Está en la página 1de 37

FUNDAMENTOS DE

CONTINUIDAD DE NEGOCIO
DEFINICIONES PREVIAS
TIEMPO
GRUPO DE OBJETIVO DE
EVENTO
INTERÉS RECUPERACI
ON

 Un suceso o serie de sucesos


que pueden ser internos o
 Personas u organizaciones  Es el tiempo establecido por
externos a la empresa,
que se ven impactadas por las la empresa para reanudar un
originados por la misma
operaciones de una empresa. proceso
causa, que ocurren durante el
mismo periodo de tiempo

2
DEFINICIONES PREVIAS
RIESGO
LEY
OPERACIONA RIESGO
GENERAL
L

 Es el periodo de tiempo  La posibilidad de pérdidas


 La condición en que existe la
luego del cual la viabilidad debido a procesos
posibilidad de que un evento
de la empresa sería afectada inadecuados, fallas del
ocurra e impacte
seriamente, si un producto o personal, de la tecnología de
negativamente sobre los
servicio en particular no es información, o eventos
objetivos de la empresa.
reanudado. externos.

3
Gestión de la continuidad del negocio

La gestión de la continuidad del negocio es un proceso, efectuado por el Directorio, la Gerencia y


el personal, que implementa respuestas efectivas para que la operatividad del negocio de la
empresa continúe de una manera razonable, con el fin de salvaguardar los intereses de sus
principales grupos de interés, ante la ocurrencia de eventos que pueden crear una interrupción o
inestabilidad en las operaciones de la empresa.

4
RESPONSABILIDAD DEL
DIRECTORIO
Aprobar
Una política general que defina
el alcance, principios y guías
que orienten la gestión de la
continuidad del negocio.

Obtener
aseguramiento razonable que la
empresa cuenta con una efectiva
gestión de la continuidad del Aprobar
negocio.
Los recursos necesarios para el
adecuado desarrollo de la
gestión de la continuidad del
negocio, a fin de contar con la
infraestructura, metodología y
personal apropiados.

5
RESPONSABILIDAD DE LA GERENCIA

La gerencia general tiene la responsabilidad de implementar la gestión de la


continuidad del negocio conforme a las disposiciones del Directorio. La gerencia podrá
constituir comités para el cumplimiento de sus responsabilidades relacionadas con la
gestión de la continuidad del negocio.

6
RESPONSABILIDAD DE LA UNIDAD DE
RIESGOS

La Unidad de Riesgos deberá asegurarse que la gestión de la continuidad del negocio que realice
la empresa sea consistente con las políticas y procedimientos aplicados para la gestión de riesgos.

7
FUNCIÓN DE CONTINUIDAD DEL
NEGOCIO
Proponer
las políticas, procedimientos y
metodología apropiados para la
gestión de la continuidad del
negocio en la empresa,
incluyendo la asignación de
roles y responsabilidades
Informar
a la gerencia general y al comité
de riesgos los aspectos
relevantes de la gestión de la Velar
continuidad del negocio para
por una gestión de la
una oportuna toma de
continuidad del negocio
decisiones
competente

8
FASES DE LA
CONTINUIDAD DE NEGOCIO
ENTENDIMIENTO DE LA ORGANIZACIÓN

Las actividades mínimas a desarrollar durante esta fase son las siguientes:
• Análisis de impacto: Consiste en determinar el impacto que tendría una
interrupción de los procesos que soportan los principales productos y servicios de la
empresa.
• Evaluación de riesgos: Consiste en identificar y evaluar los riesgos que podrían
causar una interrupción del negocio.

1
SELECCIÓN DE LA ESTRATEGIA DE
CONTINUIDAD
Evaluación y Selección de Estrategias de Continuidad por Proceso

HABILIDADES Y INSTALACIONES
SEGURIDAD DEL
CONOCIMIENTOS ALTERNAS DE
PERSONAL
ASOCIADOS AL TRABAJO
PROCESO.
INFRAESTRUCTU
RA ALTERNA DE
EQUIPAMIENTO
TECNOLOGÍA DE SEGURIDAD DE
NECESARIO PARA
INFORMACIÓN LA INFORMACIÓN
EL PROCESO.
QUE SOPORTE EL
PROCESO.

1
DESARROLLO E IMPLEMENTACIÓN DE LA
ESTRATEGIA DE CONTINUIDAD

En esta fase, se deben desarrollar los planes de respuesta ante los eventos analizados en las fases previas, e implementar un modelo
de respuesta flexible y escalable que permita cubrir los eventos inesperados y proveer los recursos necesarios, acorde con la
estrategia seleccionada, para enfrentar con éxito un evento de interrupción de operaciones.

1
PLAN DE GESTION DE
CRISIS
PROPÓSITO Y
ALCANCE

CRITERIOS DE INVOCACIÓN
Y ACTIVACIÓN
ROLES Y
RESPONSABILIDA
DES

1
PLAN DE GESTION DE
CRISIS
RESPONSABLE DE
SU
ACTUALIZACIÓN
COMUNICACIONES CON
EL PERSONAL,
FAMILIARES Y
CONTACTOS DE PLANES DE
EMERGENCIA
ACCIÓN

1
PLAN DE GESTION DE
CRISIS INTERACCIÓN CON LOS
MEDIOS DE
COMUNICACIÓN

ESTABLECIMIENTO DE
UN CENTRO DE
COMANDO COMUNICACIÓN CON
LOS GRUPOS DE
INTERÉS

1
PLANES DE CONTINUIDAD DE NEGOCIO

Tiene(n) como objetivo dotar a la empresa de la capacidad de mantener, o de ser el caso recuperar, los principales procesos de
negocio dentro de los parámetros previamente establecidos. Debe(n) considerar, como mínimo, los siguientes aspectos:

1
CRITERIOS DE
PROPOSITO Y INVOCACION Y
ALCANSE ACTIVACION

ROLES Y RESPONSABLE
RESPONSABILI DE
DAD ACTUALIZACI
ON

1
PLANES DE CONTINUIDAD DE
NEGOCIO

Planes de acción para reanudar los procesos


conforme a la estrategia seleccionada

Requerimiento de recursos

Información vital y como acceder a


ella

1
PRUEBAS Y
ACTUALIZACION
A continuación, se detallan las actividades mínimas que deben ser aplicadas en esta fase:

EJECUCION DE PRUEBAS
El alcance de las pruebas debe ser consistente con el alcance de
los planes de continuidad del negocio

ACTUALIZACION DE LOS PLANES


Las empresas deben definir políticas y procedimientos para la
actualización de los planes de gestión de la continuidad del
negocio.

1
INTEGRAR LA GESTIÓN DE LA CONTINUIDAD DEL
NEGOCIO A LA CULTURA ORGANIZACIONAL
EVALUACIÓN DEL
GRADO DE
CONOCIMIENTO
SOBRE LA GESTIÓN
DE CONTINUIDAD
DESARROLLO Y
MEJORA DE LA
CULTURA DE
CONTINUIDAD: MONITOREO
PERMANENTE

2
PLAN DE RECUPERACIÓN ANTE DESASTRES
(DRP)

El enfoque proactivo de seguridad en las empresas busca evitar o reducir riesgos. A tales
fines, el Plan de Recuperación ante Desastres es una opción.
El enfoque proactivo de seguridad de la información en las empresas busca evitar o reducir
las consecuencias de los riesgos existentes en su entorno. En esta categoría se incluyen
elementos como el análisis de riesgos o el plan de respuesta a incidentes, pero hay otra
opción a considerar: el Plan de Recuperación ante Desastres (DRP por sus siglas en inglés) y
su relación con otros planes como el Plan de Continuidad del Negocio (BCP).

2
Desarrollo y activación DRP
Existen diferentes maneras de abordar el desarrollo de un plan de recuperación, pero éste siempre debe estar alineado con el plan
de continuidad, por lo que debe considerar los elementos que definen la razón de ser de una organización.
Además, el DRP debe incluir los criterios para determinar cuándo un incidente de seguridad no se puede resolver mediante los
procedimientos comunes de atención y se considera como un desastre, es decir, cuando se presenta un evento catastrófico y
repentino que nulifica la capacidad de las organizaciones para llevar a cabo los procesos esenciales.
Un desastre podría ser el resultado de un daño importante a una parte de las operaciones, la pérdida total de una instalación o la
incapacidad de los empleados para acceder a las instalaciones, generado por algún tipo de desastre natural, una contingencia
sanitaria o una huelga, por ejemplo.

2
DESARROLLO Y ACTIVACIÓN DEL
DRP
DESARROLLAR UNA POLÍTICA DE CONTINUIDAD DEL
NEGOCIO
Todas las actividades deben estar alineadas con los objetivos de
continuidad del negocio

REALIZAR UNA EVALUACIÓN DE RIESGOS


Llevar a cabo una evaluación de riesgos permite identificar, analizar y
evaluar las amenazas que podrían afectar a la organización

2
DESARROLLO Y ACTIVACIÓN DEL
DRP
REALIZAR UN ANÁLISIS DE IMPACTO AL
NEGOCIO (BIA)
En este paso se definen principalmente los objetivos de recuperación para
los sistemas que soportan los procesos de negocio.

DESARROLLAR ESTRATEGIAS DE RECUPERACIÓN Y


CONTINUIDAD DEL NEGOCIO
En este paso se busca dejar en claro todas las medidas a poner en práctica
para regresar a la operación tan pronto como sea posible.

2
DESARROLLO Y ACTIVACIÓN DEL
DRP
CONCIENTIZAR, CAPACITAR Y PROBAR LOS
PLANES
Un elemento necesario con relación a los planes consiste en realizar su
difusión entre los miembros de la organización, especialmente entre
aquellos que serán los encargados de ponerlo en ejecución en caso de ser
requerido.

MANTENER Y MEJORAR EL PLAN DE


RECUPERACIÓN ANTE DESASTRES
A partir de los resultados de la prueba de los planes se deben llevar los
ajustes correspondientes para contar con documentación actualizada y
apropiada a los intereses de la organización

2
RECUPERACIÓN DE DESASTRES

• Es el proceso de conseguir que los sistemas y herramientas de servicio se pongan en


funcionamiento al 100% después de que un desastre impida su función.
• El Recovery Point Objective (RPO) y Recovery Time Objective (RTO) son dos de los
parámetros más importantes de un Plan de Recuperación de Desastres (DRP) o Plan de
Continuidad de Negocio (BCP). Estos son objetivos que pueden guiar a las empresas a elegir un
plan de respaldo de datos óptimo.
• El RPO / RTO, junto con un análisis de impacto en el negocio, proporcionan la base para
identificar y analizar estrategias viables para su inclusión en el plan de continuidad del negocio.
Las opciones de estrategia viables incluyen cualquiera que permita la reanudación de un
proceso de negocio en un marco de tiempo en o cerca del RPO / RTO.

26
Recovery point objetive(RPO)

El RPO describe el intervalo de tiempo que puede pasar durante una interrupción antes
de que la cantidad de datos perdidos durante ese período exceda el umbral máximo
permitido o la «tolerancia» del Plan de Continuidad del Negocio.

2
Recovery time objetive(RTO)
Es el tiempo que un negocio necesita para recuperar sus sistemas después de
inactividad producida por un incidente (desastre), es decir, la cantidad de datos que se
pierden y se tienen que volver a ingresar durante el tiempo de inactividad de la red.

El RTO describe el intervalo de tiempo que puede pasar antes de que la interrupción
comience a impedir las operaciones normales del negocio (continuidad de negocio).

El RTO indica la rapidez con la que necesita recuperarse de un tiempo de inactividad,


mientras el RPO define la frecuencia con la que se necesitan hacer copias de seguridad.

2
RTO / RPO

2
COMO DEFINIR LOS VALORES DE RPO Y
RTO

No existe una única solución para un Plan de Continuidad de Negocio y sus métricas.
Cada empresa tiene diferentes necesidades, y con ello, diferentes requisitos para sus
objetivos de recuperación. Sin embargo, es habitual dividir en niveles las aplicaciones y
servicios de la empresa y establecer los valores de RPO y RTO según los acuerdos de
niveles de servicio (SLA).

3
COMO DEFINIR LOS VALORES DE RPO Y
RTO

Existe un modelo de tres niveles para diseñar un plan de continuidad:

Nivel 1: Para aplicaciones críticas de negocio. Requiere un RTPO de menos de 15 minutos.


Nivel 2: Para aplicaciones esenciales. Requiere un RTO de 2 horas y RPO de 4.
Nivel 3: Para aplicaciones no esenciales. Requiere un RTO de 4 horas y un RPO de 24

3
NORMA ISO 27001
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN

La norma UNE ISO IEC 27001 es una norma internacional creada por Organización
Internacional de Normalización, ISO, que ayuda a reducir riesgos de carácter
informático en las organizaciones.

La implantación de la norma ISO 27001 trata de proteger la información que tiene


carácter confidencial tanto de ataques de piratería, como de violación de
confidencialidad o pérdida de datos informáticos...

3
APLICACIÓN DE LA NORMA ISO 27001
SISTEMA DE SEGURIDAD DE LA
INFORMACIÓN

• La información es un activo de vital importancia para todo tipo de organizaciones.


Las nuevas tecnologías nos permiten tener más información y de forma más rápida,
permitiéndonos analizar y tomar decisiones que pueden suponer el éxito o el fracaso
con respecto a nuestros competidores. Por este motivo es fundamental proteger
nuestra información y los sistemas que la procesan.

3
BENEFICIOS DE LA NORMA ISO
27001

• Reduce el riesgo de pérdida, robo o corrupción de información.


• Permite establecer una metodología de gestión de la seguridad clara.
• Mejora la imagen de la empresa, diferenciándose con respecto a la
competencia.
• Permite a la empresa ganar cuota de mercado gracias a la confianza que
genera entre los clientes y socios estratégicos.

3
BENEFICIOS DE LA NORMA ISO
27001
• Permite continuar con las operaciones necesarias del negocio tras incidentes
de gravedad.
• Permite a la empresa medir la eficacia de su sistema de gestión de acuerdo
con normas nacionales e internacionales a través de la certificación de
terceros.
• Establece los cimientos a través de los que mejorar continuamente sus
procesos internos y reforzar la habilidad de la organización para alcanzar los
objetivos estratégicos, en este caso la seguridad de la información.

3
ASPECTOS CLAVES DE LA NORMA ISO
27001
Es fundamental realizar una evaluación de riesgos adecuada a cada organización:

• La empresa debe tener un responsable de seguridad de la información, que con


independencia de otras funciones lidere el proyecto internamente, en colaboración
con la consultora ACMS. Dicha persona debe tener cierta autoridad dentro de la
organización.

• La documentación del sistema de seguridad de la información debe ser sencilla,


práctica y operativa, evitando la burocratización del sistema.

3
ASPECTOS CLAVES DE LA NORMA ISO
27001

• La organización debe estar adecuadamente formada y concienciada en lo relativo a


seguridad de la información.

• El sistema de seguridad de la información debe estar totalmente integrado en la


organización. 

También podría gustarte