Buen Gobierno y Continuidad de Negocio

Transcripción

1 Buen Gobierno y Continuidad de Negocio Continuidad de Negocio, Seguridad Corporativa y Gestión de Incidentes José Manuel Ballester Fernández Consejero Delegado TEMANOVA-ALINTEC Director Cátedra Buen Gobierno U. Deusto TEMANOVA-ALINTEC

2 Índice 1. Evolución 2. Análisis de Riesgos / Análisis de Impacto 3. Componentes del PCN 4. Gestión de la Continuidad 5. Factores Críticos de Éxito 10 2

3 La Evolución Evolución I... Recuperación de Desastres -Apagando fuegos -Cuando ya han comenzado -Enfocado a grandes desastres (sobre todo naturales) DRAE DESASTRE - 1. m. Desgracia grande, suceso infeliz y lamentable. 3

4 La Evolución Evolución II... Planes de Contingencias -Se planifica... -Incluso lo no previsible... -Se dota de medios, pero... -No está alineado con el Negocio DRAE CONTINGENCIA: 1. f. Posibilidad de que algo suceda o no suceda. 2. f. Cosa que puede suceder o no suceder. 4

5 La Evolución Evolución III... Gestión de la Continuidad del Negocio -Proceso cíclico -Impulsado y apoyado por la Alta Dirección -Para buscar la continuidad del Negocio -Ante cualquier eventualidad 5

6 La Evolución Gestión de la Continuidad del Negocio Proceso de desarrollar acuerdos previos y procedimientos que permitan a una organización responder a un evento de modo que las funciones críticas del negocio continúen con los niveles de interrupción o cambios esenciales planificados. (Disaster Recovery International Insitute) 6

7 Análisis de Riesgos Análisis de Riesgos. Objetivos: 1 Análisis y minimización de los riesgos 2 Identificación de amenazas y vulnerabilidades 3 Identificación de riesgos potenciales 4 Determinación de niveles aceptables de riesgo 5 Planteamiento de alternativas 7

8 Análisis de Impacto (BIA) Análisis de Impacto. Objetivos: 1 Definir tipos de impacto 2 Identificar funciones críticas 3 Identificar el impacto causado por cada una 4 Informar a la Dirección 5 Identificar recursos mínimos necesarios 8

9 Análisis de Impacto (BIA) Análisis de Impacto. Aspectos Claves: 1 Criticidad de los recursos y los procesos (objetiva) 2 Periodo de tiempo de recuperación 3 Pérdidas en función de éstos periodos 4 Sistema de clasificación de riesgos 9

10 Análisis de Impacto (BIA) Causas de Interrupción Fallo del sistema Fuego Software Inundación Rayo Sabotaje Terrorismo Días % R Fuente: Synstar Business Continuity 10

11 Estrategias y Alternativas Estrategia y Alternativas: 1 Estudiar los componentes del Plan 2 Necesidades de infraestructura externa 3 Alternativas disponibles 4 Análisis de procedimientos alternativos 5 Informe a la dirección 11

12 Componentes del Plan Componentes del Plan Centro Alternativo Infraestructura externa Manual de Procedimientos Procedimientos Copias de seguridad 12

13 Componentes del Plan Centro Alternativo: 1 Opciones (Centro espejo, caliente, frío, móvil). 2 Medios propios, acuerdos mutuos, outsourcing. 3 Dimensionamiento adecuado. Servicios críticos. 4 Compatibilidad. Hardware y software. 5 SLA y coste claramente definidos. 13

14 Componentes del Plan Componentes del Plan. 1 Preparar un boceto de contenidos. 2 Sistematizar el contenido de los procedimientos. 3 Métodos de redacción 4 Definición de equipos de recuperación 5 Planificar la vuelta a la normalidad 14

15 Componentes del Plan Equipos de Recuperación. Áreas a cubrir. 1 Funciones administrativas. 2 Instalaciones físicas. 3 Logística. 4 Soporte a usuarios. 5 Sistemas alternativos. 6 Restauración y reconstrucción. 7 Otras áreas importantes. 15

16 Componentes del Plan Equipos de Recuperación. O... GRAN ENTIDAD 1 Equipo de respuesta a incidentes 2 Equipo de atención de emergencias 3 Equipo de determinación de los daños 4 Equipo de administración de la emergencia 5 Equipo de almacenamiento externo 6 Equipo de software 7 Equipo de aplicaciones 8 Equipo de seguridad 9 Equipo de operaciones de emergencia 10 Equipo de recuperación de red 11 Equipo de Comunicaciones 12 Equipo de Transporte 13 Equipo de Hardware de Usuario 14 Equipo de preparación de datos y registros 15 Equipo de soporte administrativo 16 Equipo de suministros 17 Equipo de salvamento 18 Equipo de reubicación 18 Equipo de Coordinación 19 Equipo de Asuntos Legales 20 Equipo de prueba de recuperación 21 Equipo de Entrenamiento 1 Coordinador del equipo 2 Recursos humanos 3 Sistemas informáticos 4 Instalaciones 5 Soporte PEQUEÑA EMPRESA 16

17 Componentes del Plan Equipos de Recuperación. Perfiles. 1 Disponibilidad 24h / Accesibilidad 2 Decisión y autoridad para gastar dinero 3 Posición senior y respetado 4 Capaz de tratar con otros departamentos 5 Buen conocimiento del negocio/función 6 Buen comunicador y sereno ante la presión 7 Capacidad probada de liderazgo. Coordinados y liderados por la Gerencia, Presidencia, o similar 17

18 Gestión de la Continuidad Diseño del Plan Análisis de Riesgos Análisis de Impactos Entrenamiento Pruebas Mantenimiento Componentes del Plan Estrategias de recuperación Manual de procedimientos Más allá de la planificación de la continuidad 18

19 Gestión de la Continuidad Gestión de la Continuidad. Entrenamiento. 1 Programa de difusión. 2 Formación de TODOS los empleados a distintos niveles. Nunca sabemos quién descubrirá la incidencia. 3 Realización de ejercicios de simulación. 5 Revisión y actualización de la documentación del plan. 19

20 Gestión de la Continuidad Gestión de la Continuidad. Pruebas. 1 Pruebas totales planificadas o por sorpresa parciales. 2 Coordinadas con todas las funciones afectadas. 3 Evaluación y documentación de los resultados. 4 Actualización del plan. 5 Informe a la Dirección. 20

21 Gestión de la Continuidad Gestión de la Continuidad. Pruebas. 1 Verificar si el plan es completo y preciso. 2 Evaluar el desempeño del/los equipos de gestión. 3 Evaluar el conocimiento y entrenamiento del resto de personal. 5 Evaluar la coordinación entre los distintos equipos, internos o externos. 6 Evaluar la validez de los datos del plan. 21

22 Gestión de la Continuidad Gestión de la Continuidad. Mantenimiento. Usando el entrenamiento y las pruebas será más fácil: 1 Actualizar la información contenida en el plan. 2 Revisar la idoneidad de los procedimientos. 3 Hacer cambios en los equipos de gestión. 5 Descubrir nuevos incidentes. 6 Reforzar relaciones con partners internos o externos. 22

23 Factores de éxito CIO BCP Involucra a la Alta Dirección 23

24 Factores de éxito Confía en la gente de la organización Ellos son los que conocen el negocio 24

25 Direcciones de interés

26 Fin de la presentación Muchas gracias 26