CONTINUIDAD DE NEGOCIOS Y MANEJO DE...
Transcript of CONTINUIDAD DE NEGOCIOS Y MANEJO DE...
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
CONTINUIDAD DE NEGOCIOS Y MANEJODE CRISIS
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
Dar a conocer a la audiencia las mejores prácticas del modelo
Bigott, en la Administración de la Continuidad del Negocio
(BCM), orientado a mitigar los riesgos y amenazas que
pudieran impactar al personal, activos y operaciones de la
empresa, ante eventos no deseados.
OBJETIVO
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
•Eso nunca ha pasado antes
•Nosotros le vamos a hacer
frente siempre lo hacemos
•No tengo el tiempo para
prepararme para algo que nunca
va a pasar
•No somos un objetivo
REACCIONES
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
El reporte mundial de Auditoría del BCM encontró:
• No hay mandato que haga obligatorio el BCM
• Falta de una estructura robusta para el BCM
• Falta de consistencia global:
En procesos
En terminología
• Falta de entrenamiento en BCM
• Planes desactualizados
• Responsables que desconocen su participación en planes
ANTECEDENTES
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
RIESGOS
MEDIO AMBIENTE
Tormentas tropicales
Inundaciones, sequias
Interrupción de servicios públicos,
energía, agua, telecomunicaciones.
Desastres aéreos ó de carreteras,
accidentes marítimos.
POLÍTICO
Conflictos: Guerra, terrorismo, etc.
Protestas: Violentas (extendidas),
disturbios civiles, protestas violentas
focalizadas, ocupación de sus
instalaciones locales y edificios, grandes manifestaciones.
CRIMINAL
Amenazas contra la persona: homicidio, secuestro, asalto,
intimidación.
Amenazas contra Cigarrera Bigott,
extorsión, chantaje, descontento.
Fraude: financiero, robo de productos,
equipos e infraestructura.
SOCIAL
Acción industrial externa: utilidades, transporte público.
Acción Industrial Interna: huelgas,
ocupación de instalaciones.
Personal relacionado a eventos:
enfermedad, lugar de trabajo bajo extrema
violencia e intimidación.
NEGOCIOS
Sistemas de Información: integridad
de datos, perdida y compromiso sin acceso.
Cuestiones relacionadas a:
reputación, conformidad, legal y
liquidez.
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
Política BC (para cada Mercado)
Plan de Gestión de Crisis
Herramienta para el Análisis del Impacto en el Negocio (BIA)
Planes de Continuidad, Recuperación de Desastres y Contingencia
(de aquí en adelante ‘Planes’)
Plan de Capacitación y su registro
Programa y registro de Ejercicios
Reporte Situación BCM
DOCUMENTOS CLAVES DEL BCM
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
CONTINUIDAD DEL NEGOCIO
Respuesta al Incidente
Proceso para tratar con el
impacto inmediato
Gestión de Crisis
Proceso para organizar
y administrar una crisis
Gestión de Continuidad
del Negocio
Proceso para asegurar un
rápido regreso al negocio
normal (BAU)
Resistencia del Negocio
• Pro actividad, planificación y
preparación
• Comprensión de cómo
responder
• Saber manejar con efectividad
• Regresar a la manera usual tan
pronto como sea posible para
minimizar impacto negativo
Capacidad estratégica y táctica de la
organización para planificar, responder a
incidentes y continuar la operación a un
nivel aceptable ya predefinido.
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
El BCM es importante ya que lograr los objetivos del negocio pasa por la
capacidad de recuperación de la Organización en el caso de un incidente
mayor.
Estándar que norma y proporciona dirección a planes de contingencia, recuperación y
manejo de crisis.
Integra metodología, controles y terminologías
Define roles y responsabilidades de gerentes y unidades de negocio a nivel local, área,
región o grupo.
Identifica el impacto de un atraso operacional antes de que éste suceda
Permite a empleados manejar temas de poder de recuperación, para soluciones
tempranas
Suministra método para regresar a la normalidad dentro de período de tiempo acordado
Da ventajas competitivas a la organización
POR QUÉ BCM - BENEFICIOS
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
CICLO DE VIDA DEL BCMBCM inicia con Gerencia Senior
Asignar Roles y Responsabilidades
Realizar BIA
Evaluación de Conducta de Riesgo
Decidir Medidas Mitigación
Escriba los Planes
Crear Estructura Gestión de Crisis
Realizar Capacitación
Realizar Ejercicio / Prueba
Revisión
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
Es la base del proceso BCM, realizado para identificar, cuantificar y calificar el
impacto que causa una pérdida, la interrupción o trastorno de los procesos y
proporcionar información para determinar estrategias de continuidad apropiadas.
A nivel estratégico define los productos, servicios clave y establece los Periodos de
Máxima Tolerancia de Interrupción (MTPD)
A nivel táctico describe el impacto sobre el tiempo de interrupción para procesos
(compuestos por las actividades críticas) y sus MTPDs relacionadas.
Establece las interdependencias entre los procesos y otras actividades – internas y
externas.
A nivel operativo define los recursos necesarios para recobrar actividades y cuando estos
deben estar disponibles.
Informa el Plan de Recuperación para las instalaciones al especificar cuánto y qué tipo de
recursos son necesarios para las instalaciones alternas y que secuencia de prioridad
Ayuda a identificar los períodos de tiempo importantes en el año
QUÉ ES UN BIA
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
En Bigott, la necesidad por un plan particular (BCP) puede
identificarse de tres maneras:
1. Planes Obligatorios.
2. Planes generados como resultado de la ejecución de un BIA.
3. Planes generados a partir de la ejecución del proceso de gestión de riesgo.
CÓMO SE GENERAN LOS PLANES?
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
Gestión de Crisis
1. Plan de Gestión de Crisis (CMP)
2. Plan de Comunicaciones de Crisis
Recuperación de Activos & IT
3. Plan de IT para Recuperación de Desastres (ITDRP)
4. Plan de Recuperación de las Instalaciones
Manufactura y Mercadeo
5. Plan de Fuente de Materiales
6. Plan de Recuperación para el Proceso de Manufactura
7. Plan de Retiro de Producto
Cadena de Suministro
8. Plan para Fuente de la Cadena Primaria de Suministro
9. Plan para Fuente de la Cadena Secundaria de Suministro
Protección de Personas
10. Plan para Disturbios y Evacuación
11. Plan para Pandemia
12. Plan para Secuestro y Rescate
13. Plan para Evacuación del Edificio
14. Plan para Desastre Natural
PLANES OBLIGATORIOS Ó MANDATORIOS
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
IDENTIFICACIÓN Y ESCALADA DE UNA CRISIS
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
NIVELES DE ALERTA
Condiciones especiales
• Graves alteraciones del orden público
• Colapso de las comunicaciones telefónicas (Convencional y Movil)
• Interrupción de Servicios Públicos (Transporte, Electricidad, Agua,etc)
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
TIPOS DE INCIDENTES
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
ESTRUCTURA ADMINISTRATIVA PARA CRISIS
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
ENTRENAMIENTO
• Entrenar a todos los involucrados en BCM para lograr el conocimiento, entendimiento o
competencia apropiados, dependiendo de su rol.
• Elevar el estándar de las prácticas existentes de BCM.
• Los módulos de entrenamiento se enfocan en:
• El A á la Z del BCM
• Cómo se ejecuta el BCM en BAT
• Ejecutando un BIA
• La prueba de los Planes
• Gestión de Crisis
• Curso básico de practicante del BCM dirigido a facilitadores y responsables por la
creación y administración de Planes.
• Entrenamiento en Concientización para que los empleados comprendan lo que se
espera de ellos en una situación de crisis.
• El BCPT es responsable de asegurar que los empleados involucrados en BCM estén
entrenados al nivel adecuado.
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
MATRIZ ANUAL DE PRUEBAS - FRECUENCIA
Impacto Ejercicio
(Requisitos Mínimos)
Frecuencia
(Meses)
Lineamientos
Alto
Ensayo
Ejercicio de Escritorio12
Un ejercicio de escritorio o un ensayo es
el requerimiento mínimo.
Simulación (Prueba completa
o parcial) 24
Una simulación (parcial o completa)
deberá realizarse por lo menos una vez
en un periodo de 24 meses,
adicionalmente a un ensayo o un
ejercicio de escritorio. En donde no sea
posible una simulación por razones de
complejidad o gasto, entonces un
ensayo y un ejercicio de escritorio puede
ser suficiente para la aprobación
pendiente del equipo gerencial.
Mediano Ejercicio de Escritorio 12
Un ejercicio de escritorio es lo mínimo
pero un ensayo o una simulación
pueden también considerarse apropiado.
Bajo
Revisar y actualizar el Plan
para distribuirlo si es
adecuado. 12
Revisar todo el plan. Asegurar que los
detalles de contacto en el Plan están
actualizados y corregidos si se requiere.
En donde se haya registrado un cambio
en el proceso del negocio, corrija de ser
necesario.
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
El objetivo de las pruebas del Plan de Continuidad de Negocios es para
asegurar:
1. Los miembros del CMT e IRT conozcan sus funciones y responsabilidades.
2. Familiarización con los planes.
3. Lograr que los planes sean sólidos y suficientes para garantizar la continuidad del
negocio.
4. Capturar aprendizajes que luego se puedan incorporar en los planes con el fin de
mejorarlos.
OBJETIVOS DEL EJERCICIO
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
1. Planificación del ciclo anual
2. Reunión equipo involucrado para informar cronograma
3. Adiestramiento al personal de BCM, y a nuevos participantes
4. Revisión y actualización política de BCM
5. Revisión y actualización de BIA¨s y planes
6. Planes firmados por responsables de cada Dirección al igual que los
BIA¨s.
7. Probar planes identificando oportunidades de mejora
8. Colocar planes en lugares sugeridos
9. Reportar estatus
“MANTENIMIENTO ANUAL DEL CICLO DE BCM”
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
III Jornadas de Seguridad ASIS BritCham 11 de junio 2015
Resiliencia: Capitalizando las crisis a favor de la seguridad
REFLEXIÓN
• No descuides los detalles. Cuando las mentes de todos
están distraídas, el líder debe estar doblemente
pendiente: Todas las ideas y visiones en este mundo no
tienen ningún valor si no pueden ser implementadas en
forma rápida y eficiente. Los buenos líderes delegan y
empoderan a otros en forma liberal, pero siguen prestando
atención a los detalles cada día.
Colin Powell