itss bc my grc 2013 v1
TRANSCRIPT
Agenda
1. Definición de BCM 2. Evolución de BCM 3. Objetivos BCM 4. Estados de una Emergencia 5. Retos Comunes 6. Implicaciones del BCM Manual 7. Automatización del BCM
“Un proceso holístico de gestión que identifica amenazas potenciales a la organización y el impacto que pueden causar a las operaciones del negocio, en caso de materializarse.
BCM provee un marco de referencia para la construcción de resistencia organizacional, con la capacidad de una respuesta efectiva para salvaguardar los intereses de personas clave, la reputación, imagen y actividades de creación de valor”
BSI - ISO 22301:2012
Definición de BCM
Objetivos de BCM
• Establecer estrategias y planes de recuperación de procesos de negocio para continuar la operación de negocio durante y tras una interrupción.
• Establecer el DRP-TI para recuperar sistemas críticos e infraestructura, tras la interrupción.
• Desarrollar procedimientos de respuesta y planes para el manejo de situaciones de crisis.
• Evaluación periódica de la efectividad de planes y programas.
• Educar a los empleados respecto a sus responsabilidades.
• Actualizar los planes según se requiera.
Continuidad de Negocio
• Comité de Patrocinadores Ejecutivos (VP/Niveles CxO) / Junta Directiva • Comité BCM (Líderes de negocio) • Director de BCP / Gerencia (Finanzas, Operaciones o TI) • Propietarios de Procesos
Recuperación de Desastres de TI
• CIO / CISO • Gestión de DR • Gerentes de TI
Gestión de Crisis
• Seguridad • Líder de Gestión de Crisis • Recursos Humanos • Mercadotecnia / Comunicaciones / Relaciones Públicas (Manejo de mensaje a los Medios)
Personas Clave
Fases del Estado de Emergencia
Respuesta al Incidente
Continuidad del Negocio
Recuperación: Normalidad
Activa
BCP
DRP
Restablecimiento
de Operación
Normal
Operación
normal
Estado de Emergencia
Declaración de Emergencia
Activación de Planes
Fases del Estado de Emergencia
• Presencia de riesgos significativos de continuidad con impacto serio en finanzas y reputación.
• Esfuerzos de recuperación caóticos y ad hoc, típicamente basados en “actos heróicos”. Incertidumbre relacionada con la sobrevivencia tras una interrupción al negocio.
• No hay soporte de negocio o de TI, ni patrocinio de alto nivel, así como participación mínima de grupos clave como operaciones, finanzas, TI, riesgos y seguridad.
• Falta de asignación de responsabilidades de Continuidad de Negocio, existe renuencia a invertir en BCM.
• Diseño separado y sin integración de esfuerzos de gestión de crisis, recuperación de negocio o TI.
Retos Comunes
• No hay disciplina o iniciativa para cumplir con regulaciones, metodologías o mejores prácticas.
• Las metas y expectativas de continuidad (si las hay) se definen sin una evaluación de riesgos o BIA. Estrategias ad hoc, BCP no documentados.
• Pruebas, concienciación y entrenamiento sin diseñar, dejando a la gerencia sin herramientas para gestionar los efectos de interrupciones al negocio.
• Aunque el DRP-TI es típicamente maduro los empleados tienen un conocimiento limitado del plan y sus responsabilidades.
Retos Comunes cont.
Seguimiento a Eventos
de Crisis y Notificación
a Empleados
Evaluar el Riesgo y el Impacto
al Negocio
Automatizar el Mantenimiento
a los Planes y el
Entrenamiento de Empleados
Probar Planes de
Recuperación/Continuidad
Documentar Planes de
Recuperación/Continuidad
Alinear el programa BCM con
los Objetivos de Negocio
Automatización BCM
• Gobierno: La cultura, los objetivos, procesos, políticas y leyes por las
cuales las empresas son dirigidas y controladas.
• Riesgo: La probabilidad e impacto de la materialización de un evento,
el cual puede tener efecto en la consecusión de los objetivos.
• Cumplimento: El acto de adherirse a y demostrar adherencia con
leyes externas y reglamentos, así como con políticas y procedimientos
corporativos.
eGRC
Marco de Referencia
I
O
M
R
D
A
P
CContexto y Cultura Organizar y Supervisar
Monitorear y
Medir
Alinear y Evaluar
Responder y Resolver Prevenir y Promover
Informar e Integrar Detectar y Discernir
RESPONDER Y RESOLVER
R4. Respuesta a Crisis, Continuidad y Recuperación.
R4.1 Desarrollar Respuesta a Crisis y Plan de Continuidad.
R4.2 Identificar Equipos de Preparación y Respuesta a Crisis.
R4.3 Probar Planes y Procedimientos.
R4.4 Coordinar Planes.
I
O
M
R D
A
P
CMarco de Referencia
Impactos para el negocio
Resultados de la solución
Agiliza el proceso de
notificación a los
propietarios del plan
de revisión y pruebas
de sus asignaciones
acuerdo a un
programa
“
”
Eventos de crisis
documentados y
vinculados a uno o más
planes de recuperación
o conti nuidad
“
”
Vista completa de l
programa, las métricas
y los datos de
continuidad de negocio
y recuperación de
desastres,
“
”
Planes de continuidad
vinculados a normativa,
regulaciones, modelo de
negocio, incidentes,
fabricantes, etc.
“
”
BC/DR dispersos
en múltiples
repositorios
“ ”
Incapacidad para
vincular eventos de
crisis con os planes de
continuidad
“
”
Reportes retrasados,
complejidad para
producir y proveer
una visión holística
“
”
La revisión y pruebas
de los planes es
manual y ad hoc.
“ ”
Repositorio central para
todos los planes de
continuidad y
recuperación
“
”
Vinculación Visibilidad Eficiencia Contexto Consolidación
Incapacidad para
entender el riesgo y
el impacto de los
eventos de crisis en
la organización.
“
”
• Documentación de BCP y DRP estandarizada y basada en flujos de trabajo
• Automatización del plan de pruebas y mantenimiento con flujos de trabajo, notificaciones y gestión de problemas
• Analisis de criticidad y riesgos en los procesos, y evaluación integral de Impacto al Negocio
• Gestión de eventos de crisis mediante planes de notificación por fases, integrando BCP y DRP
• Reporte de plan de pruebas, análisis de brecha y planes de remediación
Visibilidad pobre sobre el estado, pruebas y aprobaciones de BCP y DRP
Datos almacenados en documentos estáticos, dificultando su
actualización
No existe un entendimiento común de Procesos de Negocio y Activos de
TI
Coordinación y comunicación limitada entre los equipos de
continuidad, crisis y recuperación
Carencia de pruebas para la alta gerencia, sobre la efectividad de los planes y la seguridad de la operación
Manual vs Automático
• Soluciones integrales con capacidad, al menos, para la Gesión de Riesgos, la Planeación de Continuidad y Recuperación, así como la Gestión de Crisis.
• Alineación heredada con BS25999 e ISO 22301.
• Uso de plantillas para la ejecución de BIA y Evaluaciones Riesgos, en cualquier nivel de la jerarquía de negocio o la arquitectura empresarial, con capacidad de vincularlas a otras evaluaciones de riesgos.
• Gestión de documentación y pruebas en los planes mediante flujos de trabajo pre-definidos y configurables.
• Seguimiento a eventos de crisis en tiempo real vinculados a planes de comtinuidad y recuperación.
Beneficios de la Automatización BCM
• Activación oportuna de planes de recuperación
• Facilidades de reporte sobre el programa de continuidad del negocio
• Interfaz amigable para que los usuarios de negocio configuren la solución, sin requerir programación.
• Integración de la continuidad del negocio en un programa GRC, habilitando la medición consistente y el reporte de los riesgos empresariales.
Beneficios de la Automatización BCM