Business Continuity Plan .
Barcelona, febrero de 2008
2 ©2008 Deloitte. Todos los derechos reservados
¿Porqué un Business Continuity Plan?
Una buena definición de la continuidad del negocio ayuda a identificar los productos y servicios clave y como gestionarlos. Una mala gestión de la
continuidad del negocio puede impactar de muy distintas maneras a la organización:
Normativas y Aspectos Legales
Protección de los intereses de los
clientes
Protección de los activos de la
compañía
4 Ha aumentado el número de regulaciones relacionadas con la continuidad del negocio en todos los sectores (SOX, LOPD,
etc.)
4 Nuevo British Standard (BS25999) que especifica los requisitos de obtención de la certificación de las buenas prácticas en la
gestión de la continuidad del negocio.
4 La pertenencia a ciertas organizaciones no es posible si no se demuestra capacidad en la continuidad del negocio (por
ejemplo: CHAPS)
4 El mercado es cada vez más exigente en cuanto a la disponibilidad del negocio, sobretodo en negocios dónde un
componente relevante es la tecnología
4 La aparición de problemas de seguridad puede influir negativamente en el negocio
4 Incremento de las amenazas de actos terroristas internacionales de gran impacto
4 Las compañías deben proteger a sus empleados, activos materiales, sus negocios, su reputación y su marca
4 La continuidad del negocio es una ventaja competitiva, no sólo si ocurre un desastre sino que permite a los clientes
continuar con las actividades que dependan de la compañía
Protección de la reputación de la
compañía
4 Un fallo grave en la continuidad del negocio puede comprometer seriamente la credibilidad de la empresa en el mercado y
provocar pérdidas.
Una encuesta reciente permite constatar que, sólo un 47% de los responsables de negocios y de tecnología tienen un plan de continuidad definido en
su negocio para recuperación del negocio en caso de desastre.
3 ©2008 Deloitte. Todos los derechos reservados
Otras incidencias
Interrupción en los transportesCortes en el suministro de gasolina y gasóleo
Ejemplos: ataque malicioso, clima extremo o actividad industrial.
Fallo en los suministros básicos
Las condiciones de salud y seguridad del personal, clientes, etc. puede estar en peligro.Puede haber pérdidas importantes en TIC.
Ejemplos: situaciones climáticas extremas o la contaminación.
Pérdidas en TIC
Imposibilidad de procesar las transacciones con clientes y proveedores
Ejemplos: destrucción de equipos, virus o cortes en el suministro eléctrico y/o de comunicaciones.
Imposibilidad de acceso
Imposibilidad de acceso a las instalaciones de la compañía durante días, meses o años.
Ejemplos: emisiones de sustancias tóxicas, fuego, inundaciones o manifestaciones.
Fallo de un proveedor
Un fallo de un proveedor o servicio de outsourcing puede comprometer el desarrollo normal del negocio. Es importante ser cuidadosos en la elección de los proveedores
Ejemplos: incidencia en las instalaciones del proveedor que afecten a la capacidad de servicio del mismo.
Falta de plantilla relevante
Las grandes empresas deben diseñar sus planes para garantizar su funcionamiento con una ausencia de un 25% durante 2 o 3 semanas. Las empresas pequeñas deben ajustar estos ajustar estos porcentajes entre un 30-50% de su plantilla.
Ejemplo: pandemia global.
Retos del BCP
4 ©2008 Deloitte. Todos los derechos reservados
La elaboración de un Business Continuity Plan (BCP) está orientada a:
• Proteger la imagen pública y la confianza en la Organización.
• Mantener el servicio prestado por los sistemas de información a los procesos de negocio, minimizando el impacto en la operativa diaria con clientes.
• Minimizar los posibles impactos financieros y de negocio adversos para la Organización como resultado de una interrupción de las operaciones normales del negocio.
• Reducir los efectos operacionales de un desastre, suministrando una serie de guías y procedimientos predefinidos y flexibles para su empleo en la dirección de la reanudación y recuperación de los procesos.
• Reanudar las operaciones del negocio y funciones de soporte asociadas sensibles al tiempo para conseguir la continuidad del negocio.
• Satisfacer las obligaciones de la Organización para con sus empleados, clientes y terceros (reguladores, contrapartes, clientes, empleados, proveedores y otras asociaciones y comunidades).
Objetivos
5 ©2008 Deloitte. Todos los derechos reservados
Es imposible planificar la continuidad para cualqui er tipo de desastre, por lo que un plan de continuidad de negocio debe ser:
• Genérico – adoptar una estrategia que pueda ser implantada en toda la organización
proporcionando un enfoque cohesionado a la continuidad del negocio.
• Simple – no es recomendable diseñar planes o procesos complicados, un dossier de
100 páginas no será útil ni fácil de seguir en una situación de emergencia.
• Realista – no es necesario diseñar nuevos procesos de negocio para el plan de
continuidad, se trata de emplear los recursos ya existentes.
• Entendible – el plan debe ser entendible para cualquier persona de la plantilla que no
sean los autores y que puedan actuar en caso de emergencia.
• Probado – es un punto crítico en el plan de continuidad. Hay una gran diferencia entre
saber como actuar en una situación y que los recursos funcionen y desconocer por
completo lo que está descrito en el plan.
¿Cómo debe ser un BCP?
6 ©2008 Deloitte. Todos los derechos reservados
Análisis
Uso de una metodología de identificación y evaluación de riesgos tecnológicos y de negocio que permita identificar posibles oportunidades de mejora.
Diseño
Diseño de las soluciones que den respuesta a las necesidades de la Organización, identificando la tecnología, procesos, personas y normativas requeridos.
Implementación
Implementación e integración de las soluciones diseñadas en el entorno de la Organización.
Revisión
Revisión de la solución implantada para determinar la eficacia y cumplimiento de los requisitos, orientada a la mejora continua.
AnálisisDiseño
Imple
men
-
tació
nRev
isión
Marco metodológicoCiclo de mejora contínua
7 ©2008 Deloitte. Todos los derechos reservados
• Mantenimiento
del plan
• Evaluar calidad
• Adquisición de
recursos /
implem.
• Entrenamiento
• Prueba
• Gobierno
• Estrategia de
recuperación /
disp.
• Documentación de los planes
• Diagnóstico
situación actual
• Evaluación de
Riesgos
• Análisis de Impacto en el
Negocio
Estrategia
Continuidad
RevisiónImplementaciónDiseñoAnálisis
Enfoque metodológico detalladoBusiness Continuity Plan
8 ©2008 Deloitte. Todos los derechos reservados
• XXXTareas
• Informe con la situación actual
• Evaluación del grado de madurez actual
• Herramienta con el análisis realizado
Resultados• Conocimiento del entorno para el desarrollo del proyecto
• Identificar y documentar el estado actual del cliente en relación con la política de continuidad de negocio
Objetivo
• Mantenimiento del plan
• Evaluar calidad
• Adquisición de recursos / implem.
• Entrenamiento
• Prueba
• Gobierno
• Estrategia de recuperación /
disp.
• Documentación de los planes
• Diagnóstico situación actual
• Evaluación de
Riesgos
• Análisis de Impacto en el
Negocio
Estrategia Continuidad
RevisiónImplementaciónDiseñoAnálisis
Enfoque metodológico detalladoBusiness Continuity Plan
9 ©2008 Deloitte. Todos los derechos reservados
• XXXTareas
• Mapa de riesgos
Resultados• Identificar los principales riesgos en el entorno del negocio, que puedan afectar a la disponibilidad de los procesos de negocio
Objetivo
• Mantenimiento del plan
• Evaluar calidad
• Adquisición de recursos / implem.
• Entrenamiento
• Prueba
• Gobierno
• Estrategia de recuperación / disp.
• Documentación de los planes
• Diagnóstico situación actual
• Evaluación de Riesgos
• Análisis de Impacto en el Negocio
Estrategia Continuidad
RevisiónImplementaciónDiseñoAnálisis
Enfoque metodológico detalladoBusiness Continuity Plan
10 ©2008 Deloitte. Todos los derechos reservados
• XXXTareas
• Informe con análisis
de impactos
Resultados• Identificar el impacto que los distintos
riesgos tienen sobre los procesos de negocio
• Entender las necesidad del negocio desde
un punto de vista de la continuidad
Objetivo
• Mantenimiento del
plan
• Evaluar calidad
• Adquisición de
recursos / implem.
• Entrenamiento
• Prueba
• Gobierno
• Estrategia de
recuperación / disp.
• Documentación de
los planes
• Diagnóstico
situación actual
• Evaluación de Riesgos
• Análisis de
Impacto en el
Negocio
Estrategia
Continuidad
RevisiónImplementaciónDiseñoAnálisis
Criticidad Función
6 horas Operaciones – Restauración
Operaciones – Operaciones
1 día Comercial – Ventas
Operaciones – Tiendas y juegos
…
Enfoque metodológico detalladoBusiness Continuity Plan
11 ©2008 Deloitte. Todos los derechos reservados
• XXXTareas
• Modelo
organizativo con roles y responsabilidades
asociadas
• Política de continuidad de
negocio de la organización
Resultados• Definir, identificar y asignar los roles y
responsabilidades asociadas al BCM
• Definir la política de continuidad de la organización
Objetivo
• Mantenimiento del
plan
• Evaluar calidad
• Adquisición de
recursos / implem.
• Entrenamiento
• Prueba
• Gobierno
• Estrategia de recuperación / disp.
• Documentación de los planes
• Diagnóstico
situación actual
• Evaluación de Riesgos
• Análisis de Impacto en el Negocio
Estrategia
Continuidad
RevisiónImplementaciónDiseñoAnálisis
Alternativa Ventajas Inconvenientes Coste
Site propio • Infraestructura dedicada simplifica la recuperación
• Independencia de proveedores
• Inexistencia de riesgos por compartir infraestructura de respaldo con terceros
• Puede utilizarse como entorno de pruebas
• Inversión inicial muy elevada
• Elevados costes de mantenimiento: los cambios de plataforma tienen el doble de coste
A
Hot site externo
• Infraestructura dedicada simplifica la recuperación
• Inexistencia de riesgos por compartir infraestructura de respaldo con terceros
• Garantiza la no pérdida de información
• Alto coste anual
A
Cold site externo
• Coste anual moderado
• Permite la reanudación progresiva de la actividad en un periodo inferior a los tiempos de ruptura
• Opción más rápida de implantar
• Riesgos por compartir infraestructura de respaldo con terceros (en caso de desastres múltiples, riesgo que el proveedor no pueda responder a la vez)
M
CPD compartido
• Coste bajo
• Garantiza la continuidad del negocio, en caso de llegar a un acuerdo satisfactorio
• Dificultad para lograr un acuerdo con otra organización, y garantizar su cumplimiento
• Riesgo de incompatibilidad de plataformas con el paso del tiempo
• Incremento de la infraestructura, para soportar otra organización en desastre
• Dificultad para realizar pruebas
B
EJEMPLO
Enfoque metodológico detalladoBusiness Continuity Plan
12 ©2008 Deloitte. Todos los derechos reservados
• XXXTareas
• Planes de acción a corto plazo
• Análisis de alternativas y selección de
estrategias
Resultados• Identificar aspectos de mejora a corto plazo (quick wins)
• Definir las estrategias de respuesta y recuperación ante desastres
Objetivo
• Mantenimiento del plan
• Evaluar calidad
• Adquisición de recursos / implem.
• Entrenamiento
• Prueba
• Gobierno
• Estrategia de
recuperación / disp.
• Documentación de los planes
• Diagnóstico situación actual
• Evaluación de Riesgos
• Análisis de Impacto
en el Negocio
Estrategia Continuidad
RevisiónImplementaciónDiseñoAnálisis
Enfoque metodológico detalladoBusiness Continuity Plan
13 ©2008 Deloitte. Todos los derechos reservados
• XXXTareas
• Plan de emergencia
• Plan de continuidad de negocio
• Planes de
recuperación
Resultados• Especificar las actividades, recursos y personal requerido para la recuperación después de un
desastre.
• Definir la secuencia de recuperación
Objetivo
• Mantenimiento del
plan
• Evaluar calidad
• Adquisición de
recursos / implem.
• Entrenamiento
• Prueba
• Gobierno
• Estrategia de recuperación / disp.
• Documentación de los planes
• Diagnóstico situación
actual
• Evaluación de
Riesgos
• Análisis de Impacto en el Negocio
Estrategia Continuidad
RevisiónImplementaciónDiseñoAnálisis
Enfoque metodológico detalladoBusiness Continuity Plan
14 ©2008 Deloitte. Todos los derechos reservados
• XXXTareas
• Planificación de la implantación
• Entregables parciales de la metodología de implantación
Resultados• Coordinar la implantación de las estrategias de continuidad desarrolladas
• Gestionar la implantación del plan
Objetivo
• Mantenimiento del
plan
• Evaluar calidad
• Adquisición de
recursos / implem.
• Entrenamiento
• Prueba
• Gobierno
• Estrategia de recuperación / disp.
• Documentación de los planes
• Diagnóstico situación
actual
• Evaluación de Riesgos
• Análisis de Impacto en el Negocio
Estrategia Continuidad
RevisiónImplementaciónDiseñoAnálisis
Enfoque metodológico detalladoBusiness Continuity Plan
15 ©2008 Deloitte. Todos los derechos reservados
• XXXTareas
• Plan de concienciación
• Plan de formación
• Cursos y material
formativo
Resultados• Definir los procesos de formación y entrenamiento
necesarios acorde al plan implantado
Objetivo
• Mantenimiento del plan
• Evaluar calidad
• Adquisición de recursos
/ implem.
• Entrenamiento
• Prueba
• Gobierno
• Estrategia de recuperación / disp.
• Documentación de los planes
• Diagnóstico situación
actual
• Evaluación de Riesgos
• Análisis de Impacto en el Negocio
Estrategia Continuidad
RevisiónImplementaciónDiseñoAnálisis
Enfoque metodológico detalladoBusiness Continuity Plan
16 ©2008 Deloitte. Todos los derechos reservados
• XXXTareas
• Procedimiento de pruebas
• Evaluación de resultados de las pruebas
Resultados• Definir el plan de pruebas
• Asistir en la ejecución de la prueba
Objetivo
• Mantenimiento del plan
• Evaluar calidad
• Adquisición de recursos / implem.
• Entrenamiento
• Prueba
• Gobierno
• Estrategia de recuperación / disp.
• Documentación de los
planes
• Diagnóstico situación actual
• Evaluación de Riesgos
• Análisis de Impacto en
el Negocio
Estrategia Continuidad
RevisiónImplementaciónDiseñoAnálisis
Enfoque metodológico detalladoBusiness Continuity Plan
17 ©2008 Deloitte. Todos los derechos reservados
• XXXTareas
• Procedimientos y
calendarios de mantenimiento
• Objetivos y criterios de
revisión
Resultados• Garantizar el mantenimiento del planObjetivo
• Mantenimiento del plan
• Evaluar calidad
• Adquisición de recursos / implem.
• Entrenamiento
• Prueba
• Gobierno
• Estrategia de recuperación / disp.
• Documentación de los planes
• Diagnóstico situación actual
• Evaluación de Riesgos
• Análisis de Impacto en el Negocio
Estrategia Continuidad
RevisiónImplementaciónDiseñoAnálisis
Enfoque metodológico detalladoBusiness Continuity Plan
18 ©2008 Deloitte. Todos los derechos reservados
• XXXTareas
• Objetivos y criterios de revisión
• Objetivos de
cumplimiento de calidad
Resultados• Garantizar la mejora continua del planObjetivo
• Mantenimiento del plan
• Evaluar calidad
• Adquisición de recursos / implem.
• Entrenamiento
• Prueba
• Gobierno
• Estrategia de
recuperación / disp.
• Documentación de los
planes
• Diagnóstico situación actual
• Evaluación de Riesgos
• Análisis de Impacto en el
Negocio
Estrategia Continuidad
RevisiónImplementaciónDiseñoAnálisis
Enfoque metodológico detalladoBusiness Continuity Plan
19 ©2008 Deloitte. Todos los derechos reservados
• Resultado de las Pruebas del Plan de Continuidad
• Plan de Continuidad del Negocio
• Norma de Gestión de la continuidad
• Estrategia de continuidad
• Diagnóstico situación actual
• BIA & Evaluación de Riesgos
Estrategia Continuidad
RevisiónImplementaciónDiseñoAnálisis
EntregablesRelación de entregables
20 ©2008 Deloitte. Todos los derechos reservados
Deloitte Touche Tohmatsu es una organización de firmas independientes, dedicadas a la prestación de servicios y asesoramiento profesional de máxima calidad, y que se centran en el servicio al cliente mediante una estrategia global aplicada a nivel local en cerca de 140 países. Con acceso a un enorme capital intelectual de casi 150.000 personas en todo el mundo, Deloitte presta servicios en cuatro áreas profesionales (auditoría, asesoramiento tributario, consultoría y asesoramiento financiero) a más del 80% de las empresas más importantes del mundo, así como a grandes empresas públicas, aunque por diversos motivos, entre los que se hallan las regulaciones específicas de cada país, no todas las Firmas miembro de Deloitte prestan toda la gama de servicios.
Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu (Swiss Verein), sus firmas miembro y respectivas filiales y asociadas. Al tratarse de un Verein suizo (asociación), ni Deloitte Touche Tohmatsu ni ninguna de sus firmas miembro es responsable de los actos u omisiones de las otras. Cada firma miembro es una entidad independiente con personalidad jurídica propia que opera bajo los nombres de “Deloitte”, “Deloitte & Touche”, “Deloitte Touche Tohmatsu”, u otros nombres asociados. Los servicios son prestados a través de las firmas miembro y sus respectivas filiales y asociadas y no por Deloitte Touche Tohmatsu (Swiss Verein).
Copyright © 2008 Deloitte. Todos los derechos reservados. A member firm ofDeloitte Touche Tohmatsu