More Related Content Similar to Plan Continuidad de Negocio (20) Plan Continuidad de Negocio2. © 2014 Abast Systems, S.A.
Plan Continuidad Negocio Objetivos
1.Aumentar la probabilidad de continuidad de las operaciones criticas de la organización en caso de un incidente.
2.Proporcionar un enfoque organizado y consolidado para dirigir actividades de respuesta y recuperación, evitando confusión y reduciendo la situación de tensión.
3.Proporcionar una respuesta rápida y apropiada a cualquier incidente imprevisto, reduciendo los impactos resultantes de la interrupción del trabajo.
4.Reducir el tiempo de recuperación y como consecuencia perdidas económicas, directas e inducidas. Reducir el impacto tangible o intangible en las áreas funcionales como consecuencia de una interrupción.
5.Cumplimiento de las directivas del grupo.
Objetivos 3. © 2014 Abast Systems, S.A.
Plan Continuidad Negocio Fases
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis Riesgos
Definición
Estrategias
Continuidad
Organización y
Política
Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Mantenimiento e Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3
Etapa 1: Entendimiento del negocio/organización
Estrategia Organizacional / Política
Análisis de Impacto del Negocio (BIA)
Valoración del riesgo y Control (AR)
Etapa 2: Estrategias de Continuidad del Negocio
Análisis y definición de estrategias
Gestión de Crisis. Respuesta a incidentes
Definición de escenarios
Planes operativos de continuidad de negocio
Implantación 4. © 2014 Abast Systems, S.A.
Plan Continuidad Negocio
Etapa 1: Entendimiento del negocio/organización
Estrategia Organizacional / Política
Análisis de Impacto del Negocio (BIA)
Valoración del riesgo y gestión (AR)
Etapa 2: Estrategias de Continuidad del Negocio
Definición Estrategias de Continuidad
Desarrollo del Plan de Continuidad y Planes Operativos
FASE 2
FASE 3
FASE 4
Análisis Impacto Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN y Planes Operativos
Implantación Planes
ETAPA 1
ETAPA 2
ETAPA 3 5. © 2014 Abast Systems, S.A.
PCN. Etapa 1 Organización y Política
El objetivo es definir una política de continuidad como tal (objetivo, consideraciones, métricas, criterios de revisión etc.) y conocer el negocio: qué procesos y actividades son los principales de la compañía y qué procesos y actividades son los de soporte.
Objetivo
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y
Política
Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN y Planes Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3 6. © 2014 Abast Systems, S.A.
PCN. Etapa 1 Organización y Política
Tareas a realizar:
1.Recopilación de la documentación existente:
Mapa de procesos. Si no existe se deberá crear un mapa de procesos a alto nivel.
Organigrama.
Análisis de riesgos existentes.
Planes y Procedimientos de emergencias existentes.
Procedimientos de comunicación (crisis).
Políticas de seguridad existentes.
Etc.
2.Revisión y análisis de la documentación existente.
3.Identificación de estándares, buenas prácticas, normas y leyes relevantes.
4.Identificación de los interlocutores del proyecto y personal a entrevistar.
5.Identificación responsables políticas de seguridad/continuidad.
6.Definición de la política de continuidad.
Plan de Trabajo
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3 7. © 2014 Abast Systems, S.A.
PCN. Etapa 1 Organización y Política
Resultados: Definición del Mapa de Procesos (si no está definido / creado) llegando al nivel de detalle necesario.
Resultados
FASE 2
FASE 3
FASE 4
Análisis Impacto Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación Planes
ETAPA 1
ETAPA 2
ETAPA 3 8. © 2014 Abast Systems, S.A.
PCN. Etapa 1 Organización y Política
Resultados:
Disponer de un mapa de procesos a alto nivel.
Presentación del plan detallado del proyecto y presentación ejecutiva del mismo.
Obtener la aprobación y el compromiso de la alta dirección de la Organización.
Definir la política de continuidad de la organización que debe incluir el ámbito y objetivos de continuidad, debe ser comunicada y revisada, debería ser adecuada a la naturaleza, tamaño, complejidad, geografía y criticidad de las actividades de negocio y debería reflejar la cultura, las relaciones y el entorno.
Resultados
FASE 2
FASE 3
FASE 4
Análisis Impacto Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación Planes
ETAPA 1
ETAPA 2
ETAPA 3
Protección y seguridad personal
Protección de los procesos de Negocio
Roles y responsabilidades definidas
Se formara a las personas implicadas
Objetivos de continuidad definidos
Criterios de medición de la política definidos
Proceso
Actividad
Actividades
Soporte
Activos y Recursos
Proceso
Actividad
Actividades Soporte
Activos y Recursos
Actividad
Actividad
Actividad
Proceso
Metas y Objetivos
Proveedores / Partners
Organización
Clientes
Stakeholders
Producto / Servicio
Planes Estratégicos 9. © 2014 Abast Systems, S.A.
PCN. Etapa 1 Organización y Política
Resultados
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y
Política
Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN y Planes Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3
Resultados: Por ejemplo, será necesario definir una serie de criterios de medición y revisión a incluir en la política de continuidad
Objetivos estratégicos
Objetivos tácticos y operativos
OE1
Protección y seguridad del personal.
Simulacros de emergencia
Contacto con autoridades
Prevención riesgos
OE2
Gestión de riesgos, nivel aceptable.
Nuevos proyectos normalizados a través del BIA.
# Sucesos o eventos reales año.
# Amenazas nuevas
# Nivel de riesgos del mapa corporativos fuera de rango.
OE3
Roles y responsabilidades, formación, divulgación y pruebas del Plan.
Formación en continuidad
Divulgación anual y pruebas del plan.
OE4
Recuperación en márgenes establecidos e implantación exitosa de un PCN.
Nº Simulaciones año
Nº Pruebas de recuperación tipo A, tipo B, …
Nº Recursos anuales del equipo de continuidad
OE5
Mantener actualizado el Plan de Continuidad de Negocio
Nº Revisiones anuales del Plan de Continuidad y de los requerimientos del BIA.
Actividad del PCN
Plazos de Revisión
Análisis de impacto al Negocio
Anual
Análisis de Riesgos
Anual
Estrategias de Recuperación
Anual
Actividades de Recuperación
Semestral
Respuestas a incidentes
Semestral
Pruebas periódicas
Semestral
Planes Operativos
Trimestral
Criterios de Medición
Criterios de Revisión 10. © 2014 Abast Systems, S.A.
PCN. Etapa 1 Organización y política PLAN CONTINGENCIA TI
FASE 2
FASE 3
FASE 4
Análisis Impacto Negocio
Análisis Riesgos
Definición Estrategias Continuidad
Organización y
Política
Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación Planes
ETAPA 1
ETAPA 2
ETAPA 3
Procesos TI
Tecnología
Servicios de TI
Procesos de Negocio
INFORMACIÓN
Personas TI
Servicio de TI
CPD
Hardware
Software
Infraestructura
LAN / WAN
Datos
(Bases de Datos)
Se trata de conocer los Servicios de TI que ofrece y soporta del Dpto. de TI así como los activos de TI asociados. 11. © 2014 Abast Systems, S.A.
Plan Continuidad Negocio
Etapa 1: Entendimiento del negocio/organización
Estrategia Organizacional / Política
Análisis de Impacto del Negocio (BIA)
Valoración del riesgo y gestión (AR)
Etapa 2: Estrategias de Continuidad del Negocio
Definición Estrategias de Continuidad
Desarrollo del Plan de Continuidad y Planes Operativos
FASE 2
FASE 3
FASE 4
Análisis Impacto Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación Planes
ETAPA 1
ETAPA 2
ETAPA 3 12. © 2014 Abast Systems, S.A.
PCN. Etapa 1 Análisis Impacto Negocio
El objetivo es conocer los procesos más críticos del negocio y sus actividades principales en base a los requerimientos de continuidad necesarios (principalmente el tiempo máximo de interrupción o parada del proceso).
Aquí se introduce la variable temporal que sirve para distinguir entre una incidencia asociada a la operativa diaria de lo que se puede considerar un desastre. Lo que convierte esa incidencia en un posible desastre es el tiempo que se tarda en solucionar.
Objetivo
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y
Política
Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN y Planes Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3 13. © 2014 Abast Systems, S.A.
PCN. Etapa 1 Análisis Impacto Negocio
Tareas a realizar:
En base a entrevistas con los Responsables del Negocio se realiza:
Identificación de productos y servicios esenciales considerando, por ejemplo, beneficio, requisitos legales y contractuales, compromisos, imagen de marca …
Definición de los criterios de valoración. Se definen los criterios de valoración de impacto de no disponibilidad de un proceso. Criterios tangibles (rangos económicos) e intangibles.
Valoración de los procesos. Una vez se han identificado los procesos en la fase anterior, en esta fase se identifican los objetivos temporales de recuperación para cada uno de ellos (RTO y MTPoD o punto de no retorno).
Identificación los procesos críticos del negocio en función de la valoración anterior.
Plan de Trabajo
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3 14. © 2014 Abast Systems, S.A.
PCN. Etapa 1 Análisis Impacto Negocio
Resultados: Definición de las métricas / criterios de impacto (tangibles e intangibles)
Resultados
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3
Impacto
Legal
Personas
Entorno
Producción
Proveedor/Cliente
Catastrófico
Infracción grave que lleva a la suspensión o interrupción del negocio
Causa de peligro de muerte para el personal, clientes, proveedores, o el público en general
Desastre medioambiental que afecta a una parte importante de la nación, impacto medioambiental a largo plazo
Pérdida de más del X% de la producción sin recuperación
Más de X horas de indisponibilidad en más del 50% de los proveedores clave de áreas significativas.
Crítico
Importante incumplimiento que conduce a una amonestación, o a una sanción
Lesiones permanentes (por ejemplo, pérdida de extremidades, los sentidos) a los proveedores, contratistas, personal y / o público en general
Las principales ubicaciones requieren de limpieza exhaustiva, impacto medioambiental a medio plazo
Pérdida de más del X% de la producción con posible recuperación o compensación
Entre X y Y horas de indisponibilidad en más del X% de los proveedores de áreas significativas
Serio
Mayor
Menor 15. © 2014 Abast Systems, S.A.
PCN. Etapa 1 Análisis Impacto Negocio
Resultados: Valoración de los procesos. Ya disponemos del mapa de procesos y será necesario, entonces, identificar a los interlocutores necesarios. Se definirán criterios tangibles en función de posibles pérdidas económicas que se aplicarán siempre que sea posible.
Resultados
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3
ID
DPTO
PROCESO
RTO
Prioridad inicial
PPRO1
PRODUCCIÓN
Materia prima. Fabricación de plancha (onduladora)
Xs - Ys
Baja
En curso. Fabricación de cajas (converting)
≤ Xh
Muy alta
PPRO2
Producto acabado. Gestión del almacén de expediciones
PPRO3
Estandarización y mejora de los procesos / operaciones
PPRO4
PLOG1
LOGÍSTICA
Gestión de expediciones (carga del camión)
PLOG2
Producto integrado en QCD
Prioridad inicial: prioridad de recuperación del proceso
VALORACIÓN
RANGO DE PERDIDA
0
Ninguna
1
< 5.000 €
2
>= 5.000 € < 10.000 €
3
>= 10.000 € < 25.000 €
4
>= 25.000 € < 50.000 €
5
>= 50.000 € < 100.000 €
6
>= 100.000 € < 250.000 €
7
>= 250.000 € < 500.000 €
8
>= 500.000 € 16. © 2014 Abast Systems, S.A.
PCN. Etapa 1 Análisis Impacto Negocio
Resultados:
Conocimiento de los procesos críticos de la organización y de sus objetivos temporales de recuperación (RTOs).
Tipos de impacto y evolución si el proceso esta parado: legal, económico, comercial, imagen, operacional (volumetría), económico.
Resultados
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN y Planes Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3
Tiempo indisponibilidad
Impacto
Catastrófico
Grave
Medio
Leve
Procesos por Área/Dpto. 17. © 2014 Abast Systems, S.A.
PCN. Etapa 1 Análisis Impacto Negocio PLAN CONTINGENCIA TI
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y
Política
Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3
Servicio
Aplicación / Sistema
Tmax Interrupción
Servicio ERP AS/400
Stock In
24 horas
Servicio ERP AS/400
Stock Out
24 horas
Área de Incoming
Consecuencias
Efecto de la Interrupción
Impacto
Daño para el Negocio
Servicio /
Unidad Negocio
BU 1
BU 2
BU 3
…
BU n
Servicio 1
Tmax 11
Tmax 12
Tmax 13
Tmax 1n
Servicio 2
Tmax 21
Tmax 22
Tmax 23
Tmax 2n
Servicio 3
Tmax 31
Tmax 32
Tmax 33
Tmax 3n
….
Servicio n
Tmax n1
Tmax n2
Tmax n3
Tmax nn
RTO Servicio 1
RTO Servicio 2
RTO Servicio n
Tmax menor
Mediante entrevistas con los responsables de negocio, área o departamento, se obtienen los RTOs de los servicios de TI. 18. © 2014 Abast Systems, S.A.
Plan Continuidad Negocio
Etapa 1: Entendimiento del negocio/organización
Estrategia Organizacional / Política
Análisis de Impacto del Negocio (BIA)
Valoración del riesgo y gestión (AR)
Etapa 2: Estrategias de Continuidad del Negocio
Definición Estrategias de Continuidad
Desarrollo del Plan de Continuidad y Planes Operativos
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3 19. © 2014 Abast Systems, S.A.
PCN. Etapa 1 Análisis de Riesgos
El objetivo es analizar el riesgo potencial al que se ven sometidos dichos procesos críticos en función del impacto y probabilidad de que falle total o parcialmente alguno de los activos que soportan dicho proceso: proveedores, personas (habilidades y conocimiento), activos de información, tecnología, equipamiento, infraestructura o financiación.
Un primer resultado de esta fase será el Plan de Tratamiento de Riesgos donde se definirán todas aquellas medidas o controles preventivos que permitan eliminar o reducir dicho riesgo con el objetivo de hacerlo aceptable para la organización.
Objetivo
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y
Política
Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3 20. © 2014 Abast Systems, S.A.
PCN. Etapa 1 Análisis de Riesgos
Tareas a realizar:
Determinar los activos que soportan los procesos críticos: proveedores, habilidades y conocimientos (personal), activos críticos de información o registros vitales, tecnología, equipamiento, infraestructuras y financiación.
Establecer una escala de valoración de dichos activos y determinar la importancia o criticidad de los mismos en cuanto al correcto funcionamiento del proceso.
Analizar las vulnerabilidades y amenazas asociadas a dichos activos. Se partirá de un catálogo de amenazas estándar.
Establecer los criterios de valoración del impacto y de probabilidad.
Determinar los riesgos intrínsecos (impacto x probabilidad) asociados a la materialización de las amenazas y estructurarlos en una matriz de riesgo.
Determinar las medidas de seguridad o contramedidas a implementar para reducir dicho riesgo así como determinar el riesgo residual asociado (al aplicar la medida).
Agrupar los riesgos residuales no aceptados en torno a escenarios de continuidad (indisponibilidad proveedor, desastre industrial ...)
Plan de Trabajo
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3
Proceso Negocio
Proveedor
Habilidades y conocimientos
Activos de información
Tecnología
Infraestructura
Equipamiento
Financiación 21. © 2014 Abast Systems, S.A.
PCN. Etapa 1 Análisis de Riesgos
Resultados:
Definición de un catálogo de amenazas (preferiblemente agrupado por escenarios.
Resultados
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3
Escenario
Amenazas
Descripción
Desastre Natural
Lluvias torrenciales, inundaciones, ...
Desastres climatológicos o naturales
Desastre industrial
Explosión, Fuego, derrumbes,
Daños graves causados en las infraestructuras de la Organización que las inutilizan parcial o totalmente y pueden llegar a impedir las operaciones en las fábricas
Indisponibilidad del proveedor
Degradación o pérdida del soporte, cierre compañía proveedor, …
Cuando el proceso tiene excesiva dependencia de un proveedor de servicios o soporte y este sufre una indisponibilidad grave. 22. © 2014 Abast Systems, S.A.
PCN. Etapa 1 Análisis de Riesgos
Resultados:
Definición de la tipología y escala de valoración de los activos y relación con los procesos críticos.
Resultados
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3
TIPOLOGÍAS DE ACTIVOS
CODIGO
GRUPO
DESCRIPCIÓN
[PRV]
PROVEEDORES
Proveedores esenciales para las actividades críticas de la Organización
[VR]
REGISTROS VITALES
Información o datos importantes
[AUX]
EQUIPAMIENTO AUXILIAR, SISTEMAS INDUSTRIALES
Se consideran otros equipos que sirven de soporte a las actividades de producción
[L]
INSTALACIONES
Ubicación física necesaria para desarrollar las actividades
[P]
PERSONAL
Personas relacionadas con el soporte a los procesos. Incluye personal técnico, de operaciones y de soporte o administración.
[SI]
SISTEMAS DE INFORMACION
Comunicaciones y tecnología necesaria para los procesos
[DEP]
OTRAS DEPENDENCIAS
Dependencias internas de los procesos
ESCALA DE VALORACIÓN
DESCRIPCIÓN
VITAL
Muy importante para la organización. Aplicado a los procesos más críticos con RTO más restrictivo (Xh)
MUY ALTA
De importancia muy alta para la organización. Parte de los procesos críticos se ven afectados. Aplicado a procesos con RTO de segundo nivel (Yh)
ALTA
De importancia alta para la organización. Se degradarían notablemente algunos servicios críticos. Aplicado a procesos con RTO de segundo nivel (Yh)
MEDIA
De importancia media para la organización. Activos de fácil sustitución.
BAJA
Prácticamente no influye en los procesos
Código
Proceso/Unidad
Tipo de Activos que soportan el proceso
Importancia
POC01
FACTURACIÓN
[SI], [P], [L]
Alta 23. © 2014 Abast Systems, S.A.
PCN. Etapa 1
Análisis de Riesgos
Resultados:
Definición de la MATRIZ DE RIESGOS. Para ello se definen de los criterios para
establecer la probabilidad de materialización de una amenaza. Junto con los criterios de
impacto ya definidos servirá para determinar el riesgo (probabilidad x impacto)
Resultados
FASE 2 FASE 3 FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y
Política
Continudad
FASE 1 FASE 5 FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1 ETAPA 2 ETAPA 3
Probabilidad Descripción
Casi seguro
Es casi seguro que se produzca en las actuales
circunstancias y dentro de 12 meses
Probable
Más de 50% de posibilidades de que ocurra en 2
años
Posible
Más de 50% de posibilidades de que ocurra en los
próximos 3 años
Improbable Poco probable que ocurra en los próximos tres años
Raro Concebible, pero sólo en circunstancias extremas.
PROBABILIDAD
Raro Improbable Posible Probable Casi Seguro
IMPACTO
Menor
Mayor
Serio
Critico
Catastrófico
MATRIZ
RIESGOS
24. © 2014 Abast Systems, S.A.
PCN. Etapa 1 Análisis de Riesgos
Resultados:
Definición de criterios de evaluación de los controles a implementar en el PLAN DE TRATAMIENTO DE RIESGOS resultante.
Resultados
FASE 2
FASE 3
FASE 4
Análisis Impacto Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación Planes
ETAPA 1
ETAPA 2
ETAPA 3
Eficacia del control (Controles existentes)
Ratio de eficacia
Criterios de calificación
Insatisfactorio
Controles ineficientes
Débil
Deficiencia importante en las medidas de control
Satisfactorio
Posibilidades de mejora en los controles
Bueno
La mayoría de los riesgos se controlan y gestionan con eficacia
Muy bueno
Control efectivo y gestionado
Progreso de Plan de Tratamiento de Riesgos
Ratio de Progreso
Criterio de Calificación
No Empezado
No se ha comenzado a implantar el control
Iniciado
Acciones clave iniciadas para la fecha límite
En Espera
Acciones en espera
Retraso importante
Las acciones clave no se han iniciado y se sufrirá un retraso que superará la fecha límite
Completadas
Acciones clave completadas
Riesgo Intrínseco: Riesgo existente por la propia naturaleza de los procesos y la probabilidad estadística de ocurrencia.
Riesgo Residual: Riesgo existente tras aplicar los controles necesarios para que el riesgo pueda ser aceptable 25. © 2014 Abast Systems, S.A.
PCN. Etapa 1 Análisis de Riesgos
Resultados:
Creación de una matriz de riesgos. Identificación y organización del riesgo (intrínseco y residual).
Creación de un Plan de Tratamiento de riesgos en base a determinar, valorar y separar las contramedidas a aplicar para mitigar o reducir el riesgo (reducir probabilidad o impacto) o limitar el periodo de interrupción del proceso.
Determinación de cual es el nivel de riesgo aceptable de la organización: La Organización debe decidir a partir de que nivel acepta, elimina, trasfiere o trata los riesgos existentes .
Decidir que riesgos pueden afectar a la continuidad del negocio y evaluarlos a través de los escenarios y estrategias de continuidad.
Resultados
FASE 2
FASE 3
FASE 4
Análisis Impacto Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación Planes
ETAPA 1
ETAPA 2
ETAPA 3
Impacto
Probabilidad
R1
R2
Rn
Matriz Gestión Riesgos
Proceso
Riesgo Intrínseco
Descripción
Causas
Riesgo (probabilidad x impacto)
Medidas Reducción Riesgo
Responsable / Fecha Objetivo
Riesgo Objetivo (residual) 26. © 2014 Abast Systems, S.A.
PCN. Etapa 1
Análisis de Riesgos
PLAN CONTINGENCIA TI
FASE 2 FASE 3 FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y
Política
Continudad
FASE 1 FASE 5 FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1 ETAPA 2 ETAPA 3
Análisis Detallado. Herramienta PILAR
Metodología MAGERIT
de Análisis de Riesgos Identificación de los activos de TI
Red Inalámbrica
REINUS
DHCP
Red Troncal RIUS
Resolución nombres
DNS
Directorio Corporativo
LDAP
100%
100%
Cisco Wireless Radius
Control System
100%
100%
RUBI RADIUS RADIUS2
50% 50%
100%
100%
FFWW CCoohhiibbaa
SAI CPD
CPD principal E. Rojo
100% 100% 100%
100%
50%
Suministro eléctrico
EMV500
50%
FFWW RReeiimmeerr
100%
100%
50% / 50%
25%
GRANITO
CREINUS-WEB
100%
100% 100%
Árbol de configuración o diagrama de
dependencias de un servicio de TI
27. © 2014 Abast Systems, S.A.
PCN. Etapa 1 Análisis de Riesgos PLAN CONTINGENCIA TI
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y
Política
Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3
Análisis Detallado. Herramienta PILAR
Servicios [S.100 a S.110]
Potencial
Actual
[SIN.S.100] Servicios de Infraestructura
[SS.101] Entorno de Hosting Virtual de Dominios de Correo Externo
{3,1}
{1,2}
[SS.102] Servicio de Hosting Virtual de Investigación
{4,2}
{2,4}
[SS.103] Servicio de Clonación (PC's y PIU's)
{3,7}
{1,9}
[SS.104_APCOR] Servicio de Alojamiento de Aplicaciones y BBDD
{5,4}
{3,6}
[SS.104_COS] Servicio de Almacenamiento masivo y BBDD
{3,1}
{1,2}
Riesgo acumulado residual
Análisis del nivel de vulnerabilidad de la organización (qué amenazas aplican.
Identifican qué amenazas aplican a cada tipo de activo
Asignan dichas amenazas por grupos de activos (servicios, datos, equipamiento…)
Valoran dichas amenazas en función del impacto y frecuencia.
Se analizan las salvaguardas existentes y su nivel de implementación. 28. © 2014 Abast Systems, S.A.
Plan Continuidad Negocio
Etapa 1: Entendimiento del negocio/organización
Estrategia Organizacional / Política
Análisis de Impacto del Negocio (BIA)
Valoración del riesgo y gestión (AR)
Etapa 2: Estrategias de Continuidad del Negocio
Definición Estrategias de Continuidad
Desarrollo del Plan de Continuidad y Planes Operativos
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3 29. © 2014 Abast Systems, S.A.
PCN. Etapa 2
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y
Política
Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3
Entender la Organización
Opciones
Continuidad del Negocio
Tratamiento Riesgos / Mitigación Pérdidas
Cambiar, suspender o terminar
No hacer nada
Opciones basadas en niveles de operación aceptables
Programa de Gestión de Riesgos
Documentar y Aprobar
Personal, habilidades y conocimiento
Instalaciones de trabajo
Tecnologías de apoyo
Datos e Información
Equipamientos y Suministro
Garantizar seguridad del personal
Opciones Tácticas
Opciones Estratégicas 30. © 2014 Abast Systems, S.A.
Plan Continuidad Negocio
Etapa 1: Entendimiento del negocio/organización
Estrategia Organizacional / Política
Análisis de Impacto del Negocio (BIA)
Valoración del riesgo y gestión (AR)
Etapa 2: Estrategias de Continuidad del Negocio
Definición Estrategias de Continuidad
Desarrollo del Plan de Continuidad y Planes Operativos
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3 31. © 2014 Abast Systems, S.A.
PCN. Etapa 2 Definición Estrategias Continuidad
Los riesgos resultantes de la aplicación de las medidas o controles preventivos, que continúen siendo inaceptables para la organización se estructuran en escenarios de continuidad con el objetivo de facilitar su análisis y gestión. Un escenario de continuidad puede ser el asociado a la indisponibilidad de las oficinas centrales y puede agrupar diversos riesgos como huelga, incendio, etc.
El objetivo es, por tanto, evaluar para cada uno de los escenarios, las opciones u estrategias de continuidad asociadas con la finalidad de elegir aquella que resulte más adecuada en función de un análisis coste/riesgo.
Objetivo
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y
Política
Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3 32. © 2014 Abast Systems, S.A.
PCN. Etapa 2 Definición Estrategias Continuidad
Tareas a realizar:
Determinar los escenarios de indisponibilidad (o continuidad) a tratar.
Analizar cómo estos escenarios afectan a los procesos críticos del negocio.
Determinar las opciones de continuidad posibles (de reinicio de los procesos/actividades):
Desde el punto de vista de su viabilidad, beneficios y coste asociado.
Considerando las opciones adecuadas que garanticen la disponibilidad de los activos/recursos necesarios para reiniciar las actividades del proceso (proveedores, habilidades y conocimientos (personal), activos críticos de información o registros vitales, tecnología, equipamiento, infraestructuras y financiación).
Plan de Trabajo
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3 33. © 2014 Abast Systems, S.A.
PCN. Etapa 2 Definición Estrategias Continuidad
Resultados: Agrupación de los riesgos en una serie de escenarios de indisponibilidad con mayor o menor afectación. De esta manera los escenarios se pueden tratar a posteriori con Planes Operativos de Recuperación específicos.
Resultados
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3
ESCENARIOS
1.Indisponibilidad de Localización (integrada, transformadora, planchista, oficinas)
2.Indisponibilidad de Sistemas Clave (tecnológico)
3.Indisponibilidad de Sistemas Clave (industriales)
4.Indisponibilidad de Personal
5.Indisponibilidad de Registros Vitales
6.Indisponibilidad de Proveedores
7.Indisponibilidad de Materia Prima, Materiales o Producto Final
•Descripción
•Procesos afectados
•Estrategias y viabilidad
•Esquema de recuperación
•Recursos necesarios 34. © 2014 Abast Systems, S.A.
PCN. Etapa 2 Definición Estrategias Continuidad
Resultados: Definición de los escenarios de continuidad que permitan tratar los riesgos residuales inaceptables para la organización.
Resultados
FASE 2
FASE 3
FASE 4
Análisis Impacto Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN y Planes Operativos
Implantación Planes
ETAPA 1
ETAPA 2
ETAPA 3
Unidad
Proceso
RTOm / RTOM
Condicionante criticidad
APROVISIONAMIENTOS
Abastecimiento de suministros, material y otras mercancías para las fábricas
Xh-Yh
Ninguno
Proceso
Condicionante de repercusión
Estrategia
Viabilidad
Coste adicional
Beneficios
ABASTECIMIENTO DE SUMINISTROS,MATERIAL Y OTRAS MERCANCIAS PARA LAS FÁBRICAS
Existencia stock de ese material en la fábrica afectada
Uso del stock de seguridad existente
Fábrica afectada, tipo de campaña y stock existente.
Coste asociado a devolver el nivel de stock de seguridad
n/a
Escenario: Indisponibilidad / escasez de material auxiliar. Procesos afectados
Escenario: Indisponibilidad / escasez de material auxiliar. Estrategias y viabilidad 35. © 2014 Abast Systems, S.A.
PCN. Etapa 2 Definición Estrategias Continuidad
Resultados:
Definición de los escenarios de continuidad que permitan tratar los riesgos residuales inaceptables para la organización.
Definición y valoración de las diferentes estrategias de continuidad que permitan cumplir con los objetivos temporales de recuperación (RTOs) establecidos por la organización.
Resultados
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN y Planes Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3
Escenario (agrupación de riesgos residuales)
Proceso
Condicionante material o temporal
Estrategia
Viabilidad
Coste adicional
Beneficios 36. © 2014 Abast Systems, S.A.
PCN. Etapa 2
Estrategias Continuidad
PLAN CONTINGENCIA TI
FASE 2 FASE 3 FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y
Política
Continudad
FASE 1 FASE 5 FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1 ETAPA 2 ETAPA 3
Las estrategias de recuperación
nos indican qué solución
implementar para cumplir con
los RTO y RPO que requiere el
negocio
37. © 2014 Abast Systems, S.A.
Plan Continuidad Negocio
Etapa 1: Entendimiento del negocio/organización
Estrategia Organizacional / Política
Análisis de Impacto del Negocio (BIA)
Valoración del riesgo y gestión (AR)
Etapa 2: Estrategias de Continuidad del Negocio
Definición Estrategias de Continuidad
Desarrollo del Plan de Continuidad y Planes Operativos
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3 38. © 2014 Abast Systems, S.A.
PCN. Etapa 2 Desarrollo Planes
El objetivo de esta fase es desarrollar la estructura organizativa que ha de gestionar la continuidad y el propio plan de continuidad como tal: El procedimiento a seguir (notificación, activación …) en caso de que se produzca un escenario de continuidad. Se define quién hace qué y cuándo.
Otro objetivo de esta fase es comenzar a desarrollar los planes operativos concretos. En esta fase se detallan los planes específicos asociados a los escenarios de continuidad. Se define el cómo actuar en caso de que se produzca dicho escenario, llegando al nivel de detalle que sea necesario.
Objetivo
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y
Política
Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3 39. © 2014 Abast Systems, S.A.
PCN. Etapa 2 Desarrollo Planes
Tareas a realizar:
Definir la estructura organizativa que ha de soportar la gestión de la continuidad de negocio.
Definir una matriz RECI (Responsable, Encargado, Consultado, Informado) que clarifique los roles, actividades y responsabilidades.
Definir el Plan de Continuidad como tal en el que se documente como actuar ante un escenario de continuidad (detección, notificación, activación …)
Iniciar la definición de los planes operativos necesarios. Los planes operativos son los procedimientos que describen las actividades automáticas o manuales a ejecutar para la recuperación de las actividades críticas:
Plan de Comunicación de crisis
Plan de Emergencia / Evacuación
Plan de Reubicación del personal
Etc..
Para los planes operativos: definición de actividades, roles, medios y recursos necesarios, niveles y evaluación de los incidentes, matrices de decisión …
Plan de Trabajo
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y Política Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3 40. © 2014 Abast Systems, S.A.
PCN. Etapa 2 Desarrollo Planes
FASE 2
FASE 3
FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y
Política
Continudad
FASE 1
FASE 5
FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1
ETAPA 2
ETAPA 3
Resultados:
Estructura organizativa.
Matriz RECI de roles, actividades y responsabilidades.
Plan de Continuidad.
Planes operativos dentro del alcance de esta fase:
Plan de respuesta a incidentes o plan de gestión de crisis
1 plan operativo
Resultados 41. © 2014 Abast Systems, S.A.
PCN. Etapa 2
Desarrollo Planes. INICIO
Activación del Plan de
Continuidad
Ejecutar Planes de
Recuperación según
estrategia definida
Reevaluación de la
situación con el Comité
de Crisis
Comité de Crisis
Realización de
seguimiento y
verificaciones
Informar a los
componentes del Plan
y al Comité
Si
FIN
PLAN DE GESTIÓN DE LA CONTINUIDAD
PCN01
PCN02
PCN03
PCN04
PCN06
PCN05
PCN07
Planificación y
Coordinación de las tareas
a ejecutar y gestión de
recursos alternativos
Movilización de
recursos de
recuperación
Identificación de
escenario de desastre y
planes asociados
¿Plan ejecutado con
éxito?
Coordinación de las
tareas a realizar por los
Equipos de Soporte
Si
No
Si
Coordinación de las
tareas a realizar por los
Proveedores
¿Necesidad
intervención de
Proveedores?
¿Necesidad de
Equipos de Soporte?
No
No
PCN03a
PCN03b
PCN08
Actividad / Rol
Responsable
Continuidad
de Negocio
Gestor de
Continuidad
de Negocio
Comité de
Gestión
de Crisis
PLAN CONTINUIDAD DE NEGOCIO
Alertar e Informar sobre la
activación del Plan
RA R
Investigar causas y orígenes del
desastre
AI I
Identificación del Escenario de
Desastre y de los Planes
Asociados
RA R
Movilización de Recursos RA R
Planificación y Coordinación de
las tareas a ejecutar por los
Equipos de Recuperación y
Gestión de recursos alternativos
RA I
Resultados
42. © 2014 Abast Systems, S.A.
PCN. Etapa 2
Desarrollo Planes
PLAN CONTINGENCIA TI
FASE 2 FASE 3 FASE 4
Análisis
Impacto
Negocio
Análisis
Riesgos
Definición
Estrategias
Continuidad
Organización y
Política
Continudad
FASE 1 FASE 5 FASE 6
Desarrollo PCN
y Planes
Operativos
Implantación
Planes
ETAPA 1 ETAPA 2 ETAPA 3
Roles y responsabilidades
Definición de las fases del Plan
Actividades organizativas de cada fase