Modelos de madurez en Business Continuity
Transcripción
Modelos de madurez en Business Continuity
Modelos de madurez en Business Continuity Management paso a paso hacia la excelencia h i l l i Sesión 223 ‐ ó Octubre 2011 b Álvaro Rodríguez de Roa Gómez [email protected] Agenda 1. Introducción y Contexto Actual. 2. Mejores Prácticas en Gestión de Continuidad de Negocio y cómo llevar a cabo un Gap Analysis / Diagnóstico en BCM. 3. Modelo de Madurez en 5 niveles para la excelencia: Alcance, Metodología, Informe. 4 4. ¿Como progresar? Plan de Acción Metodologías de Mejora Continua ¿Como progresar? Plan de Acción. Metodologías de Mejora Continua. 5. Conclusiones y Feedback. 1. Introducción y Contexto 1 I t d ió C t t Actual Business Continuity Introducción 1. 2. En una situación económico – social compleja como la que vivimos actualmente, donde los mercados viven a diario situaciones de incertidumbre, las empresas buscan nuevas fórmulas y desafíos que les permitan no sólo seguir siendo competitivas sino su propia supervivencia, y donde fenómenos puntuales (Ej. catástrofes naturales, vuelcos en los mercados de valores, ataques terroristas o Cyber terroristas, etc.), pueden hacer que toda medida preventiva sea insuficiente ante eventos “no controlados” de estas características y que una compañía pueda sufrir un impacto importante en sus actividades pudiendo alcanzar incluso el final de las mismas. Podemos afirmar que… ¿cualquier organización, en algún instante de tiempo, se deberá enfrentar a una situación anómala q que amenace su actividad? (1) En la presentación nos referiremos al acrónimo BCM cuando hablemos de Gestión de Continuidad de Negocio Algunas Situaciones para reflexionar 1 1. 11 de septiembre 2001, los ataques contra el World Trade Center y el Pentágono 2. Guerra en Libia ‐2011 y movimientos y Guerra en Libia 2011 y movimientos y oleadas de Disturbios en Oriente Medio 1 1. 2. Ataques de Hackers: El más reciente, Ataques de Hackers: El más reciente al FMI según el New York Times en el cual según información señalan vinculación con algún gobierno extranjero, pues los datos sustraídos serían vitales para algún servicio de p g inteligencia. Anonymous, etc… 3. Derivados enturbian el sistema Derivados enturbian el sistema bancario mundial y los mercados financieros; El incumplimiento de Lehman Brothers y la venta o liquidación de Bear Stearns; Bear Stearns; 30% de caída en el precio de la vivienda EE.UU.; 2003 Ola de calor en Europa (40.000 muertes); 2004 Tsunami en Sumatra, Indonesia (230.000 muertes); 2005 Terremoto de Cachemira y Pakistán (80.000 muertes) 2008 ciclón Myanmar (140.000 muertes); 2008 terremoto de Sichuan China (68 000 2008 terremoto de Sichuan, China (68.000 muertes) 2011 Terremoto y Tsunami en Japón 2010 Terremoto de Haití (315.000 muertes) 2010 Derrame BP en el Golfo de México 2011 Rescates en Europa: Grecia, Portugal, Irlanda Italia? España? Irlanda… Italia? España? Contexto 1. Cuando hablamos de manera general de Continuidad de Negocio o de Continuidad de p Planes de Continuidad de Negocio, g del anglicismo g Business la Actividad Empresarial, Continuity…, etc., y de sus conceptos y terminología asociada, estamos repasando fundamentos clásicos que han convivido siempre tanto en el contexto económico ‐ social a lo largo de diferentes generaciones (1) 2 2. “Continuidad “C ti id d de d Negocio” N i ” es un concepto t amplio li que abarca b t d los todos l sectores t d de Negocio, y todas las líneas de actividad (no solo las referidas a “Disaster Recovery” desde el punto de vista de TI). A pesar de su existencia anterior, desde el 11 de Septiembre de 2001, se puso un mayor énfasis y los Planes de Continuidad de Negocio cobraron mayor importancia abarcando una mayor cobertura inicialmente a Compañías del Sector Financiero y a sus empresas relacionadas y es en este sector de actividad donde hasta la fecha en día tiene su mayor difusión y aplicación. Pero, realmente, ¿qué entendemos por Continuidad de Negocio? (1) En la presentación nos referiremos al acrónimo BCM cuando hablemos de Gestión de Continuidad de Negocio Definición P Proceso d gestión de tió holístico h lí ti que identifica id tifi impactos i t potenciales t i l que amenazan a la organización y que nos proporciona un marco de trabajo para desarrollar resiliencia y una capacidad de respuesta efectiva, salvaguardando los intereses de diferentes aspectos de la organización. organización El concepto abarca tanto el establecimiento de herramientas para mejorar la capacidad en la gestión eficaz de los incidentes de seguridad, como la definición de buenas prácticas de gestión de incidentes y de continuidad del negocio que contemplen políticas, políticas recursos y procedimientos de seguridad específicos EN RESUMEN DESASTRE = PELIGRO + OPORTUNIDAD Algunos conceptos clave Algunos conceptos clave Incidente: Situación que pudiera ser o podría redundar en una interrupción de negocio, pérdida, emergencia o crisis. Interrupción: Acontecimiento ya sea previsto o imprevisto que causa una interrupción negativa no planificada respecto a la espera entregada de productos o servicios según los objetivos de la organización. Amenaza: Evento que puede desencadenar un incidente en la organización produciendo daños o p p pérdidas en la infraestructura. Riesgo: Posibilidad que una amenaza se materialice. Vulnerabilidad: Debilidad de los sistemas o los recursos, la cuál puede ser p por las amenazas existentes. p explotada Algunos conceptos clave: BIA ‐ 1 Algunos conceptos clave: BIA Análisis de Impacto en el Negocio (Business Impact Analysis): Las funciones de análisis en el negocio y el efecto que una interrupción podría tener en dichas funciones (coste económico, cualitativo o mixto), como resultado de un desastre o interrupción en un servicio. Para realizar dicho análisis el BIA tiene que identificar al menos los 5 atributos descritos a continuación. Algunos conceptos clave: BIA ‐ 2 Algunos conceptos clave: BIA Procesos críticos de negocio B BIA Las pérdidas o el daño potencial que causaría la interrupción de los procesos críticos El personal, habilidades, instalaciones y servicios (incluidos los TI) necesarios para permitir que el proceso de negocio siga operando a un nivel mínimo aceptable proceso de negocio siga operando a un nivel mínimo aceptable El tiempo en el cuál se pueden recuperar unos niveles mínimos de personal, instalaciones y servicios El tiempo en el cuál se pueden recuperar, al nivel requerido por el proceso de negocio, el personal, las i t l i instalaciones y los servicios l i i Con esta información, se puede realizar un mapeo entre los diferentes elementos de entrada y los l dif l d d l procesos críticos de negocio para ir dando los primeros pasos en la gestión de continuidad de negocio Algunos conceptos clave: BIA ‐ 3 Algunos conceptos clave: BIA Alto The image cannot be display ed. Your computer may not hav e enough memory to open the image, or the image may hav e been corrupted. Restart y our computer, and then open the file again. If the red x still appears, y ou may hav e to delete the image and then insert it again. The image cannot be display ed. Your computer may not hav e enough memory to open the image, or the image may hav e been corrupted. Restart y our computer, and then open the file again. If the red x still appears, y ou may hav e to delete the image and then insert it again. Impacto alto, probabilidad baja Impacto alto, probabilidad alta ‐ Mitigar ( Mitigar (*)) ‐ Evitar ‐ Eliminar inmediatamente ‐ Transferir Área de actividad tradicional de la BCM The image cannot be display ed. Your computer may not hav e enough memory to open the image, or the image may hav e been corrupted. Restart y our computer, and then open the file again. If the red x still appears, y ou may hav e to delete the image and then insert it again. Im mpacto The image cannot be display ed. Your computer may not hav e enough memory to open the image, or the image may hav e been corrupted. Restart y our computer, and then open the file again. If the red x still appears, y ou may hav e to delete the image and then insert it again. Impacto bajo, probabilidad baja Impacto bajo, probabilidad alta ‐ Aceptar ‐ Revisar periódicamente Revisar periódicamente ‐ Reducir, Evitar, Transferir, Medidas preventivas p Bajjo Área Tradicional Gestión de Riesgos Baja Probabilidad Alta 2. Mejores Prácticas en Gestión de Continuidad de Negocio y cómo g y llevar a cabo un Gap Analysis / Diagnóstico en BCM Diagnóstico en BCM. Business Continuity Contexto • Existen multitud de estándares y buenas prácticas relacionadas con el mundo de la continuidad de negocio, especialmente en el sector TI. • Se ha aprobado hace 7 meses la Norma ISO 27031 “Continuidad TI”., se va a aprobar la ISO 22301 (previsiblemente en octubre) “Requisitos Requisitos para un Sistema de Gestión de la Continuidad” que sustituirá a la actual ISO 22399, a la BS25999 y a la UNE 71599. • No obstante, obstante parece que sigue existiendo una carencia entre este tipo de estándares quizás más operativos y su foco con el verdadero Negocio = (€ / $) ¿ Y normas y guías relacionadas con Business Continuity? B i C i i ? BS25999‐ 1 y 2 ISO 27031 ISO 22301 Guías BCI, DRI UNE 71599 NIST Referencias a BC en otras normas: Ejemplo 1: ISO 20000 (vs. 2011) Ejemplo 1: ISO 20000 (vs. 2011) 6.3 Gestión de la continuidad y disponibilidad del Servicio. 6.3.1. Requisitos de la continuidad y disponibilidad del Servicio. El p proveedor del servicio debe evaluar y documentar los riesgos g sobre disponibilidad p y continuidad de los servicios. El p proveedor del servicio debe identificar y acordar con los clientes y partes interesadas los requisitos de continuidad y disponibilidad del servicio. Los requisitos acordados deben tener en cuenta los planes de negocio aplicables, requisitos de los servicios, SLA y riesgos. Los requisitos de continuidad y disponibilidad del servicio deben incluir al menos: a) Derechos de acceso a los servicios; b) Tiempos de respuesta de los servicios; c) Disponibilidad extremo a extremo de los servicios. 6.3.2. Planes de la continuidad y disponibilidad. El proveedor del servicio debe crear, implementar y mantener un plan de continuidad de servicio y un plan de disponibilidad. Los cambios a estos planes deben ser controlados por el proceso de gestión de cambios. Los planes de continuidad del servicio, las listas de contactos y la CMDB deben estar accesibles cuando no sea posible el acceso a las ubicaciones normales de los servicios. El plan debe incluir al menos los requisitos de disponibilidad y los objetivos. El proveedor del servicio debe evaluar el impacto de las peticiones de cambio en los planes de continuidad de servicio y en los planes de disponibilidad. 6.3.3. Monitorización y prueba de la continuidad y disponibilidad del servicio. Se debe monitorizar la disponibilidad de los servicios, registrar los resultados y compararlos con los objetivos. Se deben investigar las indisponibilidades no planificadas y tomar las acciones necesarias. Se deben probar los planes de continuidad de servicio contra los requisitos de continuidad de servicio. Los planes de disponibilidad se deben probar contra los requisitos de disponibilidad. Los planes de continuidad y disponibilidad del servicio se deben volver a probar tras cambios significativos. Los resultados de las pruebas deben ser registrados y se deben realizar revisiones tras cada prueba. Referencias a BC en otras normas: Ejemplo 1: ISO 20000 (vs. 2011) N E G O C I O I N F R A E S T R U C T U R A 9 9 9 9 9 9 Referencias en otras normas y modelos Ejemplo: Cobit 4.1. Ejemplo: Cobit 4.1. 1. 2. Entregar y Dar Soporte: • DS4 Garantizar la continuidad del servicio: La necesidad de brindar continuidad en los servicios de TI requiere desarrollar, desarrollar mantener y probar planes de continuidad de TI, almacenar respaldos fuera de las instalaciones y entrenar de forma periódica sobre los planes de continuidad. Modelo de madurez Optimizado cuando: El plan de continuidad de TI está integrado con los planes de continuidad del negocio y se le da mantenimiento de manera rutinaria Referencias en otras normas y modelos Ejemplo: Cobit 4.1. Ejemplo: Cobit 4.1. 3. Y además en: • P06. Comunicar las Aspiraciones y la Dirección de la Gerencia: Garantizar que los servicios i i e infraestructura i f d TI (ID) pueden de d resistir i i y recuperarse de d fallas f ll debidas d bid a errores, ataques o desastres. • AI7. Instalar y Acreditar Soluciones y Cambios: (ID) pueden resistir apropiadamente y recuperarse de fallas por errores, ataques deliberados o desastres. • DS5. Garantizar la Seguridad de los Sistemas: (ID) pueden resistir y recuperarse de fallas originadas por un error, ataque deliberado o desastre. • DS12. Administración del Ambiente Físico: (ID) puede resistir y recuperarse de forma apropiada de • fallas ocasionadas por un error, ataque deliberado o desastre. • DS13. Administración de Operaciones: (ID) puedan resistir y recuperarse de fallas ocasionadas por errores, ataques deliberados o desastres. • ME2. Monitorear y Evaluar el Control Interno: (ID) pueden resistir y recuperarse apropiadamente de fallas debidas a error, ataque deliberado o desastre. Referencias a BC en otras normas: Ejemplo 3: ISO 27001 (vs. 2011) Ejemplo 3: ISO 27001 (vs. 2011) Objetivo de Control A.14. de la Norma, persigue el contrarrestar interrupciones en las actividades empresariales y en los procesos críticos de negocio derivados de fallos importantes en los sistemas de información y garantizar su reanudación Referencias a BC en otras normas: Ejemplo 3: ISO 27001 (vs. 2011) Ejemplo 3: ISO 27001 (vs. 2011) 14.1.1 Proceso de gestión de continuidad de negocio: Implementar un proceso para el desarrollo y mantenimiento de la continuidad de negocio en la organización orientado a los requerimientos de seguridad de la información necesarios para la continuidad de negocio de la organización. 14.1.2 Continuidad de negocio y valoración de riesgo: Identificar los eventos que pueden causar interrupciones a procesos de negocio, así como la probabilidad e impacto de las interrupciones y sus consecuencias. 14.1.3 Desarrollar e implantar planes de continuidad que incluyan la seguridad de la información. información 14.1.4 Marco para la planificación de la continuidad del negocio: Mantener un solo marco para los planes de continuidad de los negocios para garantizar que sean uniformes e identificar prioridades para las pruebas y mantenimiento. 14.1.5 Pruebas, mantenimiento y re‐evaluación de los planes de continuidad de negocio ¿Qué es un Gap Analisys? ¿Qué es un Gap Analisys? • Dos preguntas: "¿Dónde estamos?" y "¿Dónde queremos estar?" ¿Dónde queremos estar? GAP MEJORA Objetivo 1 j Objetivo 2 j Objetivo 3 j Si no hacemos nada… TIEMPO ¿Qué es un Gap Analisys en Continuidad de Negocio? i id d d i ? Es un diagnóstico o estudio del estado actual en el que se encuentra una organización contra un estándar y/o buena práctica en materia de continuidad de negocio y/o requisitos corporativos. P Permite it cuantificar tifi ell nivel i l de d cumplimiento li i t y de d madurez d d la de l organización respecto la norma o práctica de referencia y proponer los pasos a seguir con objeto de aumentar su nivel de cumplimiento, chequear el grado de madurez de los mismos, los controles existentes en materia de BCM e identificar la existencia de riesgos que puedan afectar a la interrupción de la actividad y minimizar sus impactos en caso de su materialización. Con esta información, se puede saber dónde está una organización AHORA y dónde quiere estar en el FUTURO en materia de BCM ¿Cómo llevar a cabo un Gap Análisis en Continuidad de Negocio? C i id d d N i ? Check Lists • Simples. Simples • Mixtas. • Asociadas a uno o varios. estándares, buenas prácticas … • Con y sin recomendaciones de mejora, etc… Diagnósticos Asociados a Modelos de Madurez Diagnósticos • Diagnósticos más complejos. • Cuantitativos. • Cualitativos. Cualitativos • Mixtos. • Con recomendaciones asociadas a fórmulas e indicadores, etc… • Estudio de la situación actual frente a los estándares de frente a los estándares de Continuidad de Negocio. • Basado en modelos de madurez. Diagnósticos Segmentados Diagnósticos Segmentados • Segmentados por área o por objetivos de la organización. • Asociados a Planes Directores. • Mixtos con otras normas relacionadas (Ej ISO 27001 etc ) relacionadas (Ej. ISO 27001, etc.) Primeros Pasos Primeros Pasos Actividades Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6 Planificación y Ejecución del GAP Reunión con la Dirección y Cierre del Alcance Análisis de la situación actual y modelo o normas de referencia Desarrollo del Gap Análisis: Análisis detallado de la situación actual con respecto a los procesos existentes y su grado de implantación para evaluar el nivel de madurez respecto a los requisitos. Elaboración, cierre y presentación del I f Informe a la Dirección l Di ió Kick off Kick off Entrevistas (estimativo) (….) Reunión de Cierre e Informe Entrevistas y reuniones (estimativo) Reuniones clave, feedback a la dirección y Presentación de resultados Presentación del informe y /o propuesta del Plan de Acción en su caso. Modelos de Informe ‐ Check List Simple ‐ h k i i l BS 25999 Req. 4.0 4.1 42 4.2 4.2.1 Characteristic Business Continuity Management General Requirements Has the organization developed, implemented, maintained and continually improved its documented BUSINESS CONTINUITY MANAGEMENT in accordance with 4.2 to 4.4? Establishing and Managing the BUSINESS CONTINUITY MANAGEMENT SYSTEM Establishing and Managing the BUSINESS CONTINUITY MANAGEMENT SYSTEM Has the organization established: requirements for business continuity taking into account organization objectives, obligations and legal duties; business continuity objectives and plans; the scope of business continuity in terms of products and services? 4.2.2 4.2.3 4.2.3.1 4.2.3.2 Has the organization assured itself that key suppliers and outsource partners have effective BUSINESS CONTINUITY MANAGEMENT arrangements in place? BUSINESS CONTINUITY MANAGEMENT Policy Has top management established and demonstrated its commitment to a BUSINESS CONTINUITY MANAGEMENT policy? Does the BUSINESS CONTINUITY MANAGEMENT policy include or make reference to: the objectives of business continuity within the organization; the scope of business continuity, including limitations and exclusions Yes No Specific comments regarding deficiencies/ effectiveness deficiencies/ effectiveness Modelos de Informe ‐ Check List Aplicación Modelos Madurez ‐ h k i li ió d l d Herramienta Diagnóstico Modelos Madurez d l d ¿Conectamos? www.bcmgroup.es 3. Modelo de Madurez en 5 niveles para la excelencia: Alcance, l l i Al Metodología, Informe. g Business Continuity Modelo de Madurez en BCM: Á Áreas y Secciones i • El modelo que se describe a continuación, soportado a través de una herramienta informática en soporte Web contiene un conjunto de prácticas o procesos clave agrupados en Áreas Clave de Proceso. Web, Proceso Para cada área de proceso define un conjunto de buenas prácticas divididas en áreas o secciones siguiendo la siguiente estructura: 1) POLÍTICA 4) PLANIFICACIÓN Aborda la creación, contenido y mantenimiento de una política de continuidad de negocio 2) ORGANIZACIÓN Nivel de personas (funciones y ( responsabilidades), control de documentación y registros, y gestión de proyectos relacionados con BC 3) DETERMINACIÓN DE LOS REQUISITOS De continuidad de Negocio en la Organización Etapa de la BCM que cubre los Etapa de la BCM que cubre los objetivos, los planes de trabajo y la provisión de recursos Áreas / Áreas / Secciones en materia de BC 5) RESPUESTA A INCIDENTES ) Acciones a seguir en caso de producirse un incidente: determinación de estrategias, comunicación y estructura de respuesta a incidentes. 6) MANTENIMIENTO Y MEJORA Pruebas a los planes de continuidad, auditorías internas, gestión de no conformidades… Modelo de Madurez en BCM: Relación entre Secciones y Niveles l ó l • Cada una de las secciones, se encuentra dividida en sub. secciones y cada una de estas cubre un aspecto relacionado con la gestión de la continuidad de negocio. negocio A su vez, vez cada una de las sub. sub secciones, secciones tiene un número de preguntas asociadas. Cada una de las preguntas, se encuentra relacionada con un nivel de madurez, de modo que pueden existir una o varias preguntas dentro de cada sub. sección relacionadas con cada nivel de madurez. MODELOS DE MADUREZ EN BC SECCIONES SECCIONES SUBSECCIONES PREGUNTAS ASOCIADAS A NIVELES DE MADUREZ (5) Modelo de Madurez en BCM: 5 Niveles y Relación con Áreas y Secciones i l l ió Á i GAP ANALISIS DE LA SITUACION DE PARTIDA Nivel 1 OPERATIVO Nivel 5 PERFECCIONADO Nivel 2 TÁCTICO Nivel 4 EFICIENTE Nivel 3 ESTRATÉGICO Modelo de Madurez en BCM: Evolución y mejora hacia la excelencia l ió j h i l l i NIVEL 1 OPERATIVO Se llevan a cabo algunas acciones preventivas, con objeto de poder tomar medidas en caso de contingencia. No existen planes de actuación planes de actuación específicos definidos en caso de contingencia. NIVEL 2 NIVEL 3 NIVEL 4 NIVEL 4 EFICIENTE TÁCTICO GESTIONADO Se llevan a cabo mediciones de la efectividad y de la Existe un sistema Existen planes de gestión eficiencia del sistema de de continuidad ante relacionado con algunos escenarios gestión y de los controles y la continuidad de la continuidad de definidos medidas en materia de negocio continuidad. NIVEL 5 PERFECCIONADO Se encuentran implantadas las mejores prácticas de la industria. Existe un sistema que se mejora anualmente y se retroalimenta con el SGCN, así como con el feedback de las partes feedback de las partes interesadas y con los cambios de situación en el entorno que puedan afectar a la organización. ¿Trabajamos con la Herramienta? i ? www.bcmgroup.es 4. ¿Como progresar? Plan de A ió M t d l í d M j Acción. Metodologías de Mejora Continua. Business Continuity Metodología de Mejora Continua: Eliminación de Gaps en cada Eliminación de Gaps en cada nivel de madurez TIEMPO / MEJORAS TIEMPO / MEJORAS NIVEL 5 NIVEL 4: EFICIENTE • GAP 3 NIVEL 3: GESTIONADO • GAP 2 NIVEL 2: TÁCTICO NIVEL 1: OPERATIVO • GAP 1 NIVEL 0 = Inexistente = Arranque primer GAP = Niveles Evolutivos NIVEL DE MADUREZ Metodología de Mejora Continua: D Detección de Criticidad por alarmas 1/2 ió d C i i id d l 1/2 La siguiente tabla refleja los niveles de madurez de los procesos de Gestión de Continuidad de Negocio analizados tras la fase de diagnóstico, y una la valoración respecto a la situación de cada sección (se le han asociado colores a modo de alarmas y como herramienta de priorización). NIVEL Perfeccionado Eficiente Gestionado Táctico Operativo SECCIONES Política Organización Determinación Requisitos Planificación Respuesta a Monitorización y Incidentes Mejora ¾VERDE: La capacidad actual se ajusta a los niveles mínimos de madurez de BC de organizaciones similares en estructura y sector. ¾AMARILLA: El nivel de madurez actual es inferior al deseado para una organización similar. similar ¾ROJA: La madurez actual incumple los requisitos y estándares mínimos recogidos en las buenas prácticas y normas mínimas en BC. Metodología de Mejora Continua: G áfi Gráfico cualitativo priorizando por colores 2/2 li i i i d l 2/2 Tomando como punto de partida la información anterior se identifica la criticidad (alta, media y baja) de cada d una de d las l secciones i o subsecciones, b i evaluando l d ell estado t d de d madurez, d l gaps existentes, los i t t la l ausencia i de controles, etc… Por último se establecen prioridades y planes de acción para el desarrollo de cada sección y subsección, teniendo en cuenta tanto el nivel de madurez en comparación con el conjunto de secciones y sus dependencias entre las mismas y la coherencia global del Sistema de Gestión de Continuidad de Negocio g en la Organización. g Política 100% 90% Sección Política Organización Determinación de Requisitos Planificación Respuesta a Incidentes Respuesta a Incidentes Monitorización y Mejora Cumplimiento 100% 100% 100% 50% 50% 25% 80% 70% Monitorización y Mejora 60% 50% Organización 40% 30% 20% 10% 0% Respuesta a Incidentes Determinación de Requisitos Planificación Metodología de Mejora Continua: M i i ió d A i id d Monitorización de Actividades 5 C l i 5. Conclusiones y Feedback. F db k Business Continuity Conclusiones y Feedback Conclusiones y Feedback 1. En una situación compleja como la que vivimos actualmente, las empresas buscan nuevas fórmulas y desafíos que eviten un impacto importante en sus actividades (Gestión de Riesgos). 2. La GCN identifica impactos potenciales que amenazan a la organización y nos proporcionan un marco de trabajo para desarrollar resiliencia y una capacidad de respuesta efectiva. 3. Existen diferentes herramientas y modelos para la Gestión de la Continuidad de Negocio. 4. La elaboración de un Gap Analysis como punto de partida / referencia para poder progresar en materia de BC es crítica. 5 Existen metodología orientadas a modelos de madurez en Continuidad de Negocio, 5. Negocio que nos permiten avanzar hacia una mejor eficiencia por áreas y secciones, estableciendo objetivos y planes de acción cuantitativos y cualitativos. 6. Cualquier tipo de organización puede alcanzar un nivel de madurez máximo en Continuidad de Negocio con una adecuada gestión. Responder de modo sistemático ante incidentes. 7 Una 7. U metodología d l í adecuada d d en materia i de d BC, BC nos permite i adoptar d medidas did de d respuesta adecuadas d d a cada d incidente 8. El establecer una cultura adecuada en BC ante incidentes de seguridad nos permite minimizar los impactos en la empresa y responder de forma más eficaz a los mismos. 9. El uso de un modelo de madurez en BC,, nos p permite la identificación y asignación g de p presupuestos p adecuados para la gestión de incidentes y la continuidad del negocio. 10. Utilizar la información y conocimiento obtenido en las diferentes fases del modelo de modelo de madurez en BC, nos permite establecer métricas y realizar una mejor gestión de futuros pasos. ¡¡ GRACIAS !! GRACIAS !! Álvaro Rodríguez de Roa Gómez [email protected]