Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Clase 4 - Plan de Continuidad de Negocio

Descargar como pptx, pdf o txt
Descargar como pptx, pdf o txt
Está en la página 1de 29

Desarrollo de un Plan

de Continuidad de
Negocios

Área de Administración y Negocios


¿Por qué es Importante la
Continuidad?
• La competitividad creciente entre las organizaciones empresariales, las demandas cada vez
más exigentes de clientes y stakeholders, o los requerimientos regulatorios cada vez más
restrictivos, son factores que hoy en día fuerzan a las empresas a demostrar la resistencia de las
actividades de negocio a permanecer activas ante cualquier contingencia grave.
• Una caída de la luz, una inundación, un incendio o un robo han de considerarse amenazas
reales que deben ser tratadas de forma preventiva para evitar, en caso de que estas sucedan, que
las pérdidas sean tan graves que afecten a la viabilidad del negocio.
• Uno de los principales inconvenientes o barreras a las que se enfrenta una organización cuando decide
abordar cualquier tipo de iniciativa relacionada con la continuidad de negocio es la falta de
conocimiento y de instrucciones claras y concisas que detallen por donde empezar y qué aspectos
deben tenerse en cuenta para garantizar el éxito.
¿Por qué es necesario adoptar un plan de continuidad de
negocio?

• Las organizaciones no pueden estar preparadas para todos y cada uno de los eventos adversos
que pueden sucederles y que pueden impactar en sus actividades de negocio.
• Terremotos
• Inundaciones
• Actos vandálicos, etc.
• “La adopción de una estrategia de continuidad constituye un ejercicio de responsabilidad y
predisposición a anticiparse a cualquier tipo de evento adverso que haga peligrar el negocio”.
Beneficios del Plan de Continuidad de
Negocio
• Aparte de prevenir o minimizar las
perdidas para el negocio que un Amenazas y
Imagen frente a
desastre puede causar, el objetivo Riesgos
accionistas y
clientes
principal de cualquier programa
orientado a gestionar la continuidad de
negocio de una organización es Disponibilidad y
Capacidad de
garantizar que esta dispone de una Prevención de Recuperación “Resilencia del
respuesta planificada ante cualquier pérdidas Negocio”
trastorno importante que puede poner
en peligro su supervivencia.
Requerimiento
regulatorio
¿Por donde empezar?
• Tiempo y recursos: toda estrategia para abordar la implantación de un Plan de Continuidad de
Negocio requiere de tiempo y recursos (humanos, económicos e incluso tecnológicos).
• Implicación y compromiso de la dirección: reforzando el punto anterior, la dirección, como ente que
toma las decisiones y proporciona los fondos necesarios, debe ser concienciada y debe estar
convencida de la necesidad de este tipo de planes.
• Esta misión de concienciación a menudo resulta un proceso complejo por varias razones:
• los canales de comunicación con la dirección no siempre son fluidos,
• el lenguaje empleado en términos de “riesgo”, “impacto”, “vulnerabilidad” y otros conceptos relacionados con la
seguridad y las tecnologías de la información puede no ser el idóneo para que sea entendido y asimilado por la dirección.
• Un aspecto útil en este sentido es el cálculo del coste de la interrupción de un proceso de negocio en términos
financieros, el cual dependerá de varios factores como la pérdida de ingresos durante la interrupción, la
disminución de la productividad del trabajador e incluso la pérdida de imagen y reputación de la organización.
¿Por donde empezar?

• Conocer la organización es necesario y crítico: los procesos de negocio, el apoyo de los


mismos en las Tecnologías de la Información (TI), el conocimiento de personas clave para la
organización, los productos y servicios, la estrategia de negocio o las metas de la organización,
los procesos internos, etc.

• Definir el alcance: Es importante determinar qué áreas, procesos de negocio o


productos/servicios de la organización serán incluidos en el plan.
• En este sentido, algunas preguntas de su estrategia de continuidad son:
• ¿Cuáles son las actividades más importantes y críticas de la compañía?
• Desde el punto de vista financiero, operativo, legal o asociado a la imagen de la compañía, ¿qué impacto tendría una
interrupción los servicios o de los procesos de la empresa?
• ¿Durante cuánto tiempo puedo permitirme que la entrega de mis productos o servicios esté interrumpida?
¿Por donde empezar?

• Colaboración de las áreas que componen la empresa: un plan de continuidad de negocio


impacta y necesita del apoyo y la colaboración de las diferentes áreas de la organización: los
proyectos de continuidad de negocio tienen que contar con enfoques no solo tecnológicos,
sino también de negocio (relación con proveedores de servicio, recursos humanos, atención al
cliente, recursos financieros, recurso logísticos, etc.).
• Plantearse la necesidad de asesoramiento externo: conocer si es necesario disponer o no de
ayuda especializada y saber dónde encontrarla, ya que muchos de los problemas a los que se
tiene que enfrentar una organización para implantar su plan de continuidad de negocio ya han
sido analizados y solucionados por otras empresas previamente.
Estructura de la Guía

FASE I Diseño del Plan y Política de Continuidad

FASE II Conocimiento Organización y Análisis Riesgo

FASE III Medidas Preventivas

FASE IV Estrategia de Recuperación

FASE V Desarrollo e Implantación del Plan

FASE VI Mantenimiento del Plan


Estructura de la Guía
• Fase I. Diseño del Plan y establecimiento de la Política de Continuidad de Negocio:
• comprende la identificación de las actividades que deben ser realizadas de forma previa para
comenzar el proceso de desarrollo e implantación del Plan de Continuidad.

• Fase II. Conocimiento de los procesos de negocio de la organización y análisis de riesgos


que impactan en las actividades de negocio:
• con el fin de identificar los productos y servicios clave de la PYME, los recursos clave que soportan
estas actividades y los riesgos a los que está expuesta.

• Fase III. Medidas preventivas:


• esta fase plantea la posibilidad de aplicar medidas de seguridad preventivas y proactivas con la
intención, en la medida de lo posible, de evitar o gestionar los incidentes graves, sin necesidad de
activar el plan de continuidad de negocio a no ser que sea estrictamente necesario.
Estructura de la Guía

•Fase IV. Estrategia de recuperación:


• considerando que no todas las actividades de negocio tienen las mismas prioridades de recuperación,
esta fase establece los objetivos y las prioridades de recuperación en función de los riesgos que
impactan en las operaciones de negocio.

•Fase V. Desarrollo e implantación del Plan:


• conjunto de prácticas, procedimientos a seguir y tecnologías para la recuperación de las operaciones
críticas después de producirse un desastre.

•Fase VI. Mantenimiento del Plan:


• teniendo en cuenta que todo Plan de Continuidad de Negocio debe ser difundido, revisado,
actualizado y probado regularmente, esta fase describe acciones de difusión y formación del Plan, asi
como las pruebas y el proceso de mejora continua del mismo.
Fase I: Diseño del Plan y Establecimiento de la Política de
Continuidad del Negocio

•Objetivos
•Tareas
• Designar un Coordinador de Continuidad del Negocio
• Elaborar la Política de Continuidad del Negocio
• Introducción
• Objetivos
• Alcance
• Responsabilidades
• Establecer la Planificación del Proyecto
Fase II: Conocimiento de los Procesos de Negocio de la
Organización y Análisis de riesgos

• Objetivos
• Entender la organización mediante la identificación de productos y servicios clave, así como
las actividades y recursos críticos que los soportan.
• Estimar el impacto y las consecuencias de los posibles fallos en esas actividades y recursos
críticos.
• Identificar y valorar los riesgos que podrían interrumpir la entrega de los productos y
servicios de la empresa, así como de los recursos sobre los que están soportados.
• Adicionalmente, la externalización de determinados servicios u operaciones abre un nuevo
ámbito de gestión, ya que es frecuente que la responsabilidad de continuidad de negocio para
los servicios externalizados no sea transferida al proveedor o tercero.
Fase II: Conocimiento de los Procesos de Negocio de la Organización y Análisis de
riesgos

• Tareas: Estudiar los procesos y actividades del Negocio

Área Actividades del Negocio


Recursos Humanos Administración de Personal
Gestión de nóminas
Desarrollo de Personal
Compras Relación con Proveedores
Gestión de Pedidos
Ventas Comercialización de Productos
Marketing
Facturación
Producción Generación de Producto/Servicio
Administración y Finanzas Contabilidad
Cuentas de resultado
Tesorería
Auditoria Interna Auditoria de las actividades de Negocio
Reporting a la Dirección
Ejercicio 1
Áreas de la Procesos Críticos Problemas que pueden Sistemas de TI
empresa afectarlo Relacionados
Ventas Facturación Interrupción Servicio computacional
Comisiones vendedor error en cálculo

Abastecimientos Control existencias Alteración de los datos del inventario

Administración Control de procesos Información errónea o no oportuna


Finanzas Contabilidad Imputaciones mal registradas
Ctas. Ctes. De Clientes Pérdida información saldos
Producción Programación Producción Información errónea
Control costos Información errónea

Personal Registro datos personal Cambios en los datos registrados


Evaluación desempeño Tablas de ponderación erróneas

Remuneraciones Calculo remuneraciones Fórmulas mal diseñadas


Calculo descuentos Parámetros erróneas
Ejercicio 1
Áreas de la Procesos Críticos Problemas que Sistemas de TI
empresa pueden afectarlo Relacionados
Ventas Facturación  Cálculos erróneos
Gestión clientes  Información faltante o no
actualizada
Abastecimientos Pedidos
Ctas proveedores
Administración Liqu. Remunerac.

Finanzas Flujo Caja


Ctas. Ctes. Bco.
Ejercicio 2
Problemas Causas posibles Estrategia de tratamiento
Interrupción del Servicio

Violación de
confidencialidad
Pérdida de información
crítica
Lentitud de los procesos

Alteración de datos

Falla de Sistemas
Ejercicio 2
Problemas Causas posibles Estrategia de tratamiento
Interrupción del Servicio  Corte de energía  Inst. equipo UPS y Grupo generador
 Caída del Sistema
 Falla de equipos

Violación de  No actualización de perfiles


confidencialidad  Filtración de claves
 Intercepción de líneas

Pérdida de información  Destrucción por Virus


crítica  Destrucción física de los registros

Lentitud de los procesos  Saturación de las comunicaciones


 Saturación de las Aplicaciones
Fase II: Conocimiento de los Procesos de Negocio de la Organización y Análisis de
riesgos

• Identificar y valorar el impacto asociado a las interrupciones de los procesos de negocio

Tipos de Impacto Descripción del Impacto


Operativos Actividades de negocio que dejan de estar en funcionamiento o el coste de
las horas de trabajo pérdidas por los empleados
Económicos Costes directos o indirectos como por ejemplo el lucro cesante o el daño
emergente
Regulatorios o Contractuales Sanciones por incumplimiento legal o penalizaciones por incumplimiento
del contrato con clientes
Imagen Relación de aspectos más intangibles y por tanto más difíciles de valorar
como la imagen, la fiabilidad y la reputación de la organización frente a
clientes, proveedores y accionistas
Fase II: Conocimiento de los Procesos de Negocio de la Organización y Análisis de riesgos

Ejemplo de cálculo del impacto sobre una actividad de negocio de la empresa:

RECURSOS CRÍTICOS
ACTIVIDADES CRÍTICAS Tiempo máximo permitido de
Información obtenida 1.Responsable de recursos
1.Comercialización de interrupción (MTD): 1 mes
de los responsables y humanos
productos IMPACTO
conocedores de las 2.Tecnología: aplicación que
2.Gestión de nóminas
actividades de la genera la nómina
3.Facturación Retraso en la elaboración de las
Organización 3.Archivos en papel con los
4.Gestión de pedidos nóminas
salarios de los empleados
5. … Descontento de los empleados
4.…
Fase II: Conocimiento de los Procesos de Negocio de la Organización y Análisis de
riesgos

Ejemplo de cálculo de prioridades de recuperación sobre los recursos críticos de una


actividad de negocio de la empresa:

Recursos Críticos Prioridad Recuperación

RECURSOS CRÍTICOS Tiempo máximo permitido de 1. Responsable de Recursos Baja


1.Responsable de recursos interrupción (MTD): 1 mes Humanos
humanos IMPACTO 2. Tecnología: aplicación Alta
2.Tecnología: aplicación que que genera la nómina
genera la nómina Retraso en la elaboración de las 3. Archivos en papel con Media
3.Archivos en papel con los nóminas los salarios de los
salarios de los empleados Descontento de los empleados empleados
4.…
Fase II: Conocimiento de los Procesos de Negocio de la
Organización y Análisis de riesgos

Otros ejemplos de identificación de recursos críticos pueden ser:


•Las redes de comunicaciones en organizaciones que dependen de las
comunicaciones internas y externas para funcionar adecuadamente.
•Los sistemas de alimentación energética en aquellas compañías que requieren de
suministro eléctrico para fabricar sus bienes.
•El conocimiento del fundador y gerente de la empresa, el cual es el único que
dispone de la experiencia y entendimiento detallado de sus actividades de
negocio.
•El listado de clientes y contactos comerciales disponible únicamente en soporte
papel.
Fase II: Conocimiento de los Procesos de Negocio de la
Organización y Análisis de riesgos

Existen dos parámetros muy específicos que están estrechamente relacionados con
la recuperación:
El Tiempo de Recuperación (RTO) establece la urgencia que las diferentes unidades
de negocio precisan para volver a su funcionamiento habitual.
 Por tanto, se trata de identificar el orden en que hay que tratar de reconstruir la actividad,
recuperando antes aquellos procesos cuya paralización suponen un mayor impacto para la
organización
El Punto de Recuperación Objetivo (RPO) se refiere al punto más reciente en el
tiempo en el que los sistemas pueden ser recuperados, reflejando por tanto cuánta
es la cantidad de información que una organización puede permitirse perder sin
que le afecte negativamente.
 Por tanto, el RPO determina la periodicidad con la que deben salvaguardarse los datos para todos
aquellos procesos de negocio.
Fase II: Conocimiento de los Procesos de Negocio de la
Organización y Análisis de riesgos

•Análisis de Riesgos
• ¿Con qué probabilidad puede ocurrir un desastre o una interrupción severa de mis
servicios o actividades críticas?
• El análisis de riesgos consiste en identificar las amenazas sobre estos activos y su
probabilidad de ocurrencia, las vulnerabilidades asociadas a cada activo y el impacto que
las citadas amenazas pueden provocar sobre la disponibilidad de los mismos.
• Identificar activos de Información
• Identificar y evaluar las amenazas sobre los activos identificados previamente y su probabilidad
de que sucedan.
• Identificar y valorar las vulnerabilidades o debilidades asociadas a los activos, las cuales pueden
ser explotadas por las amenazas.
• Valorar el impacto resultante de que una amenaza se aproveche de una vulnerabilidad del activo
y provoque daño sobre el mismo.
• Calcular el riesgo como la probabilidad de que se produzca un impacto determinado en la
organización.
Auditoria del Plan de Continuidad de
Negocios
1. Diseño del plan y Política de Continuidad
2. Conocimiento de la Organización y Análisis de riesgos
3. Medidas Preventivas
4. Estrategia de recuperación
5. Desarrollo e implantación del Plan
6. Mantenimiento del Plan
Etapas de un Plan de Continuidad de
Negocios
Gestión de la Continuidad de Negocios
CONSULTAS
Ejercicio
• Su familia posee un Mini Supermercado donde usted es el Gerente. Después de asistir a una charla decide que su
empresa necesita un Plan de continuidad de negocio, que los prepare para la eventualidad de un desastre.
• El Mini supermercado tiene la siguientes características:
• Existe un departamento de informática que procesa la información de las operaciones de los siguientes
procesos:
• Ventas (gestión de cajas)
• Adquisiciones y Existencias
• Personal y Remuneraciones
• Cuentas por pagar y cuentas por cobrar
• Gestión de activo fijo
• Se solicita desarrollar un Plan de continuidad de negocios para la Empresa, siguiendo la pauta vista en clase.
• El trabajo se puede realizar en grupos de hasta tres alumnos.
• En la clase siguiente se resolverán las dudas y en la clase subsiguiente se entrega el trabajo en papel.

También podría gustarte