Modelos de madurez en Business Continuity

Transcripción

Modelos de madurez en Business Continuity Management paso a paso hacia la excelencia
h i l
l i
Sesión 223 ‐
ó
Octubre 2011
b
Álvaro Rodríguez de Roa Gómez
[email protected]
Agenda
1.
Introducción y Contexto Actual.
2.
Mejores Prácticas en Gestión de Continuidad de Negocio y cómo llevar a cabo un Gap Analysis / Diagnóstico en BCM.
3.
Modelo de Madurez en 5 niveles para la excelencia: Alcance, Metodología, Informe.
4
4.
¿Como progresar? Plan de Acción Metodologías de Mejora Continua
¿Como progresar? Plan de Acción. Metodologías de Mejora Continua. 5.
Conclusiones y Feedback.
1. Introducción y Contexto 1
I t d ió C t t
Actual
Business Continuity
Introducción
1.
2.
En una situación económico – social compleja como la que vivimos actualmente, donde
los mercados viven a diario situaciones de incertidumbre, las empresas buscan nuevas
fórmulas y desafíos que les permitan no sólo seguir siendo competitivas sino su propia
supervivencia, y donde fenómenos puntuales (Ej. catástrofes naturales, vuelcos en los
mercados de valores, ataques terroristas o Cyber terroristas, etc.), pueden hacer que
toda medida preventiva sea insuficiente ante eventos “no controlados” de estas
características y que una compañía pueda sufrir un impacto importante en sus
actividades pudiendo alcanzar incluso el final de las mismas.
Podemos afirmar que… ¿cualquier organización, en algún instante de tiempo, se deberá
enfrentar a una situación anómala q
que amenace su actividad?
(1) En la presentación nos referiremos al acrónimo BCM cuando hablemos de Gestión de Continuidad de Negocio
Algunas Situaciones para reflexionar
1
1.
11 de septiembre 2001, los ataques contra el World Trade Center y el Pentágono
2.
Guerra en Libia ‐2011 y movimientos y Guerra
en Libia 2011 y movimientos y
oleadas de Disturbios en Oriente Medio
1
1.
2.
Ataques de Hackers: El más reciente, Ataques
de Hackers: El más reciente
al FMI según el New York Times en el cual según información señalan vinculación con algún gobierno extranjero, pues los datos sustraídos serían vitales para algún servicio de p
g
inteligencia.
Anonymous, etc…
3.
Derivados enturbian el sistema Derivados
enturbian el sistema
bancario mundial y los mercados financieros;
El incumplimiento de Lehman Brothers y la venta o liquidación de Bear Stearns;
Bear Stearns;
30% de caída en el precio de la vivienda EE.UU.;
2003 Ola de calor en Europa (40.000 muertes);
2004 Tsunami en Sumatra, Indonesia (230.000 muertes);
2005 Terremoto de Cachemira y Pakistán (80.000 muertes)
2008 ciclón Myanmar (140.000 muertes);
2008 terremoto de Sichuan China (68 000
2008 terremoto de Sichuan, China (68.000 muertes)
2011 Terremoto y Tsunami en Japón
2010 Terremoto de Haití (315.000 muertes)
2010 Derrame BP en el Golfo de México
2011 Rescates en Europa: Grecia, Portugal, Irlanda Italia? España?
Irlanda… Italia? España?
Contexto
1.
Cuando hablamos de manera general de Continuidad de Negocio o de Continuidad de
p
Planes de Continuidad de Negocio,
g
del anglicismo
g
Business
la Actividad Empresarial,
Continuity…, etc., y de sus conceptos y terminología asociada, estamos repasando
fundamentos clásicos que han convivido siempre tanto en el contexto económico ‐
social a lo largo de diferentes generaciones (1)
2
2.
“Continuidad
“C
ti id d de
d Negocio”
N
i ” es un concepto
t amplio
li que abarca
b
t d los
todos
l sectores
t
d
de
Negocio, y todas las líneas de actividad (no solo las referidas a “Disaster Recovery”
desde el punto de vista de TI). A pesar de su existencia anterior, desde el 11 de
Septiembre de 2001, se puso un mayor énfasis y los Planes de Continuidad de Negocio
cobraron mayor importancia abarcando una mayor cobertura inicialmente a Compañías
del Sector Financiero y a sus empresas relacionadas y es en este sector de actividad
donde hasta la fecha en día tiene su mayor difusión y aplicación.
Pero, realmente, ¿qué entendemos por Continuidad de Negocio?
(1) En la presentación nos referiremos al acrónimo BCM cuando hablemos de Gestión de Continuidad de Negocio
Definición
P
Proceso
d gestión
de
tió holístico
h lí ti que identifica
id tifi impactos
i
t potenciales
t i l que amenazan
a la organización y que nos proporciona un marco de trabajo para desarrollar
resiliencia y una capacidad de respuesta efectiva, salvaguardando los intereses
de diferentes aspectos de la organización.
organización
El concepto abarca tanto el
establecimiento de herramientas para mejorar la capacidad en la gestión eficaz
de los incidentes de seguridad, como la definición de buenas prácticas de
gestión de incidentes y de continuidad del negocio que contemplen políticas,
políticas
recursos y procedimientos de seguridad específicos
EN RESUMEN DESASTRE = PELIGRO + OPORTUNIDAD
Algunos conceptos clave
Algunos conceptos clave Incidente: Situación que pudiera ser o podría redundar en una interrupción de
negocio, pérdida, emergencia o crisis.
Interrupción: Acontecimiento ya sea previsto o imprevisto que causa una
interrupción negativa no planificada respecto a la espera entregada de
productos o servicios según los objetivos de la organización.
Amenaza: Evento que puede desencadenar un incidente en la organización
produciendo daños o p
p
pérdidas en la infraestructura.
Riesgo: Posibilidad que una amenaza se materialice.
Vulnerabilidad: Debilidad de los sistemas o los recursos, la cuál puede ser
p
por las amenazas existentes.
p
explotada
Algunos conceptos clave: BIA ‐ 1
Algunos conceptos clave: BIA Análisis de Impacto en el Negocio (Business Impact Analysis):
Las funciones de análisis en el negocio y el efecto que una
interrupción podría tener en dichas funciones (coste
económico, cualitativo o mixto), como resultado de un
desastre o interrupción en un servicio. Para realizar dicho
análisis el BIA tiene que identificar al menos los 5 atributos
descritos a continuación.
Algunos conceptos clave: BIA Procesos críticos de negocio
B
BIA
Las pérdidas o el daño potencial que causaría la interrupción de los procesos críticos
El personal, habilidades, instalaciones y servicios (incluidos los TI) necesarios para permitir que el proceso de negocio siga operando a un nivel mínimo aceptable
proceso de negocio siga operando a un nivel mínimo aceptable
El tiempo en el cuál se pueden recuperar unos niveles mínimos de personal, instalaciones y servicios
El tiempo en el cuál se pueden recuperar, al nivel requerido por el proceso de negocio, el personal, las i t l i
instalaciones y los servicios
l
i i
Con esta información, se puede realizar un mapeo
entre los diferentes elementos de entrada y los l dif
l
d
d l
procesos críticos de negocio para ir dando los primeros pasos en la gestión de continuidad de negocio
Algunos conceptos clave: BIA Alto
The image cannot be display ed. Your computer may not hav e enough memory to open the image, or the image may hav e been corrupted. Restart y our computer, and then open the file again. If the red x still appears, y ou may hav e to delete the image and then insert it again.
Impacto alto, probabilidad baja
Impacto alto, probabilidad alta
‐ Mitigar (
Mitigar (*)) ‐ Evitar
‐ Eliminar inmediatamente
‐ Transferir
Área de actividad tradicional de la BCM
Im
mpacto
Impacto bajo, probabilidad baja
Impacto bajo, probabilidad alta
‐ Aceptar
‐ Revisar periódicamente
Revisar periódicamente
‐ Reducir, Evitar, Transferir, Medidas preventivas
p
Bajjo
Área Tradicional
Gestión de Riesgos
Baja
Probabilidad
Alta
2. Mejores Prácticas en Gestión de Continuidad de Negocio y cómo g
y
llevar a cabo un Gap Analysis / Diagnóstico en BCM
Diagnóstico en BCM.
Business Continuity
Contexto
•
Existen multitud de estándares y buenas prácticas relacionadas con el
mundo de la continuidad de negocio, especialmente en el sector TI.
•
Se ha aprobado hace 7 meses la Norma ISO 27031 “Continuidad TI”., se
va a aprobar la ISO 22301 (previsiblemente en octubre) “Requisitos
Requisitos para
un Sistema de Gestión de la Continuidad” que sustituirá a la actual ISO
22399, a la BS25999 y a la UNE 71599.
•
No obstante,
obstante parece que sigue existiendo una carencia entre este tipo
de estándares quizás más operativos y su foco con el verdadero Negocio
= (€ / $)
¿ Y normas y guías relacionadas con Business Continuity?
B i
C i i ?
BS25999‐
1 y 2
ISO 27031
ISO 22301
Guías BCI, DRI
UNE 71599
NIST
Referencias a BC en otras normas: Ejemplo 1: ISO 20000 (vs. 2011)
Ejemplo 1: ISO 20000 (vs. 2011)
6.3 Gestión de la continuidad y disponibilidad del Servicio.
6.3.1. Requisitos de la continuidad y disponibilidad del Servicio.
El p
proveedor del servicio debe evaluar y documentar los riesgos
g sobre disponibilidad
p
y continuidad de los servicios. El p
proveedor del
servicio debe identificar y acordar con los clientes y partes interesadas los requisitos de continuidad y disponibilidad del servicio. Los
requisitos acordados deben tener en cuenta los planes de negocio aplicables, requisitos de los servicios, SLA y riesgos. Los requisitos
de continuidad y disponibilidad del servicio deben incluir al menos: a) Derechos de acceso a los servicios; b) Tiempos de respuesta de
los servicios; c) Disponibilidad extremo a extremo de los servicios.
6.3.2. Planes de la continuidad y disponibilidad.
El proveedor del servicio debe crear, implementar y mantener un plan de continuidad de servicio y un plan de disponibilidad. Los
cambios a estos planes deben ser controlados por el proceso de gestión de cambios. Los planes de continuidad del servicio, las listas
de contactos y la CMDB deben estar accesibles cuando no sea posible el acceso a las ubicaciones normales de los servicios. El plan
debe incluir al menos los requisitos de disponibilidad y los objetivos. El proveedor del servicio debe evaluar el impacto de las
peticiones de cambio en los planes de continuidad de servicio y en los planes de disponibilidad.
6.3.3. Monitorización y prueba de la continuidad y disponibilidad del servicio.
Se debe monitorizar la disponibilidad de los servicios, registrar los resultados y compararlos con los objetivos. Se deben investigar las
indisponibilidades no planificadas y tomar las acciones necesarias. Se deben probar los planes de continuidad de servicio contra los
requisitos de continuidad de servicio. Los planes de disponibilidad se deben probar contra los requisitos de disponibilidad. Los planes
de continuidad y disponibilidad del servicio se deben volver a probar tras cambios significativos. Los resultados de las pruebas deben
ser registrados y se deben realizar revisiones tras cada prueba.
N
E
G
O
C
I
O
I
N
F
R
A
E
S
T
R
U
C
T
U
R
A
9
9
9
9
9
9
Referencias en otras normas y modelos Ejemplo: Cobit 4.1.
Ejemplo: Cobit 4.1. 1.
2.
Entregar y Dar Soporte:
•
DS4 Garantizar la continuidad del servicio: La necesidad de brindar
continuidad en los servicios de TI requiere desarrollar,
desarrollar mantener y probar
planes de continuidad de TI, almacenar respaldos fuera de las instalaciones
y entrenar de forma periódica sobre los planes de continuidad.
Modelo de madurez Optimizado cuando: El plan de continuidad de TI está
integrado con los planes de continuidad del negocio y se le da mantenimiento
de manera rutinaria
Referencias en otras normas y modelos Ejemplo: Cobit 4.1.
Ejemplo: Cobit 4.1. 3.
Y además en:
•
P06. Comunicar las Aspiraciones y la Dirección de la Gerencia: Garantizar que los
servicios
i i e infraestructura
i f
d TI (ID) pueden
de
d resistir
i i y recuperarse de
d fallas
f ll debidas
d bid a
errores, ataques o desastres.
•
AI7. Instalar y Acreditar Soluciones y Cambios: (ID) pueden resistir apropiadamente y
recuperarse de fallas por errores, ataques deliberados o desastres.
•
DS5. Garantizar la Seguridad de los Sistemas: (ID) pueden resistir y recuperarse de fallas
originadas por un error, ataque deliberado o desastre.
•
DS12. Administración del Ambiente Físico: (ID) puede resistir y recuperarse de forma
apropiada de
•
fallas ocasionadas por un error, ataque deliberado o desastre.
•
DS13. Administración de Operaciones: (ID) puedan resistir y recuperarse de fallas
ocasionadas por errores, ataques deliberados o desastres.
•
ME2. Monitorear y Evaluar el Control Interno: (ID) pueden resistir y recuperarse
apropiadamente de fallas debidas a error, ataque deliberado o desastre.
Ejemplo 3: ISO 27001 (vs. 2011)
Objetivo de Control A.14. de la Norma, persigue el contrarrestar
interrupciones en las actividades empresariales y en los
procesos críticos de negocio derivados de fallos importantes en
los sistemas de información y garantizar su reanudación
Ejemplo 3: ISO 27001 (vs. 2011)
14.1.1 Proceso de gestión de continuidad de negocio: Implementar un proceso para el
desarrollo y mantenimiento de la continuidad de negocio en la organización orientado a los
requerimientos de seguridad de la información necesarios para la continuidad de negocio
de la organización.
14.1.2 Continuidad de negocio y valoración de riesgo: Identificar los eventos que pueden
causar interrupciones a procesos de negocio, así como la probabilidad e impacto de las
interrupciones y sus consecuencias.
14.1.3 Desarrollar e implantar planes de continuidad que incluyan la seguridad de la
información.
información
14.1.4 Marco para la planificación de la continuidad del negocio: Mantener un solo marco
para los planes de continuidad de los negocios para garantizar que sean uniformes e
identificar prioridades para las pruebas y mantenimiento.
14.1.5 Pruebas, mantenimiento y re‐evaluación de los planes de continuidad de negocio
¿Qué es un Gap Analisys?
¿Qué es un Gap Analisys?
•
Dos preguntas: "¿Dónde estamos?" y "¿Dónde queremos estar?"
¿Dónde queremos estar?
GAP
MEJORA
Objetivo 1
j
Objetivo 2
j
Objetivo 3
j
Si no hacemos nada… TIEMPO
¿Qué es un Gap Analisys en Continuidad de Negocio?
i id d d
i ?
Es un diagnóstico o estudio del estado actual en el que se encuentra una
organización contra un estándar y/o buena práctica en materia de
continuidad de negocio y/o requisitos corporativos.
P
Permite
it cuantificar
tifi
ell nivel
i l de
d cumplimiento
li i t y de
d madurez
d
d la
de
l
organización respecto la norma o práctica de referencia y proponer los
pasos a seguir con objeto de aumentar su nivel de cumplimiento,
chequear el grado de madurez de los mismos, los controles existentes en
materia de BCM e identificar la existencia de riesgos que puedan afectar a
la interrupción de la actividad y minimizar sus impactos en caso de su
materialización.
Con esta información, se puede saber dónde está una organización AHORA y dónde quiere estar en el FUTURO en materia de BCM
¿Cómo llevar a cabo un Gap Análisis en Continuidad de Negocio?
C i id d d N
i ?
Check Lists
• Simples.
Simples
• Mixtas.
• Asociadas a uno o varios. estándares, buenas prácticas …
• Con y sin recomendaciones de mejora, etc…
Diagnósticos Asociados a Modelos de Madurez
Diagnósticos
• Diagnósticos más complejos.
• Cuantitativos.
• Cualitativos. Cualitativos
• Mixtos. • Con recomendaciones asociadas a fórmulas e indicadores, etc…
• Estudio de la situación actual frente a los estándares de
frente a los estándares de Continuidad de Negocio.
• Basado en modelos de madurez.
Diagnósticos Segmentados
Diagnósticos Segmentados
• Segmentados por área o por objetivos de la organización.
• Asociados a Planes Directores.
• Mixtos con otras normas relacionadas (Ej ISO 27001 etc )
relacionadas (Ej. ISO 27001, etc.)
Primeros Pasos
Primeros Pasos
Actividades
Semana 1
Semana 2
Semana 3
Semana 4
Semana 5
Semana 6
Planificación y Ejecución del GAP
Reunión con la Dirección y Cierre del Alcance Análisis de la situación actual y modelo o normas de referencia
Desarrollo del Gap Análisis: Análisis detallado de la situación actual con respecto a los procesos existentes y su grado de implantación para evaluar el nivel de madurez respecto a los requisitos. Elaboración, cierre y presentación del I f
Informe a la Dirección
l Di
ió
Kick off
Kick off
Entrevistas (estimativo)
(….)
Reunión de Cierre e Informe
Entrevistas y reuniones (estimativo)
Reuniones clave, feedback a la dirección y Presentación de resultados
Presentación del informe y /o propuesta del Plan de Acción en su caso.
Modelos de Informe ‐ Check List Simple ‐
h k i i l
BS 25999 Req.
4.0
4.1
42
4.2
4.2.1
Characteristic
Business Continuity Management General Requirements
Has the organization developed, implemented, maintained and continually improved its documented BUSINESS CONTINUITY MANAGEMENT in accordance with 4.2 to 4.4?
Establishing and Managing the BUSINESS CONTINUITY MANAGEMENT SYSTEM
Establishing and Managing the BUSINESS CONTINUITY MANAGEMENT SYSTEM
Has the organization established:
requirements for business continuity taking into account organization objectives, obligations and legal duties;
business continuity objectives and plans;
the scope of business continuity in terms of products and services?
4.2.2
4.2.3
4.2.3.1
4.2.3.2
Has the organization assured itself that key suppliers and outsource partners have effective BUSINESS CONTINUITY MANAGEMENT arrangements in place?
BUSINESS CONTINUITY MANAGEMENT Policy
Has top management established and demonstrated its commitment to a BUSINESS CONTINUITY MANAGEMENT policy?
Does the BUSINESS CONTINUITY MANAGEMENT policy include or make reference to:
the objectives of business continuity within the organization;
the scope of business continuity, including limitations and exclusions
Yes
No
Specific comments regarding deficiencies/ effectiveness
deficiencies/ effectiveness
Modelos de Informe ‐ Check List Aplicación Modelos Madurez ‐
h k i
li ió
d l
d
Herramienta Diagnóstico Modelos Madurez d l
d
¿Conectamos?
www.bcmgroup.es 3. Modelo de Madurez en 5 niveles para la excelencia: Alcance, l
l i Al
Metodología, Informe.
g
Business Continuity
Modelo de Madurez en BCM: Á
Áreas y Secciones
i
•
El modelo que se describe a continuación, soportado a través de una herramienta informática en soporte
Web contiene un conjunto de prácticas o procesos clave agrupados en Áreas Clave de Proceso.
Web,
Proceso Para cada
área de proceso define un conjunto de buenas prácticas divididas en áreas o secciones siguiendo la
siguiente estructura:
1) POLÍTICA
4) PLANIFICACIÓN
Aborda la creación, contenido y mantenimiento de una política de continuidad de negocio
2) ORGANIZACIÓN
Nivel de personas (funciones y (
responsabilidades), control de documentación y registros, y gestión de proyectos relacionados con BC
3) DETERMINACIÓN DE LOS REQUISITOS
De continuidad de Negocio en la Organización
Etapa de la BCM que cubre los Etapa
de la BCM que cubre los
objetivos, los planes de trabajo y la provisión de recursos
Áreas / Áreas
/
Secciones en materia de BC
5) RESPUESTA A INCIDENTES
)
Acciones a seguir en caso de producirse un incidente: determinación de estrategias, comunicación y estructura de respuesta a incidentes.
6) MANTENIMIENTO Y MEJORA
Pruebas a los planes de continuidad, auditorías internas, gestión de no conformidades…
Modelo de Madurez en BCM: Relación entre Secciones y Niveles
l ó
l
•
Cada una de las secciones, se encuentra dividida en sub. secciones y cada una de estas cubre un aspecto
relacionado con la gestión de la continuidad de negocio.
negocio A su vez,
vez cada una de las sub.
sub secciones,
secciones tiene un
número de preguntas asociadas. Cada una de las preguntas, se encuentra relacionada con un nivel de
madurez, de modo que pueden existir una o varias preguntas dentro de cada sub. sección relacionadas
con cada nivel de madurez.
MODELOS DE MADUREZ EN BC
SECCIONES
SECCIONES SUBSECCIONES
PREGUNTAS ASOCIADAS A
NIVELES DE MADUREZ (5)
Modelo de Madurez en BCM: 5 Niveles y Relación con Áreas y Secciones
i l
l ió
Á
i
GAP ANALISIS DE LA SITUACION DE PARTIDA Nivel 1
OPERATIVO
Nivel 5
PERFECCIONADO
Nivel 2 TÁCTICO
Nivel 4
EFICIENTE
Nivel 3 ESTRATÉGICO
Modelo de Madurez en BCM: Evolución y mejora hacia la excelencia
l ió
j
h i l
l i
NIVEL 1
OPERATIVO
Se llevan a cabo algunas acciones preventivas, con objeto de poder tomar medidas en caso de contingencia. No existen planes de actuación
planes de actuación específicos definidos en caso de contingencia.
NIVEL 2
NIVEL 3
NIVEL 4
NIVEL
4
EFICIENTE
TÁCTICO
GESTIONADO
Se llevan a cabo mediciones de la efectividad y de la Existe un sistema Existen planes de gestión eficiencia del sistema de de continuidad ante relacionado con algunos escenarios gestión y de los controles y la continuidad de
la continuidad de definidos
medidas en materia de negocio
continuidad.
NIVEL 5
PERFECCIONADO
Se encuentran implantadas las mejores prácticas de la industria. Existe un sistema que se mejora anualmente y se retroalimenta con el SGCN, así como con el feedback de las partes
feedback de las partes interesadas y con los cambios de situación en el entorno que puedan afectar a la organización.
¿Trabajamos con la Herramienta?
i
?
www.bcmgroup.es
4. ¿Como progresar? Plan de A ió M t d l í d M j
Acción. Metodologías de Mejora Continua. Business Continuity
Metodología de Mejora Continua: Eliminación de Gaps en cada
Eliminación de Gaps en cada nivel de madurez
TIEMPO / MEJORAS
TIEMPO / MEJORAS
NIVEL 5
NIVEL 4: EFICIENTE
• GAP 3
NIVEL 3: GESTIONADO
• GAP 2
NIVEL 2: TÁCTICO
NIVEL 1: OPERATIVO
• GAP 1
NIVEL 0 = Inexistente
= Arranque primer GAP
= Niveles Evolutivos NIVEL DE MADUREZ
Metodología de Mejora Continua: D
Detección de Criticidad por alarmas 1/2
ió d C i i id d
l
1/2
La siguiente tabla refleja los niveles de madurez de los procesos de Gestión de Continuidad de Negocio
analizados tras la fase de diagnóstico, y una la valoración respecto a la situación de cada sección (se le han
asociado colores a modo de alarmas y como herramienta de priorización).
NIVEL
Perfeccionado
Eficiente
Gestionado
Táctico
Operativo
SECCIONES
Política
Organización
Determinación
Requisitos
Planificación
Respuesta a Monitorización y
Incidentes
Mejora
¾VERDE: La capacidad actual se ajusta a los niveles mínimos de madurez de BC de organizaciones similares en
estructura y sector.
¾AMARILLA: El nivel de madurez actual es inferior al deseado para una organización similar.
similar
¾ROJA: La madurez actual incumple los requisitos y estándares mínimos recogidos en las buenas prácticas y
normas mínimas en BC.
Metodología de Mejora Continua: G áfi
Gráfico cualitativo priorizando por colores 2/2
li i
i i d
l
2/2
Tomando como punto de partida la información anterior se identifica la criticidad (alta, media y baja) de
cada
d una de
d las
l secciones
i
o subsecciones,
b
i
evaluando
l
d ell estado
t d de
d madurez,
d
l gaps existentes,
los
i t t la
l ausencia
i
de controles, etc… Por último se establecen prioridades y planes de acción para el desarrollo de cada
sección y subsección, teniendo en cuenta tanto el nivel de madurez en comparación con el conjunto de
secciones y sus dependencias entre las mismas y la coherencia global del Sistema de Gestión de Continuidad
de Negocio
g
en la Organización.
g
Política 100%
90%
Sección
Política Organización
Determinación de Requisitos
Planificación
Respuesta a Incidentes
Monitorización y Mejora
Cumplimiento
100%
100%
100%
50%
50%
25%
80%
70%
Monitorización y Mejora
60%
50%
Organización
40%
30%
20%
10%
0%
Determinación de Requisitos
Planificación
Metodología de Mejora Continua: M i i ió d A i id d
Monitorización de Actividades
5 C l i
5. Conclusiones y Feedback. F db k
Business Continuity
Conclusiones y Feedback
Conclusiones y Feedback
1.
En una situación compleja como la que vivimos actualmente, las empresas buscan nuevas fórmulas y
desafíos que eviten un impacto importante en sus actividades (Gestión de Riesgos).
2. La GCN identifica impactos potenciales que amenazan a la organización y nos proporcionan un marco de
trabajo para desarrollar resiliencia y una capacidad de respuesta efectiva.
3. Existen diferentes herramientas y modelos para la Gestión de la Continuidad de Negocio.
4. La elaboración de un Gap Analysis como punto de partida / referencia para poder progresar en materia de
BC es crítica.
5 Existen metodología orientadas a modelos de madurez en Continuidad de Negocio,
5.
Negocio que nos permiten
avanzar hacia una mejor eficiencia por áreas y secciones, estableciendo objetivos y planes de acción
cuantitativos y cualitativos.
6. Cualquier tipo de organización puede alcanzar un nivel de madurez máximo en Continuidad de Negocio con
una adecuada gestión. Responder de modo sistemático ante incidentes.
7 Una
7.
U metodología
d l í adecuada
d
d en materia
i de
d BC,
BC nos permite
i adoptar
d
medidas
did de
d respuesta adecuadas
d
d a cada
d
incidente
8. El establecer una cultura adecuada en BC ante incidentes de seguridad nos permite minimizar los impactos
en la empresa y responder de forma más eficaz a los mismos.
9. El uso de un modelo de madurez en BC,, nos p
permite la identificación y asignación
g
de p
presupuestos
p
adecuados para la gestión de incidentes y la continuidad del negocio.
10. Utilizar la información y conocimiento obtenido en las diferentes fases del modelo de modelo de madurez en
BC, nos permite establecer métricas y realizar una mejor gestión de futuros pasos.
¡¡ GRACIAS !! GRACIAS !!
Álvaro Rodríguez de Roa Gómez
[email protected]

Modelos de madurez en Business Continuity

Transcripción

Documentos relacionados