Itss bc my grc 2013 v1

Continuidad de Negocio: Un proceso vivo con eGRC
Bruno Alejandre González

Agenda
1. Definición de BCM
2. Evolución de BCM
3. Objetivos BCM
4. Estados de una Emergencia
5. Retos Comunes
6. Implicaciones del BCM Manual
7. Automatización del BCM

“Un proceso holístico de gestión que identifica amenazas
potenciales a la organización y el impacto que pueden
causar a las operaciones del negocio, en caso de
materializarse.
BCM provee un marco de referencia para la construcción
de resistencia organizacional, con la capacidad de una
respuesta efectiva para salvaguardar los intereses de
personas clave, la reputación, imagen y actividades de
creación de valor”
BSI - ISO 22301:2012
Definición de BCM

Objetivos de BCM
• Establecer estrategias y planes de recuperación de
procesos de negocio para continuar la operación de
negocio durante y tras una interrupción.
• Establecer el DRP-TI para recuperar sistemas críticos e
infraestructura, tras la interrupción.
• Desarrollar procedimientos de respuesta y planes para
el manejo de situaciones de crisis.
• Evaluación periódica de la efectividad de planes y
programas.
• Educar a los empleados respecto a sus
responsabilidades.
• Actualizar los planes según se requiera.

Continuidad de Negocio
• Comité de Patrocinadores Ejecutivos (VP/Niveles CxO) / Junta Directiva
• Comité BCM (Líderes de negocio)
• Director de BCP / Gerencia (Finanzas, Operaciones o TI)
• Propietarios de Procesos
Recuperación de Desastres de TI
• CIO / CISO
• Gestión de DR
• Gerentes de TI
Gestión de Crisis
• Seguridad
• Líder de Gestión de Crisis
• Recursos Humanos
• Mercadotecnia / Comunicaciones / Relaciones Públicas (Manejo de mensaje a los Medios)
Personas Clave

Fases del Estado de Emergencia
Respuesta al Incidente
Continuidad del Negocio
Recuperación: Normalidad
Activa
BCP
DRP

Restablecimiento
de Operación
Normal
Operación
normal
Estado de Emergencia
Declaración de Emergencia
Activación de Planes
Fases del Estado de Emergencia

• Presencia de riesgos significativos de continuidad con impacto serio
en finanzas y reputación.
• Esfuerzos de recuperación caóticos y ad hoc, típicamente basados en
“actos heróicos”. Incertidumbre relacionada con la sobrevivencia tras
una interrupción al negocio.
• No hay soporte de negocio o de TI, ni patrocinio de alto nivel, así
como participación mínima de grupos clave como operaciones,
finanzas, TI, riesgos y seguridad.
• Falta de asignación de responsabilidades de Continuidad de Negocio,
existe renuencia a invertir en BCM.
• Diseño separado y sin integración de esfuerzos de gestión de crisis,
recuperación de negocio o TI.
Retos Comunes

• No hay disciplina o iniciativa para cumplir con regulaciones,
metodologías o mejores prácticas.
• Las metas y expectativas de continuidad (si las hay) se definen sin una
evaluación de riesgos o BIA. Estrategias ad hoc, BCP no
documentados.
• Pruebas, concienciación y entrenamiento sin diseñar, dejando a la
gerencia sin herramientas para gestionar los efectos de
interrupciones al negocio.
• Aunque el DRP-TI es típicamente maduro los empleados tienen un
conocimiento limitado del plan y sus responsabilidades.
Retos Comunes cont.

Seguimiento a Eventos
de Crisis y Notificación
a Empleados
Evaluar el Riesgo y el Impacto
al Negocio
Automatizar el Mantenimiento
a los Planes y el
Entrenamiento de Empleados
Probar Planes de
Recuperación/Continuidad
Documentar Planes de
Recuperación/Continuidad
Alinear el programa BCM con
los Objetivos de Negocio
Automatización BCM

• Gobierno: La cultura, los objetivos, procesos, políticas y leyes por las
cuales las empresas son dirigidas y controladas.
• Riesgo: La probabilidad e impacto de la materialización de un evento,
el cual puede tener efecto en la consecusión de los objetivos.
• Cumplimento: El acto de adherirse a y demostrar adherencia con
leyes externas y reglamentos, así como con políticas y procedimientos
corporativos.
eGRC

Marco de Referencia
I
O
M
R
D
A
P
C
Contexto y Cultura Organizar y Supervisar
Monitorear y
Medir
Alinear y Evaluar
Responder y Resolver Prevenir y Promover
Informar e Integrar Detectar y Discernir

RESPONDER Y RESOLVER
R4. Respuesta a Crisis, Continuidad y Recuperación.
R4.1 Desarrollar Respuesta a Crisis y Plan de Continuidad.
R4.2 Identificar Equipos de Preparación y Respuesta a Crisis.
R4.3 Probar Planes y Procedimientos.
R4.4 Coordinar Planes.
I
O
M
R D
A
P
CMarco de Referencia

Automatización BCM con Movilidad

Impactos para el negocio
Resultados de la solución
Agiliza el proceso de
notificación a los
propietarios del plan
de revisión y pruebas
de sus asignaciones
acuerdo a un
programa
“
”
Eventos de crisis
documentados y
vinculados a uno o más
planes de recuperación
o conti nuidad
“
”
Vista completa de l
programa, las métricas
y los datos de
continuidad de negocio
y recuperación de
desastres,
“
”
Planes de continuidad
vinculados a normativa,
regulaciones, modelo de
negocio, incidentes,
fabricantes, etc.
“
”
BC/DR dispersos
en múltiples
repositorios
“
”
Incapacidad para
vincular eventos de
crisis con os planes de
continuidad
“
”
Reportes retrasados,
complejidad para
producir y proveer
una visión holística
“
”
La revisión y pruebas
de los planes es
manual y ad hoc.
“
”
Repositorio central para
todos los planes de
continuidad y
recuperación
“
”
VinculaciónVisibilidadEficienciaContextoConsolidación
Incapacidad para
entender el riesgo y
el impacto de los
eventos de crisis en
la organización.
“
”

• Documentación de BCP y DRP
estandarizada y basada en flujos de
trabajo
• Automatización del plan de pruebas y
mantenimiento con flujos de trabajo,
notificaciones y gestión de problemas
• Analisis de criticidad y riesgos en los
procesos, y evaluación integral de Impacto
al Negocio
• Gestión de eventos de crisis mediante
planes de notificación por fases,
integrando BCP y DRP
• Reporte de plan de pruebas,
análisis de brecha y planes de
remediación
Visibilidad pobre sobre el estado,
pruebas y aprobaciones de BCP y DRP
Datos almacenados en documentos
estáticos, dificultando su
actualización
No existe un entendimiento común
de Procesos de Negocio y Activos de
TI
Coordinación y comunicación
limitada entre los equipos de
continuidad, crisis y recuperación
Carencia de pruebas para la alta
gerencia, sobre la efectividad de los
planes y la seguridad de la operación
Manual vs Automático

• Soluciones integrales con capacidad, al menos, para la Gesión de
Riesgos, la Planeación de Continuidad y Recuperación, así como la
Gestión de Crisis.
• Alineación heredada con BS25999 e ISO 22301.
• Uso de plantillas para la ejecución de BIA y Evaluaciones Riesgos, en
cualquier nivel de la jerarquía de negocio o la arquitectura empresarial,
con capacidad de vincularlas a otras evaluaciones de riesgos.
• Gestión de documentación y pruebas en los planes mediante flujos de
trabajo pre-definidos y configurables.
• Seguimiento a eventos de crisis en tiempo real vinculados a planes de
comtinuidad y recuperación.
Beneficios de la Automatización BCM

• Activación oportuna de planes de recuperación
• Facilidades de reporte sobre el programa de continuidad del negocio
• Interfaz amigable para que los usuarios de negocio configuren la
solución, sin requerir programación.
• Integración de la continuidad del negocio en un programa GRC,
habilitando la medición consistente y el reporte de los riesgos
empresariales.
Beneficios de la Automatización BCM

Bruno Alejandre
Archer eGRC Technical Consultant
bruno.alejandregonzalez@rsa.com

Itss bc my grc 2013 v1

Más contenido relacionado

La actualidad más candente (20)

Destacado (8)

Similar a Itss bc my grc 2013 v1 (20)

Más de balejandre (8)

Itss bc my grc 2013 v1