U2_estrategias De Recuperación Y Gestión De Crisis.pdf

Gestión de la Continuidad del Negocio Unidad:

Estrategias de recuperación y gestión de crisis

Docente: César Condori Ari

Logro Al finalizar la unidad, el estudiante estará en la capacidad de desarrollar las estrategias de continuidad del negocio alineada a las necesidades de su organización, basado en la evaluación de riesgos y gestión de crisis.

Importancia Las Estrategias de Recuperación son importantes en las organizaciones porque permiten direccionar las acciones a seguir como respuesta del manejo de crisis, ante algún evento que podrían afectar parcial o totalmente los procesos del negocio.

Contenido general • Evaluación de amenazas a través del análisis de riesgo. • Estrategias de recuperación acorde con las necesidades del negocio.

• Gestión de Crisis y manejo de comunicación en crisis

Evaluación de amenazas a través del análisis de riesgo • Objetivos de una evaluación de riesgos y controles • Riesgos vs. Continuidad • Terminología de riesgos: amenaza, vulnerabilidad, riesgo, control • Identificación de amenazas • Amenazas naturales, antrópicas y tecnológicas • Metodología para la identificación del riesgo • Impacto vs. Probabilidad • Evaluación de Controles

Planeación Estratégica Nace debido a la necesidad de darle “continuidad a la continuidad del negocio”

Establece un proceso continuo responsable de la maduración de la organización en los temas de continuidad del negocio

Se orienta a actividades recurrentes del enfoque metodológico

Participan el gestor de continuidad y los líderes de recuperación de cada área / proceso

El programa debe considerar un plan estratégico a 3 ó 5 años, y actividades específicas a ser realizadas en el año.

Objetivos de una evaluación de riesgos y controles

Prevenir la ocurrencia de un incidente que pueda ocasionar un desastre

Analizar los riesgos entran en juego las probabilidades

La prevención se hace tangible con controles o procedimientos de mitigación a implementar

La inversión en prevención (controles) es inversamente proporcional al “apetito de riesgo” de la empresa

Objetivos de una evaluación de riesgos y controles Identificar las amenazas de mayor probabilidad que puedan impactar seriamente las operaciones de la empresa Proponer un plan de inversión en controles que ayude a mitigar la posibilidad de una amenaza Identificar escenarios para la gestión de crisis Identificar escenarios para orientar la respuesta a la emergencia Identificar posibles “peores escenarios” que ayuden a definir el plan de acción macro del programa de continuidad del negocio

Riesgos vs. Continuidad Riesgos

Continuidad

Se focaliza en la prevención (ANTES)

Se focaliza en la preparación (ANTES), respuesta (DURANTE), y la recuperación, restauración y retorno (DESPUES)

El riesgo previene que ocurra el desastre.

Continuidad asume que el desastre va a ocurrir.

“Riesgo” es como tener seguros preventivos “Continuidad” es como tener un seguro de vida

Terminología de Riesgos Causa (Amenaza)

Probabilidad

Vulnerabilidad (Riesgo residual o aceptable) = Efectividad del Control +

Riesgo 2

+ Impacto = Efecto (Riesgo)

Contexto 1

Amenaza 2 Contexto 2

Terminología de Riesgos Amenaza

• Aquello que causa el evento

Componente

• Elemento del negocio cuya indisponibilidad afectaría la continuidad de las operaciones.

Probabilidad

• Frecuencia con que el evento se presenta

Impacto

• nivel de afectación de los componentes.

Control

• Medida preventiva o correctiva que mitiga o reduce (pero no elimina) la amenaza o el riesgo

Riesgo

• Efecto o consecuencia de que la amenaza se vuelva

Vulnerabilidad

• Riesgo no controlado Descriptivo (ej. La destrucción de la casa) Cualitativo (ej. Alto, Medio, Bajo) Cuantitativo (ej. US$ 85,000 al año)

Identificación de amenazas Las amenazas se complementan con las de la industria o específicas al área – A nivel industria (ej. Congestión de servicio) – A nivel empresa (ej. Huelgas) – A nivel área (ej. Sabotaje por empleados descontentos) – A nivel de proceso (ej. Falta de repuestos) – A nivel técnico (ej. Servidores informáticos sin seguridad) Es necesario entrevistar a los expertos del área o proceso para complementar amenazas específicas de preocupación diaria – Ej. Virus informáticos – Ej. Recursos obsoletos

Amenazas naturales, antrópicas y tecnológicas Ejemplo de amenazas ocasionados por el hombre (Antrópicos) – Accidentes aéreos – Protestas, vandalismo – Contaminación – Incendios

Amenazas naturales, antrópicas y tecnológicas Ejemplo de amenazas naturales – Huracanes – Tornados – Sismos – Tormentas (Rayos) – Inundaciones – Deslizamientos – Erupción volcánica

Amenazas naturales, antrópicas y tecnológicas Ejemplo de amenazas tecnológicas – Denegación de servicios internet (DOS) – Correos no deseados (SPAM) – Sabotaje tecnológico (Virus, Trojans, worms, fishing, etc.) – Fallas en los computadores centrales – Daño o pérdida de la infraestructura de comunicaciones (Voz, Data) – Accidentes industriales, errores de ingeniería – Colapso de instalaciones eléctricas – Colapso de estructuras/instalaciones

Metodología para evaluación del riesgo Impacto vs. Probabilidad Se identifican amenazas de tipo: – Naturales – Antrópicas – Técnicas

Metodología para evaluación del riesgo Impacto vs. Probabilidad Se Identifican controles existentes o controles ya implementados para cada amenaza – Se identifican controles existentes para cada amenaza – Se identifican amenazas sin controles definidos

Metodología para evaluación del riesgo Impacto vs. Probabilidad Se identifica la probabilidad de ocurrencia considerando los controles ya implementados – Usar escala (Alto, Medio, Bajo) – Asociar escala a frecuencia (Ej. Alto = 1 o más veces al año, Medio = 1 vez al menos cada 5 años, Bajo = 1 vez al menos cada 25 años) – Ver cuadro siguiente…

Metodología para evaluación del riesgo Impacto vs. Probabilidad

Metodología para evaluación del riesgo Impacto vs. Probabilidad Se identifican los impactos en caso que la amenaza se haga realidad – Usar escala (Alto, Medio, Bajo) – Asociar escala a cualquiera de las siguientes variables • Magnitud del daño, ejemplo: – Alto = una o más zonas, – Medio = varios pisos o todo el edificio, – Bajo = sólo un piso • Disponibilidad del servicio, ejemplo: – Alto = se paraliza uno o más servicios, – Medio = se paraliza un servicio, – Bajo = Se paraliza un servicio parcialmente – Ver cuadro siguiente…

Metodología para evaluación del riesgo Impacto vs. Probabilidad

Metodología para evaluación del riesgo Impacto vs. Probabilidad Se identifican los eventos de riesgo o las amenaza de forma descriptiva – Ejemplo • Amenaza: Vandalismo o hurto • Probabilidad: Alta (1 vez al mes) • Impacto: Medio (paraliza el servicio en ciertas zonas) • Evento de Riesgo (Descripción del Impacto): Suspensión del servicio de atención al cliente por tres días en las zonas afectadas – Ver cuadro siguiente…

Metodología para evaluación del riesgo Impacto vs. Probabilidad

Metodología para evaluación del riesgo Impacto vs. Probabilidad Se mide la exposición del riesgo – Se utilizan los valores de las columnas de Probabilidad y de Impacto ya identificadas en pasos anteriores

– Se concentran las riesgos según correspondan en el cuadro siguiente para obtener la “Exposición del riesgo”

Metodología para evaluación del riesgo Impacto vs. Probabilidad Obtenemos la representación del Nivel de riesgo

R01 R07

R08

R02 R04

R10

R11

R03 R09 R06

R05

Metodología para evaluación del riesgo Evaluación de Controles Se identifican mejoras a controles ya existentes – Ejemplo: • Control existente: el personal deberá registrarse por si mismo en la bitácora de registro • Control a implementar: un sistema de seguridad automatizado que registre fecha y hora de las personas que accedan a la central Se identifican nuevos controles a implementar – Ejemplo: • Control existente: no aplica. • Control a implementar: un sistema automático de detección y alerta de incendio.

Metodología para evaluación del riesgo Evaluación de Controles

Metodología para evaluación del riesgo Evaluación de Controles Para la priorización de controles se consideran: – Los de mayor impacto – Los de alta probabilidad

Metodología para evaluación del riesgo Evaluación de Controles Ejemplo del cuadro consolidado de priorización de controles

Estrategias de recuperación acorde con las necesidades del negocio • Estrategias de recuperación • Clasificación de Criticidad • Estrategias de Recuperación según Criticidad • Selección de Sitio Alterno

Estrategias de Recuperación

No hacer nada Procedimiento Alternativo Degradación del Servicio Recíproca Móvil Entrega inmediata Propia Comercial

Clasificación de Criticidad Cada componente analizado debe ser clasificado según su criticidad – Criticidad Alta (RTO menor a 4hr) – Criticidad Media (RTO entre 4hr y 24hr) – Criticidad Baja (RTO entre 24hr y 1 semana) – Criticidad Muy Baja (RTO entre 1 semana y 30 días) Los períodos (4hr, 24hr, 1sem) pueden ser cambiados según criterios propios.

Estrategias de Recuperación según Criticidad Nivel de Criticidad

Tipo de Estrategia

Alta

Media

HOT

WARM 4hr

Baja

Muy Baja

COLD 24hr

SOLO BOSQUEJO Y DISEÑO 7 días

30 días

COMPONENTE

HOT

WARM

COLD

BOSQUEJO

Equipos e infraestructura

Replicado

Sólo espacio, conectividad disponible e infraestructura apagada

Sólo espacio y conectividad disponible

Sólo diseño y cantidades

Recursos

Replicado

Ubicado en sitio externo

Sólo espacio

Sólo diseño y cantidades

Personal

Disponibilidad inmediata

Sólo asignado

Sólo asignado

Sólo asignado

Registros Vitales

Disponibilidad inmediata

Disponible

Disponible

Sólo listado

Disponibilidad inmediata (proveedores alternos) con planes de continuidad

Que tengan planes de contingencia

Que tengan SLA

Identificar proveedores especializados a contactar

Proveedores

Selección de Sitio Alterno Es necesario considerar una evaluación de sitio alterno según sea la necesidad.

Se pueden considerar alternativas propias y tercerizadas.

Es necesario establecer los criterios de evaluación de mayor importancia para la organización y según ello, calificar cada posible sitio.

Al final, se escogerá el sitio que mayor puntaje obtenga luego de la evaluación.

Selección de Sitio Alterno Considerar localidades existentes donde ubicar los recursos mínimos necesarios para la recuperación

Gestión de Crisis y manejo de comunicación en crisis • Gestión de Crisis • Escalar, Notificar, Activar • Niveles de severidad • Estados del desastre • Notificaciones según el estado del desastre • Mensajes de las notificaciones • Tipos de notificaciones • Herramientas de notificación • Comité de Crisis • Plan de Gestión de Crisis • Comunicación en Crisis • Plan de Comunicación en Crisis

Gestión de Crisis Está gobernado por la Alta Gerencia a través del Comité de Crisis

Sobre la base de la información escalada al Comité de Crisis, éste tomará la decisión de esperar, notificar o activar los planes según sea necesario Puede considerar “escenarios” sobre la base de las amenazas más frecuentes

Escalar, Notificar, Activar Decidir si es un desastre Comité de Crisis

Niveles de Severidad

Escalar, Notificar, Activar Cualquier empleado deberá ser capaz de reconocer y reportar un evento: – A su jefe inmediato – A seguridad / vigilancia – A soporte de sistemas 24 x 7

Niveles de severidad Según evolucione el evento – Normal – AZUL / VERDE (todo funciona bien, existen posibles riesgos, no se interrumpe el servicio) – Elevado – AMARILLO (debido a la falla, se interrumpió el servicio) – Alto – NARANJA (es casi un hecho que será un desastre, movilizar personal preventivamente) – Severo – ROJO (desastre declarado, activar planes, movilizar personal de los grupos de recuperación)

Estados del desastre Se establecen estados del desastre según el progreso de la situación presentada 1. 2. 3. 4. 5. 6.

Evento ocurrido Posible desastre Alerta de desastre Desastre declarado Desastre controlado Fin de desastre

4 3 5 2 1

6

Mensajes de las notificaciones Notificaciones efectivas Que no dejen dudas de la actuación deseada Que no conduzcan al error Que sean oportunos Que no falte información Que no sea un mensaje incompleto Que permita un mecanismo de comunicación desde los empleados hacia la empresa Opcionalmente, que vaya informando de los aspectos de seguridad y progreso de la situación

Mensajes de las notificaciones Las partes de un mensaje son: – A quién está dirigido (pe. A los líderes de recuperación) – Qué acción debe tomar quien recibe el mensaje? (pe. Movilizarse) – Dónde? (pe. Al Sitio Alterno #2, ubicando en …) – Cómo? (pe. En taxi, no con su propio vehículo) – Cuándo? (pe. En 3 horas debe estar presente) – Si es necesario que reenvíe el mensaje (pe. Avisar al personal a su cargo según lista de llamadas) – Que confirme la recepción del mensaje y la situación en la que se encuentra (pe. Ingresar a la página Web y dejar dicha su situación) Jamás envíe un mensaje si no lo tiene pre-estructurado y pensado

Tipos de notificaciones Desde la empresa hacia fuera Por ejemplo: – Llamadas telefónicas – Página Web – Avisos en medios – Comunicados en general De fuera hacia la empresa (pasivas) Por ejemplo: – Páginas Web donde se pueda llenar información – IVR donde puedan grabarse mensajes

Herramientas de notificación Teléfono / Celular Correo electrónico Radio Teléfono satelital Beepers (localizadores) Radio de onda corta, larga Radio aficionados Intranet Internet Mensajería instantánea Sistemas de notificación masiva

Grupo: Comité de Crisis Conformado por los principales directivos de la organización. En el ANTES es el Comité Permanente de Continuidad del Negocio. Cada miembro debe tener uno o más suplentes El Gestor de Continuidad forma parte del comité Monitorea el evento ocurrido y evalúa si los equipos de resolución de fallas podrán solucionar el problema antes de los RTOs Determina si se activan los planes de continuidad utilizando la infraestructura alterna Decide el curso de acción de acuerdo con la situación presentada utilizando los planes ya existentes

Grupo: Comité de Crisis Establece el Centro de Operaciones de Emergencia como el sitio que alberga el comité de crisis. Establece Centros de Comando en la localidad afectada y en la de recuperación (o alterna). Soporta a los comandantes de ambas localidades en cuanto a logística, recursos, presupuesto. Establece, de ser necesario, un Centro de Comunicación en Crisis para el manejo de la imagen de la institución. Monitorea el progreso de la restauración. Aprueba y monitorea el retorno a la normalidad.

Plan de Gestión de Crisis Es el plan maestro que coordina y engrana todo el resto de planes Decide su activación y establece los momentos en los cuales cambia el “estado del desastre” El grupo responsable se denomina “Comité de Crisis” Establece un sitio primario u alterno llamado Centro de Operaciones de Emergencia (EOC en inglés)

Plan de Gestión de Crisis Miembros / Roles del Comité de Crisis – Director del Comité – Coordinador de Operaciones – Coordinador de Logística – Coordinador de Planeamiento – Coordinador de Finanzas – Coordinador de apoyo en relaciones públicas – Coordinador de apoyo en seguridad – Otros miembros

Plan de Gestión de Crisis Actividades principales Convocarse a si mismo Evaluar el progreso de la resolución de fallas y determinar qué acciones se deben seguir Establecer los niveles de severidad de la empresa Establecer los estados de desastre para cada proceso / localidad Activar los planes de continuidad correspondientes en cuanto la situación así lo estipule Activar los equipos de la fase de restauración Monitorear el retorno a la normalidad

Comunicación en Crisis

Se da sobre un evento u ocurrencia que puede impactar las expectativas de la gente, las empresas y las comunidades Puede ser interna o externa dependiendo de la audiencia: empleados, accionistas, medios, comunidad, etc.

Oportuna

Simple

La Comunicación de Crisis tiene que ser Directa

Honesta

Comunicación en Crisis Archivos de referencia sobre crisis potenciales

Componentes clave!

Voceros Oficiales

Contactos de Emergencia

Políticas y Procedimientos de Relaciones Públicas

Herramientas de comunicación Avisos en prensa Declaraciones preparadas Conferencias de prensa Conferencias telefónicas Intranet Internet Correo electrónico Reuniones “cara a cara” Otros?

Plan de Comunicación en Crisis Es el plan que contiene los esquemas de comunicación que se deben seguir para manejar las expectativas de los públicos objetivos Los públicos objetivos pueden ser internos o externos El grupo responsable es el de Relaciones Públicas y los voceros que se hayan definido para cada tipo de audiencia Necesita establecer un centro de comunicaciones en crisis.

Plan de Comunicación en Crisis Actividades principales Activarse por orden del comité de crisis Establecer el centro de comunicación en crisis Convocar voceros Entender situación actual Identificar audiencias interesadas Establecer herramientas de comunicación adecuadas Efectuar comunicación con voceros Monitorear expectativas de interesados e informar según convenga

Conclusiones • Una adecuada evaluación de riesgos de continuidad del

negocio permitirá asegurar una eficiente implementación de controles de mitigación que permitan reducir el nivel de riesgos a niveles aceptables por la organización.

• La Selección de las Estrategias de Continuidad de Negocio

deben alinearse a las necesidades reales del negocio, deben actualizarse de acuerdo a los cambios en el entorno interno y externo.

• La Gestión de crisis permite direccionar las acciones como respuesta a los eventos de interrupción que afecten la normal operativa del negocio, así como la adecuada comunicación a los medios de información.

Gracias Docente: Cesar Condori Ari