Sistema Gestión Continuidad del Negocio (ISO 22301) Luis Gustavo Rojas, MBA, CPA, CISA

Transcripción

1 Sistema Gestión Continuidad del Negocio (ISO 22301) Luis Gustavo Rojas, MBA, CPA, CISA

2 Agenda Antecedentes Situaciones que no se consideran regularmente Factores críticos de éxito Sistema de Gestión de la Continuidad del Negocio (norma ISO 22301) Conclusiones

3 Antecedentes

4 Antecedentes El 81 por ciento de los directores cuyas organizaciones activaron sus mecanismos de continuidad de negocio en los últimos 12 meses dicen que fue efectivo en la reducción de las interrupciones. En resumen: la continuidad de negocio funciona *

5 Cobertura Antecedentes Sistema de Gestión Continuidad del Negocio (BCMS) Gestión de la Continuidad del Negocio (BCM) Plan de Continuidad del Negocio (BCP) Plan de Contingencias (CP)

6 Situaciones que no se consideran generalmente

7

8

9

10

11 Escándalo europeo sobre carne de caballo reaparece en Francia, Rumania reacciona París, El escándalo europeo del fraude con carne de caballo saltó el domingo a Francia, donde platos preparados fueron retirados de la venta en seis grandes cadenas de supermercados, mientras que en Rumania, los profesionales responsabilizan al importador francés.

12

13

14 Cuándo estamos ante un evento o situación que puede desencadenar en una crisis?

15 Factores Críticos de Éxito

16 Apoyo de la Alta Dirección La decisión de contar con un Sistema de Gestión de Continuidad del Negocio (BCMS) debe nacer de la alta administración Debe existir una cultura de gobierno corporativo fuerte Debe dotar de recursos e invertir en capacitación, entrenamiento, pruebas, etc Debe ser un participante activo

17 Integración de un Comité de Alto Nivel El Gerente debe integrar un equipo de trabajo o comité de alto nivel para impulsar y evaluar el BCMS Riesgo Comercial Finanzas Tecnología de Información Operaciones Recursos Humanos

18 Lograr el esfuerzo colectivo No es un esfuerzo solo de tecnología de información No es un esfuerzo solo del negocio

19 Definir una estrategia Se debe utilizar una estrategia de divide y vencerás Quick wins Definir un estándar o buena práctica para seguir Hacerse acompañar de especialistas o entrenar recursos humanos

20 ISO Seguridad Social- Sistema de gestión de la Continuidad de Negocio (BCMS Business continuity managment systems)

21 Sistema de Gestión para la Continuidad del Negocio (BCMS) Un BCMS hace énfasis en la importancia de: Entender las necesidades de la organización y los requerimientos de sus políticas y objetivos Implementar y operacionalizar controles y medidas para gestionar la capacidad total de la organización para manejar incidentes disruptivos. Monitorear y revisar el desempeño y efectividad del BCMS Medir el mejoramiento continuo del sistema

22 Componentes Claves del BCMS Política Personas Responsabilidades definidas Política Planificación Implementación y Operación Evaluación del desempeño Revisión de la Gestión Mejoramiento Administración de Procesos Relacionados con: Documentación Que provea evidencia auditable De continuidad del negocio relevantes para la organización Otros procesos de gestión

23 Modelo Plan-Do-Check-Act PDCA Aplicado a los Procesos de BCMS Mejoramiento continuo del sistema de gestión de la continuidad del negocio Partes Interesadas Establecer (plan) Partes Interesadas Mantener y mejorar (Act) Implementar y Operar (Do) Requerimientos para la continuidad del negocio Monitoreo y revisión (check) Administración de la continuidad del negocio

24 Modelo Plan-Do-Check-Act PDCA Aplicado a los Procesos de BCMS Mejoramiento continuo del sistema de gestión de la continuidad del negocio Partes Interesadas Establecer (plan) Partes Interesadas Mantener y mejorar (Act) Establecer la política de continuidad del negocio, objetivos, alcances, controles, procesos y procedimientos relevantes para Implementar y mejorar la continuidad del negocio con el Operar fin de entregar resultados alineados con las políticas (Do) y objetivos organizacionales Requerimientos para la continuidad del negocio Monitoreo y revisión (check) Administración de la continuidad del negocio

25 Modelo Plan-Do-Check-Act PDCA Aplicado a los Procesos de BCMS Mejoramiento continuo del sistema de gestión de la continuidad del negocio Partes Interesadas Establecer (plan) Partes Interesadas Implementar Mantener y operacionalizar y la política de continuidad mejorar del negocio, controles, procesos y procedimientos (Act) Implementar y Operar (Do) Requerimientos para la continuidad del negocio Monitoreo y revisión (check) Administración de la continuidad del negocio

26 Modelo Plan-Do-Check-Act PDCA Aplicado a los Procesos de BCMS Mejoramiento continuo del sistema de gestión de la continuidad del negocio Partes Interesadas Establecer (plan) Partes Interesadas Monitorear y revisar el desempeño contra la política de continuidad del negocio y los objetivos, reportar los resultados de la revisión de Mantener la gestión, y y determinar y autorizar acciones mejorar para remediar o mejorar (Act) Implementar y Operar (Do) Requerimientos para la continuidad del negocio Monitoreo y revisión (check) Administración de la continuidad del negocio

27 Modelo Plan-Do-Check-Act PDCA Aplicado a los Procesos de BCMS Mejoramiento continuo del sistema de gestión de la continuidad del negocio Partes Interesadas Mantener y mejorar el BCMS Establecer (plan) Partes Interesadas Mantener y mejorar (Act) Implementar y Operar (Do) Requerimientos para la continuidad del negocio Monitoreo y revisión (check) Administración de la continuidad del negocio

28 Componentes de la Norma ISO Alcance Mejoramiento Contexto de la Organización Evaluación de desempeño Liderazgo Operación Planificación Soporte

29 Conclusiones Es necesario desarrollar la continuidad Con una visión de proceso de gestión Con un enfoque Plan- Do Check - Act El Sistema de Gestión de la Continuidad del Negocio Parte de la priorización de actividades claves Considera los riesgos de incidentes disruptivos Para garantizar la suficiencia y eficiencia Es necesario el ejercicio y las pruebas periódicas Realizar revisiones de auditoría y administrativas

30 Muchas Gracias Luis Gustavo Rojas, CPA, CISA, MBA

31

32 Entender la organización y su contexto La organización debe entender los elementos internos y externos que le son relevantes para sus propósitos y que pueden afectar la habilidad de alcanzar el resultado deseado de su BCMS

33 Entender la organización y su contexto La organización debe identificar sus actividades, funciones, servicios, productos, socios, cadena de suministros, partes interesadas y el impacto potencial de un incidente disruptivo en ellas.

34 Entender la organización y su contexto El alineamiento entre la política de continuidad del negocio y los objetivos estratégicos organizacionales y otras políticas, incluyendo la Gestión de Riesgos (apetito de riesgo).

35 Entender las necesidades y expectativas de las partes interesadas Al establecer un BCMS la organización debe entender las partes interesadas y sus requerimientos y expectativas, incluyendo requerimientos legales y regulatorios

36 Determinar el alcance del BCMS La organización debe definir la frontera y aplicabilidad del BCMS (documentar) Establecer las partes de la organización que serán incluidas Establecer los requerimientos del BCMS (visión, misión, objetivos y obligaciones)

37 Liderazgo La alta administración y las personas con roles relevantes para la organización, deben demostrar liderazgo con respecto al BCMS

38 Compromiso de la dirección Asegurarse que las políticas y objetivos son establecidos. Asegurar la integración del BCMS con los procesos de negocio. Asegurar que los recursos necesarios para el BCMS estén disponibles. Comunicar la importancia del BCMS Asegurar que se logre el resultado esperado. Nombrar las personas competentes para ser responsables de la implementación del BCMS y dotarlas de la autoridad apropiada

39 Compromiso de la dirección Direccionar y dar soporte a las personas que contribuyen a la efectividad del BCMS. Promover la mejora continua Definir los criterios de aceptación del riesgo y los niveles aceptables de riesgo Participar activamente en los ejercicios y pruebas. Asegurar que las auditorias internas del BCMS son realizadas Conducir las revisiones administrativas del BCMS Demostrando su compromiso con el mejoramiento continuo.

40 Política Debe ser apropiada para los propósitos de la organización Proporcionar un marco para el establecimiento de objetivos de continuidad de negocio Incluir el compromiso de satisfacer los requerimientos aplicables Incluir el compromiso de la mejora continua del BCMS Debe estar documentada, comunicada, disponible y se deben definir los tiempos para su revisión.

41 Roles, responsabilidad y autoridad Los roles relevantes deben ser asignados y comunicados a la organización: Asegurar que el sistema cumple de conformidad con los requerimientos del estándar. Reportar el desempeño del BCMS a la alta administración.

42 Planificación Cuando se planifica, se deben considerar los requerimientos y gestionar los riesgos y oportunidades. Considerar los eventos no deseados para prevenirlos o reducirlos Evaluar la efectividad de esos planes. Establecer los objetivos de la continuidad del negocio y comunicarlos a los niveles apropiados de la organización. Se deben establecer métricas para medir el alcance de los objetivos

43 Planificación Quién es responsable? Qué se debe hacer? Qué recursos serán requeridos? Cuándo se debe terminar? Cómo serán evaluados los resultados?

44 Soporte La organización debe determinar los recursos necesarios para establecer, implementar, mantener y mejorar continuamente su BCMS.

45 Competencia Definir personas competentes para hacer el trabajo Asegurar que tienen la educación apropiada, entrenamiento y experiencia. Evaluar las competencias regularmente

46 Conciencia Las personas que trabajan en el BCMS deben ser consientes de: La política Su contribución a la efectividad del BCMS Las implicaciones por las no conformidades Su rol durante los eventos disruptivos

47 Comunicación Las organización debe determinar las necesidades internas y externas de comunicación. Qué debe ser comunicado? A quiénes se les debe comunicar?

48 Revisiones Administrativas Auditoría Interna Evaluación del Desempeño Operacionalizar el BCMS Actividades Soportan los Productos y Servicios BIA Análisis de Riesgos Definición de Estrategias Estructura de Respuesta a Incidentes Procedimientos de Continuidad Alerta y Comunicación Recuperación Planes de Continuidad Pruebas

49 Operación La organización debe planificar, implementar y controlar el proceso necesario para alcanzar los requerimientos

50 Análisis de Impacto al Negocio BIA Establecer el contexto de la evaluación Identificar actividades que soportan los productos y servicios Evaluar los impactos sobre el tiempo por no llevar a cabo estas actividades Definir los criterios Compromisos legales Cuantitativos Cualitativos

51 Análisis de Impacto al Negocio BIA MAO Maximum Acceptable Outage (Interrupción máxima aceptable) tiempo que tomaría para que los efectos adversos que puedan surgir como consecuencia de no proporcionar un producto o servicio o la no realización de una actividad, sean inaceptables MTPD Maximum tolerable period of disruption (Período máximo tolerable de interrupción) tiempo que tomaría para que los efectos adversos que puedan surgir como consecuencia de no proporcionar un producto o servicio o la no realización de una actividad, lleguen a ser inaceptables MBCO minimum business continuity objective (objetivo mínimo de continuidad del negocio) Nivel mínimo de servicios o productos y que sería aceptable para la organización para lograr sus objetivos durante una interrupción RPO recovery point objective (punto objetivo de recuperación) punto en que la información utilizada por una actividad debe ser restaurada para que la actividad reanude operaciones RTO recovery time objective (tiempo objetivo de recuperación) período de tiempo después de un incidente en el que: el producto o servicio debe reanudarse, la actividad debe reanudarse o los recursos debe ser recuperados

52 Análisis de Impacto al Negocio BIA Establecer plazos priorizados para la reanudación de estas actividades a un nivel mínimo aceptable, teniendo en cuenta el tiempo en el que los efectos de la no reanudación de ellos sería inaceptable. Identificar dependencias y recursos de soporte para las actividades, incluyendo proveedores y otras partes interesadas.

53 Evaluación de Riesgos RA Identificar riesgos de disrupción para la organización: Actividades priorizadas Procesos Sistemas Información Personas Activos Servicios tercerizados Otros recursos de soporte Identificar el tratamiento de los riesgos de acuerdo con el apetito de riesgo de la organización

54 Estrategias de Continuidad del Negocio Determinar y seleccionar estrategias de acuerdo con los resultados del BIA y el RA Establecer estrategias apropiadas para estabilizar, continuar, reanudar y recuperar las actividades priorizadas y sus dependencias y recursos de apoyo La estrategia deberá incluir la definición de ventanas tiempo priorizadas para la reanudación de las actividades

55 Estrategias de Continuidad del Negocio La organización debe determinar los recursos requeridos para implementar las estrategias seleccionadas Personas Información y datos Edificios, ambientes de trabajo y utilitarios Equipamiento y proveeduría Sistemas de comunicación tecnológicos Transporte Financieros Proveedores

56 Estrategias de Continuidad del Negocio La organización debe darle un tratamiento a los riesgos para: Reducir la probabilidad de ocurrencia Acortar el periodo de la disrupción Limitar el impacto de la disrupción en los productos y servicios claves de la organización

57 Establecer los procedimientos de continuidad del negocio Se deben establecer, implementar y dar mantenimiento a los procedimientos para administrar los incidentes disruptivos y darle continuidad a las actividades, de acuerdo a los objetivos de recuperación identificados en el BIA Protocolo de comunicación a lo interno y externo Ser específicos en pasos que se deben realizar durante la disrupción. Ser flexibles para responder a situaciones no esperadas, o cambios en las condiciones internas o externas Desarrollarse sobre la base de los supuestos establecidos y un análisis de las interdependencias

58 Estructura de Respuesta a Incidentes La organización debe establecer procedimientos y mantener una estructura para responder a los incidentes disruptivos usando el personal que sea necesario, con autoridad y competencias para administrar el incidente. identificar los umbrales de impacto que justifiquen iniciar una respuesta formal. Evaluar la naturaleza y extensión del incidente y su impacto potencial Activar una apropiada respuesta de continuidad del negocio Contar con procesos y procedimientos para la activación, operación, coordinación y comunicación de la respuesta Contar con los recursos disponibles para soportar los procesos y procedimientos o para minimizar el impacto Comunicarse con las partes interesadas, autoridades así como con los medios de comunicación

59 Alerta y Comunicación La organización debe tener procedimientos establecidos para: Detectar un incidente Monitoreo regular de incidentes Comunicación interna y documentación para responder a las partes interesadas Recepción, documentación y repuesta a cualquier organización nacional o regional de riesgos o similar Asegurar disponibilidad para los medios de comunicación durante el incidente Facilidades de comunicación estructuradas con los servicios de emergencia Recolectar la información vital durante el incidente, acciones tomadas, decisiones tomadas, etc

60 Planes de continuidad del negocio Los planes de continuidad del negocio en conjunto contendrán: Roles y responsabilidades de las personas y equipos que tienen autoridad durante el incidente El proceso para activación de la respuesta Detalles del manejo de las consecuencias inmediatas: El bienestar de las personas Opciones operacionales tácticas y estratégicas para responder al incidente Prevención de una pérdida mayor por falta de disponibilidad de las actividades priorizadas

61 Planes de continuidad del negocio Detalles de cómo y bajo que circunstancias la organización se comunicará con los empleados o sus familiares, partes interesadas claves o contactos de emergencia. Cómo la organización continuará o recuperará sus actividades priorizadas en las ventanas de tiempo predefinidas Detalles de las respuesta de la organización a los medios Estrategia de comunicación Interfaz preferida con los medios de comunicación Guías o borradores de declaraciones a los medios Vocero apropiado Proceso para volver a la normalidad una vez que el incidente ha terminado

62 Recuperación La organización debe tener procedimientos documentados para restablecer o retornar a las actividades de negocio, desde las medidas temporales adoptadas para soportar los requerimientos del negocio luego del incidente.

63 Pruebas La organización debe ejercitarse y probar sus procedimientos de continuidad del negocio para asegurar que son consistentes con los objetivos

64 Pruebas La organización debe conducir ejercicios para probar: Si el BCMS es consistente con el alcance y objetivos Si están basados en escenarios apropiados Validar el tiempo conjunto para lograr los acuerdos de continuidad del negocio, involucrando a las partes interesadas pertinentes Minimizar el riesgo de disrupción de las operaciones Preparar informes post-evaluación que contengan recomendaciones y acciones de mejora Se examinan en el contexto de mejora continua Son realizados en intervalos planificados y cuando ocurren cambios significativos en la organización o su ambiente

65 Evaluación del desempeño La organización debe determinar: Que es necesario monitorear y medir Los métodos para monitorear, medir, analizar y evaluar, cuando sea aplicable, para garantizar la validez de los resultados Cuando se debe desarrollar el monitoreo Cuando los resultados del monitoreo y medidas deben ser evaluados Deben existir procedimientos para el monitoreo del desempeño

66 Auditoría Interna La organización debe conducir auditorias internas a intervalos planeados para proveer información sobre el BCMS La organización debe planear, establecer, implementar y mantener los programas de auditoria, incluyendo: frecuencia, métodos, responsabilidades y reportes. Definir los criterios de auditoría y el alcance de cada auditoría. La auditoría debe considerar las actividades de evaluación de riesgos de la organización y el seguimiento de informes anteriores.

67 Revisión administrativa La alta administración debe revisar el BCMS de la organización a intervalos planificados, para asegurar su continuidad, idoneidad, adecuación y eficacia. Estatus de las acciones de revisiones administrativas previas Cambios internos y externos relevantes Información del desempeño de la continuidad del negocio Oportunidades de mejoramiento continuo