BUSINESS CONTINUITY MANAGEMENT (BCM) CONTINUIDAD EN LA OPERACIÓN DE NEGOCIOS ASIGNATURA AUDITORIA INFORMATICA PROFESOR CARLOS HERNAN GOMEZ ALUMNO

Transcripción

1 BUSINESS CONTINUITY MANAGEMENT (BCM) CONTINUIDAD EN LA OPERACIÓN DE NEGOCIOS ASIGNATURA AUDITORIA INFORMATICA PROFESOR CARLOS HERNAN GOMEZ ALUMNO MIGUEL ANTONIO POSADA UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERIA PROGRAMA DE INGENIERIA EN SISTEMAS Y COMPUTACION OCTUBRE DE 2010

2 Tabla de Contenido INTRODUCCION... 3 HISTORIA Y EVOLUCION... 4 MARCO TEORICO... 5 BUSSINES CONTINUITY Y LAS COMPONENTES DE LA EMPRESA... 6 PROGRAMA DE MANEJO DE CONTINUIDAD DE NEGOCIO... 7 BRITISH STANDAR INSTITUTE (ISB) CERTIFICACION BS COMPARATIVO CON COBIT RESUMEN CONCLUSIONES BIBLIOGRAFIA... 18

3 INTRODUCCION BCM legislaciones, reglamentos, normas y directrices; Un incendio, inundación, un accidente o una falla en un sistema IT, un incidente de carácter global pueden afectar de igual manera nuestra empresa. Dependiendo del ítem del negocio, podemos tener planes de respuesta altamente elaborados como el caso de empresas químicas o nucleares, o por el contrario algunos muy simples como puede ser el caso de una oficina de representación, o sucursal. Pero en general estos planes de respuesta, están orientados a la seguridad de los empleados, o las instalaciones. Sin embargo se debe pensar, que pasa con el negocio? el proveedor puede entregar los insumos que necesitamos? En la revisión de la literatura se encuentra información bajo el tema de Disaster Management aunque en los últimos años se le ha denominado BussinesContinuity, desarrollado por British Standar Institute.y también conocido por BS En el año 2007 se publico la norma ISO/PAS 22399:2007 Societal Security,que entrega guías para preparación de incidentes y continuidad operacional, basada en las mejores prácticas de cinco Standard nacionales de Australia, Israel, Japón, Reino Unido y Estados Unidos. En Chile no se encuentra un mayor desarrollo de este tema, al menos como forma integral en toda la organización.razón por la cual se realizará un análisis global, desde el punto de vista de las amenazas, a nivel de un país, para detectar oportunidades, peligros y asi proponer un plan de acción respecto del tema.

4 HISTORIA Y EVOLUCION El concepto de continuidad del negocio nace a finales de los años 60, en Estados Unidos e inicialmente solo en el ámbito de la información para la administración de procesos de forma adecuada y consistente. En los años 90 con el desarrollo de los sistemas computacionales mas modernos, se tomo el concepto de recuperación operacional y solo se recuperaba información, el término de continuidad de negocio comienza a ser usado en diferentes países que lo implementaron, pero solo en Estados Unidos se crean Normas regulatorias relacionadas hasta la fecha. En la actualidad el concepto de continuidad de negocio es aplicado a toda la organización, es un concepto global, que incorpora toda la cadena logística, es decir desde el cliente hasta el proveedor de insumos.

5 MARCO TEORICO El British Continuity Institute BCI y British Standar Institute BSI define Business Continuity Management (BCM) como un proceso de gestion integral que identifica potenciales impactos de una amenaza a la organización y provee una estructura flexible y una capacidad de efectiva respuesta que resguarde los intereses de sus inversionistas, clientes, empleados, reputación, marca y creación de valor. Teniendo en cuenta las siguientes aclaraciones: BCM no es solo una respuesta, es la capacidad de una empresa para hacer frente a los impactos de un medio incierto. BCM no es solo apagar fuego, es entender que pueden existir riesgos y establecer estrategias si pensamos que vamos hacia ello. BCM no es solo tener planes súper elaborados, es tener planes que se Acomoden a la naturaleza de su negocio. BCM no está anexado al negocio, debe estar incorporado íntegramente con el gerenciamiento del proceso, gerenciamiento del riesgo en general como parte de un buen gerenciamiento del negocio. La realización del BCM en la organización traerá grandes ventajas como por ejemplo: Administrar la continuidad del negocio. Resistencia del negocio ante interrupciones. Detectar los aspectos vulnerables y las posibles causas. Protege y asegura la imagen de la empresa. Abre nuevas oportunidades de mercado y ayuda a ganar nuevos negocios. Aumenta la disponibilidad del negocio.

6 BUSSINES CONTINUITY Y LAS COMPONENTES DE LA EMPRESA Los efectos de los incidentes, son múltiples afectando todos los niveles de la organización, el tema es tratado de diferentes puntos de vista, pero se puede definir como sigue: LAS PERSONAS. son quienes trabajan en la organización, toman decisiones, soportan los procesos, operan maquinas. En este aspecto es importante tener en cuenta que si bajo los problemas organizacionales, profesionales o del hogar, estos individuos presentaran un buen rendimiento. LOS PROCESOS. diversidad de estos existen en la organización, algunos más importantes que otros, incluso al nivel de detener el proceso productivo completo. Hay que identificar cada uno de ellos para determinar su impacto. TECNOLOGIA. está presente en todo los lugares de la organización desde la oficina, en el área de producción, área de distribución y las comunicaciones entre equipos. No se trata solo de el uso de los sistemas informáticos, También los sistemas de control y procesos, comunicación telefónica. La importancia se nota cuando falla y prescinde de ella. COMUNIDAD O SOCIEDAD este punto no aparece en forma definida en las clasificaciones encontradas pero se ha considerado importante ponerla aquí porque hay dos puntos desde donde se puede enfocar el impacto ;los Clientes son los que adquieren o utilizan nuestros servicios además va directamente relacionado con lo que se refiere a reputación y marca.esto es especialmente importante cuando los incidentes son internos de la organización, accidentes, contaminación, en general incidentes que afecten a la comunidad.

7 PROGRAMA DE MANEJO DE CONTINUIDAD DE NEGOCIO Mientras el BCM es un programa de nivel estratégico, para llevar a la práctica este se debe elaborar un Business Continuity Management Program BCMP (Programa de gerenciamiento y Continuidad del Negocio) el cual se define como un proceso de gerenciamiento continuo, para asegurarse. que regularmente se revisen los escenarios de posibles emergencias,accidentes, desastres y amenazas.lo que también involucra ;evaluación de los impactos de dichos eventos ; elaboración de estrategias de recuperación y planes ;mantenimiento, documentación y entrenamiento al personal; la realización de pruebas o simulacros.componente importante del BCMP es el Business Continuity Planning BCP (Plan de Continuidad de Negocio) que es la documentación, las actividades y recomendaciones para usar en los momentos de emergencia de continuidad de negocios, Incidentes y/o Crisis. Típicamente es un plan que cubre todo el personal clave, recursos, servicios y acciones que se requieren en el proceso de BCM. Un Business Continuity Management Program se compone de los siguientes pasos: Definición del Programa. El objetivo de esta primera fase es establecer la necesidad de desarrollar el BCM en la organización, de tal manera que se comunique la importancia de realizar este plan, involucrando a los directivos y el personal de la empresa. Para esto, es importante: Definir un comité responsable del plan Asignar responsabilidades por cada equipo de trabajo Indicar las actividades de cada una de las fases del proyecto Documentar los procesos Presentar los avances Obtener la aprobación por parte de los directivos. Evaluación de amenazas y riesgo. Revisar de acuerdo a nuestro negocio cuáles son los riesgos o amenazas a los cuales se expone el negocio. Agrupándoles en una de las siguientes categorías Naturaleza, Tecnología, creados (por personas, accidental o a propósito). La importancia de este paso es clave en la elaboración del programa, si evaluamos mal los riesgos obviamente se obtendrá un plan que no servirá. Para realizar una evaluación y control de riesgos y amenazas se debe tener en cuenta lo siguiente: Identificar riesgos (Cuantitativo) y amenazas (Cualitativo) Análisis/Evaluación de riesgos y amenazas Gestión y Control de riesgos

8 Después de realizar la evaluación y el control de riesgos los resultados obtenidos incluyen la identificación documentación de: La probabilidad de ocurrencia, en la organización, de un tipo específico de amenaza. Concentración de riesgos donde el número de Actividades de Misión Crítica es localizado dentro del mismo edificio o en el mismo lugar. Una evaluación y análisis de riesgos (combinado con un Análisis de Impacto del Negocio - BIA). Una estrategia de gestión de control de riesgo y plan de acción. El enfoque de priorización del BCM y control de riesgos. Análisis Impacto en el Negocio. (Business Impact Analisys BIA) El objetivo de un Análisis de Impacto del Negocio es identificar las actividades de misión crítica de una organización, sus dependencias y sus puntos de fallas así como analizar el impacto y el efecto que se generaría en caso de la perdida e interrupción de las actividades de misión crítica. A su vez, informar y permitir opciones para crear una resistencia en las operaciones de negocio de la organización. Sin embargo, la clave para realizar un Análisis de Impacto del Negocio es analizar el negocio como un todo más no como componentes, procesos o funciones individuales. El análisis BIA tiene en cuenta el RTO (Recovery Time Objective) y RPO (Recovery Point Objective) que deben ser establecidos por la organización. Están definidos como: RTO (recovery Time Objective): El tiempo entre el punto de interrupción, y el punto en el cuál los sistemas sensibles en el tiempo deben estar funcionando nuevamente, con los datos actualizados. RPO (Recovery Point Objective): El punto en el cuál fueron interrumpidas las actividades del sistema debido a la ocurrencia de un determinado evento Preparación ante emergencias y mitigatacion Revisar la documentación existente en relación a emergencias, e integrarlas con el Plan de recuperación de desastre, revisar los roles y responsabilidades asignadas. Para cumplir con este propósito es necesario que: Identifique componentes de los procedimientos de respuesta a

9 emergencia. Especifique los procedimientos de respuesta a una emergencia. Identifique requerimientos de control y autoridad. Procedimientos de control y autoridad. Respuesta a emergencia y recuperación de heridos. Seguridad y recuperación. Desarrollo Implementación del plan de continuidad negocios. Esta fase involucra el diseño, desarrollo e implementación de planes de continuidad del negocio para evitar interrupciones de acuerdo a los marcos establecidos. Un buen desarrollo e implementación de un BCM incluye: Identificar requerimientos para el desarrollo de los planes. Definir requerimientos de control y administración de la continuidad. Identificar y definir un formato y la estructura principal de los componentes de los planes. Elaborar un borrador de los planes. Definir procedimientos de gestión de crisis y continuidad del negocio.

10 BRITISH STANDAR INSTITUTE (ISB) Las normas del ISB están regularmente formuladas por los miembros y otras partes interesadas acerca de la legislación vigente, la reglamentación y las normas que existen a nivel nacional e internacional para la Gestión de la Continuidad de Negocios. Es difícil dar una lista definitiva porque hay cambios y modificaciones periódicas a nivel de país y con frecuencia incompatibles terminologías entre los países, sectores y legisladores. El documento estándar a seguir se basa en la información proporcionada por los miembros en todo el mundo. Al final del documento se tiene una página de resumen de las iniciativas internacionales en curso y proyectadas en particular las patrocinadas por la Organización Internacional de Normalización (ISO) y el Comité de Convenio de Supervisión Bancaria. Cada sección se divide en cuatro apartados. Para algunos países en los que podría no tener los datos disponibles en una sección particular. Los cuatro apartados son los siguientes: LEGISLACIÓN: Gobierno de leyes que incluyen los aspectos de la Continuidad del Negocio de Gestión por su nombre o son lo suficientemente similares en la naturaleza (la recuperación de desastres, respuesta a emergencias, gestión de crisis) asimilarse a la legislación BCM para este fin. Para ser incluido en esta categoría debe ser legalmente exigible la legislación aprobada por un grupo nacional, federal, estatal o del gobierno provincial en función de la estructura legal en cada país en particular. REGLAMENTO: Las reglas obligatorias o documentos auditados a la orientación de organismos reguladores oficiales en todos los sectores como Servicios Financieros, Energía, Petróleo y Gas que, razonablemente, podría interpretarse como que tiene algunas implicaciones sobre las disposiciones BCM de una organización. sugerencias de ayuda General, la orientación y se incluyen en las Directrices. NORMAS: las normas oficiales de nacionales (e internacionales) acreditadas por organismos de normalización que se refieren a la continuidad del negocio como un subconjunto relacionado total o específicas o como las tecnologías de la Continuidad del Servicio. La lista también incluye normas para temas diferentes

11 pero relacionados entre sí (como la Seguridad de la Información) al BCM que se incluye sólo como un requisito de menor importancia para el cumplimiento. "Normas" que se emiten por tercera partes o grupos de profesionales que sólo se incluirá si son ratificados por un organismo acreditado por normas nacionales o acreditados directamente por un servicio de acreditación nacional afiliado al Foro Internacional de Acreditación (IAF). DIRECTRICES: Las pautas publicadas o la práctica por diversas organizaciones autorizadas. Estos documentos pueden formar parte de un conjunto más amplio de asesoramiento proporcionado por un organismo profesional para el que BCM sea sólo una actividad marginal, o, alternativamente, podrían ser expedido por un organismo profesional de BCM como una orientación general, ya sea local o internacionalmente. Ellos no ofrecen reglas mandato, pero será utilizado y reconocido como creíbles por los profesionales de BCM. ADVERTENCIA El ICB ha hecho todo lo posible para comprobar la validez de estos detalles, pero no asume ninguna responsabilidad por su precisión o el dinero en un momento determinado o en una circunstancia determinada. Algunos de los temas que figuran (en particular, en virtud de la legislación y la regulación) están sólo indirectamente relacionados con la Gestión de Continuidad del Negocio, y no debe interpretarse como específicamente diseñado para BCM. No obstante ya que contienen secciones que pueden ser útiles para un profesional de BCM, y, en consecuencia, incluidas en este documento de referencia. También hay que señalar que en algunos países las prácticas de regulación y / o las normas ISO pueden ser incorporadas a la legislación nacional, dando así el documento adicional con importancia en los países específicos.

12 CERTIFICACION BS ESTÁNDAR BS : BS es un código de prácticas que adopta la forma de orientaciones y recomendaciones. Se establece el proceso, los principios y la terminología de la gestión de la continuidad del negocio (BCM), proporcionando una base para entender, desarrollar e implementar la continuidad del negocio dentro de una organización y para proporcionar la confianza en los negocios-a-negocio y las relaciones de empresa a cliente. Además, proporciona un conjunto completo de controles basados en las mejores prácticas de BCM y abarca todo el ciclo de vida de BCM. La segunda norma BS especifica los requisitos para establecer, implementar, operar, supervisar, revisar, hacer ejercicio, mantener y mejorar un documentado de Continuidad de Negocio Sistema de Gestión (BCMS) en el contexto de la gestión de los riesgos globales de la organización empresarial. Los requisitos especificados en la norma BS son genéricos y pretende que sean aplicables a todas las organizaciones (o partes de éstos), independientemente del tipo, tamaño y naturaleza del negocio. El grado de aplicación de estos requisitos depende del entorno operativo de la organización y su complejidad. Por lo tanto el diseño e implementación de un BCMS para cumplir con los requisitos de esta norma se verá influido por la reglamentación del cliente, los requisitos de negocio, los productos y servicios, los procesos empleados y el tamaño y la estructura de la organización. No va a ser la intención de esta norma británica proporcionar uniformidad en la estructura de un BCMS pero si para una organización poder diseñar un BCMS debe estar adecuada a sus necesidades y que cumple con las exigencias de sus partes interesadas. El BS puede ser utilizada por las partes internas y externas, incluyendo organismos de certificación, para evaluar la capacidad de una organización para satisfacer sus propias necesidades de continuidad de negocio, así como cualquier cliente, las necesidades legales o reglamentarias.

13 COMPARATIVO CON COBIT Cobit es un modelo de normas de calidad de TI que representa la organización interna de la empresa de manera compacta, abarcando las áreas de las tecnologías de información y sus afines, llevando la empresa a un punto de gestión de información importante que tendrá cada una de las áreas protegidas ante cualquier detección de amenaza o eventualidad pero que también sigue estando regido por un grupo de personas que escriben estas normas orientadas a políticas y normas internacionales de cualquier país. Cobit se encarga de la gestión de recursos, gestión de la seguridad de la información y ha sido parte de la evolución de la tecnología y de la información según las necesidades y falencias detectadas en la mayoría de las empresas con respecto a la gestión de TI que aun no se usa en nuestra región. BCM cumple con estándares internacionales y ha venido de la mano con cobit en relación a su historia y evolución pero más como una gestión de todos los recursos de la empresa para el caso de accidentes de gran índole o incluso desastres naturales y que permite apuntar a la conservación, seguridad de los recursos de la empresa en la nube. Es además una herramienta que cuenta con la realimentación constante de los gobiernos de varios países como estados unidos, Inglaterra, entre otros que han adoptado estas normas e incluso las han expandido de una manera tal que han creado el instituto para la continuidad de negocios (BCI) previamente mencionado para la certificación empresarial y regulación de estos estándares pero estando esto dentro del marco de la legislación del país que lo decida adoptar dentro de este medio empresarial. No siendo más implementado que cobit debido a el desconocimiento y la manera en que estos estándares han ingresado a nuestra cultura en desarrollo y que aun ni siquiera conoce ninguno de este tipo de estándares

14 RESUMEN Manejo continuo de negocio BCM es un manejo de procesos que identifica impactos potenciales que pueden ser vividos en una organización y provee un marco de trabajo para la construcción de re silencia y la capacidad de una respuesta efectiva la cual resguarda los intereses de los propietarios, reputación, marca y valores creando actividades de prevención lo cual significa que este sistema permite proteger los interese de la empresa ante un desastre natural, caída de negocios, crisis administrativa, emergencia administrativa, caída de los productos, ventas, crisis sociales de un país, crisis políticas, planes de contingencia, o simplemente un plan alterno. Este tipo de estándar encierra aspectos tan importantes como el personal de la empresa, la tecnología implementada, los procesos, y el mercado a quien está dirigido el producto, ya que deben estar bien definidos y claros por el alto mando de la empresa y después tener en cuenta los siguientes aspectos necesarios para su implementación. Definición del Programa. Definir un comité responsable del plan Asignar responsabilidades por cada equipo de trabajo Indicar las actividades de cada una de las fases del proyecto Documentar los procesos Presentar los avances Obtener la aprobación por parte de los directivos. Evaluación de amenazas y riesgo. Ya en la parte de la evaluación del plan se debe: Identificar riesgos (Cuantitativo) y amenazas (Cualitativo) Análisis/Evaluación de riesgos y amenazas Gestión y Control de riesgos Posteriormente la documentación se da asi: La probabilidad de ocurrencia, en la organización, de un tipo específico de amenaza. Concentración de riesgos donde el número de Actividades de Misión Crítica es localizado dentro del mismo edificio o en el mismo lugar. Una evaluación y análisis de riesgos (combinado con un Análisis de Impacto del Negocio - BIA). Una estrategia de gestión de control de riesgo y plan de acción. El enfoque de priorización del BCM y control de riesgos.

15 El Análisis Impacto en el negocio y su mitigación está definidos como: Identifique componentes de los procedimientos de respuesta a emergencia. Especifique los procedimientos de respuesta a una emergencia. Identifique requerimientos de control y autoridad. Procedimientos de control y autoridad. Respuesta a emergencia y recuperación de heridos. Seguridad y recuperación. Desarrollo Implementación del plan de continuidad negocios. Finalmente se creó el instituto para la continuidad de negocio en el reino unido (U.K) para la certificación del estándar BCM a través de las normas BS que permiten tener una buena imagen ante los clientes y el resto del mundo que verá la empresa como un negocio rentable para la inversión y expansión extranjera. En comparativo con Cobit se puede afirmar que trabajan de una forma similar pero con la diferencia de que BCM podría expandirse a otras áreas de la empresa ante siniestros naturales y aseguramiento de la información de manera constante y puede recibir certificación de calidad por los países gigantes mundiales que vienen desde los años 60 trabajando en estas normas de calidad pero que no asumen ninguna responsabilidad por su precisión o el dinero en un momento determinado o en una circunstancia determinada que se pierda. Algunos de los temas que figuran (en particular, en virtud de la legislación y la regulación) están sólo indirectamente relacionados con la Gestión de Continuidad del Negocio en el sector empresarial, y no debe interpretarse como específicamente diseñado para BCM. No obstante ya que contienen secciones que pueden ser útiles para un profesional de BCM, y, en consecuencia, incluidas en este documento de referencia. Se debe tener en cuenta que las políticas y las legislaciones de cada país hacen el éxito o el fracaso de BCM. También hay que señalar que en algunos países las prácticas de regulación y / o las normas ISO pueden ser incorporadas a la legislación nacional, dando así el documento adicional con importancia en los países específicos que deseen adquirir la certificación pertinente. BCM se encuentra dentro de los estándares de mitigación de riesgos que le dara a la empresa en un momento dado los parámetros para levantarse de un mal momento de cualquier índole, siempre y cuando se cuente con un plan bien diseñado que pueda abordar cada uno de los problemas presentados ante cualquier circunstancia que afecta la empresa negativamente.

16 El primer paso para implementar BCM en la empresa es que debe haber una aceptación por parte del jefe y los directivos y ver que se trata de un proceso útil. El coordinador general de la continuidad del negocio debe ser designado para informar directamente al jefe o equipo de alta gerencia. Esta persona es alguien que entiende perfectamente las estructuras de negocios y la gente, tiene buena gestión del proyecto, la comunicación y las habilidades interpersonales y es un buen líder de equipo. Sin embargo se debe tener en cuenta que el objetivo es garantizar que pensar en la continuidad del negocio es parte de las responsabilidades normales de cada empleado. La continuidad del negocio coordinador (y el equipo, si es una empresa lo suficientemente grande) proporcionar los recursos para gestionar la ejecución del programa antes de Cristo en toda la organización y estar en un estado de preparación para guiar la organización en el caso de una interrupción. Algunos estándares BCM son: NFPA 1600:2007 Standard on Disaster / Emergency Management & Business Continuity ISO/PAS 22399:2007 Incident Preparedness & Organizational Continuity. BS : 2006 BS : 2007 Tomadas del BSI British Standard Institute.

17 CONCLUSIONES Para estar a la vanguardia con las normas de calidad que exige el mundo empresarial actual, se deben implementar al menos alguno de estos estándares y realizar una inversión total que permita siempre estar actualizado con los cambios, conferencias, foros y otras actividades a nivel mundial que beneficien la empresa en relación con estas herramientas. Las certificaciones adquiridas y las normativas de BCM son de carácter permanente si la empresa lo realiza con un plan diseñado cuidadosamente basado en estándares internacionales ya que son estas las normas que han llevado al mundo al desarrollo actual. Cada uno de los estándares para proteger la información poseen una historia y evolución que han sido adoptadas por gran parte del mundo según la necesidad y el tamaño de la empresa. La información se ha convertido en el vehículo de las empresas que permiten dar la supervivencia en este medio.

18 BIBLIOGRAFIA URL: Brittish Standar Institution,Talking Business Continuity, URL: Ortiz Yuri Eide y Valeria Marcelo, Continuidad del negocio y una oportunidad para enfrentar desastres de las empresas chilenas, Continuity-Rev4 URL: Business Continuity and Disaster Recovery,