Itss bc my grc 2013 v1

21
Continuidad de Negocio: Un proceso vivo con eGRC Bruno Alejandre González

Transcript of Itss bc my grc 2013 v1

Continuidad de Negocio: Un proceso vivo con eGRC

Bruno Alejandre González

Agenda

1. Definición de BCM 2. Evolución de BCM 3. Objetivos BCM 4. Estados de una Emergencia 5. Retos Comunes 6. Implicaciones del BCM Manual 7. Automatización del BCM

“Un proceso holístico de gestión que identifica amenazas potenciales a la organización y el impacto que pueden causar a las operaciones del negocio, en caso de materializarse.

BCM provee un marco de referencia para la construcción de resistencia organizacional, con la capacidad de una respuesta efectiva para salvaguardar los intereses de personas clave, la reputación, imagen y actividades de creación de valor”

BSI - ISO 22301:2012

Definición de BCM

Objetivos de BCM

• Establecer estrategias y planes de recuperación de procesos de negocio para continuar la operación de negocio durante y tras una interrupción.

• Establecer el DRP-TI para recuperar sistemas críticos e infraestructura, tras la interrupción.

• Desarrollar procedimientos de respuesta y planes para el manejo de situaciones de crisis.

• Evaluación periódica de la efectividad de planes y programas.

• Educar a los empleados respecto a sus responsabilidades.

• Actualizar los planes según se requiera.

Continuidad de Negocio

• Comité de Patrocinadores Ejecutivos (VP/Niveles CxO) / Junta Directiva • Comité BCM (Líderes de negocio) • Director de BCP / Gerencia (Finanzas, Operaciones o TI) • Propietarios de Procesos

Recuperación de Desastres de TI

• CIO / CISO • Gestión de DR • Gerentes de TI

Gestión de Crisis

• Seguridad • Líder de Gestión de Crisis • Recursos Humanos • Mercadotecnia / Comunicaciones / Relaciones Públicas (Manejo de mensaje a los Medios)

Personas Clave

Fases del Estado de Emergencia

Respuesta al Incidente

Continuidad del Negocio

Recuperación: Normalidad

Activa

BCP

DRP

Restablecimiento

de Operación

Normal

Operación

normal

Estado de Emergencia

Declaración de Emergencia

Activación de Planes

Fases del Estado de Emergencia

• Presencia de riesgos significativos de continuidad con impacto serio en finanzas y reputación.

• Esfuerzos de recuperación caóticos y ad hoc, típicamente basados en “actos heróicos”. Incertidumbre relacionada con la sobrevivencia tras una interrupción al negocio.

• No hay soporte de negocio o de TI, ni patrocinio de alto nivel, así como participación mínima de grupos clave como operaciones, finanzas, TI, riesgos y seguridad.

• Falta de asignación de responsabilidades de Continuidad de Negocio, existe renuencia a invertir en BCM.

• Diseño separado y sin integración de esfuerzos de gestión de crisis, recuperación de negocio o TI.

Retos Comunes

• No hay disciplina o iniciativa para cumplir con regulaciones, metodologías o mejores prácticas.

• Las metas y expectativas de continuidad (si las hay) se definen sin una evaluación de riesgos o BIA. Estrategias ad hoc, BCP no documentados.

• Pruebas, concienciación y entrenamiento sin diseñar, dejando a la gerencia sin herramientas para gestionar los efectos de interrupciones al negocio.

• Aunque el DRP-TI es típicamente maduro los empleados tienen un conocimiento limitado del plan y sus responsabilidades.

Retos Comunes cont.

Seguimiento a Eventos

de Crisis y Notificación

a Empleados

Evaluar el Riesgo y el Impacto

al Negocio

Automatizar el Mantenimiento

a los Planes y el

Entrenamiento de Empleados

Probar Planes de

Recuperación/Continuidad

Documentar Planes de

Recuperación/Continuidad

Alinear el programa BCM con

los Objetivos de Negocio

Automatización BCM

• Gobierno: La cultura, los objetivos, procesos, políticas y leyes por las

cuales las empresas son dirigidas y controladas.

• Riesgo: La probabilidad e impacto de la materialización de un evento,

el cual puede tener efecto en la consecusión de los objetivos.

• Cumplimento: El acto de adherirse a y demostrar adherencia con

leyes externas y reglamentos, así como con políticas y procedimientos

corporativos.

eGRC

Marco de Referencia

I

O

M

R

D

A

P

CContexto y Cultura Organizar y Supervisar

Monitorear y

Medir

Alinear y Evaluar

Responder y Resolver Prevenir y Promover

Informar e Integrar Detectar y Discernir

RESPONDER Y RESOLVER

R4. Respuesta a Crisis, Continuidad y Recuperación.

R4.1 Desarrollar Respuesta a Crisis y Plan de Continuidad.

R4.2 Identificar Equipos de Preparación y Respuesta a Crisis.

R4.3 Probar Planes y Procedimientos.

R4.4 Coordinar Planes.

I

O

M

R D

A

P

CMarco de Referencia

Automatización BCM

Automatización BCM con Movilidad

Impactos para el negocio

Resultados de la solución

Agiliza el proceso de

notificación a los

propietarios del plan

de revisión y pruebas

de sus asignaciones

acuerdo a un

programa

Eventos de crisis

documentados y

vinculados a uno o más

planes de recuperación

o conti nuidad

Vista completa de l

programa, las métricas

y los datos de

continuidad de negocio

y recuperación de

desastres,

Planes de continuidad

vinculados a normativa,

regulaciones, modelo de

negocio, incidentes,

fabricantes, etc.

BC/DR dispersos

en múltiples

repositorios

“ ”

Incapacidad para

vincular eventos de

crisis con os planes de

continuidad

Reportes retrasados,

complejidad para

producir y proveer

una visión holística

La revisión y pruebas

de los planes es

manual y ad hoc.

“ ”

Repositorio central para

todos los planes de

continuidad y

recuperación

Vinculación Visibilidad Eficiencia Contexto Consolidación

Incapacidad para

entender el riesgo y

el impacto de los

eventos de crisis en

la organización.

• Documentación de BCP y DRP estandarizada y basada en flujos de trabajo

• Automatización del plan de pruebas y mantenimiento con flujos de trabajo, notificaciones y gestión de problemas

• Analisis de criticidad y riesgos en los procesos, y evaluación integral de Impacto al Negocio

• Gestión de eventos de crisis mediante planes de notificación por fases, integrando BCP y DRP

• Reporte de plan de pruebas, análisis de brecha y planes de remediación

Visibilidad pobre sobre el estado, pruebas y aprobaciones de BCP y DRP

Datos almacenados en documentos estáticos, dificultando su

actualización

No existe un entendimiento común de Procesos de Negocio y Activos de

TI

Coordinación y comunicación limitada entre los equipos de

continuidad, crisis y recuperación

Carencia de pruebas para la alta gerencia, sobre la efectividad de los planes y la seguridad de la operación

Manual vs Automático

• Soluciones integrales con capacidad, al menos, para la Gesión de Riesgos, la Planeación de Continuidad y Recuperación, así como la Gestión de Crisis.

• Alineación heredada con BS25999 e ISO 22301.

• Uso de plantillas para la ejecución de BIA y Evaluaciones Riesgos, en cualquier nivel de la jerarquía de negocio o la arquitectura empresarial, con capacidad de vincularlas a otras evaluaciones de riesgos.

• Gestión de documentación y pruebas en los planes mediante flujos de trabajo pre-definidos y configurables.

• Seguimiento a eventos de crisis en tiempo real vinculados a planes de comtinuidad y recuperación.

Beneficios de la Automatización BCM

• Activación oportuna de planes de recuperación

• Facilidades de reporte sobre el programa de continuidad del negocio

• Interfaz amigable para que los usuarios de negocio configuren la solución, sin requerir programación.

• Integración de la continuidad del negocio en un programa GRC, habilitando la medición consistente y el reporte de los riesgos empresariales.

Beneficios de la Automatización BCM

Bruno Alejandre Archer eGRC Technical Consultant

[email protected]