Estandar Internacional
para la continuidad del
Negocio
ISO22301
Capacidad de una organización
de continuar con la prestación
de productos o servicios en los
niveles predefinidos aceptables
tras incidentes de interrupción
de la actividad
Annotations:
Cuales son los niveles predefinidos aceptables?
Mejora el programa de BCM
Terminología
Gestión de la Continuidad del Negocio
(BCM siglas en ingles)
Alcande de BCM
No solo aplica a TI
Evolucionó a un
proceso de gestión
holístico
Identifica amenzas potenciales para la organización y el
impacto que su materialización podría ocasionar en las
operaciones corporativas y que proporciona un marco para
crear una resistencia corporativa de modo que pueda dar
una respuesta eficaz que proteja los intereses de sus
grupos de interes, reputación, marcas y actividades de
creación de valor fundamentales
Pasos para un programa básico de BCM
Identificar y ordenar las amenazas
Crear Lista de amenazas + probables
Annotations:
Tecnica: Reunir personas de todos los departamentos en una sesión de intercambio de ideas. Objetivo: Crear una lista de escenarios ordenados por probabilidad de ocurrencia y por potencial de causar un impacto negativo
Realizar un analisis de impacto
en la empresa
Determinar areas críticas para que
sobreviva la empresa
Annotations:
Técnica: Detallar funciones, procesos, las personas, lugares y sistemas críticos para el funcionamiento de la organización. Responsable: Líder del proyecto de BCM
Determinar cantidad de días de
supervivencia de la empresa para cada función
Annotations:
Tip: Preguntarse ¿Cuánto puede resistir la empresa sin que una función en particular provoque un impacto grave?
Ordenar el impacto de cada función en caso
que no esté disponible
Annotations:
Tip: Michael Miora (experto en recuperación de desastres), sugiere utilizar una escala del 1 al 4, donde 1=impacto crítico en las actividades operativas o pérdida fiscal y 4= sin impacto al corto plazo
Multiplicar el Impacto x los días de
supervivencia, para determinar las funciones
más críticas
Annotations:
Al principio de la tabla qudarán las funciones con un impacto mayor y con solo un día de supervivencia
Crear un plan de respuesta y
recuperación
Catalogar los datos clave sobre los
bienes involucrados en la realización de
las funciones críticas
Annotations:
Sistemas, personal,
instalaciones, proveedores y clientes
Incluir números de serie de los equipos, acuerdos de licencia, alquileres, garantías, detalles de contactos, etc.
Crear un árbol de teléfonos contacto
Lista de "quien puede decir que
cosa"
Annotations:
Controlar la interacción con los medios durante un incidente (considera quedarte con una estrategia de “sólo el CEO” si se trata de un incidente delicado).
Documentar los acuerdos vigentes
para mudar operaciones a
ubicaciones e instalaciones de TI
temporales
Annotations:
Documentar el proceso de notificación de los miembros de la empresa en su totalidad y el procedimiento de asesoramiento para clientes
Ordenar, en forma secuencial, los pasos para
recuperar las operaciones principales, de manera
que queden explícitas las interdependencias
funcionales
Capacitar a los gerentes sobre los detalles
más relevantes, así com o la importancia del
plan general para sobrevivir
Probar el plan y refinar el
análisis
Probar el plan al menos una vez al año
Annotations:
Probar con ejercicios, análisis paso a paso o simulaciones
Reflexión
Si el proyecto parece demasiado desalentador para aplicar a la
empresa completa, considera comenzar por unos pocos
departamentos o una sola oficina, si hay varias. Todo lo que vayas
aprendiendo en el proceso se podrá aplicar en mayor escala a medida
que progreses. Evita a toda costa pensar que las cosas malas no
suceden, porque sí lo hacen. Sólo tienes que estar preparado. Y no
pretendas que cuando ocurra algo no será tan malo, porque podría
serlo.
Referencias
Traducción y adaptación del post de Stephen Cobb en We Live Security