Business Continuity Planseminarisempresa.fib.upc.edu/anteriors/2008/programes/Aulas Empres… ·...

Business Continuity Plan .

Barcelona, febrero de 2008

2 ©2008 Deloitte. Todos los derechos reservados

¿Porqué un Business Continuity Plan?

Una buena definición de la continuidad del negocio ayuda a identificar los productos y servicios clave y como gestionarlos. Una mala gestión de la

continuidad del negocio puede impactar de muy distintas maneras a la organización:

Normativas y Aspectos Legales

Protección de los intereses de los

clientes

Protección de los activos de la

compañía

4 Ha aumentado el número de regulaciones relacionadas con la continuidad del negocio en todos los sectores (SOX, LOPD,

etc.)

4 Nuevo British Standard (BS25999) que especifica los requisitos de obtención de la certificación de las buenas prácticas en la

gestión de la continuidad del negocio.

4 La pertenencia a ciertas organizaciones no es posible si no se demuestra capacidad en la continuidad del negocio (por

ejemplo: CHAPS)

4 El mercado es cada vez más exigente en cuanto a la disponibilidad del negocio, sobretodo en negocios dónde un

componente relevante es la tecnología

4 La aparición de problemas de seguridad puede influir negativamente en el negocio

4 Incremento de las amenazas de actos terroristas internacionales de gran impacto

4 Las compañías deben proteger a sus empleados, activos materiales, sus negocios, su reputación y su marca

4 La continuidad del negocio es una ventaja competitiva, no sólo si ocurre un desastre sino que permite a los clientes

continuar con las actividades que dependan de la compañía

Protección de la reputación de la

compañía

4 Un fallo grave en la continuidad del negocio puede comprometer seriamente la credibilidad de la empresa en el mercado y

provocar pérdidas.

Una encuesta reciente permite constatar que, sólo un 47% de los responsables de negocios y de tecnología tienen un plan de continuidad definido en

su negocio para recuperación del negocio en caso de desastre.


Otras incidencias

Interrupción en los transportesCortes en el suministro de gasolina y gasóleo

Ejemplos: ataque malicioso, clima extremo o actividad industrial.

Fallo en los suministros básicos

Las condiciones de salud y seguridad del personal, clientes, etc. puede estar en peligro.Puede haber pérdidas importantes en TIC.

Ejemplos: situaciones climáticas extremas o la contaminación.

Pérdidas en TIC

Imposibilidad de procesar las transacciones con clientes y proveedores

Ejemplos: destrucción de equipos, virus o cortes en el suministro eléctrico y/o de comunicaciones.

Imposibilidad de acceso

Imposibilidad de acceso a las instalaciones de la compañía durante días, meses o años.

Ejemplos: emisiones de sustancias tóxicas, fuego, inundaciones o manifestaciones.

Fallo de un proveedor

Un fallo de un proveedor o servicio de outsourcing puede comprometer el desarrollo normal del negocio. Es importante ser cuidadosos en la elección de los proveedores

Ejemplos: incidencia en las instalaciones del proveedor que afecten a la capacidad de servicio del mismo.

Falta de plantilla relevante

Las grandes empresas deben diseñar sus planes para garantizar su funcionamiento con una ausencia de un 25% durante 2 o 3 semanas. Las empresas pequeñas deben ajustar estos ajustar estos porcentajes entre un 30-50% de su plantilla.

Ejemplo: pandemia global.

Retos del BCP


La elaboración de un Business Continuity Plan (BCP) está orientada a:

• Proteger la imagen pública y la confianza en la Organización.

• Mantener el servicio prestado por los sistemas de información a los procesos de negocio, minimizando el impacto en la operativa diaria con clientes.

• Minimizar los posibles impactos financieros y de negocio adversos para la Organización como resultado de una interrupción de las operaciones normales del negocio.

• Reducir los efectos operacionales de un desastre, suministrando una serie de guías y procedimientos predefinidos y flexibles para su empleo en la dirección de la reanudación y recuperación de los procesos.

• Reanudar las operaciones del negocio y funciones de soporte asociadas sensibles al tiempo para conseguir la continuidad del negocio.

• Satisfacer las obligaciones de la Organización para con sus empleados, clientes y terceros (reguladores, contrapartes, clientes, empleados, proveedores y otras asociaciones y comunidades).

Objetivos


Es imposible planificar la continuidad para cualqui er tipo de desastre, por lo que un plan de continuidad de negocio debe ser:

• Genérico – adoptar una estrategia que pueda ser implantada en toda la organización

proporcionando un enfoque cohesionado a la continuidad del negocio.

• Simple – no es recomendable diseñar planes o procesos complicados, un dossier de

100 páginas no será útil ni fácil de seguir en una situación de emergencia.

• Realista – no es necesario diseñar nuevos procesos de negocio para el plan de

continuidad, se trata de emplear los recursos ya existentes.

• Entendible – el plan debe ser entendible para cualquier persona de la plantilla que no

sean los autores y que puedan actuar en caso de emergencia.

• Probado – es un punto crítico en el plan de continuidad. Hay una gran diferencia entre

saber como actuar en una situación y que los recursos funcionen y desconocer por

completo lo que está descrito en el plan.

¿Cómo debe ser un BCP?


Análisis

Uso de una metodología de identificación y evaluación de riesgos tecnológicos y de negocio que permita identificar posibles oportunidades de mejora.

Diseño

Diseño de las soluciones que den respuesta a las necesidades de la Organización, identificando la tecnología, procesos, personas y normativas requeridos.

Implementación

Implementación e integración de las soluciones diseñadas en el entorno de la Organización.

Revisión

Revisión de la solución implantada para determinar la eficacia y cumplimiento de los requisitos, orientada a la mejora continua.

AnálisisDiseño

Imple

men

-

tació

nRev

isión

Marco metodológicoCiclo de mejora contínua


• Mantenimiento

del plan

• Evaluar calidad

• Adquisición de

recursos /

implem.

• Entrenamiento

• Prueba

• Gobierno

• Estrategia de

recuperación /

disp.

• Documentación de los planes

• Diagnóstico

situación actual

• Evaluación de

Riesgos

• Análisis de Impacto en el

Negocio

Estrategia

Continuidad

RevisiónImplementaciónDiseñoAnálisis

Enfoque metodológico detalladoBusiness Continuity Plan


• XXXTareas

• Informe con la situación actual

• Evaluación del grado de madurez actual

• Herramienta con el análisis realizado

Resultados• Conocimiento del entorno para el desarrollo del proyecto

• Identificar y documentar el estado actual del cliente en relación con la política de continuidad de negocio

Objetivo

• Mantenimiento del plan

• Evaluar calidad

• Adquisición de recursos / implem.

• Entrenamiento

• Prueba

• Gobierno

• Estrategia de recuperación /

disp.


• Diagnóstico situación actual

• Evaluación de

Riesgos


Negocio

Estrategia Continuidad




• XXXTareas

• Mapa de riesgos

Resultados• Identificar los principales riesgos en el entorno del negocio, que puedan afectar a la disponibilidad de los procesos de negocio

Objetivo


• Evaluar calidad


• Entrenamiento

• Prueba

• Gobierno

• Estrategia de recuperación / disp.



• Evaluación de Riesgos

• Análisis de Impacto en el Negocio





• XXXTareas

• Informe con análisis

de impactos

Resultados• Identificar el impacto que los distintos

riesgos tienen sobre los procesos de negocio

• Entender las necesidad del negocio desde

un punto de vista de la continuidad

Objetivo

• Mantenimiento del

plan

• Evaluar calidad

• Adquisición de

recursos / implem.

• Entrenamiento

• Prueba

• Gobierno

• Estrategia de

recuperación / disp.

• Documentación de

los planes

• Diagnóstico

situación actual


• Análisis de

Impacto en el

Negocio

Estrategia

Continuidad


Criticidad Función

6 horas Operaciones – Restauración

Operaciones – Operaciones

1 día Comercial – Ventas

Operaciones – Tiendas y juegos

…



• XXXTareas

• Modelo

organizativo con roles y responsabilidades

asociadas

• Política de continuidad de

negocio de la organización

Resultados• Definir, identificar y asignar los roles y

responsabilidades asociadas al BCM

• Definir la política de continuidad de la organización

Objetivo


plan

• Evaluar calidad

• Adquisición de

recursos / implem.

• Entrenamiento

• Prueba

• Gobierno



• Diagnóstico

situación actual



Estrategia

Continuidad


Alternativa Ventajas Inconvenientes Coste

Site propio • Infraestructura dedicada simplifica la recuperación

• Independencia de proveedores

• Inexistencia de riesgos por compartir infraestructura de respaldo con terceros

• Puede utilizarse como entorno de pruebas

• Inversión inicial muy elevada

• Elevados costes de mantenimiento: los cambios de plataforma tienen el doble de coste

A

Hot site externo

• Infraestructura dedicada simplifica la recuperación

• Inexistencia de riesgos por compartir infraestructura de respaldo con terceros

• Garantiza la no pérdida de información

• Alto coste anual

A

Cold site externo

• Coste anual moderado

• Permite la reanudación progresiva de la actividad en un periodo inferior a los tiempos de ruptura

• Opción más rápida de implantar

• Riesgos por compartir infraestructura de respaldo con terceros (en caso de desastres múltiples, riesgo que el proveedor no pueda responder a la vez)

M

CPD compartido

• Coste bajo

• Garantiza la continuidad del negocio, en caso de llegar a un acuerdo satisfactorio

• Dificultad para lograr un acuerdo con otra organización, y garantizar su cumplimiento

• Riesgo de incompatibilidad de plataformas con el paso del tiempo

• Incremento de la infraestructura, para soportar otra organización en desastre

• Dificultad para realizar pruebas

B

EJEMPLO



• XXXTareas

• Planes de acción a corto plazo

• Análisis de alternativas y selección de

estrategias

Resultados• Identificar aspectos de mejora a corto plazo (quick wins)

• Definir las estrategias de respuesta y recuperación ante desastres

Objetivo


• Evaluar calidad


• Entrenamiento

• Prueba

• Gobierno

• Estrategia de





• Análisis de Impacto

en el Negocio





• XXXTareas

• Plan de emergencia

• Plan de continuidad de negocio

• Planes de

recuperación

Resultados• Especificar las actividades, recursos y personal requerido para la recuperación después de un

desastre.

• Definir la secuencia de recuperación

Objetivo


plan

• Evaluar calidad

• Adquisición de

recursos / implem.

• Entrenamiento

• Prueba

• Gobierno



• Diagnóstico situación

actual

• Evaluación de

Riesgos






• XXXTareas

• Planificación de la implantación

• Entregables parciales de la metodología de implantación

Resultados• Coordinar la implantación de las estrategias de continuidad desarrolladas

• Gestionar la implantación del plan

Objetivo


plan

• Evaluar calidad

• Adquisición de

recursos / implem.

• Entrenamiento

• Prueba

• Gobierno




actual







• XXXTareas

• Plan de concienciación

• Plan de formación

• Cursos y material

formativo

Resultados• Definir los procesos de formación y entrenamiento

necesarios acorde al plan implantado

Objetivo


• Evaluar calidad

• Adquisición de recursos

/ implem.

• Entrenamiento

• Prueba

• Gobierno




actual







• XXXTareas

• Procedimiento de pruebas

• Evaluación de resultados de las pruebas

Resultados• Definir el plan de pruebas

• Asistir en la ejecución de la prueba

Objetivo


• Evaluar calidad


• Entrenamiento

• Prueba

• Gobierno


• Documentación de los

planes



• Análisis de Impacto en

el Negocio





• XXXTareas

• Procedimientos y

calendarios de mantenimiento

• Objetivos y criterios de

revisión

Resultados• Garantizar el mantenimiento del planObjetivo


• Evaluar calidad


• Entrenamiento

• Prueba

• Gobierno










• XXXTareas

• Objetivos y criterios de revisión

• Objetivos de

cumplimiento de calidad

Resultados• Garantizar la mejora continua del planObjetivo


• Evaluar calidad


• Entrenamiento

• Prueba

• Gobierno

• Estrategia de


• Documentación de los

planes




Negocio





• Resultado de las Pruebas del Plan de Continuidad

• Plan de Continuidad del Negocio

• Norma de Gestión de la continuidad

• Estrategia de continuidad


• BIA & Evaluación de Riesgos



EntregablesRelación de entregables


Deloitte Touche Tohmatsu es una organización de firmas independientes, dedicadas a la prestación de servicios y asesoramiento profesional de máxima calidad, y que se centran en el servicio al cliente mediante una estrategia global aplicada a nivel local en cerca de 140 países. Con acceso a un enorme capital intelectual de casi 150.000 personas en todo el mundo, Deloitte presta servicios en cuatro áreas profesionales (auditoría, asesoramiento tributario, consultoría y asesoramiento financiero) a más del 80% de las empresas más importantes del mundo, así como a grandes empresas públicas, aunque por diversos motivos, entre los que se hallan las regulaciones específicas de cada país, no todas las Firmas miembro de Deloitte prestan toda la gama de servicios.

Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu (Swiss Verein), sus firmas miembro y respectivas filiales y asociadas. Al tratarse de un Verein suizo (asociación), ni Deloitte Touche Tohmatsu ni ninguna de sus firmas miembro es responsable de los actos u omisiones de las otras. Cada firma miembro es una entidad independiente con personalidad jurídica propia que opera bajo los nombres de “Deloitte”, “Deloitte & Touche”, “Deloitte Touche Tohmatsu”, u otros nombres asociados. Los servicios son prestados a través de las firmas miembro y sus respectivas filiales y asociadas y no por Deloitte Touche Tohmatsu (Swiss Verein).

Copyright © 2008 Deloitte. Todos los derechos reservados. A member firm ofDeloitte Touche Tohmatsu

Business Continuity Planseminarisempresa.fib.upc.edu/anteriors/2008/programes/Aulas Empres… ·...

Documents

Transcript of Business Continuity Planseminarisempresa.fib.upc.edu/anteriors/2008/programes/Aulas Empres… ·...