Continuidad de NegociosContinuidad de Negocios
Elaborado por:
Jacqueline VegaISI, MGP, ABCP
Elaborado por:
Jacqueline VegaISI, MGP, ABCP
Revisado/Modificado por:
Ramón M. Gómez R.ISC, MAE, MEC*
[email protected]@hotmail.com
Revisado/Modificado por:
Ramón M. Gómez R.ISC, MAE, MEC*
[email protected]@hotmail.com
HISTORIA DE LA
CONTINUIDAD DE NEGOCIOS
Programa de
Continuidad de Negocios
Un programa del todo relacionándolo con sus partes (Holístico) determinado por los requerimientos del negocio.
Dirigido por un grupo directivo con la autoridad para responder a las interrupciones.
Modifica las consecuencias de una interrupción a un nivel aceptable por la dirección.
Proporciona un medio probado para enfrentar las crisis.
Dificultad del mantenimiento y actualización
Ad
m.
Rie
sg
o
Recu
pera
ció
n
de D
esastr
es.
Ad
min
istr
ació
n
Insta
lacio
nes
Ad
m.
Cad
en
a
de s
um
inis
tro
Ad
m.
Calid
ad
Salu
d y
Rie
sg
os
pro
fesio
nale
s
Ad
m.
Con
ocim
ien
to
Ad
m.
Em
erg
en
cia
Seg
uri
dad
Com
un
icacio
nes
en
Cri
sis
Objetivos del Programa de
Continuidad de Negocios
• Proteger la vida humana.
• Asegurar la continuidad y sobre vivencia de la empresa.
• Proporcionar protección a los activos.
• Mitigar los riesgos y exposiciones.
• Proporcionar las mediadas preventivas.
• Tomar el Control de cualquier interrupción.
¿Porque es Importante un Programa de Continuidad de Negocios?
• Protección de vidas Humanas
• Reducir la Confusión y permitir decisiones efectivas en tiempo de crisis.
• Reducir la Dependencia de personal especifico.
• Reducir la perdida de datos, utilidades, clientes.
• Facilitar la recuperación oportuna de las áreas críticas del Negocio.
• Mantener la imagen pública de confiabilidad y seguridad.
Continuidad del Negocio:
¿De Quien es la Responsabilidad? Responsabilidad de los Directivos
Responsabilidad por consecuencia de:
Interrupción del Negocio.
Perdida de información critica del Negocio.
Protección adecuada de Información por ley.
Directores por áreas de responsabilidad.
Todos los empleados por su participación.
Tendencias y Direcciones
BCM seguirá evolucionando en un papel mas estratégico, incorporando aspectos de manejo de emergencia, seguridad, servicios internos y protección.
Concientización creciente de la necesidad y el valor de BCM en toda la empresa.
Retos del BCM
Necesidad de documentar un alto nivel de Retorno de la Inversión (ROI).
Necesidad de ejemplos en donde se haya usando en forma exitosa el Plan de Continuidad de Negocios.
Se sigue viendo con frecuencia como un ejercicio de planificación de recuperación.
Promover estándares de la Industria
Porcentaje adecuado de presupuesto asignado a BCM
BCM necesita asociarse con el resto de la empresa.
Necesidad de herramientas objetivas para evaluar la efectividad y madurez de los programas.
TI
PLAN RECUPERACION ANTE DESASTRE
ESTRATEGIA CONTINUIDAD EN BASE A ESCENARIO RIESGOS E IMPACTOS
PROCESOS CRITICOS
PROCESOS DOCUMENTADOS CULTURA CONTINUIDAD PRESUPUESTO
EVALUACION RIESGO OPERACIONAL
GENTE
SEGMENTOS CUBRE CONTINUIDAD
QUE PROTEGER Y RECUPERAR?
CUANDO, COMO Y CON QUE RECUPERAR?
ANALISIS IMPACTO NEGOCIOS (BIA)
EVALUACIONDE
RIESGOS
¿Qué es Evaluación de Riesgo?
Proceso orientado a la identificación de riesgos a los que esta expuesta una empresa.
Evaluar las funciones críticas necesarias para que una empresa continué sus operaciones de negocios
Una función de reducción / mitigación de riesgos
Definir los controles necesarios para reducir la exposición de la empresa
Evaluar el costo y factibilidad de dichos Controles
Con frecuencia incluye una evaluación de las probabilidades de que ocurra un evento específico.
¿ Por Qué Conducir una
Evaluación de Riesgos?
El propósito de una evaluación de riesgo:
Priorizar la planificación y la asignación de recursos
Identificar y mitigar las exposiciones
Identificar las Amenazas, Riesgos y Vulnerabilidades en la “Cadena de Desastres”.
Objetivos de Evaluación de Riesgos
Entender los potenciales de perdida:o Amenaza
o Vulnerabilidad
o Probabilidad
o Riesgos
o Impacto
Determinar el Potencial de Perdida.
Identificar amenazas con mayor Probabilidad de ocurrencia
Identificar Vulnerabilidades
Identificar Controles existentes y recomendar adicionales
Evaluar la efectividad de los controles y de las protecciones.
Establecer el nivel de Vulnerabilidad
Rol de Evaluación de Riesgos
Identificar que planes necesitan ser desarrollados
Se enfoca en las consecuencias de las fallas, así como en la consideración de las causas
Se relaciona principalmente con la prestación de servicios de apoyo
Usado para Identificar acciones de mitigación
Para aumentar la capacidad de recuperación de la prestación de Servicios
Para facilitar una respuesta rápida y efectiva a cualquier falla.
Beneficios de Evaluación de Riesgos
• Los resultados sirven como base para el ahorro de costos a través de la prevención.
• Uso racional de recursos finitos para la mitigación de riesgos.
• Puede disminuir los efectos ocasionados por eventos que impacten la Productividad.
Medios para la Obtención de Datos
• Externos Continente
País
Región
Comunidad
Vecindario o Colonia
• Internos Industria
Planta
Edificación
Piso
Proceso
Área de trabajo
Medios para la Obtención de Datos
Entrevista, cuestionarios/infraestructura
Obtención
Documentos corporativos
Información de la cadena de Abastecimiento
Almacenes de Datos
Categorías de Amenazas
Naturales o Actos de la naturaleza.
Causadas por el Hombre
Políticos
Tecnológicos
Infraestructura
Identificar Eventos de Riesgos
Fuego
Incendio de todo el edificio
Fuego en un solo piso
Fuego en el cuarto de Correspondencia
en el sótano
Probabilidad baja severidad alta
Probabilidad media severidad media
Probabilidad media severidad alta
Baja
Menos de una vez cada 25 años
“Esto podría pasa, pero seria algo muy raro”
Alta
Mas de una vez cada 5 años
“ Recuerdo la Ultima ves que paso …”
Media
Una vez cada 5 a 25 años
“Vi algo apreciado a los documentos
recientemente”
Identificar la Probabilidad de Ocurrencia de un Evento de Riesgo
Análisis de Riesgo
Clasificar riesgo y amenazas
Bajo control de la empresa
Mas allá del control de la empresa
Con aviso previo
Sin aviso previo
Declaración de riesgos: Cuantitativo y cualitativo.
Evaluar el impacto de los riesgos y amenazas en las funciones criticas de negocios.
Análisis de Riesgos y Estimación de la Exposición
Matriz de
Nivel
de riesgo
Impacto Bajo
(10)
Medio
(50)
Alto (100)
Alto (1.0) Bajo
10*1.0=10
Medio
50*1.0=50
Alto
100*1.0=100
Media (0.5) Bajo
10*0.5=5
Medio
50*0.5=25
Medio
100*0.5=50
Baja( 0.1) Bajo
10*0.1=1
Medio
50*0.5=5
Bajo
100*0.1=10
Pro
babi
lidad
A
men
aza
Mejores Prácticas
Un Programa de Continuidad de Negocio:
• No es un Proyecto
• No es una tarea de una sola vez
• No es un periodo fijo de tiempo
Debe ser un programa permanente, vivo, consistente de varios proyectos independientes y reiterativos.
Identificar el Impacto de un Evento de Riesgo
Bajo Medio Alto
Disponibilidad
Servicios
Reducción esporádica en el servicios
Perdida total intermitente del servicio o una reducción seria en el servicio
No hay servicio
Duración
Falta de servicios menos de 0.5 días
Falta de servicio entre 0.5 y 3 días
Falta de servicio mas de 3 días
Alcance
Impacta a cierto numero de individuo
Impacta a una función del negocio
Impacta varias funciones de la empresa
Evaluar los Impactos Potenciales
Perdida de la función
Fuego en el cuarto de
correspondencia del sótano
Perdida del trabajo
en proceso
Perdida del Servicio
al cliente
Exposición de perdida Anualizada (ALE – Annulized Loss Exposure)
Ventajas • Calcula Efectos Cuantitativos
• Rápido y directo
Desventajas: no considera
• Disminución del tiempo/ disminución del problema
• Distribución de beneficios entre controles múltiples
• Dificultad para conciliar los valores usados en frecuencia (f) y Exposición (e)
Definición de Control
Proceso, dispositivo o procedimiento que:
• Desalienta la ocurrencia de eventos dañinos
• Mitiga el impacto de una amenaza
• Reduce el efecto, pero no siempre previene que ocurra
Tipos de Controles
Controles Físicos
• Supresión de fuego/ sistema rociadores
• Sistema de control de acceso
• Guardias de Seguridad
• Controles de Procedimientos
• Políticas de contratación y terminación
• Políticas de escritorios Limpios
• Recepción de Documentos
Identificación de Controles
Identificación Controles y protecciones para prevenir y/o mitigar el efecto de la perdida potencial
Protección de seguridad
• Protección Física
• Presencia Física
Protección Lógica
• Respaldo ( Backup) y protección de información
• Seguridad de información
Localización de Activos
• Mantenimiento Preventivo
• Procedimientos de Personal
Evaluación de Controles Existentes
Identificación y Evaluación Controles para desalentar la amenaza o reducir al perdida
Habilidad para desalentar o reducir diversos riesgos
Establecer y buscar controles externos
Evaluar los controles y recomendar cambios necesarios para reducir el impacto de riesgo y amenaza
Evolución de Controles Existentes
Considerar el costo de mantenimiento del control
Desarrollar acciones preventivas y previas a la planificación
• Costo/ Beneficios
• Prioridades de implementación, procedimientos Controles
• Probar
• Auditar funciones de responsabilidades
Mejorar los Controles Existentes
• Documentar, Entrenar e implementar
Recomendar Controles Adicionales
Evaluar el Impacto de riesgo y exposiciones en asuntos necesarios para conducir las operaciones de negocios
• No es posible eliminar la amenaza
• Seleccione los controles con el mayor rendimiento
• Incluya el costo del control y el mantenimiento
• Prepare el análisis Costo beneficio
• Presente los resultados a la Alta Dirección
Conclusión
La meta de la evaluación de riesgos es identificar y determinar los riesgos
Es importante reconocer y determinar las amenazas a la empresa
Identificar, mejorar y recomendar controles adiciones disminuirá los riesgos para su empresa
ANALISIS DEIMPACTO AL NEGOCIO
(BIA)
QUE ES EL BIA?
Un proceso diseñado para:
Identificar funciones críticas del negocio y flujos de trabajo
Determinar los impactos cuantitativos y cualitativos de una interrupción
Priorizar y establecer objetivos de tiempo de recuperación
Compromiso de la Alta Dirección
Establecer el BIA como un asunto de toda la empresa
Involucrar a todas las unidades de negocios y departamentos
Coordinar el proceso asegurando su efectividad dentro de la empresa
Identificar y establecer un patrocinador del proyecto
Análisis de Impacto al Negocio
Identificar, categorizar y priorizar
• Funciones críticas
• Registros viales/ críticos
• Recursos requeridos, personal y equipos
• Evaluar los impactos y los efectos de las Interrupciones en el tiempo
• Determinar la exposición de perdida en el tiempo
• Identificar procesos de Negocios
• Interrelaciones
• Dependencias
• Validar Información
Propósito de un BIA Proporcionar al negocio las bases para un plan de continuidad de
negocios
Proporcionar a la dirección un hallazgos informativos, entendibles y objetivo para que pueda dar los lineamientos para el desarrollo del programa de continuidad de negocios
Comunicar las vulnerabilidades inherentes de las unidades del negocio, sistemas y procesos del negocio que forma la empresa.
Identificar que procesos y activos del negocio requieren el mas alto nivel de protección
Proporcionar información que ayude a la identificación de estrategias y alternativas
Proporcionar datos financieros para apoyar la selección de niveles adecuados de inversión para la protección
Establecer los objetivos de recuperación y la línea de tiempo.
Objetivos de un BIA Identificar
• Funciones y operaciones necesarios de negocio
• Exposiciones e impactos financieros potenciales
• Exposiciones e impactos operacionales potenciales
Determinar cuando empieza las exposiciones y los impactos
Determinar los recursos necesarios • Tecnología
• Personal
• Infraestructura
•Soporte del proveedor
Evaluar los impactos de una interrupción en el tiempo
Determinar la criticidad de tiempo de • Funciones de Negocios
• Procesos de Negocios
• Departamentos
• Áreas de trabajos relacionadas con la función global de una empresa
Identificar Interdependencias
Identificar requerimientos legales y reguladores.
Objetivos de un BIA
Determinar los marcos de tiempo de recuperación y los requerimientos de recursos mínimos
• Funciones criticas con base en el nivel de criticidad
• Determinar el orden de recuperación
• Determinar los requerimientos de recursos mínimos
Establecer el valor organizacional de cada unidad de negocios en cuanto a su relación con el funcionamiento en total de la empresa
Objetivos de tiempo de recuperación
El periodo de tiempo en que los sistemas, aplicaciones, proceso o funciones deben ser recuperados después de una interrupción
Los RTO’s son usados frecuentemente como la base para
• Establecer prioridades
• Desarrollar Estrategias
• Como una determinante para establecer cuando un evento es una interrupción o un desastre
Objetivos de puntos de Recuperación (RPO – Recovery
Point Objetive)
Perdida potencial de transacciones
• procesos manuales
• Capacidades operacionales Provisionales
• Ultimo respaldo/ Backup de datos disponibles
• Objetivos de puntos de recuperación en el tiempo
• Perdida tolerable de datos
• Asuntos de Inventario y trabajo acumulado
Validación de resultados
Revisar constancia
Identificar Información Faltante
Identificar “ Banderas Rojas”
Correlacionar con una segunda fuente
Organizar las notas
Dar seguimiento a la Entrevista
• Preparar un resumen de las notas
• Confirmar las notas de entrega por escrito
Documentar Procesos de Negocios
Interrelaciones entre procesos
Dependencias de procesos
• Intra – departamental
• Inter – departamental
• Tecnología
• Procesos
Documentar Dependencias Críticas
Requerimientos de Soporte:
• Intra – Departametal
• Inter – Departamental
• Externo Critico
• Sensible al Tiempo
Categorías por Criticidad
Definir parámetros de criticidad
Desarrollar funciones críticas
Identificar registros vitales para soportar la continuidad y restauración del negocio.
Categorizar los hallazgos cualitativos por alto/ medio/bajo
Objetivos de presentación
Recibir aprobación y dirección especifica en relación al desarrollo de la estrategia para la mitigación de impactos potenciales
Obtener Aceptación de los Directores de
• Clasificación de funciones y aplicaciones
• Marcos de tiempo de los RTO ´s y sus implicaciones
• Mantener el involucramiento directivo
• Directivo patrocinador
• Reportes de estatus periódicos
Reporte de Hallazgos del BIA
Prepare un borrador del informe del BIA que contenga los hallazgos y asuntos el impacto iniciales
Envíe el borrador del informe a los Directores participantes y solicite retroalimentación
Revise sus comentarios y modifique los hallazgos agregue a asuntos sobresalientes
• Programe una junta/ taller de trabajo para discutir los hallazgos iniciales
Alternativas y procesos alternos
Practicas y procedimientos existentes
Procesos manuales provisionales
Impactos en inventario y trabajo acumulado
Decisión de trabajo atrasado estrategias para poner al corriente
( back Log/ catch up)
• Estrategias alternas
Requerimientos de Recursos
Determine los requerimientos mínimos de recursos para la recuperación y reanudación de las funciones criticas y los sistemas de apoyo
Determine los tiempos de reemplazo de recursos
• Recursos internos y externos
• Recursos propios versus no propios
• Recursos existentes
• Recursos adicionales requeridos
Marcos Tiempo de Recuperación
Determinar RTO o ventanas de recuperación de las funciones criticas del negocio
Determinar el orden de recuperación con base en el nivel de criticidad
Agrupar por categorías
Listas de funciones de negocios por criticidad y sensibilidad en el tiempo
Priorizar funciones criticidad del negocio
Consolidar y agrupar tiempos de recuperación dentro de la empresa
Determine el Enfoque
Cuestionario
Entrevista
Sesión de facilitación
Combinación
Diseño de las preguntas Buenas preguntas nos llevan a
• Una lista de todas las funciones, operaciones y procesos de negocios
• Una muestra de las exposiciones cuantitativas y cualitativas en el tiempo por
Proceso
Función
Departamento
Servicio
• Identificación de los Marcos de tiempos críticos y las prioridades de recuperación
DESARROLLO DE UN BCP PARA TECNOLOGIA DE
INFORMACION - DRP -
1. BCM: Conjunto de Planes que deben interconectarse y coordinarse, a fin de posicionar mejor a su empresa, para responder ante un desastre.
2. Pasos para la creación de un BCP (Planes Continuidad del Negocio):
a) Planificación del Proyecto
b) Evaluación y Análisis Riesgos en Funciones o Areas
c) Business Impact Analysis (BIA)
d) Desarrollo de Estrategias ante Desastres y Eventos
e) Desarrollo y actualización Bussiness Continuity Planing
f) Capacitación y Concientización
g) Pruebas y Ejercicios
h) Mantenimiento y Actualización
3. Aspectos del BCP :
1. Identificación Riesgo
2. Respuesta durante un desastre
3. Recuperación ante desastre
4. Restauración después del desastre
4. Elementos Básicos del BCP
a) Sitio alterno
b) Uso de recursos en condición de contingencia, no del día a día .
5. Elementos Disponibilidad ante eventos
a) En sitio
b) Redundancia en sitio
c) Procedimientos continuidad
Plan de Continuidad
de las Operaciones
(COOP)
Plan de Continuidad del Negocio
(BCP)
Plan de Recuperació
n de Desastres
(DRP)
Planes de Contingenci
a(CP)
Plan de Respuesta a Incidentes
Plan de Reanudació
n del Negocio(BRP)
Plan de Comunicación de Crisis
Plan de Emergencia
s(OEP)
Análisis de Impacto al
Negocio(BIA)
Análisis de Riesgos y Amenazas
(TRA)
Alto Impacto
Orientado a TIOrientado a las instalacionesOrientado al negocio
Componente base
Tipos de Planes dentro de la Administración de la Continuidad del Negocio (BCM)
Crear Política BC
Establecer un Comité guia BCP
Establecer un BC Plan desarrollo proyecto
Inicio BCP
Establecer un programa BCP de entrenamiento y toma de
conciencia
Coordinador BCP con leyes y regulaciones
Desarrollo Plan del Proyecto MantenerPlan preparado
Ejecutir el BC Plan
BCP CompletadoInterrupción del
Negocio
BC
P
Pro
ceso
Gestion de Riesgo
Business Impact Analysis
Estrategia BC
Desarrollo Plan BC
TiempoPrueba del Plan
BC
Mantenimiento Plan BC
BC
P G
estio
n
BCP Gestión ContinuidadDesarrollo Plan
BCMCultura Continuidad
Negocios
Plan Propósito Enfoque
BCP.- Plan de continuidad del negocio Provee procedimientos para mantener las operaciones del negocio esenciales, mientras se recupera de una interrupción significativa.
Procesos del negocio; TI es considerado basado en el soporte a los procesos del negocio.
BRP.- Plan de recuperación (o reanudación) del negocio.
Provee procedimientos para recuperar las operaciones del negocio, inmediatamente que se presenta el desastre.
Procesos del negocio; No está enfocado a TI; TI es considerado basado en el soporte a los procesos del negocio.
COOP.- Plan de continuidad de las operaciones.
Provee procedimientos y capacidades para mantener las funciones estratégicas organizacionales en un sitio alterno hasta por 30 días.
Subconjunto de misiones de la organización consideradas como más críticas; generalmente se describe en términos de direcciones; No enfocado en TI.
CP.- Plan de contingencias. Provee procedimientos y capacidades para recuperar una aplicación mayor o un sistema de soporte general.
Atiende interrupciones en sistemas de TI; no está enfocado en procesos del negocio.
Plan de comunicación y manejo de crisis.
Provee procedimientos para diseminar reportes de estado al personal y al público.
Atiende comunicaciones con e personal y el público; no enfocado en TI.
Plan de respuesta a incidentes. Provee estrategias para detectar, responder, y limitar consecuencias de incidentes.
Se enfoca en respuestas a incidentes que afectan los sistemas y/o redes.
DRP.- Plan de recuperación de desastres.
Provee procedimientos detallados para facilitar la recuperación de las capacidades en un sitio alterno.
Comúnmente enfocado en TI; Limitado a interrupciones mayores con efectos de largo plazo.
OEP.- Plan de emergencias Provee procedimientos coordinados para minimizar la pérdida de vidas o daños y proteger de daños la propiedad en respuesta a una amenaza física.
Se enfoca en el personal y la propiedad; no enfocado a procesos del negocio ni funciones de TI.
PLANES DE CONTINUIDAD
¿Qué conforma el Plan de Continuidad del NegocioPara Tecnología de Información -DRP ?
¿Qué es Crítico para la Empresa?
¿Quién lo hará y cómo?
Tareas Equipos de Trabajo
Empleados
PROCESOS
Proveedores
Clientes
Localidades
¿Qué Recursos se Requieren?
Equipo Suministros Registros Vitales
Activos
Software Telecom
Estabilidad Infraestructura de servicios
Redes
Estructura básica (Temperatura y Energía Eléctrica)
Servidores
CORE
Servicios
Capa 1
Capa 2
Capa 3
Capa 4
Capa 5
Computadoras Personales
Base de Datos
Capa 6
Capa 7
Administración Para la Continuidad del Administración Para la Continuidad del NegocioNegocio
Alta Disponibilidad Servicios Críticos
Interrupción Interrupción Data Center Data Center PrincipalPrincipal
Respaldo Respaldo Datos Datos
Interrupción Interrupción Site Alterno Site Alterno LocalLocal
Evento- Respuesta Recuperación Normal
Man
ejo
de re
spue
sta
de E
mer
genc
ia
pub
lica/
priv
ada
Protección de vidas Protección de vidas
Evaluación refugio en el lugar proporcionar cuidados de Emergencia
Evaluación refugio en el lugar proporcionar cuidados de Emergencia
Recu
pera
r- R
esta
urar
-Re
anud
ar
Protección de la propiedad/ Seguridad Física
Empresa
Tecnología
Responder/ Estabilizar/ Manejar/ Recuperar Normalizar
Respuesta de Emergencias
Componentes de Respuesta de Emergencias
• Procedimientos de reporte
• Preparación previa al Incidente
• Acciones de emergencias
• Estabilización de la localidad
• Mitigación del daños
• Procedimientos de pruebas y responsabilidades
Reducción
Mitigar y planear ANTES
del desastre
Respuesta
Implementar Procedimiento de respuesta DURANTE el desastre
Recuperación y
Reanudación
Operaciones y procesos críticos DESPUES del desastre
Restauración y Regreso
a las
operaciones normales en la localidad final
Fases de Continuidad de Negocios
Procedimientos de
Respuesta de Emergencia
Protección del Personal
Contención del Incidente
Evaluación del evento
Determinar e implementar acciones apropiadas
Desarrollar hojas de “respuesta”
Objetivos de
Respuesta de Emergencia
Identificar tipos de emergencias y las respuestas necesarias
Identificar procedimientos actuales/ recomendar nuevos
Integrar los procedimientos de continuidad de negocio con los procedimientos de respuesta
Definir roles y responsabilidad centrales
Rol de la Alta Dirección
Responder a las inquietudes del consejo de administración
Mostrar a los clientes críticos que ellos son importantes
Visionario estratégico
El que toma las dediciones
Rol del Comité Directivo/ CMT
Posicionado en forma unida para comprender y
manejar eventos de emergencias y catastróficos
Tiene la autoridad para monitorear y manejar las
situaciones a su alcance
Aprobación de la revisión de la estrategia
Aprobación de la revisión de la prueba
Asignación de los reportes y los recursos necesarios
Autoridad del CMT
Decidir la dirección de la recuperación estratégicas con
base en los hallazgos de la evaluación de daños y en las
operaciones
Notificar al personal apropiado con base en el tipo y la
magnitud del desastre
Iniciar y administrar el plan durante la emergencia
Administrar y dirigir el manejo de problemas
Rol del planificador/ Coordinador BC
• Forma parte del comité Directivo/ CMT
• Desarrollar/distribuir los procedimientos de respuesta de emergencia
• Actualizar los procedimientos para reflejar los cambios
• Monitorear la efectividad de los procedimientos durante los simulacros
• Revisar los procedimientos según se requiera
• Mantener una biblioteca de los procedimientos de emergencia
• Durante un desastre, apoyar la implementación de estrategias de respuesta y operaciones alternas
Operaciones Diarias • Organización normal
de la empresa
• “ Negocios con todos los días
• Comité Directivo
• Gerente de Áreas
Duración de Crisis • Organización de
Continuidad de Negocios
• Sobre vivencias de las operaciones sensibles al tiempo
• Grupo de manejo de crisis – CMT
• Lideres de grupos reportan al CMT
Cambios de Roles
Grupos y Tareas
Grupo de Respuesta de Emergencia
• Proporcionar protección al personal y su localidad
Grupo Recursos Humanos
• Mantener información sobre la situación de cualquier empleado que este recibiendo tratamiento medico u otros servicios derivados del desastre
Administración de Riesgos y seguros
• Notificar a los representantes de seguros del incidente y coordinar su participación en las revisiones del lugar y en las actividades iniciales de ajuste
Grupos y Tareas
Relaciones Públicas/ con los medios
• Manejar el flujo de información y su contenido a lo largo de la interrupción
Protección y Seguridad
• En la (s) instalaciones (es) dañadas o evacuada los mas pronto posible después de un incidente
Registros Vitales
• Notificar a las Localidades de almacenamiento externo de la llegada de los integrantes del grupo y las necesidades de apoyo
Implementación de Procedimientos
Elementos el Plan de respuesta de emergencias
• Escalación, notificación, y activación del plan
• Responsabilidades del grupo de respuesta de emergencia
• Grupos de respuesta y recuperación- roles, responsabilidad y procedimientos
• Procedimientos de medios y comunicación de crisis
• Procedimientos de pruebas recomendados
La planificación debe desarrollarse antes de que tenga una emergencia, para que exista una respuesta Coordinada y efectiva que proteja su organización y reduzca los daños
La mayoría de las emergencias involucran personal de la localidad, la localidad física, las operaciones o tecnologías que se encuentran en esas localidades o toda la empresa
Respuesta a los Medios
La respuesta de la organización a los medios, debería estar documentada en el BCP, e incluir:
La estrategia de comunicación del incidente
Forma preferida contacto de la organización con los medios
Pauta planilla para redactard declaración a entregadar a los medios, tan pronto sea posible, luego del incidente
Cantidad adecuada de portavoces, calificados y competentes, designados y autorizados, para revelar información a los medios
• El establecimiento cuando sea posible, de local adecuado que apoye labor de contacto con medios u otras partes interesadas
En algunos casos podría ser adecuado:
Proporcionar información detallada de apoyo, en documento aparte
Determinar un número adecuado de personas competentes y calificadas, para responder a las consultas telefónicas de la prensa.
Prepara material de fondo sobre la organización y sus operaciones (esta información debería haber sido aprobada de antemano para su distribución).
• Asegurarse de que toda la informacion para los medios se divulgue sin retrasos injustificados.
Gestión de las Partes Interesadas
Se deberá incluir un proceso para identificar y priorizar las comunicaciones con otras partes interesadas clave. Podría ser necesario desarrollar un plan separado de gestión de las partes interesadas, que proporcione criterios para fijar prioridades y asignar a una persona para cada parte interesada o grupo de partes interesadas. El Lugar de la Gestión de Incidentes
La organización debería definir un lugar, una habitación o espacio sólido y predeterminado desde donde sea posible gestionar los incidentes.
Una vez terminado, este lugar debería convertirse en el centro de respuesta de la organización. También se debería designar un lugar de reunión alternative, en una ubicación diferente, en caso no se pueda accede al lugar principal.
Cada lugar debería tener recursos adecuados que permitan al equipo de incidentes iniciar sin demora actividades eficaces de gestión de incidentes.
El lugar elegido debería adecuarse a la medida de los objetivos e incluir: Medios Primarios y Secundarios de Comunicación, eficacesMedios para Acceder a y compartir información, incluyendo el monitoreo de los medios de noticias
Top Related