Clase 4 - Plan de Continuidad de Negocio
Clase 4 - Plan de Continuidad de Negocio
Clase 4 - Plan de Continuidad de Negocio
de Continuidad de
Negocios
• Las organizaciones no pueden estar preparadas para todos y cada uno de los eventos adversos
que pueden sucederles y que pueden impactar en sus actividades de negocio.
• Terremotos
• Inundaciones
• Actos vandálicos, etc.
• “La adopción de una estrategia de continuidad constituye un ejercicio de responsabilidad y
predisposición a anticiparse a cualquier tipo de evento adverso que haga peligrar el negocio”.
Beneficios del Plan de Continuidad de
Negocio
• Aparte de prevenir o minimizar las
perdidas para el negocio que un Amenazas y
Imagen frente a
desastre puede causar, el objetivo Riesgos
accionistas y
clientes
principal de cualquier programa
orientado a gestionar la continuidad de
negocio de una organización es Disponibilidad y
Capacidad de
garantizar que esta dispone de una Prevención de Recuperación “Resilencia del
respuesta planificada ante cualquier pérdidas Negocio”
trastorno importante que puede poner
en peligro su supervivencia.
Requerimiento
regulatorio
¿Por donde empezar?
• Tiempo y recursos: toda estrategia para abordar la implantación de un Plan de Continuidad de
Negocio requiere de tiempo y recursos (humanos, económicos e incluso tecnológicos).
• Implicación y compromiso de la dirección: reforzando el punto anterior, la dirección, como ente que
toma las decisiones y proporciona los fondos necesarios, debe ser concienciada y debe estar
convencida de la necesidad de este tipo de planes.
• Esta misión de concienciación a menudo resulta un proceso complejo por varias razones:
• los canales de comunicación con la dirección no siempre son fluidos,
• el lenguaje empleado en términos de “riesgo”, “impacto”, “vulnerabilidad” y otros conceptos relacionados con la
seguridad y las tecnologías de la información puede no ser el idóneo para que sea entendido y asimilado por la dirección.
• Un aspecto útil en este sentido es el cálculo del coste de la interrupción de un proceso de negocio en términos
financieros, el cual dependerá de varios factores como la pérdida de ingresos durante la interrupción, la
disminución de la productividad del trabajador e incluso la pérdida de imagen y reputación de la organización.
¿Por donde empezar?
•Objetivos
•Tareas
• Designar un Coordinador de Continuidad del Negocio
• Elaborar la Política de Continuidad del Negocio
• Introducción
• Objetivos
• Alcance
• Responsabilidades
• Establecer la Planificación del Proyecto
Fase II: Conocimiento de los Procesos de Negocio de la
Organización y Análisis de riesgos
• Objetivos
• Entender la organización mediante la identificación de productos y servicios clave, así como
las actividades y recursos críticos que los soportan.
• Estimar el impacto y las consecuencias de los posibles fallos en esas actividades y recursos
críticos.
• Identificar y valorar los riesgos que podrían interrumpir la entrega de los productos y
servicios de la empresa, así como de los recursos sobre los que están soportados.
• Adicionalmente, la externalización de determinados servicios u operaciones abre un nuevo
ámbito de gestión, ya que es frecuente que la responsabilidad de continuidad de negocio para
los servicios externalizados no sea transferida al proveedor o tercero.
Fase II: Conocimiento de los Procesos de Negocio de la Organización y Análisis de
riesgos
Violación de
confidencialidad
Pérdida de información
crítica
Lentitud de los procesos
Alteración de datos
Falla de Sistemas
Ejercicio 2
Problemas Causas posibles Estrategia de tratamiento
Interrupción del Servicio Corte de energía Inst. equipo UPS y Grupo generador
Caída del Sistema
Falla de equipos
RECURSOS CRÍTICOS
ACTIVIDADES CRÍTICAS Tiempo máximo permitido de
Información obtenida 1.Responsable de recursos
1.Comercialización de interrupción (MTD): 1 mes
de los responsables y humanos
productos IMPACTO
conocedores de las 2.Tecnología: aplicación que
2.Gestión de nóminas
actividades de la genera la nómina
3.Facturación Retraso en la elaboración de las
Organización 3.Archivos en papel con los
4.Gestión de pedidos nóminas
salarios de los empleados
5. … Descontento de los empleados
4.…
Fase II: Conocimiento de los Procesos de Negocio de la Organización y Análisis de
riesgos
Existen dos parámetros muy específicos que están estrechamente relacionados con
la recuperación:
El Tiempo de Recuperación (RTO) establece la urgencia que las diferentes unidades
de negocio precisan para volver a su funcionamiento habitual.
Por tanto, se trata de identificar el orden en que hay que tratar de reconstruir la actividad,
recuperando antes aquellos procesos cuya paralización suponen un mayor impacto para la
organización
El Punto de Recuperación Objetivo (RPO) se refiere al punto más reciente en el
tiempo en el que los sistemas pueden ser recuperados, reflejando por tanto cuánta
es la cantidad de información que una organización puede permitirse perder sin
que le afecte negativamente.
Por tanto, el RPO determina la periodicidad con la que deben salvaguardarse los datos para todos
aquellos procesos de negocio.
Fase II: Conocimiento de los Procesos de Negocio de la
Organización y Análisis de riesgos
•Análisis de Riesgos
• ¿Con qué probabilidad puede ocurrir un desastre o una interrupción severa de mis
servicios o actividades críticas?
• El análisis de riesgos consiste en identificar las amenazas sobre estos activos y su
probabilidad de ocurrencia, las vulnerabilidades asociadas a cada activo y el impacto que
las citadas amenazas pueden provocar sobre la disponibilidad de los mismos.
• Identificar activos de Información
• Identificar y evaluar las amenazas sobre los activos identificados previamente y su probabilidad
de que sucedan.
• Identificar y valorar las vulnerabilidades o debilidades asociadas a los activos, las cuales pueden
ser explotadas por las amenazas.
• Valorar el impacto resultante de que una amenaza se aproveche de una vulnerabilidad del activo
y provoque daño sobre el mismo.
• Calcular el riesgo como la probabilidad de que se produzca un impacto determinado en la
organización.
Auditoria del Plan de Continuidad de
Negocios
1. Diseño del plan y Política de Continuidad
2. Conocimiento de la Organización y Análisis de riesgos
3. Medidas Preventivas
4. Estrategia de recuperación
5. Desarrollo e implantación del Plan
6. Mantenimiento del Plan
Etapas de un Plan de Continuidad de
Negocios
Gestión de la Continuidad de Negocios
CONSULTAS
Ejercicio
• Su familia posee un Mini Supermercado donde usted es el Gerente. Después de asistir a una charla decide que su
empresa necesita un Plan de continuidad de negocio, que los prepare para la eventualidad de un desastre.
• El Mini supermercado tiene la siguientes características:
• Existe un departamento de informática que procesa la información de las operaciones de los siguientes
procesos:
• Ventas (gestión de cajas)
• Adquisiciones y Existencias
• Personal y Remuneraciones
• Cuentas por pagar y cuentas por cobrar
• Gestión de activo fijo
• Se solicita desarrollar un Plan de continuidad de negocios para la Empresa, siguiendo la pauta vista en clase.
• El trabajo se puede realizar en grupos de hasta tres alumnos.
• En la clase siguiente se resolverán las dudas y en la clase subsiguiente se entrega el trabajo en papel.