25/09/2013
TALLER PARA INSTRUCTORES EN CONTINUIDAD DE NEGOCIO
ICONTEC 2013
PRESENTACION PRESENT ACION Y EXPECT EXPECTA ATIV TIVAS AS • Participantes
• Expectativas
– Asistentes… – Facilitador: Juan C. Lobo T.
1
25/09/2013
• Objetivo • Fortalecer las capacidades de los instructores de ICONTEC en los temas relacionados con la continuidad de negocio, negocio, basados en la norma ISO22301.
Objetivos específicos específicos • Objetivos • Realizar un contexto de la continuidad de negocio en el marco de la seguridad de la sociedad. • Desarrollar los pasos necesarios para la construcción de un plan de continuidad, basado en el ciclo descrito en la norma 22301. • Desarrollar los pasos necesarios para construir un plan de contingencia (recuperación). • Desarrollar las etapas necesarias para la fase de restauración, sus planes y los sitios de trabajo alternativos. • Enumerar herramientas para la aplicación de la continuidad de negocio
Objetivo de desempeño • Los participantes a través de lecturas previas y en un tiempo no mayor a dos horas desarrollaran un bosquejo de un plan de continuidad con sus apéndices aplicado a una empresa. Metodología: • Se desarrolla el taller a través del reforzamiento de conceptos basado en ejemplos prácticos, se utiliza el método interactivo de enseñanza. En este método se promueve la participación activa y permanente de quienes necesitan conocimientos y habilidades para lograr determinado desempeño. Tiempo • 8 horas.
2
25/09/2013
Agenda 1. Con Contexto exto de la con continu tinuid idad ad de nego negoci cio o en en el el mar marco co de la seguridad de la sociedad, la gestión del riesgo y la Resiliencia. 2. Paso Pasoss nece necesa sari rios os par para la la con consstruc trucci ción ón de un plan plan de continuidad, basado en el ciclo descrito en la norma 22301. 3. Pasos asos nece necesa sari rios os par para con consstrui truirr un plan plan de contingencia (recuperación). 4. Etapa tapass nec neces esar aria iass par para a la la fas fase e de de res resta taur urac ació ión, n, sus sus planes y los sitios de trabajo alternativos. 5. Herr He rram amie ien ntas tas par para a la la apl aplic icac ació ión n de la con continu tinuid idad ad de negocio 6. Ejercicio final en equipo
28/08/2012
www.risklatam.com SGI®
6
3
25/09/2013
4
25/09/2013
5
25/09/2013
6
25/09/2013
ACCIÓN ECOPETROL (EC) – INCIDENTE DOSQUEBRADAS
COLOMBIA • • • • • • • • • • • • • • • • • •
1983 Destrucción 70% de Popayán. 1985 Avalancha de Armero. 1988 Huracán Joan 1992 Terremoto en Atrato Medio 1994 Sismo y avalancha del río Páez. 1995 Sismo de Pereira. 1999 Terremoto Eje Cafetero. 1999 Fenómeno de La Niña 2001 Tornado Soledad (Atlántico) 2002 Deslizamiento Montecristo (Bolívar) 2003 Segunda Temporada Invernal (30 Departamentos) 2004 Temporada Invernal 2005 Temporada Invernal Febrero 2005 (4 departamentos) 2005 Huracán BETA 2006 Volcán Galeras 2006 Tornado en Barranquilla 2007 Incendios en Cundinamarca 2007 Avalancha (erupción) Volcán Nevado del Huila
• • • • • • • • • •
• •
2007 Inundaciones en La Mojana 2007 Inundaciones en Córdoba 2008 Primera y Segunda ola invernal 2009 Incendios Forestales Cali 2009 Inundaciones en Tumaco (rio Mira) 2010 Incendios Forestales en todo el territorio nacional 2011 Inundaciones (fenómeno de la Niña) Pérdidas económicas por los principales desastres: Avalancha Armero (1985): $211.8 millones de dólares de 1985 (PNUD). Terremoto Eje cafetero (1999): $1.800 millones de dólares, equivalentes a 2,2% del PIB de 1998 y 35.3 del PIB de los Departamentos (Forec) Fenómeno del niño (1997-98): $570 millones de dólares (CAF). Niña (2010-2011) Recuperación 24 billones de pesos
7
25/09/2013
DESARROLLOS FUNERARIOS DESPUÉS DE…
Cisne Negro: El impacto de lo altamente impensable,
DESASTRE
satisface estas tres propiedades: esta fuera del reino de las expectativas norm ales, produce un impacto tremendo y hace que inventemos explicaciones despues, con lo que se hace explicable y predecible. (Nassim N. Taleb)
Un evento adverso que causa un intenso impacto negativo en personas, bienes, servicios y en el medio ambiente, excediendo la capacidad existente. reducir la vulnerabilidad, incrementar la capacidad incrementar la resiliencia
8
25/09/2013
¡Mas vale prevenir que lamentar! El costo de reducción de la vulnerabilidad es menor cuando las medidas de reducción forman parte del proyecto original y no cuando se las incorpora a raíz de la ocurrencia de un evento desastroso. En donde los costos serán ampliamente mayores. US$1 A US$7
El indiscutible avance de la gestión de riesgos de desastre
Organismos de defensa civil
Organizaciones nacionales de emergencias
Organizaciones nacionales de gestión de riesgos y manejo de desastres
Sistemas nacionales
……………..
9
25/09/2013
Qué es la Gestión del Riesgo de Desastres Entiéndase la gestión del riesgo de desastres como un proceso social orientado a la formulación, ejecución, seguimiento y evaluación de políticas, estrategias, planes, programas, regulaciones y acciones permanentes para el conocimiento y la reducción del riesgo y para el manejo de desastres, con el propósito explícito de contribuir a la seguridad, el bienestar, la calidad de vida de las personas y al desarrollo sostenible. LEY 1523 DE 2012 (abril 24) Diario Oficial No. 48.411 de 24 de abril de 2012 Por la cual se adopta la política nacional de gestión del riesgo de desastres y se establece el Sistema Nacional de Gestión del Riesgo de Desastres y se dictan otras disposiciones.
PROCESOS Y SUBPROCESOS DE LA GESTIÓN DEL RIESGO Conocimiento del riesgo
Identificación de componentes del riesgo (amenaza, exposición y vulnerabilidad)
Análisis y evaluación del riesgo
Comunicación del riesgo
Reducción del riesgo
Intervención correctiva (riesgo actual)
Intervención restrictiva y prospectiva (nuevos riesgos)
Protección financiera
Manejo de desastres
Preparación la respuesta
Respuesta, atención y restitución de servicios esenciales
Rehabilitación y Reconstrucción
10
25/09/2013
Estructura UNGRD CONSEJO DIRECTIVO DIRECCIÓN GENERAL Oficina Asesora de Planeación e Información
Oficina Asesora de Comunicaciones
Oficina Asesora Jurídica
Oficina de Control Interno
Subdirección General
Subdirección para el Conocimiento del Riesgo
Subdirección para la Reducción del Riesgo
Subdirección para el Manejo de Desastres
Sistema Nacional de Gestión del Riesgo de Desastres Presidente de la República CONSEJO NACIONAL PARA LA GESTIÓN DEL RIESGO Fondo Nacional
UNGRD Comité Nacional para el Conocimiento del Riesgo
Comité Nacional para la Reducción del Riesgo
(5 Subcuentas)
Comité Nacional para el Manejo de Desastres
Gobernador
Fondo Departamental
CONSEJO DEPARTAMENTAL PARA LA GESTIÓN DEL RIESGO (32) Comités para: Conocimiento, Reducción, Manejo
Alcalde
Fondo Municipal
CONSEJO MUNICIPAL PARA LA GESTIÓN DEL RIESGO (1102) Comités para: Conocimiento, Reducción, Manejo
11
25/09/2013
Published standards ISO 22300:2012 ISO 22301:2012 ISO/TR 22312:2011 ISO 22320:2011 ISO/PAS 22399:2007
Societal security -- Terminology Societal security -- Business continuity management systems --- Requirements Societal security -- Technological capabilities Societal security -- Emergency management -- Requirements for incident response Societal security - Guideline for incident preparedness and operational continuity management
Standards under development Societal security - Video-surveillance - Export interoperability ISO/DIS 22311 Societal security -- Business continuity management systems -- Guidance ISO/DIS 22313 ISO/NP 22315 Societal security -- Mass evacuation Societal security -- Emergency management -- Public warning ISO/CD 22322 Organizational resilience management systems - Requirements with guidance for use ISO/WD 22323 Societal security - Emergency managament - Colour-coded alert ISO/CD 22324 ISO/NP 22351 Societal security -- Emergency management -- Shared situation awareness Societal security -- Public Private Partnership -- Guidelines to set up partnership ISO/CD 22397 agreements Societal security -- Guidelines for exercises ISO/DIS 22398 Published standards - Risk Management Risk management -- Principles and guidelines ISO 31000:2009 Risk management -- Vocabulary ISO Guide 73:2009 Risk management -- Risk assessment t echniques ISO/IEC 31010:2009
28/08/2012
www.risklatam.com SGI®
23
Planes de Emergencia
Ambiente externo
EXTERNALIDADES
12
25/09/2013
13
25/09/2013
14
25/09/2013
Evaluación del Riesgo Manejo para Desastres
Recuperación Reducción del Riesgo
La gestión del riesgo y el manejo de desastres desde el punto de vista de los grupos de interés
15
25/09/2013
ESCENARIOS Impacto Frecuencia Bajo
Alto
Erupciones Volcánicas Incendios Forestales Sequias
Muy alto
Inundaciones Deslizamientos Tecnologicos
Frecuente o Muy probable
Terremotos
Probable
Enfermedades Huracanes Tsunamis (Gripa Aviar)
Ocasionalmente
16
25/09/2013
Amenaza • Factor externo al sujeto, objeto o sistema expuesto, representado por la potencial ocurrencia de un suceso de origen natural o generado por la actividad humana, que puede manifestarse en un lugar específico, con una intensidad y duración determinadas.
Amenazas más frecuentes Amenaza Inundación Marejada ciclónica
Causa Lluvia torrencial Huracanes Deforestación Erosión Huracanes
Origen Categoría Natural Causada por hombre Natural
Erupción volcánica
Emisión de materias procedentes del centro de la tierra
Natural
Huracán
Sistema meteorológico de baja presión
Natural
Contaminación química
Disposición inapropiada de desechos nucleares
Causada por el hombre
17
25/09/2013
Inundaciones y daño asociado
Actividad volcánica
© Montserrat Volcano Observatory
18
25/09/2013
Vulnerabilidad Factor interno de un sujeto, objeto o sistema expuesto a una amenaza, que corresponde a su disposición intrínseca a ser dañado.
Vulnerabilidad debido a los cortes excesivos en laderas
19
25/09/2013
Riesgo Probabilidad de exceder un valor específico de daños sociales, ambientales y económicos, en un lugar específico y durante un tiempo de exposición determinado.
Riesgo Aceptable El nivel de las pérdidas potenciales que una sociedad o comunidad consideran aceptable, según sus condiciones sociales, económicas, políticas, culturales, técnicas y ambientales existentes. EIRD 2009
20
25/09/2013
Desastre Alteraciones en las personas, los bienes, los servicios y el ambiente, causadas por un suceso natural o generado por la actividad humana, que exceden la capacidad de respuesta de la comunidad afectada.
Gestión del riesgo de desastres Componente del sistema social constituido por un proceso eficiente de planificación, organización, dirección y control dirigido al análisis y la reducción de riesgos, el manejo de eventos adversos y la recuperación ante los ya ocurridos.
21
25/09/2013
Áreas y componentes de la gestión de riesgo de desastres Áreas
Componentes
Análisis del riesgo
Estudios de amenaza y vulnerabilidad
Reducción del riesgo
Prevención y mitigación, transferencia y financiamiento
Manejo de eventos adversos
Preparación, alerta, respuesta
Recuperación
Rehabilitación y reconstrucción
Evaluación del riesgo Uso sistemático de la información disponible para determinar la probabilidad de ocurrencia de ciertos eventos adversos así como la magnitud de sus posibles consecuencias.
22
25/09/2013
Reducción del riesgo de desastres Acciones orientadas a minimizar el impacto adverso de las amenazas a través de incrementar la resiliencia de los grupos vulnerables y de las comunidades, reduciendo la vulnerabilidad, e incrementando la capacidad para prepararse, responder, y recuperarse del impacto del desastre.
Reducción de riesgo Acciones orientadas a minimizar el impacto adverso de las amenazas a través de incrementar la resiliencia de los grupos vulnerables y de las comunidades, reduciendo la vulnerabilidad, e incrementando la capacidad para prepararse, responder, y recuperarse del impacto del desastre.
23
25/09/2013
Categorías de las medidas de reducción del riesgo • • • • •
Físicas Socioeconómicas Ambientales De gestión e institucionales Post
Medidas físicas
Medidas estructurales y no estructurales que se ejecutan para ayudar a evitar o a aliviar el daño y las pérdidas que resultan de eventos adversos.
24
25/09/2013
Malas prácticas de desarrollo
Medidas estructurales Se refieren a la construcción física dirigida a reducir o evitar los posibles impactos de una amenaza, incluyendo medidas de ingeniería y la construcción de estructuras e infraestructura resistente a las amenazas y de protección.
25
25/09/2013
Medidas estructurales Muros usados para reducir el efecto de las lluvias torrenciales en áreas propensas a deslizamientos.
Medidas no estructurales Se refieren a políticas, aumento de conciencia, desarrollo de conocimiento, compromiso público y métodos y prácticas de operación, incluyendo mecanismos participativos y la provisión de información que pueden reducir el riesgo y los impactos relacionados.
26
25/09/2013
Medidas de Gestión Códigos de construcción Una serie de ordenamientos o reglamentos relacionados con estándares que buscan controlar aspectos de diseño, construcción, materiales, modificaciones y ocupación de cualquier estructura, los cuales son necesarios para velar por la seguridad y el bienestar de los seres humanos, incluida la resistencia a los derrumbes y a los daños. EIRD 2009.
Medidas socioeconómicas Son aquellas diseñadas para tratar brechas y debilidades en los sistemas por los que las comunidades y la sociedad como un todo se preparan para responder a eventos adversos.
27
25/09/2013
Medidas ambientales Son aquellas diseñadas para proteger sistemas ambientales existentes, o rehabilitar los degradados, mejorando así su capacidad para enfrentar el impacto de futuros eventos adversos.
Prevención Conjunto de acciones cuyo objeto es impedir o evitar que sucesos naturales o generados por la actividad humana, causen eventos adversos.
28
25/09/2013
Mitigación Resultado de una intervención dirigida a reducir riesgos.
Mitigación y prevención Amenaza cuyo impacto se puede prevenir
Amenaza cuyo impacto se puede mitigar
Derrame de hidrocarburos
Terremoto
Contaminación por desechos tóxicos
Huracán
Contaminación industrial
Erupción volcánica
29
25/09/2013
Transferencia de riesgo Uso de instrumentos económicos para distribuir- compartir y proteger contra las perdidas y daños antes de que ocurra un evento adverso.
Preparación Conjunto de medidas y acciones para reducir al mínimo la pérdida de vidas humanas y otros daños, organizando oportuna y eficazmente la respuesta y la rehabilitación.
30
25/09/2013
Alerta Estado declarado con el fin de tomar precauciones específicas, debido a la probable y cercana ocurrencia de un evento adverso.
Respuesta Acciones llevadas a cabo ante un evento adverso y que tienen por objeto salvar vidas, reducir el sufrimiento y disminuir pérdidas.
31
25/09/2013
Recuperación Proceso de restablecimiento de las condiciones normales de vida en la comunidad afectada.
Rehabilitación Recuperación, a corto plazo, de los servicios básicos e inicio de la reparación del daño físico, social y económico.
32
25/09/2013
Reconstrucción Proceso de reparación, a mediano y largo plazo, del daño físico, social y económico, a un nivel de desarrollo superior al existente antes del evento.
Desarrollo • Aumento acumulativo y durable de cantidad y calidad de bienes, servicios y recursos de una comunidad, unido a cambios sociales, tendiente a mantener y mejorar la seguridad y la calidad de la vida humana, sin comprometer los recursos de las generaciones futuras.
33
25/09/2013
Resiliencia
9/25/2013
68
34
25/09/2013
Latín - resilire, recuperarse, retroceder o volver a la
original Inglés (siglo 17)– resilience, calidad de las maderas
para soportar cargas severas sin romperse Resiliencia
Física – objetos que resisten los efectos de fuerzas
externas Química - capacidad de un metal para regresar a su
estado original Ingeniería - medida de la capacidad de un material
para resistir el impacto, así como para absorber y liberar energía a través de la elasticidad (McAsian, 2009) .
Psicología - capacidad de funcionar en un
ambiente inmensamente exigente, así como la capacidad de lidiar con el estrés (Norris et al, 2009) Sociología - capacidad de los grupos a hacer frente al estrés generado por cambios en el medio ambiente Resiliencia
(Platteau, 2000)
Ecología - capacidad de un ecosistema para
absorber los cambios, siguen funcionando y evolucionando (Klein et al, 2004) Sostenibilidad social - capacidad de los individuos, grupos y comunidades para identificar y abogar por sus necesidades, ahora y para las generaciones futuras (McKenzie, 2004)
35
25/09/2013
Del imperativo de respuesta Al énfasis en la preparación El salto a la mitigación Las dificultades de la reducción del riesgos La opción de la resiliencia
Resiliencia:
Capacidad de un sistema, comunidad o sociedad expuestos a una amenaza para resistir, absorber, adaptarse y recuperarse de sus efectos de manera oportuna y eficaz, lo que incluye la preservación y la restauración de sus estructuras y funciones básicas. (UN-ISDR 2009)
36
25/09/2013
Propiedades de la resiliencia:
Inherentes, se refieren a la capacidad de un individuo, familia, colectividad, institución o sistema para funcionar apropiadamente en tiempos de normalidad (no crisis). Adaptativas, relacionadas con la flexibilidad demostrada, por el sujeto de estudio, durante y después de un evento o crisis, para adecuar su comportamiento y la creatividad para abordar los problemas inducidos por el desastre. Estas dos propiedades de la resiliencia están correlacionadas, sujetos con capacidad de recuperación inherente, están en mejores condiciones para desarrollar e implementar estrategias de adaptación.
Midiendo la Resiliencia (Tierney&Bruneau) Robustez, capacidad para soportar las fuerzas de desastre sin
una degradación significativa o pérdida de rendimiento; Redundancia, si la degradación o pérdida de la funcionalidad se producen, hay elementos o unidades intercambiables, que permiten satisfacer los requisitos funcionales; Ingenio, capacidad de diagnosticar y priorizar los problemas y poner en marcha soluciones de identificación y movilización de materiales, monetarios, de información, tecnología y recursos humanos, y Rapidez, capacidad para restaurar la funcionalidad de una manera oportuna, con las pérdidas y evitar interrupciones.
37
25/09/2013
38
25/09/2013
39
25/09/2013
40
25/09/2013
NIVELES ORGANIZACIONALES Y SUS CARACTERÍSTICAS
41
25/09/2013
Como BCM minimiza las consecuencias
1. Asegura la continuidad de las operaciones criticas del negocio. Mediante la identificación de planes de contingencia simples. 2. Permitir operaciones remotas. Un evento grande, como un incendio o inundación, puede provocar que el personal no llegue a sus oficinas. 3. Proteger los activos importantes. Un BCP identifica los activos principales y crear un lugar de almacenamiento secundario. 4. Reducir el tiempo de inactividad. Con el BCP implementado, se pondrá en funcionamiento con mayor rapidez. 5. Previniendo que quede fuera del negocio. El negocio podría estar cerrado por un período prolongado.
Las Metas del BCP son: • Proteger los ingresos • Minimizar el impacto a las operaciones o gastos • Mitigar las responsabilidades legales • Cumplir con las regulaciones gubernamentales • Preservar la marca y la lealtad del cliente
42
25/09/2013
Conceptos Claves Procesos Críticos Cadena de Valor Manejo de Riesgos Análisis de Impacto en el Negocio (BIA) Análisis de Riesgo (RA) Riesgo Residual Activos que estamos Protegiendo Gente Oficinas e Instalaciones Sistemas de T&I Cadena de Abastecimiento Registros / Documentos
Elementos Claves Respuesta del Negocio Plan de Continuidad del Espacio de Trabajo (OSCP) Plan de Recuperación ante Desastre (DRP)
Como crear un PCN?
43
25/09/2013
44
25/09/2013
Importancia del BIA / RA El BIA identifica el impacto que la no-disponibilidad de los activos claves tendrán sobre los procesos críticos del negocio. La actividad de evaluación de riesgos identifica los riesgos que enfrentan los activos claves y la probabilidad de que este se manifieste. Determinar: El impacto de suspender las actividades individuales del negocio En cuánto tiempo cada actividad debe ser reanudada? Los requerimientos básicos Es un prerrequisito indispensable para: Evaluación de Riesgos Determinación de las opciones Estrategia de BCM Proporcionar un registro documentado Aumentar la comprensión en todos los niveles de la organización
¿Cuales Son Actividades Criticas? Sin duda, todas las actividades son fundamentales, pero…¿Qué se entiende por “críticas”? "Importante” - algo que es crítico es muy importante porque lo que sucede en el futuro depende de ello. Pre-planificación para la recuperación de estas actividades en caso de incidente es fundamental para garantizar la viabilidad futura de la organización. "Listados Críticos” - La lista de actividades que deben llevarse a cabo o deben ser recuperadas rápidamente para evitar que la organización muera. "Hacer Juicios” - Mirar a las actividades con un ojo crítico para determinar cuáles no serán recuperables, sin planificación previa.
45
25/09/2013
Protección de los Activos Críticos Documentar las estrategias estrategias específicas para proteger los activos críticos del proceso (personas, instalaciones, infraestructura digital, cadena de suministro y registros críticos). Los datos recogidos en la BIA BIA / RA se convertirán en el punto de partida para definir el OCSP O CSP,, el DRP, DRP, la seguridad de las personas, los entregables de la cadena de suministro y el mantenimiento de los registros y documentación. Las estrategias se basan basan en los riesgos y en la tolerancia al riesgo, no todos los riesgos serán mitigados o eli minados, algunos deberán ser aceptados. Las estrategias para el Espacio de Oficina / Instalaciones se basara basara en los riesgos del sitio, la tolerancia al riesgo, la criticidad del sitio y del personal, los sitios alternativos de trabajo y la capacidad de trabajo remoto.
46
25/09/2013
T&I es responsable de proporcionar las opciones para crear un DRP, DRP, y de aplicar las estrategias para el hardware y las aplicaciones, y las telecomunicaciones. Crear estrategias que aseguren que la cadena de suministro se mantiene durante un incidente. Las estrategias a considerar incluyen; no un único proveedor, proveedor, aumentar las existencias y acuerdos de reciprocidad con los competidores y socios. Crear una estrategia que asegure que los registros críticos se mantienen seguros. Las estrategias a considerar incluyen; guardar los registros en una bodega fuera de la Instalaciones, guardarlos guardarlos en una bodega antidesastres en la Instalación, barrido / almacenamiento externo electrónico, etc.
47
25/09/2013
El BCP describe: Roles y responsabilidades para invocar, activar activar,, operar y mantener el plan. Perfil Perfil de riesgo. riesgo. Los procesos críticos y los activos de apoyo (personas, instalaciones instalaciones TI, Proveedores, Registros) Las estrategias de respuesta respuesta y los planes tácticos tácticos Planes sobre los activos activos (OSCP; DRP; DRP; etc.) Cómo el plan es invocado, conexiones y otros otros planes.. Detallar los procesos contingentes, contingentes, o alternativos, a seguir por el negocio en caso de un incidente. La información de apoyo necesaria para para operar los procesos (por ejemplo, información de contacto, ubicación de los medios de comunicación, etc.). etc.).
48
25/09/2013
49
25/09/2013
Definiciones de RTO & RPO RTO (Recovery Time Objective) define la rapidez con que necesito encontrar, acceder y recuperar la información requerida. Se lo considera el plazo máximo para restaurar el proceso / servicio. El RTO ayuda a determinar que tipo de almacenamiento a utilizar para solucionar el tema de las copias de seguridad: discos, cintas o ambas cosas. RPO (Recovery Point Objective) es el máximo periodo de tiempo durante el cual se pueden perder los datos, define el punto en el tiempo (PIT) en que estos necesitan ser recuperados. RPO es una medida de la tolerancia a la pérdida de datos, ¿cuántas transacciones u horas de trabajo tolera perder el negocio.
Planes Relacionados Plan de Continuidad del Espacio de Trabajo (OSCP) se ocupa de la provisión de espacio alternativo, el cual incluye: El uso temporal de otras oficinas para el personal clave Contratos con terceros para proporcionar acomodamiento temporal Plan de Recuperación de Desastres (DRP) se ocupa de la recuperación y disponibilidad de la infraestructura de T&I y servicios para la empresa, y pueden incluir: Contratos con terceros para proporcionar servicios de T&I temporales Recuperación de datos utilizando los medios en lugares fuera del sitio La adquisición de equipos de sustitución o temporal (por ejemplo, mediante contrato de arrendamiento / alquiler) Cada una de estas necesidades se basan en los requisitos de la empresa según lo establecido en sus respectivos PCN’s.
50
25/09/2013
Plan de Recursos Humanos (HRP) La planificación sobre la sucesión es un proceso integrado que incluye capacitación, desarrollo y evaluación de desempeño. Es un enfoque sistemático para identificar, nominar y seleccionar posibles candidatos Plan Cadena de Abastecimiento (PCA) Plan de acción para recuperar o mantener uno o más proveedores durante un incidente. Plan de Manejo de Registros (PMR) Establecer, implementar y mantener procedimientos para proteger la integridad de los registros. implica acceso a la identificación, almacenamiento, protección, recuperación, retención y eliminación.
PRINCIPIOS Y NORMAS BCP
►
¿Por qué planificar?
Desarrollar estrategias que permitan a una organización responder y recuperarse de cualquier evento disruptivo para continuar con las operaciones críticas del negocio.
►
51
25/09/2013
PRINCIPIOS Y NORMAS DE BCP
Recordatorio La preparación es un viaje, no un destino
PRINCIPIOS Y NORMAS DE BCP
Propósito Básico del Plan ► Responder
efectivamente a cualquier emergencia ► Determinar prioridades para proteger personas, sistemas automatizados y operaciones críticas ► Asegurar reducir el riesgo de que la empresa falle
Tecnología
Infraestructura
Operaciones
Personas
Procedimientos
52
25/09/2013
PRINCIPIOS Y NORMAS BCP
Normas BCP En Estados Unidos Disaster Recovery Institute International (DRII) Federal Emergency Management Agency (FEMA) National Institute of Standards and Technology (NIST) Federal Financial Institutional Examination Council (FFIEC)
PRINCIPIOS Y NORMAS BCP
Normas BCP Propósito de las Normas BCP Aplicar normas y principios comúnmente aceptados para todos los BCP con información similar Desarrollar BCP de forma similar para su aplicación en el sector privado y a nivel central, estatal y local del gobierno Desarrollar una base de datos común de información crítica
53
25/09/2013
PRINCIPIOS Y NORMAS BCP
Normas BCP ► Disaster Recovery Institute International
(DRII) Normas y principios de planificación para emergencias reconocidos internacionalmente Certificación de profesionales en BCP Capacitación de profesionales en BCP
PRINCIPIOS Y NORMAS BCP
Normas BCP ► Federal Emergency Management Agency (FEMA)
Normas y principios de planificación de emergencias para las agencias federales Requiere que las agencias federales adapten las normas para su propio uso Recolección de datos sobre riesgos, emergencias y recuperación Coordinar la prevención y recuperación ante emergencias de las comunidades
54
25/09/2013
PRINCIPIOS Y NORMAS BCP
Normas BCP ► National
Institute of Standards and Technology
(NIST) Normas de planificación de emergencias para el gobierno y el sector privado Las normas NIST se aplican principalmente a tecnologías automatizadas
PRINCIPIOS Y NORMAS BCP
Normas BCP ► Federal Financial Institutional Examination
Council (FFIEC) Normas y reglamentos del gobierno federal para la planificación de emergencias para bancos y uniones de crédito Examina bancos y uniones de crédito para verificar cumplimiento con las normas y reglamentos FFIEC
55
25/09/2013
PRINCIPIOS Y NORMAS BCP
Conceptos principales de BCP ► Identifica riesgos/vulnerabilidades en la infraestructura del
negocio ► Analiza el impacto sobre el negocio ► Identifica esfuerzos para reducir o eliminar los riesgos ► Identifica las autoridades y equipos de respuesta a emergencias ► Desarrolla estrategias y planes de gestión de emergencias ► Rol de la gestión de emergencias en preparación comunitaria ► Pruebas y capacitación de funcionarios en el plan de continuidad de negocios
PRINCIPIOS Y NORMAS BCP Conceptos principales del BCP ►
Elementos clave de la política de planes de contingencia para sistemas informáticos:
Roles y responsabilidades Alcance aplicable a los diferentes tipos de equipo de computación y funciones organizacionales sujetos a la planificación de contingencias Recursos necesarios Requisitos de capacitación Cronograma de ejercicios y pruebas Cronograma de mantenimiento del plan Frecuencia de respaldo y almacenamiento de los medios de respaldo
56
25/09/2013
PRINCIPIOS Y NORMAS BCP MANTENER
Plan de emergencia para ocupantes (OEP)
Plan de comunicación de crisis
Continuidad del plan de operaciones (COOP)
Plan de respuesta a un incidente cibernético
Plan de continuidad del negocio (BCP)
Plan de recuperación (o reinicio) después del desastre (BRP)
LEYENDA
Continuidad del plan de soporte / Plan de contingencia informática
Plan de recuperación del desastre (DRP)
Instalaciones Informática Negocio Impacto mayor
PRINCIPIOS Y NORMAS BCP ►El “planificador/coordinador de contingencias” es
responsable del proceso de planificación y usualmente es un gerente funcional o de recursos dentro de la organización ► El coordinador de contingencias desarrolla la estrategia con la cooperación de otros gerentes de la organización ►El coordinador de contingencias por lo general también es responsable del desarrollo y ejecución del plan de contingencias ►Todas las aplicaciones y sistemas de soporte en general deberían tener un plan de contingencia
57
25/09/2013
PRINCIPIOS Y NORMAS BCP Proceso de planificación de la continuidad del negocio Las organizaciones deberían usar el siguiente enfoque para desarrollar y mantener un plan de contingencia efectivo: Desarrollar una declaración de la política de planificación de contingencias Conducir un análisis del impacto al negocio (BIA) Identificar controles preventivos Desarrollar estrategias de recuperación Desarrollar un plan de contingencia Planificar pruebas, capacitación y ejercicios Mantenimiento del plan
PRINCIPIOS Y NORMAS BCP
Definición de Emergencias (Para fines de planificación de la continuidad del negocio) ►
Una emergencia es cualquier evento disruptivo natural o causado por el hombre que afecte adversamente una o más operaciones centrales del negocio por más de 24 a 72 horas
►
Un evento disruptivo no es necesariamente un cataclismo o un desastre El impacto de los efectos adversos varía entre organizaciones
La tolerancia al cese de operaciones es determinada por cada organización
58
25/09/2013
ANÁLISIS DE RIESGO AL NEGOCIO
Análisis de riesgos Definición Un análisis de riesgos es una evaluación formal que identifica las amenazas, riesgos y emergencias potenciales y el impacto potencial que estas emergencias podrían tener sobre la comunidad y la organización.
ANÁLISIS DE RIESGO AL NEGOCIO
Análisis de riesgos Muchos
riesgos pueden reducirse al mínimo o eliminarse a través de soluciones técnicas, gerenciales u operacionales como parte del esfuerzo de gestión de riesgos de la organización; sin embargo, es virtualmente imposible eliminar completamente todo riesgo. La planificación de contingencias está diseñada para reducir el riesgo de que no esté disponible el sistema o el servicio, enfocándose en soluciones efectivas y eficientes de recuperación.
59
25/09/2013
ANÁLISIS DE RIESGO AL NEGOCIO Análisis de riesgos ► El análisis de riesgos involucra una amplia gama de actividades para identificar,
controlar y mitigar los riesgos a una organización
► Dos funciones primarias:
Primera, el análisis de riesgos debería identificar las amenazas y las vulnerabilidades con el fin desarrollar controles apropiados para prevenir la ocurrencia de incidentes o para limitar los efectos de un incidente Segunda, la gestión de riesgos debería identificar los riesgos residuales para los cuales se debe establecer un plan de contingencia
► El plan de contingencia, por lo tanto, está relacionado con la evaluación de riesgos y el
proceso de mitigación de éstos ► Promovemos un enfoque multi-amenaza en la planificación – mitigando los riesgos a instalaciones, sistemas, personas y res ultados operativos.
ANÁLISIS DE RIESGO AL NEGOCIO
Los recursos críticos podrían estar fuera del control de la organización (tales como el suministro eléctrico o las telecomunicaciones) y la organización no podría garantizar su disponibilidad Esta gráfica ilustra la relación entre identificar y ejecutar los controles de seguridad, desarrollar y dar mantenimiento al plan de contingencia y ejecutar el plan de contingencia si ha ocurrido una emergencia
Plan de contingencia GESTIÓN DE RIESGOS Implementación de control de seguridad
Evento de Emergencia
EJECUCIÓN DEL PLAN DE CONTINGENCIA
60
25/09/2013
ANÁLISIS DE RIESGO AL NEGOCIO ► Los controles de seguridad protegen o reducen el impacto sobre la
organización de cuatro tipos de riesgos o amenazas Naturales - huracanes, tornados, inundaciones, terremotos, deslizamientos, químicos, materiales peligrosos e incendios Humanos – errores del operador, sabotaje, virus informáticos, contaminación del agua, disturbios civiles y ataques terroristas Servicios de emergencia – disponibilidad de policías, bomberos e instalaciones médicas cercanas Ambientales – fallas de equipo, instalaciones, red de telecomunicaciones, energía eléctrica y errores de software
ANÁLISIS DE RIESGO AL NEGOCIO Análisis de riesgos Incluye el proceso de tomar y ejecutar decisiones para reducir al mínimo los efectos adversos de heridas, pérdidas accidentales y responsabilidad de una organización ► Lo más crítico es la recuperación rápida de las operaciones centrales después de una emergencia, no la causa ni el tipo de daño ► Debido a que los riegos pueden variar con el tiempo y riesgos nuevos pueden reemplazar a los viejos conforme un proceso evoluciona, el proceso de gestión de riesgos debe ser continuo y dinámico ► La “gestión de riesgos” es crítica para el proceso de análisis de riesgos ►
61
25/09/2013
ANÁLISIS DE RIESGO AL NEGOCIO Análisis de riesgos ► ►
El proceso de análisis de riesgos debe ser preciso y exhaustivo, contando siempre con la experiencia y motivación del personal Existen muchas maneras de hacer un análisis de riesgos
(no hay una manera correcta o incorrecta) ► ►
Se debería usar cualquier metodología o enfoque que funcione efectivamente y se debe hacer referencia a éstos en el BCP Algunos procesos de análisis de riesgos utilizan un método de calificación cuantitativo para clasificar las emergencias potenciales, pero esto no es esencial
ANÁLISIS DE RIESGO AL NEGOCIO
Análisis de riesgos Clave para un análisis de riesgos adecuado: El equipo de planificación para la gestión de emergencias de cada organización identifica los eventos para los cuales se requiere preparación El análisis se realiza con un enfoque de cooperación Debido a que los riegos pueden variar con el tiempo y riesgos nuevos pueden reemplazar a los viejos conforme un proceso evoluciona, el proceso de gestión de riegos debe ser continuo y dinámico Se debe desarrollar un proceso de toma de decisiones que distinga entre amenazas significativas y amenazas menores
• “emergencias de gran envergadura vs. emergencias
localizadas” • 24 a 72 horas de interrupción del servicio
62
25/09/2013
ANÁLISIS DE RIESGO AL NEGOCIO
Análisis de riesgos Tipos de procesos de análisis de riesgos: Análisis de árbol del evento (causa y efecto) Modelación del evento (veneno, incendio, explosión) Análisis del árbol de fallas (culpa/debilidad interna o externa) Análisis de error humano (error, capacitación, actitud, instrucciones, políticas)
ANÁLISIS DE RIESGO AL NEGOCIO
Gestión de riesgos Estrategias recomendadas para la gestión de riesgos:
Utilice un “enfoque multi-amenazas” Reconozca el potencial de un evento catastrófico Recopile una lista de amenazas potenciales Reconozca los problemas inherentes a las listas de amenazas Evalúe y determine la prioridad de las amenazas en la lista Ajuste la lista por medio de un “análisis de brechas”
63
25/09/2013
ANÁLISIS DE RIESGO AL NEGOCIO Gestión de riesgos
Enfoque multi-amenazas
Permite a las organizaciones prepararse para responder a varios y diversos tipos de emergencias. ► Facilita la prevención, preparación, respuesta y recuperación con base en una amplia gama de posibilidades de lo que podría ocurrir dentro y fuera de la organización. ► Aumenta la percepción de posibles fallas y vulnerabilidades de la infraestructura como advertencia para evitar mayores pérdidas ► El riesgo neto de peligro para personas e infraestructura de la organización depende de la amenaza específica, la actividad que se esté desempeñando y la duración de la exposición ►
ANÁLISIS DE RIESGO AL NEGOCIO Gestión de riesgos La primer tarea del equipo de planificación para la gestión de una emergencia es conducir un análisis de riesgos de la organización y la comunidad alrededor de la organización. ► Ninguna comunidad u organización es exactamente igual a otra ya que las estructuras, las leyes nacionales y locales, los recursos y las capacidades pueden variar ampliamente. ► No es posible ni deseable producir un solo plan de emergencia para todas las posibilidades. ►
64
25/09/2013
ANÁLISIS DE RIESGO AL NEGOCIO Gestión de riesgos
Un análisis de riesgos debe identificar activamente lo que podría afectar a la comunidad u organización y el área circundante
Eliminación selectiva de amenazas y reducción de riesgos dentro de una organización
Un análisis de riesgos ayuda a vencer la resistencia individual o de la organización a la preparación para emergencias
Ofrece una fuente objetiva de información y requiere conocimiento sobre varias disciplinas
ANÁLISIS DE RIESGO AL NEGOCIO
Gestión de riesgos ► Conciencia
comunitaria sobre los riesgos
Se debe vincular un programa de conocimiento de los riesgos con los programas de conciencia comunitaria de las autoridades civiles locales sobre emergencias
65
25/09/2013
ANÁLISIS DE RIESGO AL NEGOCIO Gestión de riesgos • Conciencia comunitaria sobre los
riesgos – Participar en pruebas de gestión local de emergencias Pruebas de los hospitales
locales de traumatología Pruebas de respuesta del departamento de bomberos Pruebas de respuesta a emergencias del departamento de policía
ANÁLISIS DE RIESGO AL NEGOCIO
Gestión de Riesgos Sirve como punto para verificar la calidad y fijar prioridades para la organización ► Mide los posibles efectos de un cambio causado por una emergencia sobre un sistema ► Determina los posibles puntos o causas de una falla ► Se centra en pérdidas por amenazas que todavía no han ocurrido ► Evalúa la seguridad, instalaciones físicas, procedimientos de trabajo y estrategias organizacionales ► Examina todos los tipos de pérdida: daños a la propiedad, pérdidas financieras y daños ambientales ►
66
25/09/2013
ANÁLISIS DE RIESGO AL NEGOCIO Procedimientos de análisis de riesgos Identificar y documentar los riesgos, amenazas, peligros y problemas de responsabilidad conocidos ► Excluir los problemas temporales, por ejemplo, apagones cortos, mal tiempo ► Conducir entrevistas y tomar declaraciones para investigar temas principales de gestión de riesgos ► Recolectar y organizar evidencia que pudiera ayudar en una defensa legal y que podría ser más difícil de obtener después ► Aconsejar a los gerentes de la organización sobre temas de seguridad, riesgo y seguros ► Discutir las consecuencias de la fallas operativas con los gerentes ►
ANÁLISIS DE RIESGO AL NEGOCIO Riesgos “potenciales” específicos a analizar Seguridad en acceso a las instalaciones Verificación de antecedentes de los empleados Requisito de registro de visitantes y proveedores Requisitos para entrar a edificios Políticas de uso de computadoras y acceso a e-mail/internet Historial de entradas ilegales, robo o vandalismo Construcción de edificios (códigos mecánicos, eléctricos, de incendio y seguridad, etc.) Documentación sobre última inspección del edificio Fallas de equipo Historial de fallas Peligros potenciales debido a las condiciones y limitaciones de las carreteras Peligros potenciales debido a tráfico aéreo o vial cercano (posible descarrilamiento de trenes, accidentes automotores o aéreos)
67
25/09/2013
ANÁLISIS DE RIESGO AL NEGOCIO Riesgos “potenciales” específicos a analizar
Falta de suministro eléctrico en el área Comunicaciones (medios noticiosos y sistemas públicos de alerta) Peligro local de derrames, producción, almacenamiento y transporte de materiales peligrosos (radiación, químicos tóxicos o agentes biológicos) Disponibilidad de respuesta a emergencias en la comunidad local Historial de tasas de delitos y amenazas en o cerca de la organización empleados, visitantes, contratistas, proveedores, suplidores, etc.,
Amenazas y extremos climáticos, del tiempo o la geografía (terremotos, inundaciones, huracanes) Revisar los datos históricos de emergencias en la comunidad
ANÁLISIS DE RIESGO AL NEGOCIO Riesgos “potenciales” específicos a analizar
Problemas con empleados, proveedores, suplidores y residentes o compañías locales particulares Disturbios civiles Emergencias de salud pública (epidemias)
EXPOSICIÓN A AMENAZAS ¿Qué está en riesgo cuando un desastre afecta su comunidad?
• Las amenazas afectan a personas, hogares y negocios, instalaciones críticas, rutas de transporte, servicios públicos, suministro de agua y al ambiente. • - La primera regla:
“CONOZCA SU COMUNIDAD”
68
25/09/2013
ANÁLISIS DE RIESGO AL NEGOCIO Precaución con las listas de análisis de riesgos ►
Las listas de análisis de riesgos presentan dos problemas 1. Posibilidad de exclusión u omisión – Siempre existe el potencial de amenazas nuevas o inesperadas, lo que es parte de por qué es importante mantener una capacidad para enfrentar cualquier amenaza 2. Las listas de riesgos podrían incluir grupos, lo que afecta el análisis subsiguiente. Una lista podría dar la impresión de que las amenazas son independientes entre sí, cuando de hecho a menudo están relacionadas (por ejemplo, un terremoto podría causar el rompimiento de una represa). Las listas podrían agrupar en una sola categoría diferentes causas o secuencias de eventos que podrían requerir diferentes tipos de respuesta.
ANÁLISIS DE RIESGO AL NEGOCIO Precaución con las listas de análisis de riesgos ►
Los cambios en condiciones, los errores y las actitudes contribuyen al peligro
►
Conforme evoluciona el análisis de riesgos, podría ser necesario refinar las listas de riesgos para asegurar que se incluya cualquier nuevo riesgo identificado (por ejemplo, una nueva planta química en la región) y que se eliminen riesgos previamente incluidos que ya no representan un peligro
69
25/09/2013
ANÁLISIS DE RIESGO AL NEGOCIO Ajustes a la lista de análisis de riesgos por medio de un “análisis de brechas” Ayuda a identificar incidentes para los cuales la comunidad no está preparada El análisis de brechas -
► ►
Identifica los componentes clave de cada riesgo y determina los componentes comunes a múltiples amenazas Identifica problemas que crean debilidades de alto impacto Compara los costos relativos y los beneficios de los pasos necesarios para rectificar la situación
ANÁLISIS DE RIESGO AL NEGOCIO
Lista final de análisis de riesgos La lista terminada de riesgos potenciales mostrará primero los eventos que ameritan mayor atención por: Probabilidad de ocurrencia O Impacto sobre la comunidad O Nivel de preparación
70
25/09/2013
ANÁLISIS DE RIESGO AL NEGOCIO
Lista final de análisis de riesgos ►
►
Las amenazas y riesgos que son menos serios y no tan susceptibles susc eptibles a ocurrir deberían estar en la parte inferior inferior de la lista lista de análisis de riesgos. Esta clasificació clasificaciónn depende depende del juicio y la evaluación evaluación de las diversas consideraci consideraciones ones mencionadas anteriormente.
ANÁLISIS DEL IMPACTO AL NEGOCIO Análisis de impacto al negocio (BIA) ► BIA es una herramienta de gestión para caracterizar plenamente plenamente las operaciones, procesos e interdependencias críticas para el negocio y usar esta información información para determinar los requisitos y prioridades de contingencia. contingencia. ► Hacerlo durante una emergencia sería demasiado tarde
71
25/09/2013
ANÁLISIS DEL IMPACTO AL NEGOCIO
► ► ► ► ► ►
Propósito del BIA Eval Evaluar uar y priori priorizar zar las amen amenaz azas as Desa De sarrol rrolllar e implan plantar tar medida edidass de mitigac tigaciión Identif tificar cada uni unidad org organizacional onal y su relac elaciión con el resto resto de la organ organiizaci zación Identificar procesos crít icos dentro de cada unidad organizacional Iden Identi tifi fica carr los recu recurs rsos os crí crítico ticoss y las capa capaci cida dade dess neces ecesar ariias para llevar llevar a cabo los procesos críticos Priori Prioriza zarr la recupe recuperac raciión de cada cada un uniidad dad
ANÁLISIS DEL IMPACTO AL NEGOCIO
Análisis de impacto al negocio (BIA) Procedimientos del BIA
Entrevistar a los empleados y completar completar cuestionarios para recopilar datos datos operativos y del negocio negocio Identificar funciones del negocio que sean críticas/sensibles críticas/sensibles al tiempo
Identificar Identificar productos e interdependencias clave de los procesos (internos/externos) (internos/externos)
Identificar Identificar recursos críticos (personal, datos, equipo e interdependencias, interdependencias, por ejemplo, proveedores)
72
25/09/2013
ANÁLISIS DEL IMPACTO AL NEGOCIO Análisis de impacto al negocio (BIA) Procedimientos BIA Evaluar las operaciones del negocio para vincular estos est os servicios servicios críticos con los recursos del negocio. Este análisis generalmente identificará la infraestructura requerida, incluyendo energía eléctrica, telecomunicaciones y controles ambiental ambientales. es. Los equipos específicos de computación, tales como enrutadores, servidores de aplicaciones aplicaciones y servidores servidores de autenticación por lo general se consideran críticos. análisis podría determinar determinar que ciertos equipos del Nota: Este análisis negocio, como impresoras, copiadoras, mesa de reuniones, no son necesarios como co mo soporte de los servicios servicios críticos.
ANÁLISIS DEL IMPACTO AL NEGOCIO Procedimientos BIA El análisis debería debería evaluar el impacto de la emergencia de dos maneras:
►
Dar seguimiento a los efectos de la emergencia a lo largo la rgo del tiempo. Esto permitirá al planificador de contingencias identificar el tiempo máximo en que se puede permitir per mitir la ausencia de un recurso antes de que éste impida o in hiba el desempeño de una función esencial.
Dar seguimiento a los efectos del faltante en los recursos r ecursos relacionados y operaciones dependientes del negocio, n egocio, identificando cualquier efecto efecto resultante que pudiera ocurrir cuando la operación interrumpida del negocio afecte a otras operaciones que dependen de ésta.
73
25/09/2013
ANÁLISIS DEL IMPACTO AL NEGOCIO Análisis del impacto al negocio
El planificador de contingencias debería determinar el punto óptimo para recuperar las operaciones del negocio balanceando el costo de que el negocio no opere contra el costo de los recursos requeridos para restaurar el negocio. Esto se puede representar utilizando un gráfico simple. El punto donde se encuentren las líneas va a determinar durante cuánto tiempo la organización puede permitir la interrupción del sistema.
Costo de Interrupción
Costo
Costo de Recuperación
Tiempo
ANÁLISIS DEL IMPACTO AL NEGOCIO Análisis del impacto al negocio
El impacto de la interrupción y el tiempo permitido de interrupción caracterizado en este proceso permiten al planificador de contingencias desarrollar y priorizar las estrategias de recuperación a ser ejecutadas al activar el plan de contingencia.
Costo de Interrupción
Costo
Por ejemplo, si el paso para definir el impacto de la interrupción determina que las operaciones del negocio deben ser recuperadas en 4 horas, el planificador de contingencias deberá adoptar medidas para cumplir con este requisito.
Costo de Recuperación
Tiempo
74
25/09/2013
ANÁLISIS DEL IMPACTO AL NEGOCIO Análisis del impacto al negocio
Igualmente, si la mayoría de las operaciones del negocio pueden tolerar una interrupción de 24 horas pero una operación crítica no puede dejar de estar disponible por más de 8 horas, el planificador de contingencias deberá priorizar los recursos necesarios para la operación crítica.
Costo de Interrupción
Costo
Al priorizar estas estrategias de recuperación, el planificador de contingencias podrá tomar decisiones más informadas y específicas sobre la asignación y el uso de los recursos de contingencia, ahorrando así tiempo, esfuerzo y costos adicionales.
Costo de Recuperación
Tiempo
ANÁLISIS DEL IMPACTO AL NEGOCIO
Evaluación de procedimientos BIA
Impacto de los limitados recursos de la comunidad sobre la seguridad de los empleados y el grado de respuesta a las emergencias Potencial peligro para las instalaciones por tráfico terrestre y aéreo Potencial peligro para empleados e instalaciones por materiales peligrosos Capacidad/incapacidad de notificar oportunamente a los ocupantes sobre una emergencia
75
25/09/2013
ANÁLISIS DEL IMPACTO AL NEGOCIO ►
Identificar los recursos y autoridades de respuesta a emergencias Área local →Policía más cercana →Departamento de bomberos más cercano →Hospitales de traumatología más cercanos →Sistemas de tránsito masivo →Oficinas locales y nacionales de gestión de emergencias Sector privado →Servicios de ambulancia →Ingeniería ambiental
ANÁLISIS DEL IMPACTO AL NEGOCIO
Evaluación de procedimientos BIA Usar insumos gerenciales para priorizar el personal clave, recursos, operaciones y servicios tangibles e intangibles críticos/esenciales para el negocio Determinar y priorizar los procedimientos, cronogramas críticos y objetivos de recuperación
Coordinar con las funciones de soporte (informática, legal, administración, personal, ingeniería y proveeduría) y determinar las limitaciones del negocio
76
25/09/2013
ANÁLISIS DEL IMPACTO AL NEGOCIO Identificar soluciones, impactos por interrupción y tiempos permitidos de interrupción
Amenaza de peligros/frecuencia de delitos sobre las operaciones de negocios
Peligro por limitaciones en carreteras o congestionamiento de tráfico durante una emergencia
Impacto de un cierre prolongado de instalaciones ( objetivos de tiempo de
Limitación en salidas de edificios y de la comunidad en un a emergencia
Continuidad en cumplimiento con leyes nacionales y locales
recuperación por operación central principal)
ANÁLISIS DEL IMPACTO AL NEGOCIO
Desarrollar procedimientos preventivos y de mitigación de impactos por la interrupción En algunos casos, los impactos por la interrupción identificados en el BIA podrían ser mitigados o eliminados con medidas preventivas que prevengan, detecten y/o reduzcan los impactos sobre las operaciones del negocio. Cuando sea posible y eficiente en costos, los métodos preventivos son preferibles a las acciones que pudieran ser necesarias para recuperar las operaciones del negocio después de una interrupción.
77
25/09/2013
ANÁLISIS DEL IMPACTO AL NEGOCIO Controles comunes para prevenir y mitigar interrupciones ► ► ► ► ► ► ► ► ►
Generadores de gasolina o diesel para asegurar energía de respaldo por períodos prolongados Sistemas de supresión de incendios Detectores de incendio y humo Láminas plásticas que puedan colocarse sobre los equipos para protegerlos de daños por agua Receptáculos a prueba de fuego y de agua para los registros vitales Interruptor maestro del sistema en emergencias Almacenamiento remoto de datos de respaldo de las computadoras Controles técnicos de seguridad, tales como gestión de llaves criptográficas y controles de acceso de menor privilegio Respaldo de datos frecuente y programado
ANÁLISIS DEL IMPACTO AL NEGOCIO Ejemplo del proceso de análisis del impacto al negocio para una compañía o agencia gubernamental
Insumos de usuarios, dueños de procesos de negocios, dueños de aplicaciones y otros grupos asociados
IDENTIFICAR RECURSOS INFORMÁTICOS CRÍTICOS
IDENTIFICAR IMPACTOS DE INTERRUPCIÓN Y TIEMPOS PERMISIBLES DE INTERRUPCIÓN
ESTABLECER PRIORIDADES DE RECUPERACIÓN
PROCESO 2: Reporte de horas y asistencia Procesos críticos del negocio
•Procesamiento de planillas •Reporte de horas y asistencia •Verificaciónde horas y asistencia •Aprobación de horas y asistencia . . . X
Recursos críticos •Servidor LAN •Acceso WAN •E-mail •Acceso a mainframe •Servidor de e-mail . .
Recursos críticos •Servidor LAN •Acceso WAN •E-mail •Acceso a mainframe •Servidor de e-mail . . .
Tiempo máximo de interrupción
Impacto
8 horas •Demora en tiempo de procesamiento de hojas de trabajo •Incapacidad de ejecutar operaciones normales de planillas •Demora en procesamiento de planillas
Recursos
Prioridad de Recuperación
•Servidor LAN •Acceso WAN •E-mail •Acceso a mainframe •Servidor de e-mail . . .
Alta Mediana Baja Alta Alta
78
25/09/2013
MATRIZ DE DECISIONES (RIESGO)
(Usada en el análisis de riesgo e impacto al negocio) ►
Proceso de evaluar los riesgos y el impacto asociado con un riesgo específico y definido en términos de probabilidad y frecuencia de ocurrencia, magnitud, severidad, exposición y consecuencias
►
La matriz de decisiones permite a los planificadores de mitigación de riesgos clasificar diversos tipos de riesgo en diferentes categorías de prioridad ubicándolos en una cuadrícula de acuerdo con su frecuencia y severidad.
MATRIZ DE DECISIONES (RIESGO) Matriz para dimensionar las definiciones de impacto en formato de tabla
Magnitud del Impacto Alta
Mediana
Baja
Definición del Impacto La ocurrencia del riesgo (1) podría resultar en una pérdida sumamente costosa de activos tangibles o recursos importantes; (2) podría violar, dañar o impedir de manera significativa la misión, reputación y los intereses de una organización; o (3) podría resultar en muerte o heridas graves. La ocurrencia del riesgo (1) podría resultar en una pérdida costosa de activos tangibles o recursos; (2) podría violar, dañar o impedir la misión, reputación y los intereses de una organización; o (3) podría resultar en heridas graves. La ocurrencia del riesgo (1) podr a resultar en la p rdida de algunos activos tangibles o recursos; o (2) podría afectar de manera notable la misión, reputación y los intereses de una organización.
79
25/09/2013
MATRIZ DE DECISIONES (RIESGO) Matriz para dimensionar las definiciones de impacto
Alto impacto – Definición > La ocurrencia del riesgo (1) podría resultar en una pérdida sumamente costosa de activos tangibles o recursos importantes; (2) podría violar, dañar o impedir de manera significativa la misión, reputación y los intereses de una organización; o (3) podría resultar en muerte o heridas graves. Mediano impacto – Definición > La ocurrencia del riesgo (1) podría resultar en una pérdida costosa de activos tangibles o recursos; (2) podría violar, dañar o impedir la misión, reputación y los intereses de una organización; o (3) podría resultar en heridas graves. Bajo impacto – Definición > La ocurrencia del riesgo (1) podría resultar en la pérdida de algunos activos tangibles o recursos; o (2) podría afectar de manera notable la misión, reputación y los intereses de una organización.
MATRIZ DE DECISIÓN (RIESGO)
Principal ventaja de un análisis cuantitativo de impacto usando el método de la matriz de decisiones Ofrece una medición cuantitativa de la magnitud del impacto que se puede utilizar para el análisis costo – beneficio de los controles recomendados
80
25/09/2013
MATRIZ DE DECISIÓN (RIESGO) Tabla matriz para descripción del nivel de riesgo La escala de riesgo con calificaciones de alto, mediano y bajo representa la grado o nivel de r iesgo al cual podría estar expuesto un sistema de computación, una instalación o un procedimiento si se da un riesgo dado. La escala de riesgo también incluye las acciones que debe tomar la alta gerencia para cada nivel de riesgo. Nivel de riesgo
Alto
Mediano
Bajo
Descripción del riesgo y acciones necesarias
Si la observación o hallazgo califica el riesgo como alto, existe una fuerte necesidad de tomar acciones correctivas. Un sistema existente podría continuar operando, pero se debe implantar un plan de acciones correctivas lo más pronto posible. Si una observación califica el riesgo como mediano, se necesitan acciones correctivas y se debe desarrollar un plan para incorporar estas acciones dentro de un período razonable de tiempo. Si una observación describe el riesgo como bajo, el sistema de evaluación de amenazas debe determinar si se requiere desarrollar acciones correctivas o decidir si se acepta el riesgo.
MATRIZ DE DECISIÓN (RIESGO) TABLA MATRIZ PARA LA DETERMINACIÓN DEL RIESGO ► La anterior tabla se utiliza para evaluar el nivel de riesgo para un
sistema de computación. La determinación de riesgo para una amenaza particular puede ser expresada en función de:
La probabilidad de que la fuente de una amenaza ponga a prueba una vulnerabilidad específica La magnitud del impacto si la fuente de la amenaza logra poner a prueba la vulnerabilidad La habilidad de los controles de seguridad diseñados o existentes de reducir o eliminar el riesgo.
81
25/09/2013
MATRIZ DE DECISIÓN (RIESGO) Matriz de nivel de riesgo ► La determinación final del riesgo de la misión se deriva multiplicando las
clasificaciones asignadas para la amenaza (probabilidad) por el impacto de la amenaza. ► La siguiente tabla muestra como se podrían determinar las clasificaciones generales de riesgo con base en los insumos de la probabilidad de la amenaza y las categorías del impacto de la amenaza. ► La siguiente es una matriz 3 x 3 de la probabilidad de la amenaza (alta, mediana y baja) y el impacto de la amenaza (alto, mediano y bajo). ► Dependiendo de los requisitos del sitio y el desglose deseado de la evaluación de riesgos, algunos sitios podrían utilizar matrices 4 x 4 o 5 x 5.
MATRIZ DE DECISIONES (RIESGO)
La determinación de estos niveles o clasificaciones de riesgo podría ser subjetiva. ► El razonamiento para esta justificación puede explicarse en términos de la probabilidad asignada para cada nivel probable de amenaza y un valor asignado para cada nivel probable de impacto. Por ejemplo, ►
La probabilidad asignada para cada nivel probable de amenaza es • 1.0 para alta, • 0.5 para mediana, • 0.1 para baja El valor asignado a cada nivel de impacto es 100 para alto, 50 para mediano y 10 para bajo.
82
25/09/2013
MATRIZ DE DECISIONES (RIESGO)
Matriz de nivel de riesgo Escala de riesgo: alto ( >50 a 100); mediano ( >10 a 50); bajo (1 a 10)
Probabilidad de amenaza
Alta (1.0)
Mediana (0.5)
Baja (0.1)
Impacto Bajo
Mediano
Alto
(10)
(50)
(100)
Bajo
Mediano
Alto
10 x 1.0 = 10
50 x 1.0 = 50
100 x 1.0 = 100
Bajo
Mediano
Mediano
10 x 0.5 = 5
50 x 0.5 = 25
100 x 0.5 = 50
Bajo
Bajo
Bajo
10 x 0.1 = 1
50 x 0.1 = 5
100 x 0.1 = 10
MATRIZ DE DECISIONES (RIESGO) Matriz de decisión de riesgos - Ejemplo #1: Dos pulgadas de lluvia Dos pulgadas de lluvia es una ocurrencia muy común durante el verano de Costa Rica. Esto representa una ALTA FRECUENCIA. Su severidad en la mayoría de los casos sería considerada MENOR. Categorías de riesgo en los siguientes ejemplos
Clase A: Condición de riesgo alto con la mayor prioridad para mitigación y acción inmediata Clase B: Condición de riesgo moderado a alto donde el riesgo es tratado con mitigación y acción pronta Clase C: Condición de riesgo suficientemente alta para considerar mitigación y planificación adicional Clase D: Condición de bajo riesgo
83
25/09/2013
MATRIZ DE DECISIONES (RIESGO) Matriz de decisión de riesgos - Ejemplo #1: Dos pulgadas de lluvia Dos pulgadas de lluvia, una amenaza de alta frecuencia y de severidad menor, debería ser considerada un riesgo Clase C, para la posible mitigación y planificación adicional. FRECUENCIA Alta
2” de Lluvia
Moderada
Baja
Muy Baja Menor
Seria
Extensiva Catastrófico
SEVERIDAD
MATRIZ DE DECISIONES (RIESGO) Matriz de decisión de riesgo - Ejemplo #2: Ocho pulgadas de lluvia Ocho pulgadas de lluvia representan una ocurrencia común en verano en Costa Rica, lo que representa una
ALTA FRECUENCIA. La categoría de riesgo debería aumentarse a Clase B y considerarse una condición de moderada a alta a ser tratada por mitigación y planificación de contingencias para una acción pronta, si esa cantidad llegase a caer en una hora.
FRECUENCIA Alta
8” de Lluvia
Moderada
Baja
Muy Baja Menor
Seria
Extensiva Catastrófico
SEVERIDAD
84
25/09/2013
PLAN DE CONTINUIDAD DEL NEGOCIO (BCP) Capacitación Varios propósitos ► La capacitación periódica de empleados de respuesta y recuperación de emergencias en BCP aumentará significativamente la posibilidad de que las operaciones centrales del negocio se puedan recuperar exitosamente de alguna emergencia mayor. ► Los empleados clave deberían participar en el proceso de desarrollo de continuidad del negocio, así como en ejercicios periódicos de capacitación. ► Los empleados deberían conocer:
las condiciones que requieren al ejecutar parte o todo el BCP quién es responsable de ejecutar los BCP para la s unidades de negocios y la institución y qué hacer si los empleados clave no están disponibles en el momento de la emergencia.
PLAN DE CONTINUIDAD DEL NEGOCIO (BCP)
Capacitación Desarrollo de la capacitación ► La capacitación se debe desarrollar con base en los problemas identificados o documentados durante las pruebas BCP. ► Se debe asegurar que la capacitación sea razonable y específica para los empleados, las instalaciones, operaciones o funciones. Por ejemplo, si el material de capacitación se desarrolla para asegurar que las operaciones del negocio sensibles al tiempo se puedan recuperar y continuar operando, se debe recolectar información de respuesta y recuperación de desastres con tiempos asociados que incluya el impacto sobre esas operaciones, es decir, impacto de un incendio, edificio colapsado, destrucción de instalaciones/equipo, falla en las líneas de comunicación, etc.
85
25/09/2013
PLAN DE CONTINUIDAD DEL NEGOCIO (BCP) Capacitación Ejemplos de preguntas para determinar el conocimiento de los empleados de sus tareas asignadas de BCP en una emergencia • • • • • •
¿Dónde está el sitio de reunión inicial o alterno de recuperación después de anunciar una emergencia? ¿Cuáles son las responsabilidades asignadas a usted como miembro de uno de los equipos de respuesta a emergencias? ¿Quién debería reportarse al sitio de reunión inicial o alterno de recuperación después de que se anuncia una emergencia y cuáles son los números de teléfono de estos dos sitios? ¿A cuáles empleados de la compañía puede usted contactar inmediatamente? Si uno/una de sus contactos de emergencia no estuviera en su escritorio, ¿cómo podría contactarle? Mire su lista actual de contactos de emergencia e indique si está al d ía.
PLAN DE CONTINUIDAD DEL NEGOCIO (BCP) Capacitación Estrategias • Identificar y capacitar a individuos
responsables de responder a una situación de desastre. No toda persona es capaz de desempeñar toda función.
• Asegurar programas de capacitación
basados en competencias con una programación específica para el rol de la persona en la respuesta a emergencias.
86
25/09/2013
PLAN DE CONTINUIDAD DEL NEGOCIO (BCP)
Capacitación Estrategias • Quienes responden a una situación de
desastre deben tener los conocimientos, destrezas, habilidades y comportamientos necesarios para desempeñar las tareas de manera correcta y efectiva. • La capacitación es importante para identificar debilidades en los planes de gestión de emergencias. • La capacitación se usa para identificar debilidades en el plan de respuesta y poder corregirlas .
Evaluación de riesgo Una metodología para determinar la naturaleza y el grado de riesgo a través del análisis de posibles amenazas y la evaluación de las condiciones existentes de vulnerabilidad que conjuntamente podrían dañar potencialmente a la población, la propiedad, los servicios y los medios de sustento expuestos, al igual que el entorno del cual dependen. EIRD 2009
87
25/09/2013
Primer abordaje al inventario de amenazas Primer abordaje, Inventario de amenazas
IA 1: Enumere las amenazas potenciales
IA 2: Establezca prioridades para abordar las amenazas identificadas
Producto esperado Lista de amenazas en orden de prioridad
Pasos del análisis de amenazas Análisis de la amenaza AA 1: Investigue los registros
AA 2: Establezca las magnitudes potenciales
AA 3: Defina la frecuencia / período de retorno AA 4: Defina la zonificación Producto Amenazas identificadas con tres magnitudes potenciales
88
25/09/2013
Pasos del análisis de vulnerabilidad Análisis de vulnerabilidad AV 1: Determine los elementos en peligro AV 2: Determine las características de la población en peligro AV 3: Identifique el nivel organizacional AV 4: Establezca la capacidad de respuesta de la comunidad Producto Vulnerabilidad expresada con respecto a una amenaza identificada en términos de elementos en peligro, características de la población en peligro y las capacidades de respuesta tanto de las instituciones como de las comunidades.
Pasos para la evaluación de escenarios de riesgo Evaluación de escenarios de riesgo ER 1: Decida sobre el niv el de magnitud del evento
ER 2: Describa el evento detonante (amenaza
ER 3: Detalle el impacto esperado
Producto Descripción del evento detonante específico (amenaza) y los efectos consecuentes directos e indirectos esperados .
89
25/09/2013
EJERCICIO FINAL ICONTEC Tiempo 2.5 horas!
PREGUNTAS CASO • Objetivos: – Identificar el impacto potencial de las interrupciones sobre el negocio. – Identificar las amenazas sobre los activos que soportan el negocio.
• Tareas – – – – – – – – –
Elegir una actividad (grupo, gerencia, departamento, etc.) Describir el proceso o “Cadena de Valor” de esa actividad. Identificar los Procesos Críticos. Identificar dependencias. Definir RTO y RPO. Analizar el impacto financiero, regulatorio, reputacional, etc. Identificar los activos Entender el daño que las amenazas pueden causar sobre ellos. Proponer estrategias de continuidad
90
25/09/2013
FACTORES CRITICOS • Incrementar la Resiliencia • Visión Integral de la Gestión del Riesgo de Desastre (Seguridad Societal/Societal Security ISO/TC 223, Risk management ISO31010, BCP)
• • • • •
Enfoque multi-amenazas Conciencia comunitaria (Stakeholders , LEMA, Cadena) Percepción del riesgo aplicada (aprehender) Usar herramientas existentes (SCI…) Integrar y Estructurar: Datos / Informacion / Conocimiento / Inteligencia
• Prospectiva Aplicada (No esperar los desarrollos funebres)
91