jacqueline j. vega · [email protected] jacqueline j. vega isi-mgp-abcp ingeniero en sistemas de...
TRANSCRIPT
Jacqueline J. Vega
ISI-MGP-ABCP INGENIERO EN SISTEMAS DE INFORMACION (ISI)
MAESTRIA EN GESTION DE PROYECTOS (MGP) PROFESIONAL ASOCIADO CONTINUIDAD NEGOCIOS DRII (ABCP)
Los Desastres ocurren
Problemas de red, ataques al correo electrónico, errores humanos,
incendios e inundaciones son situaciones sorpresivas y
sin embargo:
Un 77% de organizaciones no tienen planes de
contingencia
El coste de estas interrupciones se estima entre un
1 - 16% de los ingresos anuales
Un 40 - 70% de empresas que experimentan
interrupciones importantes cierran en un año
QUE ES UN RIESGO?
La Probabilidad y el Impacto de que una amenaza pueda afectar adversamente la capacidad de una Organización, ocasionandole daños o Perdidas al negocio.
NIVEL DE RIESGO: Es el resultado de multiplicar, ya ponderados, la Probabilidad por el Impacto. NR= PROBABILIDAD * IMPACTO
QUE ES EL RIESGO OPERATIVO? Según BASILEA II:
El Riesgo a perdidas producidas por Procesos Internos deficientes o inadecuados, por fallas Humanas, tecnológicas o por acontecimientos Externos.
QUE ASPECTOS ABARCA EL RIESGO OPERATIVO?
Diferentes tipos de Perdidas: 1.- Fraude Externo 2.- Fraude Interno 3.- Prácticas internas 4.- Prácticas de los Clientes 5.- Daño a los Activos Físicos 6.- Falla en los Sistemas 7.- Falla en la Administración de los Procesos.
RESOLUCION JUNTA MONETARIA
1- Emitida como borrador: noviembre 6 del 2008. Pagina 2 y 3 2.- Aprobación del Reglamento: Quinta resolución, emitida abril 2 del 2009. 3.- Entrada en Vigencia: Abril 2010. CAPITULO II
“LINEAMIENTOS PARA EL ESTABLECIMIENTO DE POLITICAS Y PROCEDIMIENTOS” Artículo 19.- Las entidades de intermediación financiera deben implementar planes de contingencia y de continuidad, a fin de garantizar su capacidad para operar en forma continua y minimizar las pérdidas en caso de una interrupción severa del negocio.
¿Porqué realizar Planes de Continuidad de Negocio?
¿Porqué contratar Pólizas de Seguro…………, pueden estas
recuperar todos los elementos de la organización?
La data de una organización no es recuperable por Pólizas de Seguro
Las Amenazas que generan incidentes o desastres siempre están.
Permiten minimizar los riesgos y perdidas asociados a la
paralización de las operaciones
Evitan decisiones incorrectas durante la contingencia
Protegen al personal y los activos corporativos
Facilitan mantener el servicio al cliente
Salvaguardan los intereses de los inversionistas
Cumplir con las obligaciones contractuales y/o regulatorias
Cumplir con los requerimientos Regulatorios y de auditoría
Objetivos de los Planes de Continuidad de Negocio
• Asegurar la continuidad y Resiliencia de la empresa, luego
de un Desastre.
• Proporcionar protección a los activos.
• Mitigar los riesgos y exposiciones.
•Tomar el Control y coordinar cualquier interrupción.
PLAN RECUPERACION ANTE DESASTRE (BCP)
ESTRATEGIA CONTINUIDAD EN BASE A ESCENARIO RIESGOS E IMPACTOS
PROCESOS DOCUMENTADOS PRESUPUESTO
EVALUACION RIESGO OPERACIONAL
ES
CE
NA
RIO
S D
E A
ME
NA
ZA
S D
E M
AY
OR
IM
PA
CT
O Y
MA
YO
R P
RO
BA
BILID
AD
CU
ALE
S , C
UA
ND
O, D
ON
DE
, Y
CO
N Q
UE
R
EC
UP
ER
AR
LO
S P
RO
CE
SO
S C
RIT
IC
OS
?
ANALISIS IMPACTO NEGOCIOS (BIA)
Recuperación
de Desastres
(DRP)
Contingencia
(CP)
Respuesta a
Incidentes
Plan
Comunicación
ante Crisis
Plan de Emergencias
(OEP)
Contingencia
de las
Operaciones
(COOP)
Continuidad del
Negocio
(BCP)
Orientado a TI
Orientado a las Personas e instalaciones
Orientado al negocio Alto Impacto
Crear Política BC
Establecer un Comité guia
BCP
Establecer un BC Plan
desarrollo proyecto
Inicio BCP
Establecer un programa BCP de
entrenamiento y toma de
conciencia
Coordinador BCP con leyes y
regulaciones
Desarrollo Plan del Proyecto Mantener
Plan preparado Ejecutir el BC Plan
BCP CompletadoInterrupción del
Negocio
BC
P
Pro
ceso
Gestion de Riesgo
Business Impact Analysis
Estrategia BC
Desarrollo Plan BC
Tiempo
Prueba del Plan
BC
Mantenimiento Plan
BC
BC
P G
estio
n
BCP Gestión ContinuidadDesarrollo Plan
BCMCultura Continuidad
Negocios
QUE ES UN BCM? -Es una Respuesta de Mitigación al Riesgo de emergencias o Desastres. -Conjunto de Planes (BCP), Procedimientos y Estrategias definidos para asegurar la reanudación oportuna y ordenada de los Procesos de Negocio, generando un impacto mínimo ante un incidente. -Ni la fase del BIA ni la del Análisis de Riesgos, aceptan escenarios “universales”, sino que hay que estudiar todas las especificidades de la organización, y de sus procesos de negocio. -Un Plan de Continuidad de Negocio, no es un Plan de Contingencia, los abarca como a los Planes de TI e Infraestructura. -Un BCM y sus BCP’s es un traje a la medida para la organización, que jamás será extrapolable a otra, incluso aunque pertenezca al mismo sector de negocio.
BCM O RESILIENCIA
• Un programa del todo relacionándolo con sus partes (Holístico) determinado por los requerimientos del negocio.
• Dirigido por un grupo directivo con la autoridad para responder a las interrupciones.
• Modifica las consecuencias de una interrupción a un nivel aceptable por la dirección.
• Proporciona la estructura para dar flexibilidad y respuestas efectivas, salvaguardando los interés de la Organización y enfrentando la crisis.
BS-25999
ADMINISTRACION CONTINUIDAD NEGOCIOS OPERACIONAL:
TI
ADMINISTRACION RECUPERACION ANTE DESASTRE (BCM)
ESTRATEGIA CONTINUIDAD EN BASE A ESCENARIO RIESGOS E IMPACTOS
PROCESOS DOCUMENTADOS CULTURA CONTINUIDAD PRESUPUESTO
EVALUACION RIESGO OPERACIONAL
GENTE
SEGMENTOS CUBRE CONTINUIDAD
ANALISIS IMPACTO NEGOCIOS (BIA)
ES
CE
NA
RIO
S D
E A
ME
NA
ZA
S D
E M
AY
OR
IM
PA
CT
O Y
MA
YO
R P
RO
BA
BILID
AD
QU
E , C
UA
ND
O, C
OM
O, Y
CO
N Q
UE
R
EC
UP
ER
AR
LO
S P
RO
CE
SO
S C
RIT
IC
OS
?
PROCESOS CRITICOS
LOCALIDADES
¿Porqué es Importante un Programa de Continuidad del Negocio?
• Protección de vidas Humanas.
• Reducir la Confusión y permitir decisiones efectivas en tiempo de
crisis o desastre.
• Reducir la dependencia de personal específico.
• Reducir la perdida de datos, utilidades, clientes.
• Facilitar recuperación oportuna de los Procesos o Servicios críticos
del Negocio.
• Mantener la imagen pública de confiabilidad y seguridad.
• Monitor y dar seguimiento medidas preventivas y eventos.
EVOLUCION HISTORICA CONTINUIDAD DE NEGOCIOS
MEJORES PRACTICAS Y NORMAS PARA BCM Y BCP
•1896 NFPA NATIONAL FIRE PROTECTION ASSOCIATION
•1988 DRI INSTITUTE FOR CONTINUITY MANAGEMENT
•1994 BCI BUSINESS CONTINUITY INSTITUTE
•1980 ITIL Information Technology Infrastructure Library
•2005 ISO 20000 SERVICIOS TI (Integra a ITIL)
•2005 ISO 27001 SEGURIDAD DE LA INFORMACION •2007 BS 25999 NORMAS BCM
•2008 BS 25777 NORMAS DRP
•2011 BS 22301 NORMAS BCM, Preparedness and Continuity
Managemet Systems Requirements (Draft Review-Febrero 2011)
•2002 LEY 147-02(CNE-COE) DEL RIESGO NACIONAL
•2010 JUNTA MONETARIA-RD RESOLUCION RIESGO OPERATIVO
10 errores comunes en Planes de Continuidad del Negocio
1. Exceso de confianza
2. Alcance reducido
3. Carencia de priorización
4. Desactualización del plan
5. Falta de definición de la responsabilidad del plan
6. Carencia de planes de comunicación
7. Carencia de Seguridad
8. Estrategia de Relaciones Públicas no definida
9. Falta de control de Seguros
10. Adquisiciones sin evaluación del costo / beneficio
• Las personas son un factor crítico en un BCP
• Dependemos de otros en la cadena del servicio
• Los planes de continuidad son responsabilidad de todos
• Evaluación y mitigación permanente de los riesgos
• Se deben probar y probar los planes
• El riesgo no siempre es predecible o imaginable
• Minimizar tiempos de interrupciones (“Downtimes”)
• Mantener recursos críticos mínimos disponibles
• Administrar la confiabilidad operacional y tecnológica
• Monitorear el desempeño de la infraestructura soporte
• Planear, desarrollar, probar estrategias efectivas de recuperación
• Crear y mantener cultura de riesgo en la organización
• Administrar niveles acuerdo servicio (SLA-OLA)
• Administrar las crisis…
• ¿Planear o administrar la continuidad de negocio?
Lecciones Aprendidas
RETOS DEL BCM EN RD
• Necesidad de documentar nivel Retorno de la Inversión (ROI).
• Necesidad de ejemplos en donde se haya usando en forma exitosa el plan de Continuidad de Negocios.
• Dejar de verlo como un ejercicio de planificación de recuperación.
• Promover estándares de la Industria y de términos o conceptos.
• Porcentaje adecuado de presupuesto asignado a BCM.
• BCM necesita asociarse con el resto de la empresa, desarrollar
Resiliencia Organizacional y Social.
• Necesidad de herramientas objetivas para evaluar la efectividad y madurez de los planes.
• Verlo como complemento del Riesgo Operativo, no como parte del mismo.
• Establecerlo como Sistema de Gestión, no como Planes de Continuidad.
“Efectivamente las organizaciones deben contar con estrategias para desarrollar personas resilientes si desean salir adelante y fortalecidas de entornos inestables, hoy no hablamos de adaptarnos a los cambios sino más bien de la capacidad para hacer frente a las adversidades, superarlas o incluso ser transformados por ellas” Marielba Avellán, Coordinadora académica del Programa Internacional Ejecutivo 2009, Espana.
“Los empresarios Latinoamericanos, al haber sido formados en un ambiente de inestabilidad permanente, poseen el instinto para desempeñarse en un contexto inestable mucho más desarrollado que empresarios y ejecutivos de otras latitudes”. Ben Schneider
?
GRACIAS!!