Planes de Gestión de Crisis Aprendiendo de los errores en su implementación

Documentos relacionados
TALLER. 19 y 20 de Julio 2016 Hotel Park Inn, San José. ISO-IEC Seguridad de la Información orientada al Negocio

Desarrollo de estrategias de ciberseguridad nacional y protección de infraestructuras críticas

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, RIESGOS Y CONTINUIDAD DE NEGOCIOS

SGPIC - Sistemas de Gestión de Protección de Infraestructuras críticas

SEMINARIO /TALLER RISK MANAGER FUNDAMENTADO EN LA NORMA ISO 31000:2009

COBIT 4.1. SISTESEG Ing. Rodrigo Ferrer CISSP, CISA, ABCP, CSSA, CST, COBIT

TENDENCIAS EN CONTINUIDAD DEL NEGOCIO

POLÍTICAS GENERALES. 4.- Política General de. Control y Gestión de. Riesgos de Acerinox, S.A. y de su Grupo de Empresas

CONTINUIDAD DE NEGOCIO

BIENVENIDOS TALLER ISO

OFICINA DE PREVENCION Y MITIGACION DEL RIESGO. Ing. Paula Sanabria Mata- Coordinadora CME de Cartago

COMFENALCO ANTIOQUIA PROGRAMA DE PREPARACIÓN PARA EMERGENCIAS Y DESASTRES

SISTEMA DE CONTROL INTERNO GENERALIDADES.

Los Planes de Continuidad del Negocio

COBIT 4.1. Adquirir e Implementar AI1 Identificar Soluciones Automatizadas By Juan Antonio Vásquez

COBIT 4.1. Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas. By Juan Antonio Vásquez

Nuevos enfoques en la gestión de activos. La serie de normas ISO

MANUAL M-SGC SISTEMA DE GESTIÓN DE CALIDAD CONTROL DE CAMBIOS Y MEJORAS DESCRIPCIÓN DE LA MODIFICACIÓN Y MEJORA

Departamento Nacional de Planeación

LA SEGURIDAD ES LA CIENCIA DEL RIESGO

MÓDULO 1 (Sistema Comando de Incidentes) Duración: 4 horas

Seminario en preparación para la certificación en ITIL v3

POLÍTICA DE GESTIÓN DE RIESGOS

Curso de Fundamentos de COBIT 5

POLITICA GENERAL DE CONTINUIDAD DE NEGOCIOS (NIVEL 1)

Fundamentos para una cultura de calidad. Angela Méndez

Interpretación Resultados Evaluación MECI Vigencia 2014

Gerardo Trujillo C. - CMRP Presidente

Lecciones aprendidas en auditorías BCP

ISO , por dónde empezamos?

ISO Daniel Pedrajas Van de Velde Sara Estellés Rojas Carlos García

Anexo O. Cálculo de la Inversión del Proyecto

MA. BEATRIZ VALENCIA EL CASERIO

TÉRMINOS DE REFERENCIA

DEPARTAMENTO HSEC. Roles y Funciones

Formación de auditores internos OHSAS 18001:2007 Parte 1

GESTIÓN POR PROCESOS Y MEJORA CONTINUA

Auditoría de Controles usando COBIT 5 e ISO Carlos Lobos Medina, CISA, CISM Academico Universidad Diego Portales

COBIT 4.1. Planear y Organizar PO10 Administrar Proyectos. By Juan Antonio Vásquez

Cómo plantear un PCN Presentación

PROJECT MANAGEMENT OFFICE

Estrategia Nacional de Educación Financiera (ENEF) Kattia Castro Cruz Coordinadora Equipo Técnico. Brasil 2014

Curso: Mejores Prácticas de Auditoría Interna

Porque COBIT5 como marco de Gobierno de TI y como certificarse en Gobierno de TI

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

ITIL PRACTICES FOR SERVICE MANAGEMENT ITIL FOUNDATION v3

Estandarización y efectividad en el desarrollo de normas para los comités técnicos de ISO. Mayor alineamiento y compatibilidad entre normas.

IX CONGRESO ISACA COSTA RICA Gestión de riesgos de Continuidad de Negocio en función del negocio

BEM Consultores. B u r ó d e E s p e c i a l i s t a s e n M i c r o f i n a n z a s, S. C. Tu Institución vista con otra mirada.

13 SEMINARIO TALLER GESTIÓN DEL TALENTO HUMANO EN LAS ENTIDADES DEL ESTADO COLOMBIANO

POLÍTICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN EMPRESAS COPEC S.A.

POLÍTICA DE SEGURIDAD Y SALUD OCUPACIONAL, PROTECCIÓN Y MEDIO AMBIENTE (HSSE)

SISTESEG Seguridad y Continuidad para su Negocio

Curso de Análisis Estratégico Sesión 3 Entendiendo el Análisis Estratégico

Recomendaciones Taller Oaxaca - México

Coordinación de Servicios Informáticos (CSEI)

La gestión por procesos

SENA SISTEMA DE PROSPECTIVA, VIGILANCIA E INTELIGENCIA ORGANIZACIONAL INSTRUCTIVO METODOLÓGICO PROSPECTIVA TECNOLÓGICA 1. Versión 7.

Diploma Gestión de Recursos Humanos

Integrando un BCMS a las prácticas de gestión de la empresa: nuevo enfoque y normativa

Hacia una estrategia nacional de educación financiera en Guatemala

ISO 9004:2009 GESTION DEL ÉXITO SOSTENIDO Una guía de valor para la gestión con enfoque a resultados. César Díaz Guevara, Corporación 3D Calidad

Continuidad de Negocio DRII/BCI/ISO

Mejores prácticas de Tecnología de la Información

Gestión de Calidad en Salud con enfoque de Resiliencia. Paulo Morán Instituto Relacional

Administración Datacenter 1

Innovación Radical en Función de Auditoria Interna.

MODELOS DE METODOLOGÍAS PARA LA PLANIFICACIÓN ESTRATÉGICA ORGANIZACIONAL Y TICS PLAN ESTRATEGICO DE SISTEMAS DE INFORMACION

Consultoría en Estrategia Tecnológica

LINEAMIENTOS PARA INCORPORAR LA GESTIÓN PROSPECTIVA Y GESTIÓN CORRECTIVA EN LOS PLANES DE DESARROLLO CONCERTADO

Planificación, avalúo y calidad UPRM 2004

Dirección de Policía Preventiva y Tránsito Municipal

EL ROL DE AUDITORIA INTERNA Y EL ENFOQUE DE AUDITORIA BASADA EN RIESGOS. Víctor Mancilla Banrural, Guatemala

SISTEMAS DE GESTION EN SALUD Y SEGURIDAD OCUPACIONAL OHSAS Occupational Health and Safety Management Systems

POLÍTICA DE SEGURIDAD, SALUD OCUPACIONAL, MEDIO AMBIENTE Y CALIDAD. 2º Versión Marzo 2015

RIESGO TECNOLÓGICO EN LA ACTIVIDAD ASEGURADORA

PLAN ESTRATÉGICO DE GESTIÓN UNIDAD TÉCNICA DE CALIDAD. UNIVERSIDAD DE ALICANTE (Noviembre 2006)

Diagnóstico de la capacidad de los Equipos USAR en la Región de las Américas

TALLER PROFUNDIZANDO EN EL MARCO DE REFERENCIA DE ARQUITECTURA EMPRESARIAL PARA LA GESTION DE TI DEL ESTADO ESTRATEGIA DE ACOMPAÑAMIENTO 2016

DESAFÍOS DE GOBIERNOS CORPORATIVOS DE SOCIEDADES ANÓNIMAS ABIERTAS EN CHILE

Desempeño Alineación Riesgo

Caso Práctico: Proyecto de Certificación ISO 27001

Seminario Internacional de Empresas Ambiental y Socialmente Responsables

Fundamentos de la Gestión de la Seguridad y Salud en el Trabajo

FUNDAMENTOS DE LA GESTIÓN DE LA SST

Análisis Organizacional. Ing. Carlos Francisco Bertrand

La Democratización del Buen Gobierno Corporativo

CONCEPTO CARACTERISTICAS

PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN

Desempeño Alineación Riesgo

Cultura de OH&S en Holcim El Salvador

SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO

COBIT 4.1 CON EXAMEN DE CERTIFICACIÓN CURSO OFICIAL DE ISACA BETTSSY BOTERO GALLEGO ENTRENADORA AUTORIZADA DE ISACA 1/6

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN

[Documento promocional] Maestría en Ciberseguridad

GESTIÓN PARA EL ÉXITO SOSTENIDO DE UNA ORGANIZACIÓN

MINISTERIO DE MINAS Y ENERGIA SISTEMA DE GESTIÓN SEGURIDAD DE LA INFORMACIÓN SGSI POLITICAS DE SEGURIDAD DE LA INFORMACIÓN JUNIO DE 2012

Objetivo: Establecer y definir con claridad los lineamientos para el uso y administración de Tecnología de Información de Nacional Financiera

La actualización de las normas ISO 9001 e ISO y la transición de la certificación de los sistemas de gestión

TRANSITION WITH CONFIDENCE ESTRUCTURA GLOBAL COMPARATIVA ENTRE OHSAS ISO 45001

Transcripción:

Planes de Gestión de Crisis Aprendiendo de los errores en su implementación Juan Dávila, CISA, CISM, CRISC, ISO 22301LA, ISO 27001 LA, COBIT 5 F&I&A Protiviti Perú

Misión de los eventos de ISACA Ofrecer poductos, servicios y eventos educativos creativos, innovadores y de alta calidad para sus miembros e interesados, con el objetivo de mejorar sus conocimientos profesionales, su competencia y valor para las organizaciones en que laboran.

Plan de gestión de crisis Los planes de Gestión de Crisis permiten que las organizaciones construyan una capacidad de respuesta oportuna y efectiva en situaciones de escalamiento de incidentes hacia crisis y eventualmente, desastres, a fin de cautelar la integridad de las personas y garantizar la continuidad operativa sin afectar la reputación de la organización.

Objetivos de aprendizaje Entender los factores clave en la implementación de planes de gestión de crisis. Conocer los errores típicos en la definición, diseño, implementación, activación y mantenimiento de los planes de gestión de crisis. Definir una hoja de ruta de aprendizaje y madurez para la implementación efectiva de planes de gestión de crisis.

Agenda Introducción A nivel definición A nivel diseño A nivel implementación A nivel activación A nivel mantenimiento Conclusiones

Agenda Introducción A nivel definición A nivel diseño A nivel implementación A nivel activación A nivel mantenimiento Conclusiones

Confusiones Emergencia

Crisis: Secuencia Crisis Desastre Incidente Evento 2017 v0 Página 8

Normativa existente relevante 6 GAP BCI: Business Continuity Institute (thebci.org) 10 BP DRII: Disaster Recovery Institute International (drii.org)

Normativa existente relevante

Casos recientes Página 11

Ejemplos Fallas en principales activos, sistemas o infraestructuras críticas. 2017 v0 Página 12

Ejemplos Actos de terrorismo 2017 v0 Página 13

Ejemplos Un secuestro, extorsión o rescate fallido de integrantes de la organización. 2017 v0 Página 14

Ejemplos Fatalidades o lesiones graves a empleados, contratistas o al público cliente. 2017 v0 Página 15

Ejemplos Un impacto importante en la reputación a nivel nacional o internacional. 2017 v0 Página 16

Ejemplos Un impacto importante en la estabilidad financiera de la empresa. 2017 v0 Página 17

Ejemplos Un gran impacto masivo provocado por un desastre ambiental o natural. 2017 v0 Página 18

Agenda Introducción A nivel definición A nivel diseño A nivel implementación A nivel activación A nivel mantenimiento Conclusiones

Definición Falta de involucramiento: Falta de enfoque estratégico. Contratar una consultoría para que elabore el PGC como proyecto llave en mano. Asignar la gestión general al área de Riesgos / Legal / Cumplimiento /

Definición No alineamiento con estándares de referencia.

Definición No se dispone de una estructura organizativa.

Definición No se consideran componentes culturales.

Definición No se definen roles (primarios y suplentes) y responsabilidades.

Definición No se consideran criterios de depuración del árbol de llamadas.

Definición No se considera Gestión del Cambio.

Agenda Introducción A nivel definición A nivel diseño A nivel implementación A nivel activación A nivel mantenimiento Conclusiones

Diseño No se definen criterios efectivos y adecuados para la activación de los PGC.

Diseño No se definen programas de concientización en la organización.

Diseño No se consideran modelos de gestión de riesgos que permitan anticipar y mitigar probabilidad e impacto. No se identifican los escenarios más probables y de mayor riesgo.

Diseño No identificar grupos de interés asociados.

Diseño No considerar / prever protocolos de comunicación en crisis.

Diseño No considerar medios diferenciados de comunicación en crisis.

Diseño No alinearlo con el PCN. No alinear criterios con BIA, RTO y MTPD.

Diseño No reconocer que las crisis pueden darse independientemente de la efectividad del ambiente de control interno.

Diseño Creer que cualquier crisis puede ser manejada de la misma forma.

Diseño No se prevén Centros Alternos de Comando.

Agenda Introducción A nivel definición A nivel diseño A nivel implementación A nivel activación A nivel mantenimiento Conclusiones

Implementación No se conforma un Comité de Gestión de Crisis. El Comité de Gestión de Crisis no tiene roles y responsabilidades claramente definidos. Falta de procedimientos y guías de soporte.

Implementación El personal no conoce el PGC. No medimos el nivel de entendimiento del PGC.

Implementación No se incluye comunicación en crisis.

Implementación No se dispone de recursos. No se ejecutan pruebas ni ejercicios. Las pruebas y ejercicios contemplan escenarios e inyectores no relevantes para la organización.

Agenda Introducción A nivel definición A nivel diseño A nivel implementación A nivel activación A nivel mantenimiento Conclusiones

Activación No sabemos reconocer, reportar y actuar ante un incidente / crisis / emergencia / desastre / No se conocen los criterios de activación.

Activación Pensar que el Comité de GC se debe activar al 100% en todos los casos. Falta de liderazgo. Falta de coordinación y colaboración entre áreas estratégicas, tácticas y operativas. Asignación incorrecta de recursos: Humanos, financieros, comunicación, medios, etc. Ignorar el costo social, trabajadores, clientes, stakeholders, etc.

Agenda Introducción A nivel definición A nivel diseño A nivel implementación A nivel activación A nivel mantenimiento Conclusiones

Mantenimiento Actualizar el PGC? Andááá!!

Mantenimiento Incorporar aprendizaje y nuevas casuísticas al PGC?

Programa de pruebas y ejercicios Ejercicio Equipos Recursos Personal Reg. Vitales Proveedore s 1 1-EQU 1-REC 1-PER 1-VIT 1-PRO 2 2-EQU 2-REC 2-PER 2-VIT 2-PRO 3 3-EQU 3-REC 3-PER 3-VIT 3-PRO 4 4-EQU 4-REC 4-PER 4-VIT 4-PRO 5 5-EQU 5-REC 5-PER 5-VIT 5-PRO 6 6-EQU 6-REC 6-PER 6-VIT 6-PRO 7 7-EQU 7-REC 7-PER 7-VIT 7-PRO 8 8-EQU 8-REC 8-PER 8-VIT 8-PRO 9 9-EQU 9-REC 9-PER 9-VIT 9-PRO El programa de pruebas y ejercicios debe considerar en forma evolutiva a todos los componentes críticos del negocio. Material protegido. Prohibida su reproducción.

Agenda Introducción A nivel definición A nivel diseño A nivel implementación A nivel activación A nivel mantenimiento Conclusiones

Conclusiones La preparación para la crisis es ahora, al más alto nivel organizacional. La gestión de una futura crisis comienza hoy. La gestión de crisis no puede ser tercerizada. La comunicación es importante, pero debe ser genuina. Se requiere probar los planes. Los resultados pueden cambiar las perspectivas y la cultura. Pueden surgir oportunidades estratégicas.

Conclusiones Alguna vez me dijeron: Juan, cuando la crisis estalle, me iré a casa El PGC es un documento. El PGC no cubre el 100% de escenarios de crisis; sin embargo, fortalece la de resiliencia de la organización. Es difícil prever acciones requeridas del Comité de Crisis; pero deben estar entrenados para una toma de decisiones orientadas a minimizar.. para la organización. FCE: Liderazgo, toma de decisiones, criterios de activación, coordinación, cooperación, aprendizaje!!!

Juan Dávila, CISA, CISM, CRISC, ISO 22301LA, ISO 27001 LA, COBIT 5 F&I&A jdavilara@gmail.com

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback