dos pulgadas de lluvia, una amenaza de alta frecuencia y de severidad menor, debería ser considerada un riesgo Clase C, para la posible mitigación y  planificación adicional. FRECUENCIA Alta

2” de Lluvia

Moderada

Baja

Muy Baja Menor

Seria

Extensiva Catastrófico

SEVERIDAD

MATRIZ DE DECISIONES (RIESGO) Matriz de decisión de riesgo - Ejemplo #2: Ocho pulgadas de lluvia Ocho pulgadas de lluvia representan una ocurrencia común en verano en Costa Rica, lo que representa una

ALTA FRECUENCIA. La categoría de riesgo debería aumentarse a Clase B y considerarse una condición de moderada a alta a ser tratada por mitigación y planificación de contingencias para una acción pronta, si esa cantidad llegase a caer en una hora.

FRECUENCIA Alta

8” de Lluvia

Moderada

Baja

Muy Baja Menor

Seria

Extensiva Catastrófico

SEVERIDAD

84

25/09/2013

PLAN DE CONTINUIDAD DEL NEGOCIO (BCP) Capacitación Varios propósitos ► La capacitación periódica de empleados de respuesta y recuperación de emergencias en BCP aumentará significativamente la posibilidad de que las operaciones centrales del negocio se puedan recuperar exitosamente de alguna emergencia mayor. ► Los empleados clave deberían participar en el proceso de desarrollo de continuidad del negocio, así como en ejercicios periódicos de capacitación. ► Los empleados deberían conocer:   

las condiciones que requieren al ejecutar parte o todo el BCP quién es responsable de ejecutar los BCP para la s unidades de negocios y la institución y qué hacer si los empleados clave no están disponibles en el momento de la emergencia.

PLAN DE CONTINUIDAD DEL NEGOCIO (BCP)

Capacitación Desarrollo de la capacitación ► La capacitación se debe desarrollar con base en los problemas identificados o documentados durante las pruebas BCP. ► Se debe asegurar que la capacitación sea razonable y específica  para los empleados, las instalaciones, operaciones o funciones. Por ejemplo, si el material de capacitación se desarrolla para asegurar que las operaciones del negocio sensibles al tiempo se  puedan recuperar y continuar operando, se debe recolectar información de respuesta y recuperación de desastres con tiempos asociados que incluya el impacto sobre esas operaciones, es decir, impacto de un incendio, edificio colapsado, destrucción de instalaciones/equipo, falla en las líneas de comunicación, etc.

85

25/09/2013

PLAN DE CONTINUIDAD DEL NEGOCIO (BCP) Capacitación  Ejemplos de preguntas para determinar el conocimiento de los empleados de sus tareas asignadas de BCP en una emergencia • • • • • •

¿Dónde está el sitio de reunión inicial o alterno de recuperación después de anunciar una emergencia? ¿Cuáles son las responsabilidades asignadas a usted como miembro de uno de los equipos de respuesta a emergencias? ¿Quién debería reportarse al sitio de reunión inicial o alterno de recuperación después de que se anuncia una emergencia y cuáles son los números de teléfono de estos dos sitios? ¿A cuáles empleados de la compañía puede usted contactar inmediatamente? Si uno/una de sus contactos de emergencia no estuviera en su escritorio, ¿cómo podría contactarle? Mire su lista actual de contactos de emergencia e indique si está al d ía.

PLAN DE CONTINUIDAD DEL NEGOCIO (BCP) Capacitación Estrategias • Identificar y capacitar a individuos

responsables de responder a una situación de desastre. No toda persona es capaz de desempeñar toda función.

• Asegurar programas de capacitación

 basados en competencias con una  programación específica para el rol de la  persona en la respuesta a emergencias.

86

25/09/2013

PLAN DE CONTINUIDAD DEL NEGOCIO (BCP)

Capacitación Estrategias • Quienes responden a una situación de

desastre deben tener los conocimientos, destrezas, habilidades y comportamientos necesarios para desempeñar las tareas de manera correcta y efectiva. • La capacitación es importante para identificar debilidades en los planes de gestión de emergencias. • La capacitación se usa para identificar debilidades en el plan de respuesta y  poder corregirlas .

Evaluación de riesgo Una metodología para determinar la naturaleza y el grado de riesgo a través del análisis de posibles amenazas y la evaluación de las condiciones existentes de vulnerabilidad que conjuntamente podrían dañar potencialmente a la población, la propiedad, los servicios y los medios de sustento expuestos, al igual que el entorno del cual dependen. EIRD 2009

87

25/09/2013

Primer abordaje al inventario de amenazas Primer abordaje, Inventario de amenazas

IA 1: Enumere las amenazas potenciales

IA 2: Establezca prioridades para abordar las amenazas identificadas

Producto esperado Lista de amenazas en orden de prioridad

Pasos del análisis de amenazas Análisis de la amenaza AA 1: Investigue los registros

AA 2: Establezca las magnitudes potenciales

AA 3: Defina la frecuencia / período de retorno AA 4: Defina la zonificación Producto Amenazas identificadas con tres magnitudes potenciales

88

25/09/2013

Pasos del análisis de vulnerabilidad Análisis de vulnerabilidad AV 1: Determine los elementos en peligro AV 2: Determine las características de la población en peligro AV 3: Identifique el nivel organizacional AV 4: Establezca la capacidad de respuesta de la comunidad Producto Vulnerabilidad expresada con respecto a una amenaza identificada en términos de elementos en peligro, características de la población en peligro y las capacidades de respuesta tanto de las instituciones como de las comunidades.

Pasos para la evaluación de escenarios de riesgo Evaluación de escenarios de riesgo ER 1: Decida sobre el niv el de magnitud del evento

ER 2: Describa el evento detonante (amenaza

ER 3: Detalle el impacto esperado

Producto Descripción del evento detonante específico (amenaza) y los efectos consecuentes directos e indirectos esperados .

89

25/09/2013

EJERCICIO FINAL ICONTEC Tiempo 2.5 horas!

PREGUNTAS CASO • Objetivos:  – Identificar el impacto potencial de las interrupciones sobre el negocio.  – Identificar las amenazas sobre los activos que soportan el negocio.

• Tareas  –  –  –  –  –  –  –  –  –

Elegir una actividad (grupo, gerencia, departamento, etc.) Describir el proceso o “Cadena de Valor” de esa actividad. Identificar los Procesos Críticos. Identificar dependencias. Definir RTO y RPO. Analizar el impacto financiero, regulatorio, reputacional, etc. Identificar los activos Entender el daño que las amenazas pueden causar sobre ellos. Proponer estrategias de continuidad

90

25/09/2013

FACTORES CRITICOS • Incrementar la Resiliencia • Visión Integral de la Gestión del Riesgo de Desastre (Seguridad Societal/Societal Security ISO/TC 223, Risk management ISO31010, BCP)

• • • • •

Enfoque multi-amenazas Conciencia comunitaria (Stakeholders , LEMA, Cadena) Percepción del riesgo aplicada (aprehender) Usar herramientas existentes (SCI…) Integrar y Estructurar: Datos / Informacion / Conocimiento / Inteligencia

• Prospectiva Aplicada (No esperar los desarrollos funebres)

91