Your SlideShare is downloading. ×
1
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer...
2
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer...
3
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer...
4
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer...
5
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer...
6
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer...
7
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer...
8
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer...
9
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer...
10
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
11
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
12
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
13
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
14
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
15
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
16
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
17
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
18
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
19
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
20
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
21
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
22
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
23
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
24
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
25
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
26
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
27
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
28
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
29
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
30
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
31
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
32
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualque...
Upcoming SlideShare
Loading in...5
×

Implementing your BC program in conformity with ISO 22301

407

Published on

Presentation at the World Conference on Disaster Management in Toronto, On, Canada - July 2014
www.wcdm.org

2 Comments
4 Likes
Statistics
Notes
No Downloads
Views
Total Views
407
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
2
Likes
4
Embeds 0
No embeds

No notes for slide

Transcript of "Implementing your BC program in conformity with ISO 22301 "

  1. 1. 1 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Consultoria ı Ferramentas ı Capacitação Implementing your BC program in conformity with ISO 22301 Sidney Modenesi, MBCI ISO 22301 BSI Technical Expert July/2014
  2. 2. 2 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Sidney R. Modenesi  25+ years BC/DR experience;  Certified MBCI in 2006 The Business Continuity Institute;  ISO 22301 BSI Technical Expert, 2013;  BS 25999 BSI Technical Expert, 2011;  The Business Continuity Institute Area Representative in Brazil;  Master Degree in Entrepreneurship, University of São Paulo, Brazil, 1986.  Bachelor in Computer Sciences, University of São Paulo, Brazil, 1976;  br.linkedin.com/in/sidneymodenesimbci/ 22
  3. 3. 3 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Agenda  Scoping - prioritize locations, products or services to cover the corporate wide business continuity needs;  Planning - break the scope in a set of projects;  Budgeting - estimate CAPEX, OPEX and other needs;  Implementing - the PDCA life cycle and Continuously improve and enlarge - your corporate business continuity program In conformity with ISO 22301 - Societal security – Business continuity management systems – Requirements 3
  4. 4. 4 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. ISO 22301 Societal security – Business continuity management systems – Requirements 4 Scope, References, Terms & Definitions (cap.1, 2 e 3) Context of the organization (cap.4) Leadership (cap.5) Planning (cap.6) Support (cap.7) Operation (cap.8) Performance Evaluation (cap.9) Improvement (cap.10)
  5. 5. 5 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. SCOPING
  6. 6. 6 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Potential disruptive interruption scenarios Main office 1 ICT service provider 6 Xxx contributors Bkp. Call center; Business departments; Local data center. Main office 2 X X X Zzz contributors Main call center; Some business departments; Logistics . XX Supply chain Each disruptive scenario has different impacts and may require different recovery strategies. ONE BIA DOES NOT FIT ALL.
  7. 7. 7 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. ISO 22301 - 4.3.2 Scope of the BCMS The organization shall a) establish the parts of the organization to be included in the BCMS, b) establish BCMS requirements, considering the organization’s mission, goals, internal and external obligations (including those related to interested parties), and legal and regulatory responsibilities, c) identify products and services and all related activities within the scope of the BCMS, d) take into account interested parties’ needs and interests, such as customers, investors, shareholders, the supply chain, public and/or community input and needs, expectations and interests (as appropriate), and e) define the scope of the BCMS in terms of and appropriate to the size, nature and complexity of the organization. 7
  8. 8. 8 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. High level questions to be answered  Which parts of the organization?  What are the BCMS requirements?  What are the critical products and services?  What are the needs and interests of the stakeholders?  What is the overall scope of the BCMS?  What are the Service Levels to be delivered? 8
  9. 9. 9 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Strategic BIA In a strategic BIA, the organization’s products and services are prioritised and the organization’s recovery timescales or Maximum Tolerable Periods’ of Disruption (MPTD’s) and disruption tolerance levels or Minimum Business Continuity Objectives (MBCO’s) are determined.  3.26 - maximum tolerable period of disruption – MTPD time it would take for adverse impacts, which might arise as a result of not providing a product/service or performing an activity, to become unacceptable.  3.28 - minimum business continuity objective – MBCO minimum level of services and/or products that is acceptable to the organization to achieve its business objectives during a disruption. 9
  10. 10. 10 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Strategic BIA  Interview and challenge your Top Management:  Be objective you may have an hour or less  Ask closed questions: 1. How do we prioritize our products and services? By revenue? By profit? By image value? … 2. How long can we support a disruptive interruption in our products and services? One hour? One day? One week? Why? 3. What are the Service Levels we intend to deliver after a disruptive interruption? 33% in the first day? 50% in the first 3 days? BAU? When do we plan to deliver 100%? Why? 4. What about the backlogs, can we afford to see them escalating over time? 10
  11. 11. 11 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Strategic BIA  DO NOT FORGET TO ASK:  What are the approved and planned strategic changes in the organization for the next 12, 24 and 36 months?  Growth;  Outsourcing;  New products and/or services;  Withdrawn of products and/or services;  Acquisition, merge, split, public …  New technologies: cloud services, ERP, CRM … 11
  12. 12. 12 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Strategic BIA  Explain to Top Management: the smaller the MTPDs or higher the MBCOs  higher the BCMS cost (CAPEX and OPEX);  Make sure these requirements are in line with the Corporate Risk Appetite (ISO 31000 & 31010 may help). 12
  13. 13. 13 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Our goals  To identify the Context of the organization – Chapter 4  Main products and services in Recovery Tiers (1, 2, 3…);  Service levels to be delivered (MBCOs);  Maximum outages (MTPDs);  In line with the Strategic planning and Risk appetite  All information above will be used during the Operational BIA:  ISO 22301 - 8.2.2 Business impact analysis The organization shall establish, implement, and maintain a formal and documented evaluation process for determining continuity and recovery priorities, objectives and targets. This process shall include assessing the impacts of disrupting activities that support the organization’s products and services.  BCI GOOD PRACTICE GUIDELINES 2013 13
  14. 14. 14 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. PLANNING
  15. 15. 15 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. High level planning Plan to develop and implement the BCMS:  Vertical or horizontal: where key products and services are executed or cross organization?  Develop a conventional BCM project:  Operational BIA, Risk Assessment, Recovery strategy, Plan development and testing …  Using project management methodologies:  PMM – http://www.pmi.org;  Agile – http://agilemethodology.org  Delivering timely and consistent results, building credibility. 15
  16. 16. 16 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. High level planning Assumptions: strategic BIA done scenarios defined and MTPDs and MBCOs available Operational BIA – 20 managers – 4 - 6 weeks using the definitions from the Strategic BIA Risk Assessment – 4 weeks aligned with the corporate risk (ISO 31000 and/or 27001) Recovery Strategy – 2 weeks Executive decision – Risk Appetite 2 – 3 times 16
  17. 17. 17 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. High level planning Assumptions: Recovery Strategy approved Plan development – 4 hours per plan by product or service, by department, by process? Plan testing basic – 2 hours per plan tabletop exercise (ISO 22301 – ch. 9 and ISO 22398) Corporate or partial exercise or test each one as a project (ISO 22398) Post exercise or test review reviewed objectives (ISO 22301, 22398) 17
  18. 18. 18 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Warning  You will need someone else´s time  shared resources:  With other important things to do;  Under pressure to reach their own objectives;  Eventually requiring some BCM education;  And with a different view of: Disruptive interruption durations – MTPDs and/or Service levels – MBCOs  Be realistic!!! 18
  19. 19. 19 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Our goals  To develop a realistic time schedule  Planning – Chapter 6 with:  6.1 Actions to address risks and opportunities;  6.2 Business continuity objectives and plans to achieve them. 19
  20. 20. 20 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. BUDGETING
  21. 21. 21 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Do you homework Understand how the organization operates:  Financial volumes: gross and net revenues;  Operating volumes: per product or service;  From the purchase order till the purchase delivery - workflow;  Where (locations) products, services and activities (processes) are executed – mapping;  Controls in place: identify bottlenecks;  Operating costs and accountability model: how back office shared services are accounted. 21
  22. 22. 22 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Do you homework  Develop a spreadsheet providing high level figures - averages:  Number of approved tickets (products or services) per time period - day or hour;  Ticket value (US$) gross and net;  Current backlog – tickets and amounts (US$);  Operating costs – product or service + shared services, including depreciations;  Add scenarios – Strategic Planning;  Call vendors and estimate overall costs;  Draw graphs – C level are visual personas. 22
  23. 23. 23 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Do you homework  Have all these information ready for the strategic BIA;  Check them first with your CRO – Risk Appetite;  Know your public:  CFO – may be very conservative regarding further investments or expenses;  CIO – may have a different view of priorities;  COO (sales) – may not want to loose any sale.  Use this information when challenging the Top Management – MTPD & MBCO x Risk Appetite. 23
  24. 24. 24 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Our goals To estimate the Resources needed  Chapter 7.1 The organization shall determine and provide the resources needed for the establishment, implementation, maintenance and continual improvement of the BCMS. 24
  25. 25. 25 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. IMPLEMENTING
  26. 26. 26 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Implementing  While developing the project we already have a program running;  Everything is in change;  It´s mandatory to capture all relevant changes;  To ensure when the project is delivered it matches the new reality. 26
  27. 27. 27 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Implementing  The end of Phase 1 of the BCMS project – Tier 1 is the start of the Program and  Another project starts - BCMS project Tier 2 or Main building #2.  Make sure you have consistent KPIs:  9.1 Monitoring, measurement, analysis and evaluation 9.1.1 General - Additionally, the organization shall take action when necessary to address adverse trends or results before a nonconformity occurs. 27
  28. 28. 28 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Implementing Main office 1 ICT service provider 28 Xxx contributors Bkp. Call center; Business departments; Local data center. Main office 2 Zzz contributors Main call center; Some business departments; Logistics . Supply chain Continuous improvement Plan Do Check Act
  29. 29. 29 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Final remarks  All information gathered, developed and kept updated are Documented Information and subject to: 7.5 Documented information  7.5.1 General The organization’s BCMS shall include - documented information required by this International Standard, and - documented information determined by the organization as being necessary for the effectiveness of the BCMS. 29
  30. 30. 30 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Consider an integrated management framework COBIT COSO TOGAF 6 SIGMA ISO 31xxx ISO 27xxx ISO 22xxx 30 •Risk management – Principles and guidelines •Risk management – Risk assessment techniques •Information technology -- Security techniques -- Information security management systems – Requirements •Information technology -- Security techniques -- Code of practice for information security controls •Societal security -- Business continuity management systems --- Requirements •Societal security -- Business continuity management systems -- Guidance
  31. 31. 31 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Which is the right way? This? Or this? 31 MATURITY - This is a topic for another presentation!
  32. 32. 32 ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. Sidney R. Modenesi MBCI, BSI ISO 22301 Technical Expert sidney_modenesi@strohlbrasil.com.br sidneymd@thebci.com.br +55 11 5583-0033 br.linkedin.com/in/sidneymodenesimbci 32

×