You are on page 1of 11

RESUMEN DE ESTUDIO BCP

PLAN DE CONTINUIDAD: Un Plan de Continuidad de Negocio se compone de varias fases que comienzan con un análisis de los procesos que componen la organización. Este análisis servirá para priorizar qué procesos son críticos para el negocio y establecer una política de recuperación ante un desastre. Por cada proceso se identifican los impactos potenciales que amenazan la organización, estableciendo un plan que permita continuar con la actividad empresarial en caso de una interrupción. Continuidad: Referida al negocio, a sus funciones. Requiere la disponibilidad de la información y por tanto de los sistemas que la tratan y su entorno: suministros, etc. Incidencia: Evento que interrumpe la continuidad de los sistemas, con consecuencias limitadas para el negocio. Puede reducirse por medios razonables y en general disponibles. Se habla de registro de incidencias. Contingencia: Evento que interrumpe la continuidad de los sistemas, con consecuencias catastróficas para el negocio. Sólo puede reducirse por medios extraordinarios razonables y en general muy costosos, organizativa y técnicamente. Se habla de plan de contingencias. Contingencia: En muchos casos, una “contingencia” no prevista se convierte en una “crisis”. Crisis: Una crisis postergada o mal manejada se convierte en un desastre. Desastre: Una organización no preparada para un desastre desaparece. EVOLUCIÓN: +20 años Respaldo & Recuperación Software de Mainframe 10-20 Años Recuperación Infraestructura 5-10 Años Recuperación Procesos del Negocio y Capital Humano Últimos 5 Años Continuidad Procesos Críticos del Negocio

funciones estratégicas en un sitio alterno por más de 30 días. La TI está direccionada sólo al soporte para los procesos de negocio.ENFOQUE DE CONTINUIDAD      La administración de la continuidad y el manejo de crisis son parte integral del Gobierno Corporativo Las estrategias. no se centra en los procesos del negocio. planes y soluciones de continuidad deben ser apropiadas y dirigidas por la organización Las implicaciones de la continuidad deben ser consideradas como parte esencial del proceso de administración del cambio en la organización Las actividades de administración de la continuidad deben estar enfocadas a soportar las estrategias y metas del negocio ADMINISTRACIÓN DE RIESGOS – RECUPERACIÓN DE DESASTRES – ADMINISTRACIÓN DE INSTALACIONES – ADMINISTRACIÓN CADENA SUMINISTRO – ADMINISTRACIÓN DE LA CALIDAD – SALUD OCUPACIONAL – ADMINISTRACIÓN DEL CONOCIMIENTO – ADMINISTRACIÓN DE EMERGENCIAS – SEGURIDAD FÍSICA Y LÓGICA – COMUNICACIÓN DE CRISIS. Direcciona los procesos de negocio. Los mismo que el plan de contingencia de TI. Continuity of Support Plan / IT Contingency Plan Suministra procedimientos y capacidades para recuperar grandes aplicaciones o sistemas de soporte general. se centra en la interrupción de los sistemas de TI. ALCANCE Direcciona los procesos de negocio y la tecnología que los soporta. Direcciona el conjunto de operaciones de la organización definidas como mas críticas. TIPOS DE PLANES SEGÚN NIST: PLAN Business Continuity Plan (BCP) OBJETIVO Suministra procedimientos para sostener las operaciones esenciales de negocio mientras se recupera de una interrupción significante. Continuity Operations (COOP) Of Plan Suministra procedimientos y capacidades para sostener lo esencial de una organización. . Business Recovery (or Resumption) Plan (BRP) Suministra procedimientos para recuperación de las operaciones de negocio inmediatamente después de un desastre.

y manejables. Occupant Emergency Plan (OEP) Suministra procedimientos coordinados para minimizar las perdidas de vidas o daños a la propiedad en respuesta a amenazas físicas. Se centra sobre respuestas de seguridad de la información a incidentes que afectan los sistemas y / o las redes. Proteger ésta infraestructura es un objetivo de máxima prioridad. A menudo centrado en la TI. • • • Todos los aspectos de nuestra vida dependen de una infraestructura en red cada vez más compleja y crítica. y cuando ellas ocurran. no esta diseñada para procesos de negocio o funcionalidad de los sistemas de TI. Disaster Recovery Plan (DRP) Suministra procedimientos detallados para facilitar la recuperación de operaciones en un sitio alterno. infrecuentes. Necesitamos prevenir las interrupciones. necesitamos asegurarnos que sean cortas. limitado a interrupciones mayores con efectos a largo plazo. Se centra en el personal y las instalaciones. responder. no se centra en la TI Cyber Incident Response Plan Suministra estrategias para detectar. ALCANCE Direcciona las comunicaciones con el personal y el publico. . PROBLEMA: Un evento externo o interno interrumpe uno o más procesos del negocio. y limitar las consecuencias de incidentes de seguridad que afectan la continuidad.PLAN Crisis Communications Plan OBJETIVO Proporciona los procedimientos para comunicarse con el personal y con el público en general.

el Plan tiene que asegurar sobre medios alternativos: – – – • la conmutación rápida al funcionamiento alternativo. de Respaldo. base de datos o aplicativo Virus Overflow del correo por spam Negación del servicio o ataques a la página Web corporativa Nuevos productos o servicios que entran a producción sin aseguramiento de calidad Daño o falla en las UPS Situación del país NIVEL ACEPTABLE DE SEGURIDAD: El resultado es un Plan de Seguridad que articula • • los mecanismos de salvaguarda preventivos en el Plan de Prevención los mecanismos de salvaguarda correctivos en el Plan de Contingencias En caso de interrupción catastrófica (contingencia).RESPONSABLES DE LOS RIESGOS: 40% personas 40% procesos 20% tecnología TIPOS DE INCIDENTES: Interrupciones y riesgos asociados a: • • • • • • • Fallas en el servidor. . una vuelta integral al sistema original. de Recuperación. la funcionalidad del sistema original. El Plan de Contingencia se compone así de tres Programas: de Incidencia. RESPONSABILIDAD LEGAL Y CONTRACTUAL: En el Sector Financiero: – Porque lo determinan reglamentos y normas.

En otros rubros – porque el Código Civil establece que debe operarse con “diligencia” para el cumplimiento de las Obligaciones En el Código Civil. GESTIÓN DEL PROGRAMA: Análisis del negocio Estrategia de continuidad del negocio Desarrollo e implementación de las respuestas de continuidad del negocio Desarrollar e impregnar una cultura de continuidad Ejercitación. mantener y revaluar los planes de continuidad del negocio OBJETIVOS DEL NEGOCIO: • • • • • Asegurar la continuidad y supervivencia del negocio Proteger los activos institucionales Proveer a la gerencia un control sobre las vulnerabilidades y riesgos Proveer medidas preventivas Permitir una gestión proactiva sobre las interrupciones del negocio . Gestión de la continuidad del negocio. para determinar las directrices a seguir para lograr la continuidad del negocio Escribir e implementar los planes de continuidad Establecer un marco de trabajo común para todos los planes de continuidad Probar. – – – – – Definir un proceso de gestión de la continuidad del negocio Desarrollar un plan estratégico. la “culpa” establece los grados de responsabilidad en el manejo de los negocios. el objetivo es: “Contrarrestar las interrupciones a los procesos y actividades críticas del negocio por los efectos de fallas mayores o desastres”. mantenimiento y auditoría ISO/IEC 17799:2005: Según lo que establece la norma ISO/IEC 17799:2005 en su cláusula de control 10. basado en el análisis de riesgo de la organización.

planes de comunicación en crisis. en manejo. entrenar a los equipos de atención de la crisis en las respuestas y procedimientos físicos. programas de relación con la comunidad.GESTIÓN DE LA CRISIS Incluye: • • • • determinar los escenarios de crisis. de medios de comunicación. interacción con los cuerpos especializados de rescate y seguridad. su impacto y alcance. evaluación de daños y perdida Business Continuity Management (BCM): Gestión en crisis: • • Prevención Atención Business Continuity Planning (BCP): Atención de los desastres: • • Preparación Reacción Disaster Recovery Planning (DRP): Plan de operación en contingencia para recuperación de desastres: • • • Recuperación de recursos Recuperación de procesos Recuperación del negocio PORQUÉ REALIZAR PLANES PARA LA CONTINUIDAD DEL NEGOCIO: • • • • • Permiten minimizar riesgos asociados a la paralización de las operaciones del negocio Permiten mantener operaciones y servicios al cliente Ayudan a salvaguardar intereses del inversionista Cumplir obligaciones contractuales y/o regulatorias Cumplir requerimientos de auditoria .

es la ley. Plan estratégico de la Continuidad del Negocio 2.CICLO DE DESARROLLO Y MANTENIMIENTO PARA BCP Dimensionamiento: La organización delimita el alcance y se establece un programa de trabajo para realizar el BCP. distribuida y auto-sostenible en el tiempo 4. COMPONENETES BCP 1. Permitirá a la organización seleccionar la (s) alternativa (s) más conveniente (s) en función de tiempo/costo/necesidad Elaboración y mantenimiento continuo: De manera coordinada. BCP es parte de la organización No sólo debe ser implementado por exigencias regulatorias o de auditoría Planificar la Continuidad del Negocio (BCP) es una NECESIDAD para las organizaciones que desean mantener sus operaciones luego de un desastre o paralización de las actividades del negocio. BCP está siendo cada vez más regulado en muchas industrias: SERVICIOS FINANCIEROS. Análisis de impacto al negocio: El “Business Impact Analysis (BIA)”: Permitirá identificar y prioritizar en función del impacto económico u operacional al negocio Definición de la estrategia: Evaluar y presentar estrategias para el desarrollo de planes. Identificar ajustes por cambios en las organizaciones/funciones. SALUD Y AGENCIAS DEL GOBIERNO están enfrentando nuevas regulaciones que requieren de las organizaciones conducir un programa de Planificación comprensivo . Programa Continuo de Continuidad del Negocio 6. Adiestrar y ejercitar al personal en su utilización. Lenguaje Común 5. Compromiso de la Alta Gerencia 3. Además de ser crítico en muchas instancias. en función de la(s) estrategia (s) y de los recursos asignados Pruebas periódicas: Probar y evaluar la funcionalidad del plan. Estructura organizacional de continuidad del negocio. es evitar que el negocio pierda ingresos Un Plan BCP es un conjunto de planes específicos BCP no es un proyecto. Asegurar la disponibilidad de los recursos. Automatización de la gestión y documentación de la Continuidad del Negocio Los desastres e interrupciones imprevistas ocurren y no se pueden evitar Estar preparados no es un gasto.

Los Procedimientos proporcionan ejemplos que podría seguir un auditor de SI en el curso de un trabajo de auditoria. determina el impacto cualitativo y cuantitativo de una interrupción. se refiere al aspecto tecnológico. Detección. utilizar un buen juicio profesional en su aplicación y estar dispuesto a justificar cualquier desviación de las mismas. y da prioridad en función a los objetivos de tiempo de recuperación (RTO). BIA . los sistemas operativos. el personal.Consiste en la identificación de las funciones críticas de negocio y el workflow administrativo. Implementación. involucrando todos los procesos de la empresa. Escalamiento. • • • • • Reanudación Revival Restauración Reubicación Gestión de Crisis . Declaración. Prevención. Contención. hardware y calendarios de trabajo necesarios para asegurar la más alta disponibilidad y fiabilidad del sistema basado en el BIA. durante y después a un desastre. construido a partir de un proceso de planificación integral. los servicios. La planificación anticipada y la preparación necesaria para minimizar las pérdidas y asegurar la continuidad de las funciones críticas del negocio en caso de un desastre.BCM COBIT Los Estándares definen requisitos obligatorios para la auditoria Las Directrices proporcionan asesoramiento en la aplicación de los Estándares de Auditoria de SI. Los Componentes del BCP incluyen: • • • • • • • • Identificación. El BCP define los roles y responsabilidades e identifica los programas de aplicación de misión crítica. DRP Es un componente clave del BCP. El auditor de SI debe considerarlas al determinar cómo lograr la implementación de los estándares. Recupero. datos. Los procedimientos proporcionan información sobre cómo cumplir con los estándares al realizar los trabajos de auditoria de SI. DRP incluye las acciones consistentes que se realizarán antes.análisis de impacto en el negocio .

el liderazgo existente en continuidad del negocio y la asignación de roles y responsabilidades. que conformen el plan estratégico de continuidad del negocio. y si se quiere departamental.MODELO DE MADUREZ • Dichos modelos de maduración proporcionan niveles de calificación de acuerdo a ciertos objetivos o logros específicos definidos de antemano. • Utilizando estos modelos de maduración de la continuidad del negocio. podemos determinar las acciones concretas a nivel corporativo. la creación de conciencia del tema en la compañía. financieros y materiales. el compromiso que cada área efectúa para facilitar recursos humanos. y el nivel de automatización utilizando herramientas y software de apoyo en la gestión y documentación. la ejecución de pruebas recurrentes. como ejemplo: – – – – – – – el nivel de compromiso de la alta gerencia. el involucramiento de terceros y entidades públicas en la continuidad. .

5 días. La recopilación de esta información ayudará a la organización a desarrollar un BCP y permitirá el establecimiento de prioridades de los equipos y recursos disponibles. ROT se define como la rapidez que el proceso debe ser restaurado después desastre. en el caso de un desastre o una interrupción en el servicio. etc. Identificar los impactos cuantitativos y cualitativos que se generen de una interrupción Identificar las interdependencias críticas asociadas a la unidad de negocio y sus procesos. días o semanas. según el caso . Identificar el Objetivo de Punto de Recuperación (RPO) asociados a cada proceso de negocio crítico. • RECUPERACIÓN DEL RTO • • Identificar el ROT para cada proceso clave. . Documento de los listados de proveedores clave. (por ejemplo 24 horas. OBJETIVOS DEL BIA • • • • • • Identificar los procesos de negocio y priorizar de acuerdo a la criticidad. en base a la duración de la interrupción no planificada. equipos y aplicaciones asociadas con cada proceso de negocio crítico. Identificar los sistemas informáticos clave. Asignación de RTO y RPO para cada proceso de negocio.decidirá la duración del proceso podría ser "hacia abajo" antes de que tendría un grave problema de funcionamiento.BIA El BIA identifica las funciones críticas de negocio y describe lo que sería necesario para recuperar estas funciones.) Una visión general de lo que sería necesario para la recuperación de las funciones de la sección o programa. Identificar el Objetivo de Tiempo de Recuperación (RTO) asociados a cada proceso de negocio crítico. COMPLETADO EL BIA • • • • Ranking de los procesos de negocio críticos y no críticos. 48 horas. los sistemas y registros vitales. de un estar • Lista de las ROT por horas. lo que es una estimación de la duración del proceso puede no disponible. Las estimaciones de los impactos impacto cualitativo y cuantitativo de un evento. en el caso de que un evento se produzca.

Copia electrónica del cuestionario será proporcionado.Completar un "Análisis de Impacto de Negocio" (BIA) es un paso clave en el desarrollo de un "Plan de Continuidad de Negocio" (BCP) para su organización. El horario se establecerá con el seguimiento CUESTIONES DE NEGOCIOS DE IMPACTO • • • • • • • • • • • • Procesos clave Volumen de trabajo Recuperación de los objetivos de tiempo (RTO) Facilidades Personal Dependencias clave Manual "Work Around" Informática de Sistemas Registros Vitales Equipos y Suministros de Oficina Proveedores / vendedores Consideraciones de Presupuesto . en el caso de un desastre o una interrupción en el servicio. El BIA identifica las funciones críticas de negocio y describe lo que sería necesario para recuperar estas funciones.