"Continuidad de Negocio, valor para sus clientes"
42
José Ramón Concha García Responsable del área de Consultoría Gestión de la seguridad TIC 21 de noviembre 2013 Continuidad de negocio, valor para sus clientes
description
Presentación de José Ramón Concha, Responsable de Consultoría en Mxtel y Director del Comité Regional Euskadi en itSMF España, durante el Seminario "Gestión de la Seguridad en TIC" de Mxtel en Meet In Polanco el jueves, 21 de noviembre de 2013
Transcript of "Continuidad de Negocio, valor para sus clientes"
José Ramón Concha García
Responsable del área de Consultoría
Gestión de la seguridad TIC
21 de noviembre 2013
Continuidad de
negocio, valor para
sus clientes
Índice
Primera parte
• Confianza y disparadores de la mejora en el ámbito TIC
• Referencias normativas
• Optimizando el modelo de consultoría
Segunda parte
• Gestión de la continuidad del negocio ISO 22301 (BCM)
Daño en la reputación (97%)
Creciente competencia global (91%)
Influencia del consumidor (97%)
Innovación (91%)
Regulaciones no financieras (64%)
Fuente: Deloitte Consulting LLP junto con Economist Intelligence Unit.
¿Qué preocupa a las organizaciones?
¿Por qué existen las organizaciones?
“La función de la empresa
es crear clientes” Peter Drucker
VALOR= función +Garantía
Presente y futuro = CONFIANZA
¿Nuestro poder?
Como la confianza se apoya en
futuribles, lo único que podemos
hacer es evidenciar el control
actual y esperar que el otro
considere esto como una prueba
válida para ganar su confianza.
Fuente: Libro “Estrategia Digital” . Pere Rosales. Edit. DEUSTO
Es simple….
* Objetivos de negocio
* Objetivos de capacidad
de la operación
de madurez
Es simple…. Las decisiones dependen de la información
* Objetivos de negocio
* Objetivos de capacidad
de la operación
de madurez
Gestión
¿Cómo mantener la capacidad?
“You can't manage what
you can't measure” Peter Drucker
… si no se mide, no puedes gestionar,
si no se gestiona, no se puede mejorar,
si no se mejora, es probable que no importe,…
puedes terminar amortizado o externalizado.
¿Cuál es el objetivo?
Generar Confianza
Garantizar
para seguir prestando servicio o generando producto
en base a las necesidades estratégicas de la organización
de manera continuada y empleando los recursos necesarios.
Accionistas
Empleados
Clientes
Administración
Sociedad
Pero…
TIC es más que TIC
“Quien solo conoce el martillo piensa
que todos sus problemas son clavos”
Índice
Primera parte
• Confianza y disparadores de la mejora en el ámbito TIC
• Referencias normativas
• Optimizando el modelo de consultoría
Segunda parte
• Gestión de la continuidad del negocio ISO 22301 (BCM)
Referencias normativas
Referencias Normativas
Sistema de gestión
Análisis de riesgos
Plan de Tratamiento de
Riesgos
Seguridad de la información
gestionada
P
C D
A
Auditorías Auditorías
Seguridad de la Información
ISO 27001-1:2013
Referencias Normativas
Sistema de gestión
Análisis de riesgos
Análisis de impacto
en el negocio (BIA)
Planes de contingencia
Continuidad de negocio
gestionada
P
C D
A
Auditorías Auditorías
Continuidad del negocio
ISO 22301-1:2012
Referencias Normativas
Sistema de gestión
Procesos Servicio
Servicios gestionados
P
C D
A
Auditorías Auditorías
Gestión de servicios
ISO 20000-1:2012
Servicio Servicio
Índice
Primera parte
• Confianza y disparadores de la mejora en el ámbito TIC
• Referencias normativas
• Optimizando el modelo de consultoría
Segunda parte
• Gestión de la continuidad del negocio ISO 22301 (BCM)
Anexo SL
Referencias Normativas
Sistema de gestión Análisis de riesgos Plan de Tratamiento de
Riesgos
P
C D
A
Auditorías Auditorías
Seguridad de la Información
ISO 27001-1:2013
Referencias Normativas
Sistema de gestión
Análisis de riesgos Análisis de impacto
en el negocio (BIA) Planes de contingencia
P
C D
A
Auditorías Auditorías
Continuidad del negocio
ISO 22301-1:2012
Gestión
Referencias Normativas
Sistema de gestión Procesos Servicio
P
C D
A
Auditorías Auditorías
Gestión de servicios
ISO 20000-1:2012
Servicio Servicio
Situación actual
Fase de análisis
de estado
Fase de
implantación
Fase de
certificación, cierre
Desplazamientos
Requerimientos
de ubicación en el
cliente
Gestión de
agendas internas
Costes gestión del cliente
Costes desplazamientos
CONSULTORÍA
INTRUSIVA
Gestión para el
interlocutor en clienteLos compromisos internos
del cliente suelen
disminuir a lo largo del
proyecto, su dedicación
Atencíón
Tiempo
F. Fin
F. Inicio CURVA
PROCRASTINACIÓN
Sensación final del cliente de hastío, por el
esfuerzo final realizado. con el proyecto, el
consultor...
Consultor
proyecto
Consultor
proyecto
Gestor proyectoGestor proyectoParticipantesParticipantes
CONSULTORÍA TRADICIONAL
Desplazamientos
Requerimientos
de ubicación en el
cliente
Gestión de
agendas internas
Gestión predictiva: Fases cerradas, no admite desviaciones, objetivos concretos y
definido desde el inicio, consultoría intrusiva.
Costes: Proyectos larga duración, desplazamientos, costes internos (gestión
de recursos , agendas, proyecto…).
Eficacia: Des priorización, incertidumbre, sobre esfuerzo, hastío final, sensación de
poca utilidad…
Propuesta de valor
Consultor
proyecto
Consultor
proyecto
Fase de análisis
de estado
Fase de
implantación
Fase de
certificación, cierre
Herramienta
Gestión de
proyectos
No predictiva
Metodología ágil
Gestión de
calendarios
Plataforma
formativa
Video conferencia
Fase de análisis
de estado
Fase de
implantación
Fase de
certificación, cierre
Gestor proyectoGestor proyecto
ParticipantesParticipantes
Herramientas
colaborativas y de gestión
Visión de conjunto
del proyecto del
consultor
Acceso a la visión de conjunto del
servicio para las partes
interesadas en cualquier fase
Actividades operativas
Seguimiento no gestión
interna
Gestión directa Gestión a través de
herramientas
Herramienta
implantación/
explotación Posibilidad de reunión
Presencial con consultor
Posibilidad de reunión
Presencial con consultor
F. Inicio
Atencíón
No fecha. Fin
CURVA
PROCRASTINACIÓN
Formación
herramientas
colaborativas /
gestión
Instalaciones clienteInstalaciones consultor
Equipo backupEquipo backup
Plaataforma SaaS GARANTIZADA, sin coste
para el cliente final durante la prestación del
servicio
Contratación por periodos
Gestión predictiva: Fases cerradas, no admite desviaciones, objetivos concretos y
definido desde el inicio, intrusiva.
Costes: Proyectos larga duración, desplazamientos, costes internos (gestión de recursos ,
agendas, proyecto…).
Eficacia: Des priorización, incertidumbre, sobre esfuerzo, hastío final, sensación de poca
utilidad…
ANTES
AHORA
Gestión dinámica: Metodología ágil ( adaptación constante a los cambios en el entorno del
cliente y adecuación de objetivos), entrega constante de valor.
Coste ajustados: Disminución costes desplazamiento, de gestión…
Eficacia: Contratación mensual en base a la eficacia en la consecución de objetivos.
Proyecto de consultoría Servicio de consultoría
Metodología ágil de consultoría en Cloud
Propuesta de valor
Propuesta
Servicio de consultoría
Ágil
Aportación de valor
Adaptación al entorno
Adaptación del servicio
Reducción de costes
Reducción de riesgos
Plataforma colaborativa
Consultoría no intrusiva
Seguimiento en tiempo real
Disponibilidad garantizada
Servicio ágil
Cloud
Ingeniería Telecomunicaciones
Ingeniería Informática
Ingeniería Organización Industrial
CISA, CISM, ITIL, Lead Auditor 27001
Lead Auditor 20000, CHFI, MBA
Ámbitos
Mejora de procesos TIC
Seguridad de la información
Infraestructuras TIC
Equipo Consultoría
Ámbitos de consulta
Mejora de procesos
Seguridad de la información
Infraestructuras TIC
* Planificación de sistemas “llave en mano”
* Análisis y optimización de redes y sistemas
* Gestión de anchos de banda con múltiples enlaces
* Diseño centro de control y gestión de red
* Sistemas redundantes de alta disponibilidad en líneas y servicios
* Auditoría LAN y WAN
* Virtualización de sistemas
* Gestión de la seguridad de la información ISO 27001
* Gestión de la continuidad de negocio ISO 22301
* MAAGTICSI
* Análisis de riesgos * Gestión de incidentes
* Planes de sistemas
* Planes de seguridad * Auditorías de cumplimiento
* Gestión de servicios ISO 20000
* ITIL
* Gestión de proveedores * SLA´s
* Inventario y gestión de activos * Gestión de incidencias / Peticiones
* Métricas e indicadores * Catálogo de servicios
Calidad de servicio basado en SLA
• Disponibilidad mínima garantizada de un consultor del equipo, en el horario de 8:30 a
18:00,hora local México, de lunes a viernes para la atención inmediata.
• Disponibilidad para la notificación de incidencias sobre las aplicaciones colaborativas y de
gestión en el horario continuado de 24x7, a través del servicio SAT.
• Disponibilidad de notificación de peticiones, incidencias, reclamaciones durante los 365 días
del año, 24x7, a través del portal del cliente.
• Notificación mensual sobre incidencias acaecidas en el servicio.
• Notificación mensual del hito alcanzado en base a la previsión inicial para el periodo.
• Notificación mensual de nuevas peticiones y nivel de priorización considerado.
• Notificación mensual de propuestas de mejora identificadas por los consultores externos.
• Notificación mensual de riesgos y propuestas de contramedidas en el servicio.
Índice
Primera parte
• Confianza y disparadores de la mejora en el ámbito TIC
• Referencias normativas
• Optimizando el modelo de consultoría
Segunda parte
• Gestión de la continuidad del negocio ISO 22301 (BCM)
ISO 22301
ISO 22301
ISO 22301
ISO 22301
ISO 22301
ISO 22301
Compromiso de la Organización
¿En que me centro ? ¿cómo estamos?
Antes de que ocurra tenemos que…
¿Qué procesos?
¿Cómo lo hago en cada caso?
Si no se actualiza no vale
ISO 22301
Planificación temporal en función de: •Objetivos •Recursos •Presupuestos •…
Objetivos de la Política: •Actividades coordinadas y controladas •GCN que cumpla las necesidades del negocio •Marco definido para la capacidad continua del GCN
ISO 22301
Ejemplo,
Personas Instalaciones Tecnología Información Servicios
•Valoración de activos
•Amenazas y frecuencia de ocurrencia
•Salvaguardas implantadas
ISO 22301
Análisis de impacto en el negocio
Proc. A
Proc. B
Proc. C
Proc. D
Imp
act
o
Tiempo 15
min
1 dia 2
dias
1
semana
1
mes
2
meses
Análisis de riesgos
Riesgo (R)= Impacto (I) Alto x Probabilidad (P) Alta= Riesgo crítico
ISO 22301
Maneras de gestionar el riesgo: •Asumir
•Transferir •Reducir a niveles aceptables
•Eliminar el origen
Riesgo (R)= Impacto (I) Alto x Probabilidad (P) Alta= Riesgo crítico
ISO 22301
Maneras de gestionar el riesgo: •Asumir
•Transferir •Reducir a niveles aceptables
•Eliminar el origen
Riesgo (R)= Impacto (I) Alto x Probabilidad (P) Alta= Riesgo crítico
Personas Instalaciones Tecnología Información Servicios
Plan de gestión de incidentes
Ge
stión d
e la c
ontinuid
ad d
e N
egocio
Planes de continuidad de negocio
Planes de recuperación
Procedimiento de recuperación
Procedimiento de recuperación
Procedimiento de recuperación
TIC es más que TIC
Conclusiones
• El ámbito TIC tiene que evidenciar su valor para su cliente.
• La gestión es la única garantía y mejora del valor.
• Se pueden establecer distintos elementos de disparo de
la mejora en función de las circunstancias y estrategia.
• Existen modelos de referencia internacionalmente, no es
necesario” reinventar la rueda”.
• No sólo vale con conocer la norma hay que adecuarla
a la organización, experiencia en implementaciones.
• La experiencia de las consultoras y certificadoras redunda
en eficiencia y eficacia de lo implantado.
• La única garantía de capacidad de un modelo de
continuidad de negocio pasa por su gestión y mejora continua.
