Академический Документы
Профессиональный Документы
Культура Документы
Agenda
Programa y Administracin de BCM Anlisis de Impacto al Negocio Anlisis de riesgos de Continuidad de Negocio
Establecer la necesidad de un Programa de Administracin de Continuidad del Negocio (BCM) incluyendo las estrategias de resilencia, objetivos de recuperacin, continuidad del negocio, gestin de riesgos operacionales y planes de gestin de crisis y comunicaciones. Los requisitos dentro de este esfuerzo incluyen la obtencin de apoyo de la administracin superior, la organizacin y administracin de la formulacin de las funciones o procesos necesarios para construir el marco de trabajo de BCM.
Dirigir a los patrocinadores en la definicin de objetivos, estructura del programa, polticas y administracin de los factores crticos de xito
Vendiendo el Programa
Maximice sus resultados: Enfquese en la gente de negocios, no en la gente de TI Encuentre algo que ellos crean que podra pasar Aydeles a encontrar el valor de negocio en el programa
Identificar las tareas necesarias requeridas para apoyar el acuerdo sobre los factores crticos de xito Desarrollar los planes de accin necesarios de apoyo a lo anterior, incluyendo elementos necesarios, tales como: Programa Estimados de Tiempo Grandes Actividades Requerimientos de Personal
Dgales la verdad
Le toma cuando menos 5 das recuperar su informacin (cintas) desde otro lugar Va a llevar ms tiempo que los resultados de ejercicios de recuperacin planeados Un desastre real necesitar que usted declareidentifique-empaque-cargue-enve-descargue-instaleclimatice y entonces comenzar la recuperacin
Ms verdades
Si usted recupera desde una cinta, su informacin estar tan actualizada como el ltimo buen respaldo que haya hecho FUERA DEL SITIO al tiempo del desastre A menos que haga respaldos completos TODO EL TIEMPO, usted necesitar muchas cintas para recuperarse No todos pueden trabajar desde casa Todos lo que pueden trabajar desde casa no pueden hacerlo en todos los tipos de eventos
El Rol de Coordinador/Planificador
Obtiene soporte de la gerencia Organiza y administra el proyecto Define los objetivos del proyecto Evala los riesgos del proyecto Planea el proyecto en detalle Rastrea y reporta el progreso del proyecto Administra el cambio
Qu persigue el BIA?
Identificar los impactos que resultan de las interrupciones del negocio que puedan afectar a la organizacin y las tcnicas que pueden ser utilizadas para cuantificar y calificar tales impactos
Identificar funciones crticas con base en el tiempo, sus prioridades de recuperacin e interdependencias, con el propsito de que los tiempos objetivos de recuperacin (RTO) puedan ser establecidos y aprobados
Establecer el proceso y metodologa del Anlisis de Impacto al Negocio (BIA) que va a seguir la organizacin
Identificar y obtener a un patrocinador para la actividad Alguien de alto rango, con influencia de los altos niveles de del Anlisis de Impacto al la organizacin Negocio
Si explicas el por qu y las razones que lo motivan, no slo ayudas a los dems a entender el propsito, sino que tambin les permites apoyar la visin y participar de ella. As, el trabajo conjunto se vuelve posible! John Maxell
Identificar, definir y obtener la aprobacin de la Administracin Superior para los criterios de criticidad
Los criterios deben ir de acuerdo con la misin, visin y objetivos estratgicos de la organizacin
Misin
Definidas por las unidades de negocio. Aquellas funciones que son requeridas para completar los procesos que son crticos para la continuidad de la organizacin.
Cliente
Definidas por las unidades de negocio. Aquellas funciones que son requeridas para completar los procesos que son crticos en la percepcin del cliente sobre la organizacin
Identificar todas las funciones del negocio y determinar cules son o no crticas Determinar el RTO de cada funcin crtica sobre la base, al menos, de los siguientes objetivos:
Mantener la imagen pblica y reputacin Mantener los controles financieros Mantener el ingreso Minimizar la prdida de clientes Asegurar el cumplimiento regulatorio
Posibles impactos
La reputacin de la organizacin Clientes La habilidad para cumplir con requerimientos legales y regulatorios
Impacto al negocio
Financiero Clientes y proveedores Relaciones pblicas / credibilidad / reputacin Legal Requerimientos / consideraciones regulatorias
Medio ambiente Operacional De personal
RTO
Presentacin de Resultados
Prepare el informe
Examen
Para determinar el marco de tiempo en el que las funciones tienen que ser restauradas para prevenir un impacto inaceptable a la organizacin Para determinar el nivel de riesgo y la prdida potencial que la gerencia est dispuesta a aceptar Para determinar el punto en el tiempo en el que las transacciones y los datos deben ser recuperados despus de una interrupcin
Para determinar el marco de tiempo en el que las funciones tienen que ser restauradas para prevenir un impacto inaceptable a la organizacin
Para determinar el nivel de riesgo y la prdida potencial que la gerencia est dispuesta a aceptar Para determinar el punto en el tiempo cuando el BCP de la compaa debe activarse
Evaluacin de Riesgos
Qu es la evaluacin de riesgos?
Es el proceso de identificacin de las vulnerabilidades de una organizacin, para los propsitos de la reduccin y mitigacin de riesgos Evaluacin de riesgo: Define los controles ya instalados para reducir la exposicin de la organizacin Evala el costo para tales controles Evala las probabilidades de que ocurra un evento particular
Recursos Externos
Normas Internacionales:
ISO, BSI, RIMS (Risk Management Society)
Comisin Nacional de Emergencias Instituto Meteorolgico Nacional Fuerza Pblica y Cuerpo de Bomberos Municipalidades, ICE, CNFL, etc
Recursos Internos
Gerencia General Personal interno Departamento de Obras Civiles TI Recursos Humanos Salud Ocupacional Contratistas externos
Corredores de Seguros Firmas de Ingeniera/Diseo Firmas de Arquitectos Contratistas / Proveedores
Amenazas Comunes
Tipos de amenazas
Peligros de la Naturaleza
Tipos de amenazas
Humano
Cadena de Suministro Proveedores de internet, de equipo tecnolgico y plantas elctricas. Servicios Agua, Energa e iluminacin.
Tipos de Riesgo
Ambientales
Riesgos que se origina por desastres naturales o eventualidades Terremotos, inundaciones, etc
Operativos
El riesgo se origina por la no ejecucin de alguna actividad u operacin. Ausencia o muerte de personal clave
El riesgo se origina por el incumplimiento o inexistencia de una norma o reglamento Demanda por publicar informacin que incumpla algn requisito legal
Normativos
Sociales
El riesgo se origina por factores humanos Robo por parte de personas internas Riesgos asociados con el uso de sistemas y tecnologa, incluyendo disponibilidad, capacidad, integridad, soporte operacional, integracin de sistemas funcionalmente y administracin del cambio Falla de conectividad entre la red interna con la extranet y entes externos
Tecnolgicos
Elementos de Riesgos
Una amenaza es definida como un evento o situacin que podra causar un impacto perjudicial financiero u operacional a la organizacin Las amenazas son medidas en trminos de probabilidad, tal como puede ocurrir 1 vez cada 10 aos La medicin del impacto potencial de las amenazas involucra una definicin del espacio de tiempo que el negocio o la operacin no estaran en condiciones de funcionar normalmente
Matriz de Riesgos
5 Muy probable
Probabilidad
4 Probable 3 Medianamente probable 2 Poco probable 1 Improbable 1 Insignificante 2 Menor 3 Moderado 4 Significativo 5 Severo Simbologa del Riesgo
Impacto
Transferir el riesgo
Consiste en transferir el riesgo a un tercero que puede manejarlo de forma ms efectiva (caso de plizas de seguro)
Evitar el riesgo
Consiste en evitar realizar actividades que eleven un particular riesgo
Mitigar el riesgo
Consiste en definir controles que permiten reducir el nivel de riesgo con el fin de que el riesgo residual puede ser aceptado.
La consideraciones son las acciones tomadas para reducir la probabilidad de la ocurrencia de incidentes que podran afectar la habilidad de la organizacin para hacer negocios.
Proteccin Fsica Proteccin Lgica
Seguridad Fsica
Acceso a Construccin ubicacin geogrfica, vecinos corporativos, instalaciones o infraestructura de la comunidad, edificios, salas, etc.
Prevencin Identificar los requerimientos necesarios para restringir el acceso en todos los niveles que aplique. Investigar la necesidad de barreras y otras estructuras reforzadas para diferenciar entre un ingreso intencionado y accidental o un ingreso no autorizado. Identificar la necesidad para el uso de personal especializado para hacer las revisiones en los puntos de entrada clave. Evaluar la necesidad de vigilancia humana y/o equipos de grabacin para control de puntos de acceso y reas de exclusin; incluyendo deteccin, notificacin, supresin (por ej. Sensores, alarmas, rociadores)
Proteccin Lgica
Evale la necesidad de un sistema de proteccin de datos almacenados, en proceso, o en trnsito. Evale la necesidad de copias de respaldo de informacin y proteccin. Evale la seguridad de informacin: hardware, software, datos, y monitoreo de la red (ejemplo: deteccin, notificacin, etc.)
Otras reas:
Localizacin de activos
Evaluar la proteccin inherente que requieren los activos clave en virtud de su ubicacin con respecto a las fuentes de riesgo
Procedimientos de personal Mantenimiento preventivo Servicios: duplicidad de servicios, construyendo con redundancias (compaa telefnica, energa, agua, etc.) Interface con dependencias externas (proveedores, servicios tercerizados outsources, etc.)
Protegiendo la informacin
Poltica de seguridad de la informacin y procedimientos Poltica de confidencialidad Firewalls Deteccin de Intrusin Contraseas Robustas Controlar el acceso a la informacin / Definiciones Estndar de Acceso Administracin de Proveedores Almacenaje Exterior Seguro Disposicin de Basura Privada/Propia Proteccin de virus y respuesta
Protegiendo la Reputacin
Relaciones Corporativas / Mercadeo Planes de Comunicacin Auditoras Internas y Externas Administracin Operacional Recuperacin Cdigo de tica Salud Ocupacional
Los controles preventivos inhiben el impacto a las vulnerabilidades, mientras los controles reactivos compensan el impacto a las vulnerabilidades.
Qu es la administracin de riesgos?
Segn la ISO 31000/2009: actividades coordinadas para dirigir y controlar una organizacin con respecto al riesgo.
Administracin de Riesgos
-Prevencin / Mitigacin -Retencin de Riesgo -Transferencia de Riesgo
Los Planes de Contingencia son los que ejercitamos cuando todos los dems factores de mitigacin fallan
Prctica
Pregunta 1
Cules son los objetivos primarios al hacer una evaluacin de riesgos? a) Identificar las responsabilidades de la gerencia para proteger a la organizacin de una prdida y que tan efectiva ha sido b) Entender la exposicin a prdida de la organizacin y evaluar la efectividad de controles y contramedidas c) Identificar el impacto que las polticas insuficientes de respaldo tienen en la habilidad para la recuperacin del negocio y de la tecnologa d) Implementar controles y eliminar los principales riesgos de la organizacin
Pregunta 2
Qu respuesta identifica dos razones para implementar controles? a) b) c) d) Reducir la prdida y mitigar la amenaza Identificar el riesgo y eliminar la amenaza Eliminar el riesgo y mitigar la amenaza Reducir la prdida y eliminar la amenaza
Pregunta 3
Cul de lo siguiente NO es un ejemplo de mitigacin? a) b) c) d) Servicios de Energa Elctrica Generador Mantenimiento Preventivo Control de Acceso
Pregunta 4
Cul es el beneficio principal de realizar una evaluacin de riesgos? a) Eliminar las vulnerabilidades a prdida b) Eliminar amenazas potenciales c) Eliminar el impacto de las amenazas a la organizacin d) Entender los riesgos y vulnerabilidades organizacionales
Preguntas y Respuestas