Administracin y fundamentos de la Continuidad del Negocio

Instructor: Karol Cordero Barrientos

Informacin del Instructor

Karol es Consultora Senior de la prctica Gobierno, Riesgo y Cumplimiento (GRC) de PwC Costa Rica. Certificaciones: Auditor Lder BS25999 y Auditor Lder ISO 27001 por el BSI, CBCP por el DRII, CobiT, ITIL, CISM por ISACA y PMP por el PMI. Coordinadora del Seminario Internacional de Continuidad de Negocio de PwC Costa Rica y posee experiencia brindando capacitaciones de BCM en todos los niveles organizacionales.

Agenda
Programa y Administracin de BCM Anlisis de Impacto al Negocio Anlisis de riesgos de Continuidad de Negocio

Programa y Administracin de BCM

Programa y Administracin de BCM

Establecer la necesidad de un Programa de Administracin de Continuidad del Negocio (BCM) incluyendo las estrategias de resilencia, objetivos de recuperacin, continuidad del negocio, gestin de riesgos operacionales y planes de gestin de crisis y comunicaciones. Los requisitos dentro de este esfuerzo incluyen la obtencin de apoyo de la administracin superior, la organizacin y administracin de la formulacin de las funciones o procesos necesarios para construir el marco de trabajo de BCM.

El Rol de los Profesionales es

Establecer la necesidad del Programa de Continuidad de Negocio

Presentar y obtener el apoyo y aprobacin de la Administracin Superior para el Programa BCM

Dirigir a los patrocinadores en la definicin de objetivos, estructura del programa, polticas y administracin de los factores crticos de xito

Desarrollar las necesidades presupuestarias para el programa BCM

Coordinar y administrar la implementacin del programa general

Supervisar la efectividad continua del programa

Reportar a la Administracin Superior sobre el estado del programa de manera regular

Estableciendo la Necesidad de Continuidad del Negocio

Mencione requerimientos de continuidad del negocio
Investigar y hacer referencia a cualquier requerimiento regulatorio relevante Hacer referencia a cualquier estndar relevante Identificar los servicios sensibles ante desastres de la empresa

Estableciendo la Necesidad de Continuidad del Negocio cont.

Porqu es importante la Continuidad del Negocio? Para salvaguardar la vida humana Para minimizar confusin y habilitar decisiones efectivas en tiempo de crisis Para reducir dependencia de personal especfico Para minimizar la prdida de datos, ingresos y clientes Para asegurar la supervivencia de la organizacin Para satisfacer cualquier requerimiento regulatorio o legal Para asegurar que est haciendo su debida diligencia Para facilitar la recuperacin oportuna de funciones crticas de la empresa Para mantener la imagen pblica y reputacin de la organizacin

Presentar y Obtener Soporte y Aprobacin de la Adm. Superior para el Programa BCM

Desarrollar reportes formales y presentaciones enfocadas en incrementar la consciencia sobre riesgos

Declarar los beneficios del BCM

Explicar el rol, la rendicin de cuentas y responsabilidad de la direccin ejecutiva

Obtener compromiso organizacional

Obtener patrocinio ejecutivo

BCM, De quin es la responsabilidad?

Los Ejecutivos son responsables de las siguientes consecuencias: Interrupcin del Negocio La prdida de informacin crtica del negocio La proteccin adecuada de los datos, como es requerido por la ley

Vendiendo el Programa
Maximice sus resultados: Enfquese en la gente de negocios, no en la gente de TI Encuentre algo que ellos crean que podra pasar Aydeles a encontrar el valor de negocio en el programa

Patrocinadores Lderes en la Definicin de un Programa BCM

Alcance y objetivos Polticas Supuestos del Proyecto Factores Crticos del xito Considerar a la organizacin completa en el alcance inicial Cumplimiento de objetivos Confirmar los supuestos Evaluacin comparativa entre similares (benchmarking) historias de casos

Desarrolle Requerimientos de Presupuesto

Su trabajo es: Definir claramente y obtener los requerimientos de recursos para el Programa BCM Obtener estimados de los requerimientos financieros Revisar y confirmar la validez de los estimados financieros contra las necesidades de recursos Negociar los requerimientos de recursos y financieros con la gerencia Obtener la aprobacin ejecutiva para los requerimientos de presupuesto

Coordinar y Administrar la Implementacin del Programa General

Identificar las tareas necesarias requeridas para apoyar el acuerdo sobre los factores crticos de xito Desarrollar los planes de accin necesarios de apoyo a lo anterior, incluyendo elementos necesarios, tales como: Programa Estimados de Tiempo Grandes Actividades Requerimientos de Personal

Desafo de la Continuidad del Negocio

BC/DR frecuentemente Reporta a la organizacin de tecnologa Es percibida como algo solamente relacionada con tecnologa Est relacionada con muchos aspectos del negocio completo (no solamente tecnologa)

Defendiendo un Programa BC en una Recesin

La recuperacin de la tecnologa es compleja, pero Es blanco y negro O funciona o no funciona Qu tan bien funciona y que tan rpido se recupera depende completamente de dos cosas: Qu tanto est dispuesto a gastar Qu tan a menudo hace pruebas

Defendiendo un Programa BC en una Recesin cont.

Recuperacin del negocio es difcil, muy difcil, porque Involucra gente Sus vidas frecuentemente son de mayor prioridad antes que la recuperacin del negocio

Entonces Gatear, Caminar, Correr

1. No trate de hacer todo al mismo tiempo, use un acercamiento gradual por fases 2. Obtenga un recurso de cada rea funcional de la compaa y hgalo sencillo para los BCPs de las lneas de negocio para hacer lo que usted solicita 3. Involucre a los lderes del negocio en Administracin de Crisis 4. Construya un proceso de administracin de eventos que se convierta en parte de la estructura de la compaa

Dgales la verdad
Le toma cuando menos 5 das recuperar su informacin (cintas) desde otro lugar Va a llevar ms tiempo que los resultados de ejercicios de recuperacin planeados Un desastre real necesitar que usted declareidentifique-empaque-cargue-enve-descargue-instaleclimatice y entonces comenzar la recuperacin

Ms verdades
Si usted recupera desde una cinta, su informacin estar tan actualizada como el ltimo buen respaldo que haya hecho FUERA DEL SITIO al tiempo del desastre A menos que haga respaldos completos TODO EL TIEMPO, usted necesitar muchas cintas para recuperarse No todos pueden trabajar desde casa Todos lo que pueden trabajar desde casa no pueden hacerlo en todos los tipos de eventos

Rol del Comit Directivo del BCM

Proveer los recursos para lograr que el proyecto comience Proveer informacin y aprobacin del objetivo del proyecto, alcance y programa Ayudar en la definicin de roles y responsabilidades Proveer soporte para el proyecto BC y al planificador de BCM Proveer coordinacin y apoyo con el desarrollo del plan

El Rol de Coordinador/Planificador
Obtiene soporte de la gerencia Organiza y administra el proyecto Define los objetivos del proyecto Evala los riesgos del proyecto Planea el proyecto en detalle Rastrea y reporta el progreso del proyecto Administra el cambio

Anlisis de Impacto en el Negocio BIA

Qu persigue el BIA?

Identificar los impactos que resultan de las interrupciones del negocio que puedan afectar a la organizacin y las tcnicas que pueden ser utilizadas para cuantificar y calificar tales impactos

Identificar funciones crticas con base en el tiempo, sus prioridades de recuperacin e interdependencias, con el propsito de que los tiempos objetivos de recuperacin (RTO) puedan ser establecidos y aprobados

El rol de los Profesionales de Continuidad

Establecer el proceso y metodologa del Anlisis de Impacto al Negocio (BIA) que va a seguir la organizacin

Planificar y coordinar la obtencin de datos y su anlisis

Preparar y presentar el informe BIA para la gerencia o la Administracin Superior

Establecer el Proceso y Metodologa del BIA

Identificar y obtener a un patrocinador para la actividad Alguien de alto rango, con influencia de los altos niveles de del Anlisis de Impacto al la organizacin Negocio

Definir los objetivos y el alcance del proceso BIA

Si explicas el por qu y las razones que lo motivan, no slo ayudas a los dems a entender el propsito, sino que tambin les permites apoyar la visin y participar de ella. As, el trabajo conjunto se vuelve posible! John Maxell

Identificar, definir y obtener la aprobacin de la Administracin Superior para los criterios de criticidad

Los criterios deben ir de acuerdo con la misin, visin y objetivos estratgicos de la organizacin

Propsitos y Objetivos del BIA

1. Determinar la criticidad de las funciones de la empresa 2. Determinar los perodos crticos de las funciones de la empresa 3. Identificar interdependencia entre las funciones de negocio 4. Evaluar el impacto de las interrupciones potenciales 5. Identificar los recursos crticos necesarios para una recuperacin 6. Determinar los Objetivos de Recuperacin para cada funcin crtica del negocio 7. Determinar los requerimientos legales y regulatorios 8. Identificar los registros vitales

Definir los criterios del BIA

Recomiende y obtenga el acuerdo respecto a cmo pueden ser cuantificados y calificados el potencial impacto financiero y no financiero Identifique y obtenga el acuerdo sobre los requerimientos de informacin de impacto no cuantificable Establezca la definicin y la escala de criticidad (ej. Inapreciable, moderado, severo) Negocie con la Administracin Superior la aprobacin de la escala de criticidad

Factores para identificar las funciones

Misin
Definidas por las unidades de negocio. Aquellas funciones que son requeridas para completar los procesos que son crticos para la continuidad de la organizacin.

Cliente
Definidas por las unidades de negocio. Aquellas funciones que son requeridas para completar los procesos que son crticos en la percepcin del cliente sobre la organizacin

Tareas durante el BIA

Identificar todas las funciones del negocio y determinar cules son o no crticas Determinar el RTO de cada funcin crtica sobre la base, al menos, de los siguientes objetivos:
Mantener la imagen pblica y reputacin Mantener los controles financieros Mantener el ingreso Minimizar la prdida de clientes Asegurar el cumplimiento regulatorio

Planificacin del BIA

Identifique quin estar involucrado Trabaje con el patrocinador del BIA para identificar: 1. Quin representar las reas principales de la organizacin
2. Los miembros del equipo del rea funcional que participarn en el proceso de recoleccin 3. Cualquier requerimiento de entrenamiento

Disee el proceso para la recoleccin de datos

Escoja una metodologa / herramienta apropiada de planificacin del BIA Desarrollo un cuestionario e instrucciones segn se requiera Determine los mtodos de anlisis de datos (manual o con un software)

Recoleccin de datos va Taller

Para realizar talleres efectivos:

Fije una agenda clara con objetivos Identifique el nivel apropiado de los participantes y obtenga el acuerdo de la Administracin Superior Escoja un lugar apropiado Facilite y dirija el taller Asegrese de que los objetivos del taller sean cubiertos Identifique cualquier aspecto sobresaliente Realice un seguimiento apropiado

Posibles impactos

Tu pago de salario Un desastre puede impactar

La reputacin de la organizacin Clientes La habilidad para cumplir con requerimientos legales y regulatorios

Impacto al negocio

Financiero Clientes y proveedores Relaciones pblicas / credibilidad / reputacin Legal Requerimientos / consideraciones regulatorias
Medio ambiente Operacional De personal

RTO

Defincin del Objetivo de Punto de Recuperacin (RPO)

Prdida potencial de transacciones

ltimo respaldo de datos disponible

Objetivo de punto de recuperacin en el tiempo

Prdida tolerable de datos

Presentacin de Resultados

Prepare el informe

Obtenga la aprobacin y aceptacin ejecutiva de

La clasificacin relativa de las funciones y aplicaciones crticas Los plazos para RTOs y sus implicaciones

Presente un resumen con los principales hallazgos

Examen

Cul es el resultado de realizar un BIA?

Qu frase describe mejor la razn para establecer RPOs?

Para determinar el marco de tiempo en el que las funciones tienen que ser restauradas para prevenir un impacto inaceptable a la organizacin Para determinar el nivel de riesgo y la prdida potencial que la gerencia est dispuesta a aceptar Para determinar el punto en el tiempo en el que las transacciones y los datos deben ser recuperados despus de una interrupcin

Para obtener un estimado cualitativo del impacto de la amenaza

Qu frase describe mejor la razn para establecer RPOs?

Qu frase describe mejor la razn para establecer RTOs?

Para determinar el marco de tiempo en el que las funciones tienen que ser restauradas para prevenir un impacto inaceptable a la organizacin
Para determinar el nivel de riesgo y la prdida potencial que la gerencia est dispuesta a aceptar Para determinar el punto en el tiempo cuando el BCP de la compaa debe activarse

Para obtener un estimado cualitativo del impacto de la amenaza

Qu frase describe mejor la razn para establecer RTOs?

Evaluacin de Riesgos

Qu es la evaluacin de riesgos?
Es el proceso de identificacin de las vulnerabilidades de una organizacin, para los propsitos de la reduccin y mitigacin de riesgos Evaluacin de riesgo: Define los controles ya instalados para reducir la exposicin de la organizacin Evala el costo para tales controles Evala las probabilidades de que ocurra un evento particular

Porqu realizar una evaluacin de riesgos?

El propsito de una evaluacin de riesgos es:
Dar prioridad a la planificacin y distribucin de los recursos Identificar y mitigar vulnerabilidades Identificar las amenazas, riesgos y vulnerabilidades en la cadena de desastre (eventos externos que afecten a la organizacin de manera indirecta) Mantener en mente que usted no puede mitigar todos los riesgos posibles. Un beneficio de una evaluacin de riesgos es que identifica dnde debe gastar el dinero de mitigacin para obtener el mximo valor de ellos

Obtener la informacin sobre la tolerancia al riesgo de la Organizacin

Entreviste al rea legal y otras reas pertinentes de la organizacin para identificar los asuntos relevantes relacionados con riesgos Converse con el rea de riesgo para seleccionar un modelo de anlisis costo-beneficio apropiado Establezca los criterios de medicin necesarios para cuantificar la tolerancia al riesgo Determine los mtodos para obtener informacin, fuentes y credibilidad de ellas

Identificar e implementar las actividades de obtencin de informacin

Siga estos pasos para facilitar los esfuerzos de recoleccin de informacin:

Desarrolle una estrategia para obtener informacin que sea consistente con los asuntos de negocio y las polticas de la organizacin que pueda ser manejada a travs de las divisiones de negocio y ubicaciones organizacionales Implante un proceso para revisin y anlisis de documentacin

Identificar e implementar las actividades de obtencin de informacin

Crear los mtodos para recoleccin de informacin y distribucin a lo largo de toda la organizacin:
Formatos de minuta o documentos Entrevistas, Cuestionarios, Talleres Revisin de Documentacin existente Observacin Informacin de los servicios brindados Anlisis

Recursos Externos
Normas Internacionales:
ISO, BSI, RIMS (Risk Management Society)

Comisin Nacional de Emergencias Instituto Meteorolgico Nacional Fuerza Pblica y Cuerpo de Bomberos Municipalidades, ICE, CNFL, etc

Recursos Internos
Gerencia General Personal interno Departamento de Obras Civiles TI Recursos Humanos Salud Ocupacional Contratistas externos
Corredores de Seguros Firmas de Ingeniera/Diseo Firmas de Arquitectos Contratistas / Proveedores

Amenazas Comunes

Tipos de amenazas

Peligros de la Naturaleza

El edificio est ubicado en una zona peligrosa por inundacin.

Industria Corridas y problemas de cierre de servicios. Proximidades Existe una bomba y un hospital cerca del CPP

Tipos de amenazas

Humano

Errores, actos criminales, asaltos, toma de rehenes

Cadena de Suministro Proveedores de internet, de equipo tecnolgico y plantas elctricas. Servicios Agua, Energa e iluminacin.

Tipos de Riesgo

Ambientales

Riesgos que se origina por desastres naturales o eventualidades Terremotos, inundaciones, etc

Operativos

El riesgo se origina por la no ejecucin de alguna actividad u operacin. Ausencia o muerte de personal clave
El riesgo se origina por el incumplimiento o inexistencia de una norma o reglamento Demanda por publicar informacin que incumpla algn requisito legal

Normativos

Tipos de Riesgo (cont.)

Sociales

El riesgo se origina por factores humanos Robo por parte de personas internas Riesgos asociados con el uso de sistemas y tecnologa, incluyendo disponibilidad, capacidad, integridad, soporte operacional, integracin de sistemas funcionalmente y administracin del cambio Falla de conectividad entre la red interna con la extranet y entes externos

Tecnolgicos

Elementos de Riesgos
Una amenaza es definida como un evento o situacin que podra causar un impacto perjudicial financiero u operacional a la organizacin Las amenazas son medidas en trminos de probabilidad, tal como puede ocurrir 1 vez cada 10 aos La medicin del impacto potencial de las amenazas involucra una definicin del espacio de tiempo que el negocio o la operacin no estaran en condiciones de funcionar normalmente

Matriz de Riesgos

5 Muy probable

Probabilidad

4 Probable 3 Medianamente probable 2 Poco probable 1 Improbable 1 Insignificante 2 Menor 3 Moderado 4 Significativo 5 Severo Simbologa del Riesgo

Impacto

Qu hacer con un riesgo identificado?

Aceptarlo y no hacer nada

Consiste en aceptar el riesgo sin realizar acciones adicionales

Transferir el riesgo
Consiste en transferir el riesgo a un tercero que puede manejarlo de forma ms efectiva (caso de plizas de seguro)

Evitar el riesgo
Consiste en evitar realizar actividades que eleven un particular riesgo

Mitigar el riesgo
Consiste en definir controles que permiten reducir el nivel de riesgo con el fin de que el riesgo residual puede ser aceptado.

Identificar Controles y las Contramedidas para Evitar o Mitigar el Impacto

La consideraciones son las acciones tomadas para reducir la probabilidad de la ocurrencia de incidentes que podran afectar la habilidad de la organizacin para hacer negocios.
Proteccin Fsica Proteccin Lgica

Ubicacin de los Activos

Seguridad Fsica

Acceso a Construccin ubicacin geogrfica, vecinos corporativos, instalaciones o infraestructura de la comunidad, edificios, salas, etc.

Prevencin Identificar los requerimientos necesarios para restringir el acceso en todos los niveles que aplique. Investigar la necesidad de barreras y otras estructuras reforzadas para diferenciar entre un ingreso intencionado y accidental o un ingreso no autorizado. Identificar la necesidad para el uso de personal especializado para hacer las revisiones en los puntos de entrada clave. Evaluar la necesidad de vigilancia humana y/o equipos de grabacin para control de puntos de acceso y reas de exclusin; incluyendo deteccin, notificacin, supresin (por ej. Sensores, alarmas, rociadores)

Proteccin Lgica
Evale la necesidad de un sistema de proteccin de datos almacenados, en proceso, o en trnsito. Evale la necesidad de copias de respaldo de informacin y proteccin. Evale la seguridad de informacin: hardware, software, datos, y monitoreo de la red (ejemplo: deteccin, notificacin, etc.)

Otras reas:
Localizacin de activos
Evaluar la proteccin inherente que requieren los activos clave en virtud de su ubicacin con respecto a las fuentes de riesgo

Procedimientos de personal Mantenimiento preventivo Servicios: duplicidad de servicios, construyendo con redundancias (compaa telefnica, energa, agua, etc.) Interface con dependencias externas (proveedores, servicios tercerizados outsources, etc.)

Razones para tener cuidado sobre los riesgos

Porqu la continuidad del negocio se preocupa sobre los riesgos?
Porque es mucho ms fcil prevenir un desastre que recuperarse de uno Para ayudarle a determinar dnde gastar el dinero en mitigacin Para instalar controles apropiados para resolver los problemas menores ANTES de que se conviertan en desastre

Protegiendo la informacin
Poltica de seguridad de la informacin y procedimientos Poltica de confidencialidad Firewalls Deteccin de Intrusin Contraseas Robustas Controlar el acceso a la informacin / Definiciones Estndar de Acceso Administracin de Proveedores Almacenaje Exterior Seguro Disposicin de Basura Privada/Propia Proteccin de virus y respuesta

Protegiendo personas y lugares de trabajo

Administracin de Control de Acceso / Claves Monitoreo de Alarmas Jefe de Piso / Simulacros de Evaluacin /Brigadistas Investigaciones de Antecedentes Programas anti Violencia en el lugar de trabajo Diseo de Exteriores y Alumbrado Cmaras y Procedimientos de Visitas Sistema de Respaldos de Energa Diseo de Instalaciones / Vigilancia de las Instalaciones

Protegiendo la Reputacin
Relaciones Corporativas / Mercadeo Planes de Comunicacin Auditoras Internas y Externas Administracin Operacional Recuperacin Cdigo de tica Salud Ocupacional

Evale la efectividad de Controles y Contramedidas

1. Evale el flujo de comunicaciones relacionadas con la seguridad con otras reas internas y proveedores de servicio externos. 2. Evale acuerdos de nivel de servicio de continuidad del negocio, tanto para proveedor como para organizaciones de clientes y grupos internos y externos de la organizacin. 3. Establezca los escenarios de desastre sobre la base de los riesgos severos en magnitud, ocurriendo al momento del peor escenario posible y resultando en un deterioro grave de la habilidad de la organizacin de hacer negocios. 4. Asesorar sobre medidas de seguridad requeridas para prevenir o reducir riesgos relacionados con la seguridad y las vulnerabilidades.

Evale la efectividad de Controles y Contramedidas (cont.)

Controles y Contramedidas
Proceso, dispositivo o procedimiento que Disuade de ocurrir una amenaza Mitiga el impacto de una amenaza No siempre puede prevenir la ocurrencia

Evale la efectividad de Controles y Contramedidas (cont.)

Evaluar los controles y cambios recomendados, si es necesario. Ejemplos de controles son:
Controles preventivos (contraseas, detectores de humo, y firewalls) Controles reactivos (como sitios alternos, hot sites)

Los controles preventivos inhiben el impacto a las vulnerabilidades, mientras los controles reactivos compensan el impacto a las vulnerabilidades.

Documentar la evaluacin de Riesgos para su Aprobacin

Las metas para este paso del proceso incluyen:
Presentar los hallazgos de la evaluacin de riesgos Determinar los prximos pasos para iniciar el desarrollo o actualizacin de las estrategias de Continuidad del Negocio

Qu es la administracin de riesgos?
Segn la ISO 31000/2009: actividades coordinadas para dirigir y controlar una organizacin con respecto al riesgo.

Administracin de Riesgos
-Prevencin / Mitigacin -Retencin de Riesgo -Transferencia de Riesgo

Tareas para la Oficina de Continuidad de Negocio

Trabajar con la gerencia para medir la tolerancia al riesgo de la organizacin. Desarrollar un proceso para obtener informacin de riesgos. Identificar las vulnerabilidades y riesgos potenciales de la organizacin. Calificar y de priorizar las vulnerabilidades identificadas. Identificar los controles y las contramedidas implementadas para manejar los riesgos. Evaluar la efectividad de los controles y de las contramedidas existentes. Recomendar controles adicionales o mejoras. Incluir un anlisis costo/beneficio. Documentar y presentar la evaluacin de riesgos y cualquier recomendacin a la alta gerencia para la aprobacin.

Y qu sobre la Planificacin de Contingencia?

Los Planes de Contingencia son los que ejercitamos cuando todos los dems factores de mitigacin fallan

Prctica

Evaluacin y Control de Riesgos

Pregunta 1
Cules son los objetivos primarios al hacer una evaluacin de riesgos? a) Identificar las responsabilidades de la gerencia para proteger a la organizacin de una prdida y que tan efectiva ha sido b) Entender la exposicin a prdida de la organizacin y evaluar la efectividad de controles y contramedidas c) Identificar el impacto que las polticas insuficientes de respaldo tienen en la habilidad para la recuperacin del negocio y de la tecnologa d) Implementar controles y eliminar los principales riesgos de la organizacin

Pregunta 2
Qu respuesta identifica dos razones para implementar controles? a) b) c) d) Reducir la prdida y mitigar la amenaza Identificar el riesgo y eliminar la amenaza Eliminar el riesgo y mitigar la amenaza Reducir la prdida y eliminar la amenaza

Pregunta 3
Cul de lo siguiente NO es un ejemplo de mitigacin? a) b) c) d) Servicios de Energa Elctrica Generador Mantenimiento Preventivo Control de Acceso

Pregunta 4
Cul es el beneficio principal de realizar una evaluacin de riesgos? a) Eliminar las vulnerabilidades a prdida b) Eliminar amenazas potenciales c) Eliminar el impacto de las amenazas a la organizacin d) Entender los riesgos y vulnerabilidades organizacionales

Preguntas y Respuestas