Plan de Continuidad de Negocio

Transcripción

1 DIA 3, Taller SGSI del ISMS FORUM SPAIN: Plan de Continuidad de Negocio Abel González Lanzarote Director Desarrollo de Negocio de ESA Security 23 de noviembre de º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

2 Índice 1. Por qué un PCN? 2. Qué es un PCN? 3. Objetivos de un PCN 4. El proyecto PCN 5. Aspectos de un PCN 6. Beneficios del PCN 2

3 Por qué un PCN? Gestión de la Seguridad de la Información La seguridad no significa implantar muchos productos de seguridad. La seguridad es un proceso. Equivale a control interno. Afecta a toda la organización. La seguridad como parte intrínseca del negocio. Un proyecto de PCN es un proyecto imprescindible para cualquier organización. 3

4 Qué es un PCN? Definición Según el Business Continuity Institute: La acción de prever aquellos incidentes que afectan a funciones o procesos críticos para la organización y que asegura que la respuesta a todos ellos se ejecuta de una manera organizada y consecuente 4

5 Objetivos de un PCN Prevenir Limitar al máximo la probabilidad de que tenga lugar cualquier interrupción. Contener Limitar el impacto de cualquier interrupción Recuperar Asegurar una pronta recuperación. Transferir El riesgo residual (Compañía de Seguros). 5

6 Objetivo Final Objetivos de un PCN PREVENIR TRANSFERIR CONTENER RECUPERAR En definitiva, reducir el riesgo del negocio derivado de una interrupción inesperada de sus funciones críticas necesarias para su supervivencia. 6

7 Componentes El proyecto PCN Un PCN contempla los tres recursos clave de una empresa: Humanos PCN Tecnológicos Físicos 7

8 Cómo afrontarlo El proyecto PCN Impulsado por la Dirección General Asignación de Responsables Análisis de Riesgos de los procesos críticos Controles proporcionales a los riesgos Salvaguarda de nuestros procesos críticos. Soporte de Gestión y Procedimientos fundamentales. 8

9 El proyecto PCN Estructura para la recuperación Comité de Dirección Grupo de respuesta a emergencia Grupo de evaluación de daños Estratégica Coordinador del Plan de Continuidad del Negocio Táctica Coordinador Departamental Coordinador Departamental Coordinador Departamental 9

10 El proyecto PCN Estrategia de Recuperación Es imprescindible determinar en cada caso el riesgo de pérdida que estamos dispuestos a asumir en función del coste. Se ha de marcar un objetivo de tiempo de recuperación que permita la continuidad del negocio con el menor daño posible. Coste de la solución Impacto de la interrupción Balance óptimo de costos de solución Vs. Impacto Tiempo 10

11 Aspectos de un PCN Análisis de Impacto de Negocio (BIA) RPO Crisis RTO Volver a los Sistemas en Producción Último backup Recuperación Sistema y Datos Introducción de datos del Proceso Manual Proceso Manual Operación Normal Recuperación datos perdidos (RPO a Crisis) Introducción de datos perdidos Se obtiene el coste de la interrupción y los puntos aceptables de recuperación (RTO y RPO) desde el punto de vista del negocio. RPO: Recovery Point Objective RTO: Recovery Time Objective 11

12 Análisis de Criticidad Aspectos de un PCN BIA Final Procesos de Negocio (ejemplos) Criticidad Prioridad de recuperación Impacto RTO/RPO SAP Servicio Corporativo Muy Alta 1 Muy Alto 3 horas Meta 4 (Nóminas) Baja 4 Bajo 1 semana Correo Electrónico Alta 2 Alto 1 día Gestión de Internet Media 3 Bajo 3 días 12

13 Aspectos de un PCN Plan de Comunicación de la Crisis Quién es el responsable de informar cuando la crisis ocurra: Comunicación Interna: a los empleados. Comunicación Externa: a los Medios. Qué nivel de detalle se debe dar en dicha comunicación. Cómo debe expresarse dicha comunicación de acuerdo con la confidencialidad y estrategia del negocio. Exactitud de la información Velocidad de entrega Empatía Credibilidad + Confianza = Comunicación exitosa + Apertura 13

14 Aspectos de un PCN Alternativas de Recuperación Hot sites. Warm sites. Cold Sites. Instalaciones duplicadas. Seg Min Hrs Días Sem Tiempo de Recuperación Mobile Site. Acuerdos recíprocos. Hot site instalaciones duplicadas Warm Site Mobil Site Cold site Acuerdos de reciprocidad 14

15 Aspectos de un PCN También forman parte de un PCN Continuidad de las operaciones (COOP): Emergencia inicial. Recuperación de desastres (DRP): Tecnología Emergencia de ocupante (OEP): Vida humana. Restablecimiento de la situación de producción. Plan de Pruebas. 15

16 Beneficios Por qué un PCN? Ahorro de dinero. Cumplir la ley (Ej: MIFID) Aprovechamiento más efectivo de los recursos. Permite mantener los servicios a los clientes. Mantener la reputación o imagen. Garantía frente a terceros: CONFIANZA. Asegura LA VIDA de la organización. 16

17 Beneficios Por qué un PCN? Del 100% de las empresas que afrontan un desastre sin contar con un PCN: 43% nunca reabren el negocio. 51% sobrevive, pero están fuera del mercado en 2 años. Sólo el 6% logra sobrevivir. Fuente: Emergency Management Forum (Estados Unidos) 17

18 Gracias! Preguntas? ESA Security S.A. Centro Empresarial Madrid 92 C/ Chile, 10. Planta Las Rozas (Madrid) Teléfono: info@esa-security.com Web : 18