Administración de riesgos

y continuidad de actividades

José Manuel Acosta Rendón

Octubre 2010

Universidad Tecnológica del Sur de Sonora

Administración de la Continuidad de Negocios

Elaborar un Plan sobre la forma de continuar brindando el servicio para los procesos críticos

Objetivo: Contrarrestar las interrupciones de las actividades proteger los procesos críticos de los negocios ante los efectos de fallas significativas o desastres.

Algunas definiciones...

• Plan de Contingencia: Plan de medidas preventivas a adoptar con el fin de atenuar o anular las contingencias

• Administración de la Continuidad de Negocios: Plan de medidas a adoptar para los procesos críticos cuando la contingencia supera las medidas adoptadas.

• Contingencia: Suceso no deseado que afecta la continuidad normal de las operaciones.

• Procesos Críticos: Actividades claves e imprescindibles para el negocio de la organización.

•La continuidad del servicio involucra capacidades tácticas y estratégicas pre aprobadas por la dirección de una entidad para responder a incidentes e interrupciones del servicio con el fin de poder continuar con sus operaciones a un nivel aceptable previamente definido.

Escenario 1.Interrupción del suministro de Energía Eléctrica

•Interrupción total del servicio•Riesgo de deterioro en las unidades de disco u otro componente de hardware•Probable necesidad de recuperación de Bases de Datos.

Volver a la normalidad es costoso

Sin Plan de Contingencia

Con Plan de Contingencia

No hay medidas de prevención

Cada responsable sabe “que hacer”.Hay UPS y GE en perfecto estado.

•La operación continúa de manera habitual para los procesos críticos•Se realizan pruebas periódicas de UPS y GE.

Reiniciar el servicio es sencillo

Sin Plan de Contingencia

Con Plan de Contingencia

No hay medidas de prevención

Cada responsable sabe “que hacer”.Hay sistema de Detección y Extinción de Incendios

Si la contingencia y sus efectos se mantiene en el tiempo se pone en marcha el Plan de Continuidad.

•Algunas acciones posibles•Procesamiento en centros alternativos•Procedimientos manuales provisorios•Postergación de fechas de vencimiento•Prever los canales alternativos y la vuelta a la normalidad

Pero...

Escenario 2.Incendio de las instalaciones

•Riesgo de deterioro total o parcial del equipamiento •Probable necesidad de recuperación de Bases de Datos.•Perdidas cuantiosas e irrecuperables

Volver a la normalidad es costoso e improbable

•Se realizan pruebas de funcionamiento del sistema de detección y extinción de incendios •Existen políticas y metodologías de resguardo de datos y sistemas•Se realizan simulacros de recuperación de datos y sistemas

Reiniciar el servicio es factible

Plan de Continuidad de Negocios

Definición de las acciones y armado del Plan de Continuidad

Definición de recursos relacionados con los procesos críticos en

GGTI

Planteo de Escenarios y amenazas

Diseño de Alternativas.

Cuantificación y Evaluación

Definición de los Procesos

Críticos por los usuarios

Soluciones típicas para un Plan de Continuidad de Negocios

- Procesamiento en Centros Alternativos

- Implementación de Bases de datos distribuidas

- Mantenimiento de Bases de datos locales para consulta

- Definición de procedimientos para captura manual de información

- Creación de procedimientos de actualización diferida de las Bases de Datos centrales

- Definición de políticas de resguardo en lugares remotos

Mantener reuniones con los Usuarios representantes.

Definición de los Procesos Críticos y

de las posibles Soluciones

Cuantificación y Evaluación de las

Alternativas

Actividades para elaborar el Plan de Continuidad de Negocios

Percepción, por parte de la GGTI, sobre los

recursos necesarios relacionados con los Procesos Críticos

Relevamiento de los aplicativos vigentes

Relevamiento de las estructuras de datos

Relevamiento de las alternativas posibles

Elaboración de una síntesis preliminar sobre procesos críticos

Actividades para elaborar el Plan de Continuidad de Negocios

Análisis de posibles contingencias.

Identificación, probabilidad, efectos.

Análisis de riesgos

Análisis de posibles soluciones en

función al tiempo estimado de

duración de la contingencia.

Planteo preliminar

de Escenarios y

Amenazas

Actividades para elaborar el Plan de Continuidad de Negocios

Presentación de las soluciones

Discusión y búsqueda de alternativas.

Acuerdo

Revisión y busqueda

de acuerdo con los

Usuarios, de las Soluciones planteadas a los procesos criticos

Actividades para elaborar el Plan de Continuidad de Negocios

Elaboración del Plan de Continuidad

Construcción e Implementación del

Plan de Continuidad

Elaboración de Convenios

Contratación de Seguros

Definición de Responsabilidades y Redacción de la Normas e Instructivos

Actividades para elaborar el Plan de Continuidad de Negocios

Difusión y publicación

Manteniminto del Plan de Continuidad

Pruebas periódicas

Simulacros

Actualización Permanente de la

Documentación del Plan de Continuidad

Actividades para elaborar el Plan de Continuidad de Negocios

Mantener reuniones con los Usuarios representantes.

Definición de los Procesos Críticos y de las posibles Soluciones. Cuantificación y Evaluación de las Alternativas

Percepción, por parte de la GGTI, sobre los recursos necesarios relacionados con los Procesos Críticos

Relevamiento de los aplicativos vigentes.Relevamiento de las estructuras de datos.Relevamiento de las alternativas posibles Elaboración de una síntesis preliminar sobre procesos críticos.

Planteo preliminar de Escenarios y Amenazas

Análisis de posibles contingencias. Identificación, probabilidad, efectos, Análisis de riesgo.Análisis de posibles soluciones en función al tiempo estimado de duración de la contingencia

Revisión y busqueda de acuerdo con los Usuarios, de las Soluciones planteadas a los procesos criticos

Presentación de las soluciones Discución y búsqueda de alternativas. Acuerdo

Elaboración del Plan de Continuidad

Construcción e Implementación del Plan de Continuidad. Elaboración de convenios. Contratación de Seguros. Definisión de Responsabilidades. Redacción de Normas e Instructivos.

Mantenimiento del PlanPruebas Periodicas – Simulacros-Actualización de documentación del Plan de Continuidad

El Riesgo•La falta de una gestión del riesgo en cualquier entidad puede tener como consecuencia:

– Perdida de tiempo.– Perdida de productividad– Perdida de información confidencial.– Pérdida de clientes.– Pérdida de imagen.– Pérdida de ingresos por beneficios.– Pérdida de ingresos por ventas y cobros.– Pérdida de ingresos por producción.– Pérdida de competitividad en el mercado.– Pérdida de credibilidad en el sector.