Servicio Quick Start de Continuidad de Negocio

Servicio Quick Start de

Continuidad de Negocio

La continuidad de negocio, la disponibilidad del servicio y la evaluación continua de los riesgos de negocio son esenciales para las empresas de hoy en día. El servicio Quick Start de continuidad de negocio de BT permite a las organizaciones evaluar la eficacia de sus planes, procesos y capacidades de continuidad de negocio actuales.

Este proceso les permite comprender rápidamente su nivel actual de preparación para la continuidad de negocio y el grado de aprovechamiento de las ventajas empresariales. A través del análisis y la identificación de cualquier carencia, el cliente obtiene una perspectiva significativa de sus necesidades de continuidad de negocio y de las acciones necesarias para satisfacerlas.

Acerca del servicio Quick Start de

continuidad de negocio de BT

La importancia de la continuidad

de negocio

Los planes de continuidad de negocio y de gestión de crisis, que permiten que las funciones clave de una empresa sigan funcionando durante una interrupción importante o un evento desastroso o después de ellos, son más relevantes que nunca. La lista de amenazas a las organizaciones es cada vez mayor: desastres naturales, intrusiones en la red, errores humanos, terrorismo y problemas de seguridad. En la actual economía digital en red, incluso unas pocas horas de interrupción del servicio pueden tener resultados devastadores. La experiencia reciente ha demostrado que la ausencia de preparación para eventos poco frecuentes pero de alto impacto, como el huracán Katrina o el incendio del edificio Windsord en Madrid, pueden tener como resultado inmediato un impacto inaceptable en la empresa e incluso un cese total de la actividad.

En una encuesta reciente de Forrester 1 _un

56% de las grandes empresas encuestadas identificaron la continuidad de negocio y la recuperación de desastres (BC/DR) como la preocupación esencial para los altos ejecutivos. Los requisitos de gobierno corporativo y cumplimiento de la normativa, el cumplimiento de estándares (BS25999; ISO 27001); los problemas de cadena de suministro; la amenaza en ciernes de una pandemia; y su impacto potencial en los ingresos, la marca y la reputación han contribuido conjuntamente a introducir la continuidad de negocio en la agenda de la junta directiva y la han convertido en un problema empresarial importante, no sólo un problema de TI.

Como resultado, muchas empresas se están dando cuenta de que sus planes y procedimientos tienen carencias significativas. De hecho, más del 50% de las organizaciones no disponen de un plan de continuidad de negocio que cubra sus actividades empresariales esenciales.2

Administración del proceso

Según el Business Continuity Institute, la gestión de continuidad de negocio (BCM) debe abordarse como un proceso holístico de gestión que:

Identifique los impactos potenciales que

•

amenazan a una organización. Proporcione una estructura que genere

•

flexibilidad y la capacidad de responder eficazmente.

Salvaguarde los intereses de las partes

•

involucradas, su reputación, su marca y las actividades que crean valor.

Sin embargo, la implementación del proceso BCM requiere tiempo y esfuerzo. A muchas empresas les resulta difícil saber por dónde empezar o determinar el nivel necesario de continuidad y flexibilidad para reducir los riesgos a los que se enfrentan.

La planificación eficaz de la continuidad de negocio requiere un conocimiento minucioso de las personas, los procesos, la organización y la tecnología. Con frecuencia, la incapacidad de evaluar exhaustivamente estos factores e identificar los puntos débiles conlleva una mala gestión de la crisis, que a su vez puede convertirse en una situación de riesgo para la empresa.

El servicio Quick Start de continuidad de negocio de BT se ha diseñado para ayudar a su organización a avanzar en la planificación y gestión de la continuidad de negocio. Le permite evaluar los puntos fuertes y débiles de su estado actual y le ayuda a planear los pasos que debe realizar para superar las carencias de su estrategia de continuidad de negocio.

Signos clave de que la planificación de BC

de una empresa es ineficaz o inadecuada:

Proceso

BC es parcial, en lugar de aplicarse a toda la

•

empresa, y no está basada en riesgos. No hay pruebas del plan de BC/DR, una

•

auditoría anual o mantenimiento. No se crean informes periódicos de las

•

actividades de BC ni hay un seguimiento de las acciones correctivas.

Tecnología

Arquitectura de TI compleja y distribuida,

•

con tendencia a DR.

Los requisitos de flexibilidad y

•

recuperación no están dirigidos a los impactos y los riesgos.

No se consideran las aplicaciones

•

empresariales e interfaces para toda la empresa.

Personas

Las funciones y responsabilidades de BC no

•

están claras.

No se ha designado un equipo o un líder de

•

gestión de crisis.

No hay un patrocinador activo en la junta

•

directiva.

Empresa

Riesgos por la exposición a las

•

interrupciones de la cadena de suministro. Sufrió recientemente una interrupción o un

•

cese importante de la actividad. Cultura corporativa reacia.

•

Modelo de madurez de continuidad de negocio

1 _{Forrester: Enterprise Infrastructure Adoption, Oct 2006} 2 _{Business Continuity Management, Patrick Woodman,}

Chartered Management Institute, 2006

DR y BCP básicas Flexibilidad de BC mejorada

1. Inicial 2. Repetible 3. Definida 4. Gestionada 5. Optimizada Crear y mejorar sistemáticamente la flexibilidad y la capacidad de BC

Cuestionario sobre el estado

de Gestión de Continuidad de

Negocio (BCM)

El punto de partida del servicio Quick Start consiste en completar un cuestionario sobre el estado actual de la continuidad de negocio. Esta herramienta permite que usted y el responsable de cuentas de BT evalúen dónde residen sus puntos débiles y fuertes y establezcan un punto de partida para el resto del servicio Quick Start.

Este cuestionario:

Proporciona una introducción inicial de

•

nivel alto sobre su capacidad de BCM. Le permite comparar su capacidad de

•

BCM con estándares reconocidos como BS 25999; ISO 27001.

Establece los pasos siguientes.

•

Este cuestionario no requiere información técnica y puede completarlo cualquier empleado que esté familiarizado con sus capacidades de continuidad de negocio actuales. Una vez completado, usted y el responsable de cuentas de BT podrán establecer qué es más adecuado para su organización: el taller o la evaluación de continuidad de negocio.

¿Taller o evaluación?

Existen dos niveles de Quick Start que dependen de su estado de continuidad de negocio actual.

El nivel uno es para los clientes que no están seguros de por dónde o cómo empezar o que disponen de una continuidad de negocio muy básica y desean mejorarla. También puede ayudar a los clientes a comprender cómo se logra cumplir la normativa y los estándares o a determinar su nivel de preparación para las emergencias, la gestión de crisis y las pandemias.

El nivel dos es más adecuado para quienes han comenzado su planificación pero han encontrado problemas o necesitan confirmar que esa planificación va por el buen camino. Es especialmente útil para los clientes que desean realizar una evaluación más detallada y evolucionar en la escala de madurez de continuidad de negocio, comparando su programa con las prácticas recomendadas. En los niveles uno y dos, el objetivo es identificar rápidamente sus problemas clave y poner en marcha un plan de acción.

Primer nivel: Taller de Continuidad

de Negocio (BC)

Este es un taller breve, centrado en la interactividad o basado en situaciones para conseguir una perspectiva detallada de sus necesidades de BCM.

El proceso

Objetivos:

•

Establecer el estado actual de la planificación de BC, comprender los aspectos clave de BC y resaltar las carencias y problemas que impiden su planificación eficaz.

Evaluar el impacto de los períodos extensos de interrupción en los

•

procesos clave.

Determinar la capacidad de la organización para afrontar una

•

interrupción grave, por ejemplo una pandemia.

Establecer un plan de acción y los pasos inmediatos siguientes.

•

Participantes:

•

Directivos del cliente responsables de la planificación de BC y de la gestión de crisis.

Alto directivo o patrocinador del programa de BCM del cliente.

•

Consultores de BC de BT con experiencia.

•

Resultado:

•

Conclusiones y recomendaciones verbales durante la sesión de comentarios.

Informes resumidos de problemas, conclusiones y recomendaciones.

•

Plan de acción básico para la implementación.

•

Ventajas:

•

Proporciona una revisión sencilla de bajo riesgo y una identificación de los aspectos clave de BC.

Identifica soluciones prácticas que permiten seguir avanzando.

•

Mejora el trabajo en equipo y la comprensión en el equipo de BC

•

o de crisis.

Le ayuda a argumentar la necesidad de invertir en BC ante los

•

directivos.

Le proporciona acceso a la experiencia y los conocimientos de BT.

•

Plazo de tiempo:

•

Taller: medio día.

Tiempo total: una o dos semanas (incluye el tiempo de preparación y

•

de elaboración de informes)

Talleres típicos:

•

Recomendaciones de planificación de BC conforme a BS 25999; ISO 27001.

Taller de gestión de crisis.

•

Taller de planificación de situaciones de pandemia.

El proceso

Segundo nivel: evaluación de BC

Es adecuado para los clientes cuya planificación de BC está más avanzada, pero que requieren una evaluación y una comparativa detalladas y objetivas de su programa de BC para mejorar significativamente la eficacia y la flexibilidad empresarial. Se utiliza un enfoque de comparativa con el sector o de evaluación de la madurez (como el que se muestra en el diagrama de la página siguiente) con múltiples criterios de continuidad de negocio que se hayan acordado mutuamente.

Objetivos:

•

Compara su estado actual de BC con los modelos de prácticas recomendadas del sector orientado fundamentalmente desde el punto de vista del departamento de TI.

Establece el nivel de madurez de BC y le ayuda a formular una “Hoja

•

de ruta de BC” corporativa de uno, dos o tres años.

Identifica las soluciones potenciales para ayudarle a desbloquear

•

problemas importantes.

Recomienda las acciones necesarias para solucionar los problemas

•

clave y resalta las oportunidades de mejorar la eficacia de BC. Método:

•

Reuniones presenciales con personas clave del departamento TI.

Análisis de la información o de la documentación sobre las carencias y

•

sus causas.

Evaluación de impactos y comparativas del estado actual.

•

Formulación de la evaluación del estado deseado frente al nivel de

•

madurez actual.

Resultado:

•

Informes resumidos de problemas, conclusiones y recomendaciones. Plan de acción básico para la implementación.

•

Presentación ejecutiva que resuma los resultados clave.

•

Ventajas:

•

Proporciona una evaluación concisa de la planificación de BC actual, comparada con las prácticas recomendadas.

Identifica los problemas clave y le ayuda a definir la apariencia del

•

éxito.

Formula una hoja de ruta realista que mejora significativamente la

•

eficacia de BC corporativa.

Proporciona soluciones prácticas y personalizadas para avanzar.

•

Plazo de tiempo:

•

dos a cuatro semanas (en función de la complejidad; incluye el tiempo de preparación y de elaboración de informes).

100% 80% 60% 40% 20

El resultado

El servicio Quick Start de continuidad de negocio de BT les ayudará a usted y a su empresa a comprender claramente sus capacidades de continuidad de negocio actuales e incluye qué se debe hacer y cuándo para satisfacer los objetivos empresariales de BCM. También obtendrá una visión más clara de dónde tiene que empezar los cambios y cómo debe priorizarlos y podrá saber dónde se ha progresado.

Como resultado, la organización estará bien situada para desarrollar un programa de gestión de continuidad de negocio (BCM) riguroso y completo que mantenga y mejore los intereses empresariales en el futuro.

Ejemplo de pruebas comparativas de BCM

Gobierno corporativo de gestión de programas Política de BC/DR Impacto empresarial Impacto en el negocio Cultura de BC Auditoría y mantenimiento Clasificación de objetivos Cultura de BC Recuperación de recursos Planificación de pandemias Soluciones de recuperación Equipo de gestión de crisis y plan de crisis TI Auditoría y mantenimiento Prueba y ejercicio Conciencia de formación Clasificación de objetivos Promedio del sector Clasificación evaluada

Cuestionario sobre el estado de Gestión

de Continuidad de Negocio (BCM)

Las preguntas que se formulan a continuación le permitirán conocer cuál sería el punto de partida más eficaz de un servicio Quick Start de continuidad de negocio de BT para su empresa. Responda “Sí”, “Parcialmente” o “No”.

0. Política, estándares y

organización

¿Dispone su organización de un alto directivo que sea específicamente responsable de BCM?

o

Sí

o

Parcialmente

o

No ¿Respalda proactivamente ese directivo la necesidad de una BCM efectiva?

o

Sí

o

Parcialmente

o

No ¿Dispone su organización de un jefe de proyecto de BC dedicado?

o

Sí

o

Parcialmente

o

No

¿Dispone su organización de una política clara de BCM?

o

Sí

o

Parcialmente

o

No ¿Dispone su organización de presupuesto para BCM?

o

Sí

o

Parcialmente

o

No

1. Identificación de impactos y

requisitos de recuperación

¿Ha identificado su organización los objetivos empresariales clave asociados específicamente con una situación desastrosa importante?

o

Sí

o

Parcialmente

o

No

¿Ha cuantificado su organización los impactos empresariales de una interrupción no planificada a lo largo de períodos de tiempo progresivamente mayores?

o

Sí

o

Parcialmente

o

No ¿Ha identificado su organización los activos empresariales clave?

o

Sí

o

Parcialmente

o

No ¿Ha identificado su organización las prioridades y los plazos de recuperación para los procesos, servicios y sistemas empresariales?

o

Sí

o

Parcialmente

o

No ¿Se han acordado formalmente estas prioridades y plazos de recuperación con la alta dirección?

o

Sí

o

Parcialmente

o

No ¿Ha realizado su organización un análisis formal de riesgos?

o

Sí

o

Parcialmente

o

No

2. Determinación de las

estrategias de continuidad de

negocio

¿Dispone su organización de una estrategia actual de recuperación documentada en caso de que se produzca una incidencia importante o no prevista?

o

Sí

o

Parcialmente

o

No

¿Cubre esa estrategia:

• la infraestructura, los servicios y los sistemas de TI?

o

Sí

o

Parcialmente

o

No • las oficinas del personal clave y la recuperación del lugar de trabajo?

o

Sí

o

Parcialmente

o

No • la pérdida o la no disponibilidad del personal?

o

Sí

o

Parcialmente

o

No

• el equipo clave, los registros empresariales clave, etc.?

o

Sí

o

Parcialmente

o

No • los procesos clave?

o

Sí

o

Parcialmente

o

No

¿Se ha acordado formalmente una estrategia de recuperación con la alta dirección o la junta directiva?

o

Sí

o

Parcialmente

o

No

¿Se realizan copias de seguridad de todos los datos esenciales con frecuencia y se guardan las copias en un sitio remoto?

Cuestionario sobre el estado de Gestión

de Continuidad de Negocio (BCM)

3. Desarrollo e implementación

de un plan de continuidad de

negocio

¿Se ha acordado un plan de reducción o recuperación de riesgos?

o

Sí

o

Parcialmente

o

No

¿Se ha implementado por completo el plan de reducción o recuperación de riesgos?

o

Sí

o

Parcialmente

o

No

¿Se ha documentado por completo el plan de continuidad de negocio?

o

Sí

o

Parcialmente

o

No

¿Cubre el plan de continuidad de

negocio:

• la infraestructura, los servicios y los sistemas de TI?

o

Sí

o

Parcialmente

o

No • las oficinas del personal de la empresa?

o

Sí

o

Parcialmente

o

No • la pérdida o la no disponibilidad del personal?

o

Sí

o

Parcialmente

o

No

• el equipo clave, los registros empresariales clave, etc.?

o

Sí

o

Parcialmente

o

No • los procesos clave?

o

Sí

o

Parcialmente

o

No

¿Incluye el plan de continuidad de

negocio:

• la organización y las responsabilidades para la gestión de crisis y la gestión de la recuperación?

o

Sí

o

Parcialmente

o

No • listas de tareas específicas y predeterminadas para la invocación, la gestión de crisis y la recuperación de la empresa?

o

Sí

o

Parcialmente

o

No • los mecanismos de comunicación con las partes interesadas, el personal, los medios de comunicación, los socios y los proveedores?

o

Sí

o

Parcialmente

o

No ¿Se cubren todos los procesos en el plan de continuidad de negocio?

o

Sí

o

Parcialmente

o

No ¿Existe un proceso que requiere que BCP se mantenga en un estado actual para reflejar todos los cambios de la empresa (organización, sistemas, procesos, oficinas)?

o

Sí

o

Parcialmente

o

No

¿Se ha designado un propietario de BCP que es responsable de garantizar la coherencia, la actualización y el mantenimiento?

o

Sí

o

Parcialmente

o

No

¿Se ha confirmado el plan de BCP con la alta dirección?

o

Sí

o

Parcialmente

o

No ¿Se ha desarrollado y documentado BCP de forma que involucre completamente al personal en una emergencia real?

o

Sí

o

Parcialmente

o

No

4. Creación e incorporación de

una cultura de continuidad

¿Existe un proceso para generar concienciación de BC en la organización?

o

Sí

o

Parcialmente

o

No ¿Puede el personal clave asistir periódicamente a la formación de BC?

o

Sí

o

Parcialmente

o

No ¿Existe un programa de actualización de conocimientos o de calificación formal como las acreditaciones BCI o DRII?

o

Sí

o

Parcialmente

o

No

¿Está disponible la información de BCM en las páginas web o las intranets pertinentes?

o

Sí

o

Parcialmente

o

No

¿Respalda el personal directivo el desarrollo de una cultura de BC en la organización?

Cuestionario sobre el estado de Gestión

de Continuidad de Negocio (BCM)

5. Ejercicios y pruebas de los

planes de continuidad de negocio

¿Existe un proceso para revisar y probar BCP periódicamente o cuando se produce un cambio organizativo importante?

o

Sí

o

Parcialmente

o

No ¿Se han probado por completo todos los aspectos del plan en los últimos 12 meses?

o

Sí

o

Parcialmente

o

No ¿Incluyen las pruebas comprobación de escritorios, simulaciones, pruebas parciales y pruebas completas con gestión de incidencias?

o

Sí

o

Parcialmente

o

No

¿Fueron realizadas las pruebas por el personal que estaría implicado en una emergencia real?

o

Sí

o

Parcialmente

o

No ¿Se han documentado por completo los resultados de las pruebas, junto con los planes de acción correctiva asociados para su rectificación y mejora?

o

Sí

o

Parcialmente

o

No

6. Preparación para pandemias

¿Ha evaluado el impacto de una disminución crítica de los recursos humanos en su organización?

o

Sí

o

Parcialmente

o

No ¿Ha determinado los conocimientos esenciales necesarios para mantener las actividades empresariales clave?

o

Sí

o

Parcialmente

o

No ¿Ha implementado políticas, criterios y planes que permitan que la empresa siga funcionando durante una pandemia o después?

o

Sí

o

Parcialmente

o

No ¿Ha determinado el impacto en la empresa de que sus proveedores clave no le puedan proporcionar los servicios y productos esenciales durante una pandemia?

o

Sí

o

Parcialmente

o

No ¿Dispone la organización de políticas y procesos vigentes de trabajo flexible como trabajo móvil o remoto?

o

Sí

o

Parcialmente

o

No

7. Resumen

Sí Parcialmente No

Política, estándares y organización. 0.

Identificación de impactos y requisitos de 1.

recuperación.

Determinación de las estategias de continuidad 2.

de negocio.

Desarrollo e implementación de la respuesta y los 3.

planes de continuidad de negocio. Creación e incorporación de una cultura de 4.

continuidad.

Ejercicios y pruebas de los planes de continuidad 5.

de negocio.

Preparación para pandemias. 6.

¿Por qué BT?

BT tiene décadas de experiencia en el diseño, creación y gestión de redes globales seguras y dispone de profesionales cualificados con mucha experiencia gracias a sus prácticas de seguridad global.

BT dispone de un servicio de prácticas

•

de seguridad global con profesionales y consultores de seguridad de TI cualificados a tiempo completo, que son miembros o asociados de BCI y tienen las certificaciones CISSP, CBCP e ITIL.

Gartner

•

3 _{ha designado a BT como}

“proveedor de servicios completos” para las capacidades de soluciones de BC. Estas capacidades abordan los elementos de “personal, procesos y tecnología” de cualquier solución de BC necesaria. El amplio alcance global de BT proporciona

•

una excelente cobertura que pocos proveedores pueden igualar. Nuestra red cubre más de 170 países en los cinco continentes y está combinada con centros de recuperación de desastres y servicios de hosting. Nuestros expertos en consultoría están ubicados estratégicamente por todo el mundo para ofrecer un servicio realmente global.

BT emplea métodos comprobados, basados

•

en las prácticas recomendadas estándar del sector, como el nuevo estándar BS25999 de continuidad de negocio, ISO 27001 y el marco ITIL ITSCM.

BT proporciona un servicio integral

•

y completo, desde una evaluación profesional del impacto hasta la identificación e implementación de estrategias de mitigación de riesgos y soluciones de vanguardia, a través de un servicio totalmente gestionado, basado en un conocimiento exhaustivo de las preocupaciones y los requisitos del cliente. BT dispone de amplias asociaciones

•

estratégicas con los principales proveedores líderes mundiales.

BT practica lo que predica. Utilizamos

•

procesos rigurosos de evaluación de riesgos y de valoración obligatoria de la seguridad interna en nuestra propia organización. Nos tomamos muy en serio la continuidad

•

de negocio y la recuperación de desastres, al igual que el buen gobierno corporativo. Como resultado, BT trabaja con muchas organizaciones nacionales e internacionales para desarrollar e implementar sus propios planes sólidos de BCM.

Acerca de la serie BT Quick Start

Los distintos módulos BT Quick Start son programas concisos, orientados a ofrecer un servicio, que se basan en los principales servicios y tecnologías de máxima importancia para las empresas que forman parte de la economía digital en red. Estos servicios y tecnologías se combinan para formar una infraestructura más amplia y cada uno de ellos representa avances significativos y ventajas a largo plazo para las empresas que los implantan.

Los módulos Quick Start pueden utilizarse como parte integrante del programa de seguridad de la empresa. BT Quick Start permite al cliente evaluar, probar, planificar y determinar la validez de cada servicio o tecnología en partes gestionables. Cada servicio Quick Start cuenta con distintas fases en las que se definen claramente los resultados y ofrece la información necesaria en relación con los aspectos técnicos de la implantación y la justificación comercial de los cambios en la infraestructura o la red.

¿Cuáles son los próximos pasos?

Le mostraremos las ventajas y las

implicaciones que tendrá el servicio para su empresa. Asimismo, podemos ayudarle a elaborar ejemplos tangibles que tendrán un mayor valor frente a los accionistas. Póngase en contacto con el responsable de cuentas de BT a fin de concertar una reunión para tratar la colaboración con mayor detalle.

3 _{Presentación de Gartner: Greg Young “Business}

Continuity Management Today: From Storms to Blackouts to Terrorism” Sept 2004; página 19

Sucursales en todo el mundo

Los servicios de telecomunicaciones descritos en esta publicación están sujetos a su diponibilidad y se pueden modificar ocasionalmente. Los servicios y el equipo se suministran de acuerdo con las condiciones de contrato estándar respectivas de British Telecommunications plc. Ningún fragmento de la presente publicación constituye parte de un contrato.

© British Telecommunications plc 2007

Oficina registrada: 81 Newgate Street, Londres EC1A 7AJ. Registrado en Inglaterra Nº: 1800000

Diseñado por Loewy: Londres PHME 56966