Business Continuity Plan. Barcelona, febrero de 2008

Transcripción

1 . Barcelona, febrero de 2008

2 Porqué un? Una buena definición de la continuidad del negocio ayuda a identificar los productos y servicios clave y como gestionarlos. Una mala gestión de la continuidad del negocio puede impactar de muy distintas maneras a la organización: Normativas y Aspectos Legales 4 Ha aumentado el número de regulaciones relacionadas con la continuidad del negocio en todos los sectores (SOX, LOPD, etc.) 4 Nuevo British Standard (BS25999) que especifica los requisitos de obtención de la certificación de las buenas prácticas en la gestión de la continuidad del negocio. 4 La pertenencia a ciertas organizaciones no es posible si no se demuestra capacidad en la continuidad del negocio (por ejemplo: CHAPS) Una encuesta reciente permite constatar que, sólo un 47% de los responsables de negocios y de tecnología tienen un plan de continuidad definido en su negocio para recuperación del negocio en caso de desastre. Protección de los activos de la compañía 4 Incremento de las amenazas de actos terroristas internacionales de gran impacto 4 Las compañías deben proteger a sus empleados, activos materiales, sus negocios, su reputación y su marca 4 La continuidad del negocio es una ventaja competitiva, no sólo si ocurre un desastre sino que permite a los clientes continuar con las actividades que dependan de la compañía Protección de los intereses de los clientes 4 El mercado es cada vez más exigente en cuanto a la disponibilidad del negocio, sobretodo en negocios dónde un componente relevante es la tecnología 4 La aparición de problemas de seguridad puede influir negativamente en el negocio Protección de la reputación de la compañía 4 Un fallo grave en la continuidad del negocio puede comprometer seriamente la credibilidad de la empresa en el mercado y provocar pérdidas Deloitte. Todos los derechos reservados

3 Retos del BCP Falta de plantilla relevante Las grandes empresas deben diseñar sus planes para garantizar su funcionamiento con una ausencia de un 25% durante 2 o 3 semanas. Las empresas pequeñas deben ajustar estos ajustar estos porcentajes entre un 30-50% de su plantilla. Ejemplo: pandemia global. Imposibilidad de acceso Imposibilidad de acceso a las instalaciones de la compañía durante días, meses o años. Ejemplos: emisiones de sustancias tóxicas, fuego, inundaciones o manifestaciones. Fallo en los suministros básicos Las condiciones de salud y seguridad del personal, clientes, etc. puede estar en peligro. Puede haber pérdidas importantes en TIC. Ejemplos: situaciones climáticas extremas o la contaminación. Fallo de un proveedor Un fallo de un proveedor o servicio de outsourcing puede comprometer el desarrollo normal del negocio. Es importante ser cuidadosos en la elección de los proveedores Ejemplos: incidencia en las instalaciones del proveedor que afecten a la capacidad de servicio del mismo. Pérdidas en TIC Imposibilidad de procesar las transacciones con clientes y proveedores Ejemplos: destrucción de equipos, virus o cortes en el suministro eléctrico y/o de comunicaciones. Otras incidencias Interrupción en los transportes Cortes en el suministro de gasolina y gasóleo Ejemplos: ataque malicioso, clima extremo o actividad industrial Deloitte. Todos los derechos reservados

4 s La elaboración de un (BCP) está orientada a: Proteger la imagen pública y la confianza en la Organización. Mantener el servicio prestado por los sistemas de información a los procesos de negocio, minimizando el impacto en la operativa diaria con clientes. Minimizar los posibles impactos financieros y de negocio adversos para la Organización como resultado de una interrupción de las operaciones normales del negocio. Reducir los efectos operacionales de un desastre, suministrando una serie de guías y procedimientos predefinidos y flexibles para su empleo en la dirección de la reanudación y recuperación de los procesos. Reanudar las operaciones del negocio y funciones de soporte asociadas sensibles al tiempo para conseguir la continuidad del negocio. Satisfacer las obligaciones de la Organización para con sus empleados, clientes y terceros (reguladores, contrapartes, clientes, empleados, proveedores y otras asociaciones y comunidades) Deloitte. Todos los derechos reservados

5 Cómo debe ser un BCP? Es imposible planificar la continuidad para cualquier tipo de desastre, por lo que un plan de continuidad de negocio debe ser: Genérico adoptar una estrategia que pueda ser implantada en toda la organización proporcionando un enfoque cohesionado a la continuidad del negocio. Simple no es recomendable diseñar planes o procesos complicados, un dossier de 100 páginas no será útil ni fácil de seguir en una situación de emergencia. Realista no es necesario diseñar nuevos procesos de negocio para el plan de continuidad, se trata de emplear los recursos ya existentes. Entendible el plan debe ser entendible para cualquier persona de la plantilla que no sean los autores y que puedan actuar en caso de emergencia. Probado es un punto crítico en el plan de continuidad. Hay una gran diferencia entre saber como actuar en una situación y que los recursos funcionen y desconocer por completo lo que está descrito en el plan Deloitte. Todos los derechos reservados

6 Marco metodológico Ciclo de mejora contínua Uso de una metodología de identificación y evaluación de riesgos tecnológicos y de negocio que permita identificar posibles oportunidades de mejora. de las soluciones que den respuesta a las necesidades de la Organización, identificando la tecnología, procesos, personas y normativas requeridos. e integración de las soluciones diseñadas en el entorno de la Organización. de la solución implantada para determinar la eficacia y cumplimiento de los requisitos, orientada a la mejora continua Deloitte. Todos los derechos reservados

7 Estrategia Diagnóstico Adquisición de Mantenimiento Continuidad situación actual Evaluación de recuperación / recursos / implem. del plan Riesgos disp. de Documentación Impacto en el de los planes Negocio Deloitte. Todos los derechos reservados

8 Estrategia Continuidad Diagnóstico situación actual Evaluación de recuperación / Adquisición de recursos / implem. Mantenimiento del plan Riesgos disp. de Impacto en el Documentación de los planes Negocio Conocimiento del entorno para el desarrollo del proyecto Informe con la situación actual Identificar y documentar el estado actual del cliente en relación con la política de continuidad de negocio Evaluación del grado de madurez actual Herramienta con el análisis realizado Deloitte. Todos los derechos reservados

9 Estrategia Continuidad Diagnóstico situación actual Evaluación de Riesgos de Impacto en el Negocio recuperación / disp. Documentación de los planes Adquisición de recursos / implem. Mantenimiento del plan Identificar los principales riesgos en el entorno del negocio, que puedan afectar a la disponibilidad de los procesos de negocio Mapa de riesgos Deloitte. Todos los derechos reservados

10 Estrategia Continuidad Diagnóstico situación actual Evaluación de Riesgos de Impacto en el Negocio recuperación / disp. Documentación de los planes Adquisición de recursos / implem. Mantenimiento del plan Identificar el impacto que los distintos riesgos tienen sobre los procesos de negocio Informe con análisis de impactos Entender las necesidad del negocio desde un punto de vista de la continuidad Criticidad Función 6 horas Operaciones Restauración Operaciones Operaciones 1 día Comercial Ventas Operaciones Tiendas y juegos Deloitte. Todos los derechos reservados

11 ernativa Ventajas Inconvenientes Coste e propio Infraestructura dedicada simplifica la recuperación Independencia de proveedores Inexistencia de riesgos por compartir infraestructura de respaldo con terceros Puede utilizarse como entorno de pruebas Inversión inicial muy elevada Elevados costes de mantenimiento: los cambios de plataforma tienen el doble de coste A Estrategia Continuidad Diagnóstico situación actual Evaluación de Riesgos de Impacto en el Negocio recuperación / disp. Documentación de los planes Adquisición de recursos / implem. Mantenimiento del plan ot site xterno old site xterno CPD partido EJEMPLO Infraestructura dedicada simplifica la recuperación Inexistencia de riesgos por compartir infraestructura de respaldo con terceros Garantiza la no pérdida de información Coste anual moderado Permite la reanudación progresiva de la actividad en un periodo inferior a los tiempos de ruptura Opción más rápida de implantar Coste bajo Garantiza la continuidad del negocio, en caso de llegar a un acuerdo satisfactorio Alto coste anual Riesgos por compartir infraestructura de respaldo con terceros (en caso de desastres múltiples, riesgo que el proveedor no pueda responder a la vez) Dificultad para lograr un acuerdo con otra organización, y garantizar su cumplimiento Riesgo de incompatibilidad de plataformas con el paso del tiempo Incremento de la infraestructura, para soportar otra organización en desastre Dificultad para realizar pruebas A M B Definir, identificar y asignar los roles y responsabilidades asociadas al BCM Definir la política de continuidad de la organización Modelo organizativo con roles y responsabilidades asociadas Política de continuidad de negocio de la organización Deloitte. Todos los derechos reservados

12 Estrategia Continuidad Diagnóstico situación actual Adquisición de recursos / implem. Mantenimiento del plan Evaluación de Riesgos de Impacto recuperación / disp. Documentación de los planes en el Negocio Identificar aspectos de mejora a corto plazo (quick wins) Planes de acción a corto plazo Definir las estrategias de respuesta y recuperación ante desastres de alternativas y selección de estrategias Deloitte. Todos los derechos reservados

13 Estrategia Continuidad Diagnóstico situación Adquisición de Mantenimiento del actual Evaluación de recuperación / disp. recursos / implem. plan Riesgos de Impacto en el Negocio Documentación de los planes Especificar las actividades, recursos y personal requerido para la recuperación después de un desastre. Plan de emergencia Plan de continuidad de negocio Definir la secuencia de recuperación Planes de recuperación Deloitte. Todos los derechos reservados

14 Estrategia Continuidad Diagnóstico situación Adquisición de Mantenimiento del actual Evaluación de Riesgos recuperación / disp. recursos / implem. plan de Impacto en el Negocio Documentación de los planes Coordinar la implantación de las estrategias de continuidad desarrolladas Planificación de la implantación Gestionar la implantación del plan Entregables parciales de la metodología de implantación Deloitte. Todos los derechos reservados

15 Estrategia Continuidad Diagnóstico situación Adquisición de recursos Mantenimiento del plan actual Evaluación de Riesgos recuperación / disp. / implem. de Impacto en el Negocio Documentación de los planes Definir los procesos de formación y entrenamiento Plan de concienciación necesarios acorde al plan implantado Plan de formación Cursos y material formativo Deloitte. Todos los derechos reservados

16 Estrategia Continuidad Diagnóstico situación actual Evaluación de Riesgos recuperación / disp. Adquisición de recursos / implem. Mantenimiento del plan de Impacto en Documentación de los el Negocio planes Definir el plan de pruebas Asistir en la ejecución de la prueba Procedimiento de pruebas Evaluación de resultados de las pruebas Deloitte. Todos los derechos reservados

17 Estrategia Continuidad Diagnóstico situación actual Evaluación de Riesgos recuperación / disp. Adquisición de recursos / implem. Mantenimiento del plan de Impacto en el Negocio Documentación de los planes Garantizar el mantenimiento del plan Procedimientos y calendarios de mantenimiento s y criterios de revisión Deloitte. Todos los derechos reservados

18 Estrategia Continuidad Diagnóstico situación actual Adquisición de recursos / implem. Mantenimiento del plan Evaluación de Riesgos recuperación / disp. de Impacto en el Documentación de los Negocio planes Garantizar la mejora continua del plan s y criterios de revisión s de cumplimiento de calidad Deloitte. Todos los derechos reservados

19 Entregables Relación de entregables Estrategia Continuidad Diagnóstico situación actual BIA & Evaluación de Riesgos Norma de Gestión de la continuidad continuidad Plan de Continuidad del Negocio Resultado de las Pruebas del Plan de Continuidad Deloitte. Todos los derechos reservados

20 Deloitte Touche Tohmatsu es una organización de firmas independientes, dedicadas a la prestación de servicios y asesoramiento profesional de máxima calidad, y que se centran en el servicio al cliente mediante una estrategia global aplicada a nivel local en cerca de 140 países. Con acceso a un enorme capital intelectual de casi personas en todo el mundo, Deloitte presta servicios en cuatro áreas profesionales (auditoría, asesoramiento tributario, consultoría y asesoramiento financiero) a más del 80% de las empresas más importantes del mundo, así como a grandes empresas públicas, aunque por diversos motivos, entre los que se hallan las regulaciones específicas de cada país, no todas las Firmas miembro de Deloitte prestan toda la gama de servicios. Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu (Swiss Verein), sus firmas miembro y respectivas filiales y asociadas. Al tratarse de un Verein suizo (asociación), ni Deloitte Touche Tohmatsu ni ninguna de sus firmas miembro es responsable de los actos u omisiones de las otras. Cada firma miembro es una entidad independiente con personalidad jurídica propia que opera bajo los nombres de Deloitte, Deloitte & Touche, Deloitte Touche Tohmatsu, u otros nombres asociados. Los servicios son prestados a través de las firmas miembro y sus respectivas filiales y asociadas y no por Deloitte Touche Tohmatsu (Swiss Verein). Copyright 2008 Deloitte. Todos los derechos reservados. A member firm of Deloitte. Todos Deloitte los Touche derechos Tohmatsu reservados