Gestión de la continuidad de negocios e ISO 22301

1. Introducción : ¿Por qué la gestión de continuidad de negocios es esencial esencial?: Hola y bienvenidos a uno de los mejores cursos de gestión de continuidad empresarial. Esto va te permitirá no sólo desarrollar una habilidad altamente demandada de hoy, sino también ayudar a las organizaciones a sobrevivir y a volverse más resilientes. Soy Hassham Idris y soy parte del equipo de liderazgo senior en un formulario de asesoría Fortune 100. En los últimos 15 años, he ayudado a más de 50 organizaciones, pero por lo tanto responder y emerger más fuerte de las principales interrupciones. A nivel mundial, las organizaciones se enfrentan a innumerables amenazas de eventos disruptivos potenciales y son entorno operativo. Incluyendo pandemias como Kuwait 19, desastres naturales. Ya sean ciberataques, cortes de energía a largo plazo, indisponibilidad de proveedores clave, etcétera. Recientemente hemos empezado a ver un aumento significativo en el número de interrupciones. De hecho, 2020 puede llamarse aire de disrupción. Ya sea su fuego encubierto de 19 arbustos australianos, huracán Sandy, los tornados en Oklahoma, o los recientes ciberataques en Nueva Zelanda. A continuación, cambian las existencias. Empresas que consideran proactivamente cómo responder a estos eventos son las primeras en volver a los negocios, muchas veces a expensas de los comparadores. Si miras las principales tendencias de riesgo empresarial en 20202021, riesgo limitado de resiliencia empresarial estará justo ahí arriba. Por ejemplo, tres de los diez principales riesgos empresariales globales de KPMG para, de los cinco primeros riesgos empresariales de Forbes, y tres de las cinco amenazas principales como BUT alinea el barómetro de riesgo, incluidos los dos principales hilos, son todos relacionados con la resiliencia empresarial. Puede que ya esté tomando forma la próxima crisis que podría amenazar a su organización. Y con tanto en juego, las organizaciones simplemente no pueden permitirse no tener un plan. Simplemente pregúntate a ti mismo o a tu organización un par de preguntas sencillas. ¿ Crees que estás listo para enfrentar una nueva crisis? ¿ Eres capaz de recuperar oportunamente tus funciones clave? Si tu respuesta es no o no segura, no te preocupes, te vas a un buen comienzo porque estás aquí conmigo, consciente del riesgo y listo para aprender iniciará este curso entendiendo la resiliencia fundamental de la organización y los negocios conceptos de continuidad. Qué es la gestión de la continuidad del negocio y qué no es. Aclararé los conceptos erróneos y confusiones comunes sobre continuidad del negocio y explicaré qué beneficios aporta a una organización desde diferentes perspectivas. También mirará la continuidad del negocio global no es estándar, es decir, ISO W3 0-1 y sus requisitos. Una vez que hayamos entendido los conceptos clave y los elementos fuera del BC MS, bucearemos profundamente en cada una de las principales áreas de continuidad empresarial. Ahora este curso no asume ninguna experiencia de continuidad del negocio. Entonces si eres un principiante completo, eso no es un problema. Todos empezamos en alguna parte. Estaré contigo en cada paso del camino ya que te llevaré a través de los conceptos fundamentales de continuidad empresarial, todo el camino hasta algunos de los enfoques más intermedios y avanzados. Pero todo lo que necesito de ti es un fuerte deseo de aprender en caso de que seas una de las pocas personas con experiencia en esta área. Esta seguirá siendo una muy buena actualización. He trabajado en estos enfoques para una serie de clientes de diferentes continentes. Entonces recuerden, las estrategias que vamos a estudiar, trabajar, y practicar, no sólo sobre el papel. Hay mucho que aprender y practicar. Entonces empecemos nuestro viaje y espero tenerlos en este curso. 2. 1.1 ¿Qué vas a aprender en este curso?: Hola y bienvenidos a esta gestión de continuidad del negocio va. En este curso, vas a descubrir qué es realmente la continuidad del negocio y qué no es. Por qué la continuidad del negocio es clave para la supervivencia para cualquier organización hoy en día. Y cuáles son los conceptos fundamentales y elementos clave del ciclo de vida completo de gestión de la continuidad del negocio y algunos enfoques prácticos para implementarlos. Esto te permitirá desarrollar una habilidad altamente demandada de hoy y ayudar a cualquier organización a sobrevivir y a ser más resiliente. Yo soy hotshot midrise, y soy parte del equipo de liderazgo senior de una conocida reforma de asesoría Fortune 100. A lo largo de los últimos 15 años. He ayudado a varias organizaciones de diferentes países a estar preparadas para responder y salir más fuertes de las principales interrupciones. Específicamente desde una perspectiva de continuidad del negocio y recuperación de tecnología. Permítanme presentarles brevemente la estructura de este curso. He dividido este curso en 11 secciones y más de 40 conferencias de alta calidad. Se tiene una breve visión general de lo que cubriremos en cada sección. Empezaremos con reventar algunos mitos y conceptos erróneos comunes sobre la gestión de la continuidad del negocio. Después pasaremos por los aspectos clave de una resiliencia empresarial más amplia. Las diferencias entre las plantas relacionadas, como respuesta de emergencia, gestión de crisis, gestión de incidentes, planificación de continuidad del negocio y recuperación ante desastres de TI. Y entender cómo se relacionan entre sí de una manera muy fácil de entender. En el siguiente capítulo, veremos qué es la norma ISO W3C y qué es ISOS PDCA, planear, hacer cheques, actuar, ciclo de vida. Entonces mirará las diez cláusulas ISO, lo que significan y cuáles son algunos de los beneficios clave de implementar y mantener un sistema de gestión de la continuidad empresarial desde diferentes perspectivas, como los beneficios desde la perspectiva empresarial, Perspectiva Financiera, Perspectiva de procesos internos, y perspectiva de los interesados. Después pasaremos al capítulo de gobernanza. Vamos, comenzaremos con discutir la importancia de tener una rendición de cuentas, titularidad y responsabilidad claras. Recuperar los aspectos del marco de gestión de la política y la continuidad empresarial y discutir por qué contar una política y marco es vital para la gobernanza del sistema de gestión de la continuidad empresarial. En la gestión de riesgos, estudiaremos cómo es importante una gestión eficaz del riesgo para el sistema de gestión de la continuidad del negocio. ¿ Cuál es la diferencia entre riesgo empresarial y la gestión de la continuidad del negocio? Y cuáles son algunas de las opciones comunes de tratamiento de riesgo que se pueden aplicar a los riesgos de continuidad del negocio. En el siguiente capítulo, veremos qué es la norma ISO W2 tres 0-1 y qué es ISOS, PDCA o plan do check, act ciclo de vida es entonces mirará las diez cláusulas ISO, lo que significan y cuáles son algunos de los beneficios de implementar y mantener un sistema de gestión de la continuidad del negocio? Desde diversas perspectivas, como el beneficio. En la gestión de riesgos, estudiaremos cómo es importante una gestión eficaz del riesgo para el sistema de gestión de la continuidad del negocio. ¿ Cuál es la diferencia entre riesgo empresarial y la gestión de la continuidad del negocio? Y cuáles son algunas de las opciones comunes de tratamiento de riesgo que se pueden aplicar al riesgo de continuidad del negocio. Entonces estudiaremos qué es Análisis de Impacto Empresarial o BIA. ¿ Por qué hacemos este análisis? ¿ Y cómo BIA te ayuda a entender mejor a tu organización? Aprendemos cuáles son los objetivos de recuperación. Y los términos clave del audio, es decir, los objetivos de tiempo de recuperación y ARPU, es decir, los objetivos de punto de recuperación. Una vez que entendamos estos conceptos básicos, entonces miraremos los seis pasos para realizar un análisis de impacto empresarial. Después del análisis de impacto empresarial, nos fijamos en desarrollar el plan de continuidad del negocio. Will study sería Cp es por eso que es importante y cuáles son los requerimientos y estrategias para la planeación de la continuidad del negocio. Entonces miramos a detalle cómo podemos desarrollar un PCP considerando diversos aspectos como personas, comunicación, instalaciones, sistemas y aplicaciones, telecomunicaciones, dependencias internas y externas, especiales requisitos y contenidos relacionados a ser incluidos en los planes de continuidad del negocio. En la siguiente sección se encuentra la vinculación con la recuperación ante desastres de TI y las plantas relacionadas comenzarán con estudiar sobre el plan de DR de TI con más detalle incluyendo Y TI se requiere la planificación de recuperación ante desastres. Y cuáles son los componentes para desarrollar un ITD, nuestro plan. Entonces discutiremos por qué es esencial que el plan de continuidad empresarial no sea un documento independiente. Más bien, cómo podemos conectarlo sin problemas con las plantas relacionadas como el manejo de crisis, la respuesta a emergencias, la administración de incidentes y el plan de DR de TI. En el capítulo del factor humano, estudiaremos por qué la capacitación y la conciencia es uno de los aspectos más cruciales para que los PCP sean utilizables y efectivos. Aprendemos cuáles son algunos de los elementos clave de educación y conciencia dentro del sistema de gestión de la continuidad del negocio también se discutirá cómo la continuidad del negocio y se infunden en la cultura organizacional con la ayuda de un proceso e implicación del equipo directivo superior. El siguiente capítulo son los ejercicios de continuidad empresarial, donde estudiaremos la importancia de realizar las pruebas y ejercicios de BC para asegurar que los planes funcionen en la práctica y no sólo en el papel. Y si son capaces de cumplir con los objetivos requeridos. Echaremos un vistazo a varias pruebas y tipos de ejercicios y cuál será adecuado y diferentes escenarios. También cubriremos la importancia de las sesiones de debriefing y cómo se deben llevar a cabo. Después veremos cómo se deben mantener y mantener actualizados los planes de continuidad del negocio y el sistema de gestión de la continuidad del negocio. Y cuáles son los principales aspectos de realizar el monitoreo y aseguramiento periódico. Por último, en el apartado de conclusión, se tendrá un breve recapitulación de lo que hemos aprendido y se discuten los próximos pasos. Por favor, tenga en cuenta que la mayoría de estas áreas como la gobernanza, realizar la BIA, desarrollar el PCP, y los ejercicios son temas muy detallados dentro de sí mismos. Y así va, cubriremos cada uno de estos con un nivel de detalle razonable para que entienda lo esencial de todos estos elementos y pueda iniciar su viaje de continuidad empresarial. El plan de estudios completo del curso está disponible para que usted también lo descargue. También he incluido cuestionarios, asignaciones, artículos y material descargable en este curso que te ayudará a practicar y obtener orientación adicional a lo largo de este viaje. Al final de este curso, podrás aprender cómo las organizaciones resilientes recuperaron rápidamente de la interrupción. Mantener un crecimiento aún mayor su ventaja comparativa. Aprender, desarrollar e implementar las estrategias de continuidad del negocio comprobadas y entender que la resiliencia es algo más que tener un plan. Por lo tanto, el aprendizaje de estas habilidades no sólo aumentará la estabilidad de su mercado, sino que también abrirá puertas para un portador y gestión de la continuidad del negocio. Hay mucho que aprender y practicar. Entonces empecemos nuestro viaje y empecemos. 3. 1.2 mitos y falsos comunes sobre la continuidad del negocio: La planificación de la continuidad del negocio es uno de los aspectos más importantes de cualquier estrategia de recuperación. Desafortunadamente, muchas organizaciones no son proactivas en el desarrollo de sus estrategias y planes de continuidad. partir de mi experiencia, un factor clave para que las organizaciones no estén preparadas es por algunos mitos comunes y conceptos erróneos sobre la continuidad del negocio. Éstos son algunos de esos. Tenemos un equipo pequeño no sabía qué hacer durante una interrupción mayor. De hecho, ni siquiera se puede esperar que los mejores empleados sepan qué hacer cuando se produce un desastre. Dejar a cada empleado al engendro a su manera sólo se suma a la confusión durante un evento. Por lo que tener un plan de continuidad empresarial bien pensado y documentado de antemano y limpiar a tus empleados para seguirlo pone todos mucho mejor preparados para responder a un evento. El siguiente es la continuidad del negocio, es lo mismo que la planificación de recuperación ante desastres ID. Es importante entender esta diferencia. Como su nombre indica, un plan de continuidad del negocio es un proceso centrado en el negocio que asegura que las empresas sean capaces de seguir operando en caso de una interrupción importante o si un lugar de trabajo se vuelve inaccesible. El TCP proporciona pasos detallados a tomar antes, durante y después de una interrupción para mantener la viabilidad financiera de una organización. Por otro lado, hice plan de recuperación ante desastres o DRP de TI entra en juego cuando tu organización pierde acceso, tuerce los sistemas de TI y la infraestructura tecnológica. Por lo que el DRP de TI se centra en la respuesta y recuperación de sistemas y activos de TI a partir de una interrupción o falla significativa. En ocasiones desencadena una interrupción importante. Sería el bcb y el IT DR. B. pueden activar juntos. No obstante, dependiendo del evento, sólo se puede activar uno. Por ejemplo, si una organización aloja un número de su sistema en un centro de datos y hay una interrupción significativa en ese centro de datos, entonces sólo se necesita activar un ID DOB y no el ABCP. Por ello, aunque diferentes pero compraron el bcb y el ID DARP, son vitales para ayudar a una organización asegurada y organizada, segura, y oportuna recuperación. El siguiente es, lleva mucho tiempo desarrollar un plan de continuidad del negocio. En cierta medida lo hace. No obstante, debemos darnos cuenta que el centavos gastado en desarrollar y mantener los planes de continuidad del negocio es una inversión en su empresa. Si ocurre una interrupción importante, su costo fijo continuará. Incluso si estás abierto para negocios o no. Cuanto más rápido puedas volver a los negocios como de costumbre, lo que llamamos BAU, más probable y rápido te recuperarás de la interrupción papá. Hemos visto varios ejemplos recientemente, ya sea anotar con 19 incendios pandémicos de arbustos australianos o tornados en Oklahoma. Empresas que consideran proactivamente cómo responder a las interrupciones son las primeras en volver a los negocios. A menudo a expensas de los competidores. Pero vio murmurado palo, su organización no puede darse el lujo de seguir ninguno de estos conceptos erróneos y no tener un plan. 4. 1.3 Comprende la diferencia: la de la crisis, Incident, la continuidad del negocio y la recuperación: Es importante para nosotros entender que la resiliencia empresarial es un concepto más amplio. Y no es una tecnología, un sistema aislado, ni un solo proceso. Se trata de un programa que requiere coordinación de personas, procesos, instalaciones, y tecnología con un sistema de gobernanza efectivo para sostenerlo y administrar eficazmente el sistema crítico durante una interrupción importante. Gestionar eficazmente los momentos críticos durante una interrupción importante significa reunir una gama de capacidades y disciplinas separadas para ayudar a los ejecutivos a tomar decisiones y gestionar su problema. Estas capacidades incluyen respuesta a emergencias y administración de crisis, administración de incidentes, administración de continuidad empresarial y recuperación de tecnología, o recuperación ante desastres de TI. Y antes de sumergirnos en profundidad en este curso, es importante entender los conceptos básicos de estos conceptos y cómo se mapean estas capacidades en un marco temporal de interrupción del negocio. Si mapeamos estos en un carril de diez centavos de disrupción del negocio, es como se ve. Tenemos cuatro fases principales de esta línea de tiempo. Para la cerveza, responda, recupere, y restaure. Rebelde o fase en la que se está ejecutando como BAU, eso es negocio como de costumbre. Aquí es donde se necesita realizar la planeación y se deben desarrollar todos los planes relacionados. A ver. Tu negocio va como de costumbre y luego ataca un incidente. Ahora su negocio necesita responder. Dependiendo del tipo de incidente. El primero que puede activarse es su respuesta de emergencia. Respuesta de emergencia se enfoca en la acción inmediata a un incidente para manejar diez centavos amenazas críticas a la vida y la seguridad del individuo. La producción de activos bajo amenaza, y el riesgo de impactos ambientales más amplios. Por ejemplo, si hay un incendio en el edificio, la acción inmediata es evacuar el edificio. Cómo se llevará a cabo esta evacuación forma parte de la respuesta de emergencia. Dentro de estas fases de respuesta y recuperación. El otro componente que es importante es su manejo de crisis. Y el manejo de crisis se enfoca en el manejo de un impacto estratégico de incidentes, como severas pérdidas financieras, daño reputacional, o compromiso a la capacidad de la organización para lograr sus objetivos estratégicos o cumplir con su misión. Por ejemplo, toda la gestión de la comunicación interna y externa durante una crisis, como la comunicación con empleados, clientes, medios de comunicación, autoridades reguladoras, proveedores y partes interesadas juega un papel vital en la gestión de crisis. manejo de incidentes de Ramírez se enfoca en la escalada y manejo de eventos que caen fuera los procesos o sistemas existentes o son considerados por la organización como merecedores de atención de gestión espacial. Por ejemplo, si hay un incidente relacionado con el delito cibernético, el deme de Gestión de Incidentes analizaría la situación, determinaría el pan del compromiso, y tomaremos acciones correctivas y preventivas. Por lo general, la continuidad del negocio viene en la recuperación, restauración, congelación. gestión de la continuidad del negocio se centra en la capacidad de la organización para continuar con la entrega de productos o servicios y niveles predefinidos aceptables a pesar de la incidencia disruptiva. Y para recuperar estos servicios a través de nuestro negocio como puesto habitual. Estaremos pasando por varios ejemplos de esto a lo largo de este curso. La recuperación de tecnología, o TI, recuperación ante desastres, como su nombre indica, forma parte de la fase de recuperación y se centra en la respuesta y recuperación de sistemas y activos de TI frente a cortes importantes, fallas o servicio interrupciones. Por ejemplo, uno de su sistema crítico para el negocio en un centro de datos primario está inactivo y usted o su proveedor de servicios en la nube activa el ID DR bland, para reanudar los servicios desde un centro de datos secundario. Por lo que es importante entender que un programa de resiliencia efectivo debe incluir un enfoque integrado y coordinado entre todos los aspectos de la línea de tiempo del evento de recuperación. Dado que este curso está enfocado en la continuidad del negocio, profundizaremos aspectos completos del ciclo de vida de la administración de la continuidad negocio para que su negocio vuelva a funcionar después de un evento significativo. No obstante, creo que es bastante importante entender primero estas diferencias, como he visto, mucha gente confunde estos basureros o los usa indistintamente. Como dijo Dennis fácilmente, esperen la mejor tierra para peor y preparados para ser sorprendidos. Entonces en las próximas conferencias, vamos a discutir cómo podemos prepararnos y planear para la continuidad del negocio. 5. 2.1 ¿Qué es la ISO 22301?: Iso W2 301 es el estándar de renombre internacional para la gestión de la continuidad del negocio. Iso W3 0-1 especifica los requisitos para un sistema de gestión contra el que protegerse, reducir la probabilidad de un seguro, su negocio recupera incidencia disruptiva. Iso doble 23012019 es la publicación más reciente. Iso W3 0-1 es aplicable a todas las organizaciones independientemente de su tamaño, industria o naturaleza del negocio. Y con base en la estructura de alto nivel de las ISOS, se alinea con muchos otros sistemas de gestión reconocidos internacionalmente y con unos estándares como ISO 9,001, que es Sistema de Gestión de Calidad, ISO 27,001, que es información sistema de gestión de seguridad, e ISO 14,001, es decir, sistema de gestión ambiental. Como tal, está diseñado para integrarse en los procesos de gestión existentes de una organización. Es una norma certificable. Significa similar a estándares como ocho o 9,001 e ISO 27,001. Una vez que cumpla con los requisitos para la norma, puede ir por y un pedido independiente a cuerpo de acidificación y obtener la certificación de su organización en ISO W3 0-1, un BC MS, o un sistema de gestión de la continuidad del negocio. Al igual que cualquier otro sistema de gestión, incluye los siguientes componentes. Una política, y la gente definiría responsabilidades, generalmente dentro de un marco definido. Sistema de gestión o procesos de gestión relacionados con la política, planeación, implementación, y operaciones. Evaluación del desempeño, gestión te dibujó y mejora continua. Cualquier proceso de continuidad del negocio relevante para la organización, como cómo realizar una evaluación de impacto en el negocio, e información documentada que los respalde, condicione y proporcione evidencia auditable. 6. 2.2 el ciclo de PDCA (Plan-Do-Check-Act): Similar a otras normas ISO, ISO W3 0-1 también aplica el ciclo PDCA. Estudiaremos estas fases con más detalle en los capítulos posteriores. Pero para darte un concepto global del ciclo PDCA, en Su palabra, significa que P es para plan o establecer. Aquí es donde configuramos el contexto organizacional, definimos el alcance, desarrollamos una política, realizamos Análisis de Impacto Empresarial y documentamos el plan de continuidad del negocio. D es para hacer o implementar y operar. Aquí es donde implementamos las estrategias de política y continuidad del negocio documentadas en los planes de continuidad del negocio. Por ejemplo, PCP habla de tener un sitio alternativo. Terminamos la ubicación y si se requiere, vamos y establecemos un contrato con ellos. O adquirimos que adquirimos sistemas, dispositivos que lideramos cuando los PCP activaron o establecen un proceso de cómo se adquirirán. C es para chequear o monitorear y revisar. Aquí es donde realizamos los simulacros de prueba o ejercicios como se documenta en el plan de continuidad del negocio, sí revisan los trabajos del plan. Y si se han cumplido o no los objetivos de recuperación esperados es por Ley o mantener y mejorar. Después de que se realicen estas pruebas, para identificar cualquier tema o áreas que requieran mejoras y actualizar los planes en consecuencia. Cosas como realizar aseguramiento o auditorías, tomar acciones correctivas y preventivas, y mejorar continuamente el sistema completo de gestión de la continuidad del negocio también forma parte de esta fase. Por lo tanto, el ciclo PDCA asegura establecer, implementar, mantener y mejorar continuamente la efectividad del sistema de gestión de la continuidad del negocio de la organización. 7. 2.3 Beneficios de un sistema de gestión de continuidad de negocios: Puede haber varios beneficios de administrar la capacidad general de una organización para seguir operando durante las interrupciones. Estos pueden incluir, desde una perspectiva empresarial, porque la organización puede evaluar los impactos potenciales de las interrupciones operativas, implementar planes efectivos de continuidad del negocio y minimizar el impacto oral. Ayuda a la organización de diversas maneras, como apoyar sus objetivos estratégicos, crear una ventaja competitiva, proteger y potenciar su reputación y credibilidad, y contribuir a la organización resiliencia. Desde una perspectiva financiera. Tener la continuidad de los servicios críticos asegura la protección de los ingresos y activos y reduciendo el riesgo de nuevas pérdidas por el evento de interrupción del negocio. También ayuda a reducir la exposición legal y financiera y a reducir el costo directo e indirecto de las interrupciones. Además, tener mejores conocimientos sobre los impactos permite una evaluación más efectiva de las opciones de seguro. Desde la perspectiva de los cuerpos intrconfiados. Mejora la confianza de todos los interesados. Ejemplo, clientes en empleados deciles, stakeholders, etcétera, en organizaciones, su capacidad de respuesta y operaciones comerciales mundanas en caso de una interrupción del negocio. Tener un programa general de resiliencia robusto también ayuda a proteger la vida, la propiedad y el medio ambiente. Después mancillando las expectativas de todos los interesados y proporcionando un nivel de seguridad en la capacidad de la organización para triunfar. Desde una perspectiva de procesos internos. Proporciona una plataforma para desempolvar y actualizar los planes de continuidad del negocio. Aprovechar capacidades y contingencias junto con las necesidades del negocio e identificar ineficiencias en función de los eventos. También ayuda a mejorar la capacidad de mantenerse eficaz durante las interrupciones. Demostrar el control proactivo de los riesgos de manera eficaz y eficiente, así como atender o Princeton o pasivos. Por lo que la lista es larga, pero estos son algunos de los beneficios clave y el eficaz sistema de gestión de la continuidad del negocio trae a su organización y a las partes interesadas. 8. 2.4 ISO 22301 de clavos estándar (1a 3): El estándar internacional de la ISO W2 3012019 se divide en diez cláusulas. Veamos qué son. Y los requisitos clave en todas estas cláusulas. Las tres primeras cláusulas son cláusulas ISO muy breves y estándar. Por lo que encontrarás las mismas tres cláusulas en otras normas ISO como nueve mil, ciento veintisiete mil uno, etcétera. Ámbito especifica que esta norma es aplicable a todos los tipos y tamaños de organizaciones. Número dos, referencias normativas se refiere a documentos relacionados. En este caso, solo es iso W2 300. Eso se trata de vocabulario de seguridad y resiliencia. Tercero son los términos y definiciones. Se explican algunos de los términos y definiciones estándar como la definición de continuidad del negocio, objetivo de tiempo de recuperación, es decir, RTO, sistema de gestión, etcétera. 9. 2.5 ISO 223011 de la Clave estándar 4: contexto: Glosses cuatro a diez o más detallados e incluyen requisitos específicos para establecer y mantener una MS ocupada Es decir, sistema de gestión de la continuidad del negocio. En cláusula de contexto, existen cuatro requisitos principales. En primer lugar es entender la organización y su contexto. Incluye determinar las cuestiones internas y externas y objetivos generales de las organizaciones. Entonces, entender las necesidades y expectativas de los interesados en partes de confianza significa tanto partes internas como externas. Y también cuáles son los requisitos legales y reglamentarios? Determinar el alcance de la continuidad del negocio Sistema de Gestión? Alcance del GCMS incluye dos cosas principales. Una, qué partes de la organización se incluirán en el BC MS, tomando en cuenta su ubicación, tamaño, naturaleza, y complejidad. Y en segundo lugar, cuáles son los productos y servicios se incluirán en el alcance de BI CMS. Cualquier exclusión también debe estar claramente documentada y explicada aquí. El puerto es sistema de gestión de la continuidad del negocio. Aquí es donde entra el ciclo PDCA, es decir, planear, hacer es decir, planear, hacer, comprobar, actuar que discutimos en la conferencia anterior. El organismo establecerá, implementará, mantendrá y mejorará continuamente una MS BC. 10. 2.6 ISO 223011 de la Cláusula estándar 5: liderazgos: El brillo número cinco es liderazgo. Cláusula de liderazgo. Existen tres requisitos principales que deben ser cumplidos por la alta dirección. liderazgo y el compromiso requiere que la gestión de la deuda demuestre liderazgo y compromiso con respecto al sistema de gestión de la continuidad del negocio. Esto generalmente se hace estableciendo la rendición de cuentas, definiendo objetivos, estableciendo y monitoreando los indicadores clave de desempeño, también llamados KPI. Entonces la gestión de políticas debe establecer una política de continuidad empresarial. El tercer requisito es sobre roles y responsabilidades y autoridades. Y eso requiere que la dirección vele por que las responsabilidades y autoridades para los roles pertinentes y asignados y comunicados dentro de la organización. 11. 2.7 ISO 223011 de la Cláusula estándar 6: planificación: Aplausos Número seis está planeando. Y los principales requisitos para esta cláusula incluyen, número uno, acciones para atender riesgos y oportunidades. Aquí es donde determinamos cuáles son los riesgos y oportunidades relacionados con el Sistema de Gestión de la Continuidad del Negocio y cómo los abordamos. Tenemos una sección completa que se acerca sobre el manejo mamario que estudiaremos. Número dos, esta discontinuidad objetivos de gestión y planeación. Para lograrlos. El organismo establecerá en primer lugar el BCM como objetivos. Y un consejo en una nota al margen es cada vez que estableces algún objetivo, trataste de asegurarte de que estos objetivos sean inteligentes. Es decir, PyME ART S significa específico. M0 es mensurable. Es para alcanzable, R Para Realista y D4 límite de tiempo. Por lo tanto, trata de establecer objetivos inteligentes. Estos objetivos también deben vincularse con la política de continuidad empresarial. Una vez establecidos los objetivos, se debe desarrollar un plan para determinar cómo se cumplirán estos objetivos. A continuación está planeando cambios en el sistema de gestión de la continuidad del negocio. Cuando la organización determine la necesidad de cambios en el BC MS, esos cambios se llevarán a cabo de manera planificada. Por ejemplo, conocer el impacto de un cambio en los planes de continuidad empresarial, su asignación de recursos, etcétera. 12. 2.8 ISO 223011 de las Clauses estándar 7: Soporte: La cláusula siete es apoyo. Y los principales requisitos para esta cláusula incluyen, número uno, recursos. El organismo determinará y proporcionará los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del sistema de gestión de la continuidad empresarial. El segundo es competencia. Determine si tiene la competencia necesaria de las personas que realizan trabajo. ¿ Tienen la capacitación y la experiencia necesaria? El siguiente es la conciencia. Las personas que realicen labores deberán tener conocimiento del sistema de gestión de la continuidad empresarial, la política y de sus funciones y responsabilidades. Lo discutirán con más detalle en la sección de factor humano. El siguiente es la comunicación. El organismo determinará y controlará las comunicaciones internas y externas pertinentes a la BCM S. Y la última pero no menos importante, es información documentada. La organización mantendrá la documentación pertinente relacionada con el sistema de gestión de la continuidad empresarial. Con control de documentos. 13. 2.9 ISO 22301: operaciones: Cerrar, son las operaciones las que incluyen algunos de los requisitos básicos para la gestión de la continuidad del negocio. El primero es la planeación operativa y el control. Significa que la organización debe planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos de ISO doble 2301 e implementar las acciones. Siguiente es Análisis de Impacto Empresarial. Evaluación de riesgos. Mejora realizar un BIA, es decir, análisis de impacto empresarial. Y realizando evaluación de riesgos. Estudiaremos tanto la BIA como la evaluación de riesgos con más detalle más adelante en este curso. A continuación se presentan las estrategias y soluciones de continuidad del negocio. En base a los resultados del análisis de impacto empresarial y evaluación de riesgos. Si bien, mensaje esencial, identificar y seleccionar estrategias de continuidad del negocio para cumplir con los objetivos de recuperación. Después se planes y procedimientos de continuidad del negocio. Bueno, el músico debe desarrollar planes y procedimientos para administrar la organización durante una interrupción. deben utilizar los planes y procedimientos cuando se requiera para activar las soluciones de continuidad del negocio. Estudiaremos con más detalle en la sección de planeación de continuidad del negocio de este curso. El siguiente es programa de ejercicios. Organización debe implementar y mantener un programa de ejercicio y pruebas para validar a lo largo del tiempo su efectividad ofrece estrategias y soluciones de continuidad del negocio. Estudiaremos esto con más detalle en la sección de ejercicios de planeación de continuidad del negocio de este curso. El siguiente es la evaluación de la documentación y capacidades de continuidad del negocio. Aquí es donde se evalúa la idoneidad, adecuación y efectividad de su análisis de impacto empresarial, estrategias de evaluación de riesgos, soluciones, planes, y los procedimientos que se han documentado. Tan solo un consejo aquí es cuando estés haciendo eso, no olvides realizar la evaluación de continuidad del negocio de los socios relevantes y tus proveedores. 14. 2.10 ISO 22301: Evaluación de rendimiento: La cláusula nueve se refiere a la evaluación del desempeño. Echemos un vistazo a los requisitos clave de esta cláusula. El número uno es el monitoreo, medición, análisis y evaluación. Esto se trata de determinar qué se necesita monitorizar y cómo se monitorea y analiza. Discutimos al respecto durante el establecimiento de objetivos y de KPI, es decir, indicadores clave de desempeño. Y vamos a tener un capítulo completo que es monitoreo, mantenimiento y aseguramiento. Estamos, vamos a discutir esto con más detalle. A continuación se presenta la auditoría interna. La organización planificará e implementará un programa de auditoría para evaluar la efectividad del sistema completo de gestión de la continuidad del negocio. También hay una serie de requisitos de auditoría que deben seguirse, incluyendo definición, criterios de auditoría, selección de auditores, etcétera. Siguiente es castigo a ver. alta dirección revisará el sistema de gestión de la continuidad del negocio de la organización a intervalos del Plan para garantizar su continua idoneidad, adecuación y efectividad. 15. 2.11 de ISO 22301: mejora: Cláusula número diez es mejora. Y hay dos requisitos principales en esta cláusula. El número uno es la inconformidad y las acciones correctivas. El organismo determinará oportunidades de mejora e implementará las acciones necesarias para lograr los resultados previstos del sistema de gestión de la continuidad empresarial. Ejemplo de ello puede ser cuando realizas un ejercicio PCP. Por lo general hay muchas lecciones aprendidas donde se pueden aplicar acciones correctivas. Estudiaremos esto con más detalle más adelante en el curso. El siguiente es la mejora continua. Por lo que con base en diversos productos como ejercicios, a su vez, gestión de auditoría a los puntos de vista, la organización debe mejorar continuamente la eficacia del sistema de gestión de la continuidad empresarial. La idea es que, a medida que el sistema de gestión de la continuidad del negocio está envejeciendo, debería estar mejorando. 16. 3.1 de propiedad y rendición de cuentas: Cuando hablamos de gobernanza de la gestión de la continuidad del negocio, la primera de las cosas más importantes es tener buy-in de la administración oscura y propiedad clara que se alinea con la estructura organizacional actual. Puede sonar sorprendente, pero en realidad, han visto una serie de organizaciones luchar con esto. A pesar de que sí tienen pocas cosas en su lugar. Pero no hay claridad sobre quién desde el equipo ejecutivo o la alta dirección quiere el programa de continuidad del negocio o el sistema de gestión en la organización. También lo estoy llamando programa de continuidad del negocio porque en caso de que no tengas un sistema de gestión de la continuidad del negocio en su lugar, configurarlo es un gran proyecto o un programa. Una vez establecida, entonces pasa a formar parte de las operaciones. Por lo tanto, establecer la propiedad es vital porque con la propiedad vienen las responsabilidades y la rendición de cuentas. Una vez que se tiene la titularidad establecida, lo siguiente que hay que considerar es la dotación de recursos y presupuestación de todo el programa de continuidad empresarial. Es probable que la falta de recursos y presupuesto se traduzca en un programa de continuidad empresarial ineficaz. Particularmente porque el personal necesita abordar las tareas relacionadas con la continuidad del negocio además de su negocio como responsabilidades habituales. Esto también puede resultar en que esté tardando mucho tiempo en implementar procesos de resiliencia efectivos. Además, al no contar con recursos dedicados para administrar el sistema de gestión de la continuidad de las operaciones es probable que el personal de categoría superior y con más experiencia realice tareas administrativas que son de poco valor en comparación con la materia pericia. Una vez ordenada la propiedad y las fuentes, es importante establecer la gobernanza sobre el Programa de Gestión de la Continuidad del Negocio. En n eligió la presentación regular de informes al equipo ejecutivo y la escalada de cualquier inquietud. Esto se puede hacer de diferentes maneras. Por ejemplo, mediante la creación de un comité de gobernanza con representación de diferentes grupos empresariales o agenda relacionada con la continuidad empresarial se puede incluir como parte de cualquier comité de gobernanza existente relacionado. Al igual que discutimos. Este debe ser el punto central de rendición de cuentas para la implementación y la presentación continua de informes y monitoreo del GCMS. No puedo enfatizar esto lo suficiente. Esto debe garantizar la fiscalización y la provisión de recursos adecuados. También, dependiendo del tamaño y la naturaleza de la organización, se puede dar concentración a la contratación un experto en materia senior de tiempo completo para establecer y administrar el sistema de gestión de la continuidad del negocio. Si ya no hay uno. 17. 3.2 Continuación de negocios: Después de configurar la gobernanza inicial y la organización debe desarrollar una política formal de continuidad empresarial. La política debe basarse en estándares de la industria y orientación de buenas prácticas como ISO double 2301 o BCI podría guía de prácticas. Como mínimo, la política debe incluir lo siguiente. El objetivo y objetivos para la gestión de la continuidad del negocio en la organización. Ámbito de gestión de la continuidad del negocio significa qué parte de la organización se requiere la gestión de la continuidad del negocio. Ejemplo, son funciones empresariales críticas, activos o plantas críticas, él sitios o ubicaciones, etc. Y las exclusiones del ámbito también deben mencionarse aquí. Responsabilidades y responsabilidades incluye la propiedad dentro de la organización, responsabilidades de grupos, equipos, roles dentro de la organización. El marco de alto nivel como plan, do check, act, mediante el cual se implementará y gestionará la gestión de la continuidad del negocio. Y por último, requisitos clave como realizar análisis de impacto en el negocio, desarrollar planes de continuidad del negocio, probar y mantener los planes, capacitar y concientizar, y también considerar cualquier aplicable legal o reglamentario requisitos. Por lo que es importante que las organizaciones establezcan y mantengan una política de gestión de la continuidad del negocio. Porque sin esto, habrá falta de claridad sobre la dirección estratégica y la gobernanza del sistema de gestión de la continuidad empresarial. 18. 3.3 de la continuidad de negocio (BCMF): tanto que política, es un documento de alto nivel que establece su dirección y define principios clave del marco de gestión de la continuidad del negocio es un documento mucho más detallado, o puede ser un conjunto de documentos que proporciona el detalles y procesos específicos para gobernar, planificar, administrar y mejorar continuamente el sistema de gestión de la continuidad del negocio. El marco BCM suele incluir las siguientes secciones. Visión general incluye aspectos como los requisitos y las obligaciones finales, metodología y las normas y lineamientos utilizados en el marco. Gobernanza y gestión incluye roles y responsabilidades, monitoreo y presentación de informes, capacitación y educación, y cómo puede incrustar las expectativas y requisitos de continuidad empresarial en la organización. El análisis de impacto empresarial incluye requisitos para realizar una metodología BIA, proceso y plantillas para realizar el análisis de impacto empresarial del grupo empresarial y cómo se consolida y enrolla el grupo empresarial BIA para formar una vista empresarial. La planificación de la continuidad del negocio incluye requisitos, metodología, plantillas de procesos para documentar los planes de continuidad del negocio. El apartado de implementación. Una vez desarrollados los PCP, necesitan ser implementados y mantenidos junto con un conjunto de otros arreglos de documentación o de apoyo. En este apartado se explican qué actividades en curso se requieren para garantizar que los planes sean funcionales y puedan utilizarse el día en que se requieran. Siguiente sección suele ser sección de validación que incluye detalles de cómo se deben realizar las pruebas o ejercicios de continuidad del negocio para garantizar la efectividad de los planes de continuidad del negocio. También, qué tipo diferente de ejercicios que estudiaremos en el capítulo posterior se pueden realizar y cómo se deben realizar revisiones posteriores al ejercicio o sesiones de debrief para una mejora continua. Por otra parte, los requisitos relacionados con la continuidad del negocio Auditoría o aseguramiento del Sistema de Gestión también se incluyen en esta sección o esto puede ser ambos. El auditorio interno que debes realizar periódicamente o las auditorías externas de certificación o vigilancia si tu organización está planeando ir por la certificación ISO doble 2301 o ya cuenta con una certificación y quiere mantenerlo. Por lo tanto, un marco BCM bien documentado y mantenido guía y gobierna el ciclo de vida de la gestión de la continuidad del negocio, tanto en el grupo empresarial como en el nivel de la organización. 19. 4.1 Gestión de riesgos de continuidad de negocio: Como parte de la gestión de la continuidad del negocio, se debe realizar una evaluación de riesgos para identificar el rango de posibles escenarios de disrupción. Fuentes de riesgos liderarán habilidades, brechas en los planes de preparación actuales, y el nivel de riesgo Post también es importante para identificar qué es el apetito de riesgo de las organizaciones. Para aquellos de ustedes que no entienden el concepto de apetito de riesgo. De acuerdo con ISO 31 mil, ese es un estándar global de gestión de riesgos. apetito por riesgo es la cantidad de riesgos que una organización está preparada para asumir. En otras palabras, es el nivel de riesgo lo que se considera aceptable para el negocio. Una forma comprobada de lograrlo es desarrollar un proceso formal de gestión de riesgos que esboce los pasos para identificar, evaluar y evaluar los riesgos de interrupción del negocio. Decidir cómo manejar un riesgo de aceptación. Aquí es donde entra el apetito de riesgo. E identificar estrategias de mitigación de riesgos que tengan en cuenta los objetivos de continuidad empresarial y el apetito de riesgo. Entonces, si no se realiza la evaluación de riesgos, no hay claridad en torno a lo que los procesos de riesgo de continuidad empresarial están tratando de abordar. Y por lo tanto, la organización puede estar preparada sólo para una estrecha gama de interrupciones. tanto que podrían ser vulnerabilidades del cráter entonces se dieron cuenta, o podrían faltar brechas en los procesos de continuidad del negocio en los que actualmente se están confiando. 20. 4.2 y 4.3 Management Management de riesgos vs. BCM: Si bien la gestión de riesgos y la gestión de la continuidad del negocio están estrechamente relacionados entre sí, la diferencia es que la gestión de riesgos aborda el riesgo de realizar negocios, mientras que la gestión de la continuidad del negocio aborda los riesgos al negocio seguir funcionando debido a la interrupción. Entonces, por ejemplo, la gestión de riesgos, tal vez mirando a nivel empresarial riesgos como la falta de recursos calificados, un ciber-ataque, o un incumplimiento regulatorio. tanto que la gestión de la continuidad del negocio, tal vez mirando los riesgos relacionados con los posibles escenarios de disrupción o brechas e indisponibilidad de los sistemas y recursos clave. Por lo tanto, aunque ambos se superponen parcialmente y están relacionados, sin embargo son diferentes entre sí. Si desea conocer más sobre la gestión de riesgos organizacionales, éstos se refieren a la norma ISO 311000 que proporciona detalles sobre cómo establecer y mantener el sistema de gestión de riesgos. Como hemos estudiado en la conferencia anterior, su organización debe introducir un proceso de gestión de riesgos y controles. Quién identificó primero los riesgos relacionados. Y en segundo lugar, aplicaron opciones de tratamiento relevantes sobre estrategias de mitigación. Estas opciones suelen incluir que evite, mitigue, transfiera, o excepto los efectos de las amenazas y vulnerabilidades clave. Una vez identificado un riesgo, dependiendo del apetito de riesgo organizacional. Y hemos estudiado en la conferencia anterior qué es el apetito de riesgo. Existen cuatro opciones principales de tratamiento de riesgo que se pueden aplicar. Tratar o reducir la media de riesgo, aplicando controles relevantes para reducir el efecto de los riesgos. Por ejemplo, si no se realiza una copia de seguridad de los datos, se implementa una solución de copia de seguridad para mitigar o reducir el riesgo de pérdida de datos. En segundo lugar se dice tasa o aceptar. Esto se utiliza cuando se identifica el nivel de riesgo dentro del apetito de riesgo de la organización. Por ejemplo, si hay un riesgo relacionado con uno de los muchos edificios de oficinas dejan de estar disponibles, el riesgo puede ser aceptado si es dentro de las organizaciones, riesgo apetito. El tercero es terminar o evitar, significa que eliminas esa fuente de amenaza. Por ejemplo, si un sistema crítico tiene riesgo de infección por malware a través de internet, usted decide conectar sistema de deuda desde internet significa que ha terminado o evitado el riesgo. El traslado o sombreado de riesgos suele realizarse cuando externaliza o transfiere el riesgo a un tercero, por ejemplo, obteniendo un seguro. Por lo tanto, se debe realizar una evaluación de riesgos para identificar una serie de escenarios y amenazas potenciales relacionados con la continuidad del negocio. Por lo que usted es capaz de decidir sobre las opciones de tratamiento y mitigaciones apropiadas. 21. 5.1 ¿Qué es el análisis de impacto de negocio (BIA)?: El Análisis de Impacto Empresarial, o BIA, es el primer paso en su planificación de continuidad empresarial. Entonces, ¿qué es BIA? Análisis de Impacto Empresarial, o BIA es un proceso de análisis del impacto de un tiempo de disrupción. Básicamente, BIA es un examen de tu negocio como actividades habituales. Compartmentaliza la información para permitir una comprensión más profunda y ayuda a la planificación de la continuidad del negocio. ¿ Por qué necesitamos realizar una BIA? Esto se debe a que BIA te ayuda a entender tu negocio. Predice las consecuencias de la interrupción de una función y procesos empresariales y reúne información necesaria para desarrollar estrategias de recuperación. Si no se realiza una BIA, los planes de continuidad no serán debidamente informados sobre recursos, requerimientos o impacto en el negocio de no lograr el objetivo de tiempo de recuperación, es decir, RTO, y el objetivo de punto de recuperación, es decir arpegio. Veremos estos términos en la próxima conferencia. 22. 5.2 y 5.3 para recuperar objetivos y RTO vs RPO: Antes de empezar a realizar el análisis de impacto en el negocio, es importante entender algunos términos clave y la diferencia. El primero es RTO o objetivo de tiempo de recuperación. Es un objetivo. Dijiste que con qué rapidez necesitas recuperar tus servicios o sistemas tras una interrupción importante. En términos simples, también puedes pensar que nuestro DIO significa cuánto tiempo tu negocio puede sobrevivir cayendo un desastre antes de que las operaciones se restablezcan a la normalidad. Por ejemplo, si tu audio es de 24 horas, significa que has determinado en el negocio que puedes mantener operaciones por esa cantidad de tiempo sin tener disponibles sus datos e infraestructura normales. Si los datos y la infraestructura no se recuperan en un plazo de 24 horas, el negocio podría sufrir un daño irreparable. El siguiente término que es importante entender es arpegio o punto de recuperación objetivo. Arpu es acerca de la cantidad de datos que se pierde tras un evento de falla. Arpu se remonta en el tiempo hasta cuando sus datos se conservaron por última vez en un formato utilizable. Por lo general, la copia de seguridad más reciente. También se puede llamar tolerancia a la pérdida de datos de una organización. Dependiendo del tipo de servicios, pueden ser algunos servicios que somos ARPU o recuperación de datos no es relevante y solo te preocupa RTO. Eso es objetivo de tiempo de recuperación. Entonces arpegio es la cantidad de datos que puede permitirse perder. El siguiente término es PD vacío, o período máximo tolerable de interrupción. Algunas organizaciones y estándares como la ISO W3 0-1 requieren también tener otro cálculo llamado smtp d. Eso significa identificar el marco temporal dentro del cual los impactos de no reanudar actividades se volverían inaceptables para el organización. Donde se ha definido el PD vacío, RTO, que es objetivo de tiempo de recuperación establecido marco temporal privatizado dentro del PD vacío para reanudar actividades disruptivas a una capacidad mínima aceptable especificada. Entonces solo para aclarar, como ejemplo, si estás vacío PD de tu organización es sistema de cadena de suministro es de siete días. El RTO puede estar dentro de ese plazo de siete días como tres días. Hemos estudiado las definiciones de RTO, es decir, objetivo de tiempo de recuperación, y arpegio, es decir, punto de recuperación objetivo. En la conferencia anterior. Ambos son conceptos clave para mantener la continuidad del negocio. Y la función como matriz de negocios para calcular con qué frecuencia su negocio necesita realizar copias de seguridad de datos y con qué rapidez necesita que las cosas vuelvan a funcionar. Como se puede ver en este diagrama, ARPU retrocede en el tiempo para evaluar la cantidad de pérdida de datos aceptable desde el momento en que golpea un desastre. tanto que RTO, objetivo de tiempo de recuperación, que representa el tiempo que tarda un sistema en pasar de la pérdida a la recuperación. Y qué se debe hacer para devolver el negocio a su pre-desastre o negocio como de costumbre. Estado de Bau. 23. 5.4 Realiza el análisis de impacto de negocios: parte 1: El análisis de impacto empresarial generalmente se realiza en unos pocos pasos. El primero es identificar servicios clave a nivel de grupo empresarial o departamental. Identificar los servicios o actividades clave que brinda su grupo empresarial. Por ejemplo, si se trata de un grupo empresarial de finanzas, posible que tenga servicios clave como nómina, suministro, pagos, experiencias, etcétera. Pero este paso, también debe identificar qué equipo o individuos realizan estos servicios. El siguiente es identificar los objetivos del tiempo de recuperación, como lo comentamos en las conferencias anteriores. Imagínese si no pudiera entregar el servicio, ¿cuáles serían las consecuencias que se ordenarían a lo largo de un periodo de tiempo? En base a este impacto? Identificar el PD vacío y su máximo período tolerable de interrupción. Rto, objetivo de tiempo de recuperación, y en su caso, objetivo de punto de recuperación de arpegio para cada uno de esos servicios. Por ejemplo, para nómina, PD vacío, tal vez 48 horas, y RTO es de 24 horas. El siguiente se identifican recursos relacionados. Por cada servicio. Enumere hacia abajo los recursos que utiliza en su grupo empresarial. Piensa en personal clave, vendedores, cualquier equipo especial, sitios, transporte, etc. 24. 5.5 Performing el análisis de impacto de negocios: parte 2: El paso número cuatro es identificar sistemas clave y objetivos de punto de recuperación. Por cada servicio. Identificar cuáles son los sistemas y aplicaciones clave. Y para cada aplicación, identificar el objetivo del punto de recuperación. Para un recordatorio sobre el arpegio. Imagínese que la aplicación acaba de estrellarse, pensando hacia atrás desde el choque, ¿cuándo debería haberse realizado la última copia de seguridad de datos? Proporcione su respuesta en horas. Por lo que ARPU se trata de su tolerancia a la pérdida de datos. También se consideró la criticidad del volumen y la velocidad de entrada de datos para decidir este ARPU. El siguiente paso es enumerar los principales interesados y documentos. Nuevamente, por cada servicio, lista, cualquier interesado clave como clientes, personal, consejo de administración. Es un servicio relacionado con el gobierno, pueden ser ministros, etcétera. Enumerar también los documentos clave que utilicé para informar o conducir el servicio, como las políticas, los procesos son Registros, y donde se almacenan esos documentos. El siguiente y el sexto paso es resumir el análisis de impacto empresarial. Una vez que haya realizado y documentado todo el análisis en los cinco pasos anteriores, analice, priorice, y categorice todos los servicios de su grupo empresarial. 25. 5.6 Realiza el análisis de impacto de negocios: parte 3: Al finalizar este ejercicio de análisis de impacto empresarial, debería poder priorizar la lista de servicios en función de sus objetivos de recuperación. Eso es RTO y ARPU, lo que significa el servicio que necesita ser respaldado y funcionando lo más rápido, tal vez su servicio privatizado más alto y así sucesivamente. También documentar todas las dependencias clave relacionadas con las personas, los procesos, y la tecnología. Los recursos que son el shortstop fueron para uno o más de sus servicios, como computadoras, internet, personas que conocen el sistema y procesos, aplicaciones KID, y partes interesadas relacionadas como vendedores, proveedores y clientes. Una vez que has desarrollado el BIA se encuentra a nivel funcional o de grupo empresarial. También debe consolidar la BIA a nivel de organización para brindar una vista a nivel empresarial sobre sus servicios y objetivos críticos. Por lo tanto, el Análisis de Impacto Empresarial para asegurar que todas las funciones, procesos, interdependencias, riesgos y requerimientos de recursos críticos interdependencias, riesgos del negocio se identifican y documentan con precisión. Una vez finalizado el ejercicio BIA, has recopilado la información clave que necesitas para tu planeación de continuidad del negocio. Y puede estar seguro de que el plan PCP e ID DR se creará con una comprensión precisa de los requisitos del negocio. 26. 6.1 de la continuidad de negocio y estrategias: En esta sección, discutiremos cómo desarrollar planes de continuidad del negocio. Pero primero entendamos el propósito del PCP. El bcb se enfoca en sostener las funciones empresariales de una organización durante y después de una interrupción. Ejemplo de una función empresarial puede ser nómina de una organización o el proceso de atención al cliente, etcétera. puede desarrollar un PCP para un grupo empresarial específico, o bien puede abordar todos los procesos de negocio dentro de la organización. sistemas y aplicaciones suelen considerarse en el PCP en cuanto a su apoyo a los procesos de negocio. Debido a que ya has realizado el BIA, tienes los datos e información requeridos para trabajar en tus estrategias de recuperación. Estos son algunos de los requisitos y consideración clave para las estrategias de recuperación. Discutiremos estos con más detalle en las próximas conferencias. Cuando hablamos del desarrollo del PCP. Aquí es donde contestaré algunas de las preguntas que aquí estamos discutiendo. Datos de contacto. ¿ Cómo puede proteger a su personal y a otras partes interesadas clave? ¿ Tienes un árbol de llamadas? ¿ Cómo se mantienen actualizados los datos de contacto? Para instalaciones en las que nos relacionaremos el personal y las operaciones empresariales desde la perspectiva de nuestras instalaciones, ¿ en qué plazo y cuánto tiempo se puede acomodar el arreglo temporal? Si esto no se conoce de antemano, costo podría ser significativo. Si bien en ocasiones un seguro apropiado puede ayudar a cubrir parte del costo. Tecnología y telecomunicaciones. Qué tecnología necesita recuperarse y cuándo, qué métodos de comunicación se van a utilizar, y cuáles son las alternativas en caso de ser necesarias. Desde la perspectiva de las personas, que inicia contactar al personal para comprobar su bienestar y seguridad y proporciona actualizaciones de estado. ¿ De qué manera este reportaje vuelve al negocio? ¿ Cuáles son los roles críticos? ¿ Y cuál es la regla del proceso de recuperación? ¿ Qué recursos se pueden desplegar en otro lugar? ¿ Qué reglas se pueden transferir a otro personal y ubicaciones? Todas estas cosas son parte del aspecto de los pueblos. Entonces también miramos el aspecto de proveedores. ¿ Qué opciones alternativas puede, puede emplear si un proveedor clave se ve impactado? ¿ Qué efecto tiene esto en su cadena de suministro? Consideramos también las interdependencias. ¿ Cuáles dependencias internas y externas son críticas para la recuperación? ¿ Cómo se va a contactar y gestionar estos equipos o individuos durante la recuperación? Y qué alternativas hay en su lugar si es necesario. Qué partes internas y externas necesitan ser notificadas del incidente, en qué plazo y quién maneja esto. Todas estas cosas son consideradas como parte de las interdependencias. También tenemos algunos otros requisitos, como proceso de escalación y protocolo. las funciones y responsabilidades figuraban delegaciones y propietarios alternativos de reglas. Por lo tanto, para que tus PCP sean realistas y pragmáticos, es vital que se evalúan las opciones de recuperación para procesos clave y que las estrategias de recuperación se determinen con base a los resultados de la BIA. Estas estrategias deben atender a todas las personas, instalaciones, recursos, y abasto o o aspectos de la recuperación. Una vez que se desarrollen las estrategias de recuperación, deben ser aprobadas por la alta dirección y luego implementadas. 27. 6.2 Desarrollo del plan de continuidad de negocios: parte 1: Como ahora hemos trabajado en la BIA y las estrategias de recuperación, es momento de desarrollar o finalizar su plan de continuidad del negocio que se enfoca en sostener las funciones de negocio de la organización durante y después de la interrupción. Como ya habrías entendido, documentación integral de continuidad aumentaría tu capacidad para realizar funciones empresariales críticas en caso de desastre o interrupción. Al documentar el PCP, debe identificar los posibles escenarios de interrupción y considerar incluir toda la información relevante que haya considerado durante la BIA e identificar estrategias de recuperación, además de algunas relacionadas componentes para la planificación de la continuidad del negocio. Echémosles un vistazo uno por uno. Desde la perspectiva de las personas. Árbol de llamadas donde se dispone de información de contacto del personal. Entonces tenemos que mirar el bienestar y la conformación de seguridad del personal y el proceso de devolución del informe. Identificar al personal clave requerido para el tiempo de recuperación y los requisitos para la contratación de recursos adicionales si es necesario. También necesitamos mirar los protocolos de información del personal. Proceso de reubicación. Si es posible. Es decir, ¿se puede asignar el proceso a otro equipo o ubicación? Y también miramos el proceso de escalada y los protocolos para las personas. Lo siguiente que debemos considerar son las comunicaciones, los roles y las responsabilidades para comunicar mensajes clave tanto interna como externamente. Nos fijamos en las notificaciones a los principales interesados. Y también consideramos una actualización regular de los plazos. Aparte de la escalada post-proceso y los protocolos están relacionados con la comunicación. Desde la perspectiva de nuestras instalaciones, miramos el impacto en los negocios. Si el sitio no está disponible. Consideramos ubicaciones de recuperación, incluyendo disponibilidad de equipos e ideas, transporte, y acceso para citar frijoles, punto de contacto, llaves, alarmas y códigos si el RIME, etcétera. También nos fijamos en la conformación de llegada del personal a ubicación de recuperación y obviamente proceso de escalada y protocolos relacionados con las instalaciones. 28. 6.3 Desarrollo del plan de continuidad de negocios: parte 2: Al desarrollar un plan de continuidad del negocio, también miramos los aspectos de aplicaciones y sistemas. Esto incluye el impacto en el negocio si la aplicación o el sistema no está disponible por el plazo requerido. Ejemplo, atrasos, retrasos en el procesamiento, etcétera, cualquier tiempo de corte crítico, ejemplo, procesamiento B-roll, cualquier solución manual disponible. Nos fijamos en cualquier degradado, posibilidad de recuperación, cualquier plantilla considerada desarrollada, lista de comprobación, o procesos requeridos para la galería. Por ejemplo, excelentes plantillas, procesos de recuperación, etcétera, y cualquier respaldo, restauración si es posible, y procesos de escalación y protocolos relacionados con sistemas y aplicaciones. También considera las telecomunicaciones. Eso incluye impacto en los negocios si no está disponible la telecomunicación. Número de formulario o fax tres dirigieron cualquier trabajo manual alrededor de telecomunicaciones, notificación a los principales interesados. Mensajes de correo de voz actualizados, también si es necesario, firmas de correo electrónico. Cualquier método de comunicación alternativo, ejemplo, formas personales, comunicación por correo electrónico, cualquier mensaje en redes sociales, etcétera, y procesos de escalada y protocolos relacionados con las telecomunicaciones. También en dependencias turbulentas. El impacto en el negocio si dependencias internas o equipos como TI es un disponible, puede deberse a un atraso o retrasos en el procesamiento, etcétera. Cualquier trabajo manual alrededor si está disponible, notificaciones a los principales interesados. ¿ Se puede diferir algún proceso, trasladar a otro equipo o ubicación? Y también miramos y consideramos los procesos de escalada y protocolos o dependencias internas. Desde la perspectiva de un proveedor, el impacto en el negocio si el proveedor no está disponible. Ejemplo, impacto en la cadena de suministro, flujo hacia los clientes, tiempos críticos de corte, etcétera, cualquier solución alternativa si está disponible, o cualquier proveedor alternativo y procesos de escalación y protocolos relacionados con proveedores. Todos los aspectos anteriores que hemos discutido suelen incluirse en el plan de continuidad del negocio en forma de posibles escenarios de disrupción. Por ejemplo, si estás construyendo es inaccesible por algún motivo por un número de días. Cómo entran en juego todos estos aspectos que hemos discutido. 29. 6.4 y 6.5 desarrollo del plan de continuidad de negocios: parte 3 y almacenar copias BCP: Existen algunos requisitos especiales a considerar en el desarrollo del bcb. Estos incluyen requisitos de acceso remoto, ejemplo, tokens VPN, cualquier segregación, seguridad o requisitos de rol chino que se deben considerar en las ubicaciones de recuperación. Si hay algún equipo especial. También pueden ser cosas como checkbox, tarjetas de crédito o tokens de acceso bancario. También, se requieren unidades de red o almacenamiento. Es necesario considerar redirecciones masculinas para. Por lo que es posible que necesites redirigir tus comidas físicas. Bcb consigue que incluye una copia del plan de continuidad del negocio, cosas como guantes de seguridad, antorcha de agua, manta, primeros auxilios, niño, etcétera. También hay algún otro contenido para ser incluido en el BGP. Gracias. Al igual que los criterios bcb Activision, ¿cómo se activa un PCP? ¿ Quién es el responsable o tiene autoridad para activar el bcb? Puntos de ubicación de recuperación de evacuación. ¿ Cuáles son los puntos de evacuación? Y sitios de localización de recuperación? También, ¿cuáles son los protocolos de evacuación? ¿ Quiénes son los encargados de bomberos o las oficinas de primeros auxilios? Números de contacto clave para que todo el personal esté al tanto. Es decir, además de los servicios de emergencia, cosas como la línea de información del personal. Si tienes un programa de asistencia a empleados llamado EAP, empresa de seguridad arrendador, etcétera, lista de comprobación para ubicaciones de recuperación, configuración en ubicación de recuperación y para salir de la ubicación de recuperación. También lista de comprobación para regresar a ubicación principal o para configurar una nueva ubicación primaria. Una vez que haya documentado el plan de continuidad del negocio, tenga en cuenta que la ejecución de estos suele realizarse en tres fases. Fase de continuidad, donde mencionó el número mínimo de recursos necesarios de inmediato para continuar a los servicios esenciales cuando se produce una interrupción y se activa el BGP. Entonces, por ejemplo, se establecen arreglos de trabajo a distancia para cosas clave. Una vez asegurada la continuidad, pasas a la recuperación. Recuperas todos los servicios importantes a un nivel aceptable. Y el supuesto es donde se reanuda de nuevo a las operaciones normales. Eso es para negocios como de costumbre. Recuerde, si un bcb no está debidamente documentado, no hay acciones claras para que el personal siga durante y después de una interrupción. Esto puede resultar en un fallo en la restauración las funciones clave en una línea de tiempo considerada aceptable por el negocio. la comunicación entre la alta dirección y los principales interesados, También se retrasarála comunicación entre la alta dirección y los principales interesados, incluido el personal, por falta de preparación. Una vez finalizados y aprobados los planes de continuidad del negocio, distribuya los PCP a todo el personal y grupos empresariales clave, asegurando que estén disponibles en caso de desastre, incluida la pérdida de sistemas de TI con control vírgenes adecuado. He visto casos en los que BCPL solo estaba disponible en el sitio de intranet de la organización. Ese sitio se volvió inaccesible durante una interrupción. Y también lo fue el bcb. También asegúrate de que se pueda acceder a una copia del PCP fuera de la oficina. Actualice esta copia a medida que el PCP se actualiza a lo largo del ciclo de vida de administración de continuidad del negocio He visto esto varias veces para varios clientes. En ocasiones hacen un buen trabajo al mantener al PCP fuera del sitio y en un lugar de fácil acceso, como el hogar GAR o en una ubicación alternativa. Pero muchas veces estas copias no son las más recientes ni las más actualizadas. Así que asegúrate de haber descubierto como parte del proceso de cambio del PCP. Para concluir este capítulo, ahora entendemos cómo un plan de continuidad del negocio predefinido maximiza la posibilidad de una recuperación exitosa al eliminar la toma de decisiones precipitadas en condiciones estresantes. También entiendes lo que algunos de los componentes clave de un VSEPR. Entonces tómate un momento aquí y anota, ¿cuáles son algunos de tus aprendizajes clave de este capítulo? Y cuáles son algunos de los aspectos principales que considerarías a la hora de desarrollar un plan de continuidad del negocio. 30. 7.1 Plan de recuperación de desastres en TI: Echemos un vistazo al plan de recuperación ante desastres de TI o al plan de recuperación ante desastres de TI con un poco más de detalle. Ya que está muy estrechamente relacionado con el PCP. Se puede referir la recuperación ante desastres como el aspecto técnico del PCP. El DRP debe comprender las acciones consistentes que deben emprenderse antes, durante y subsecuentes a un desastre. De ERPs se desarrollan utilizando un proceso de planeación integral basado en los PCP tiempos máximos tolerables de interrupción, RTO y arpegios acordados. El marco de gestión de riesgos de la organización y la participación de todas las unidades de negocio. Y el plan de DR de TI debe abarcar aspectos como la definición de un desastre. Cuando se llamará desastre. Activación de DRP delinea el proceso de activación del DRP. Dependiendo del tipo de incidente. El DRP se puede activar solo o junto con el bcb. Roles y responsabilidades, define las funciones y responsabilidades de los equipos de recuperación ante desastres. Servicios y componentes críticos. Debe incluir componentes como escritorios y sistemas y dispositivos portátiles, servidores, redes de área local, redes área amplia, sistemas distribuidos, sitios web, etcétera. Esta tradición de funcionalidad de TI, los procesos de failover para restaurar la funcionalidad de TI, incluida la utilización de documentación de apoyo como los SOP son unos procedimientos operativos estándar y cosas como el servidor como Bill documentación que se puede utilizar para la restauración, los objetivos de recuperación. Es decir, los audios y los arpegios, asegurándose de que es tradición sea conforme a los objetivos de recuperación definidos en los PCP, dependencias internas y externas como los servicios en la nube del proveedor, dependencias de sistemas internos y procesos, etc. Es importante asegurar que también se hayan identificado y documentado dependencias externas de proveedores de servicios de identificación. Y se han identificado estrategias para la continuidad de estos servicios. Árbol de objetivos incluye un árbol de llamadas de recuperación ante desastres. Comunicación durante un desastre. Se ocupa de los procesos para comunicarse durante un desastre, incluso con personal, vendedores, autoridades de medios y clientes. Las pruebas y el mantenimiento esbozan el plan de recuperación ante desastres de TI, las pruebas y los requisitos de mantenimiento. Accesibilidad, y seguro que el plan sea accesible en un desastre, incluyendo, como comentamos anteriormente en el BGP cuando el entorno de TI no está disponible. Y por último, pero muy importante, la integración con PCP. El DRP debe integrarse en el marco y las plantas de continuidad empresarial más amplio de la organización. Por lo tanto, es importante tener un DRP de TI bien documentado y mantener. Porque no tener un DRP integral resultará en que los sistemas y componentes de TI no sean restaurados en un marco temporal considerado aceptable para el negocio y definido en los PCP. 31. 7.2 Enlace con la recuperación de desastres y planes relacionados: Para un programa efectivo de gestión de la continuidad del negocio, es esencial que no sea un documento independiente. Más bien, conecta a la perfección con todos los planes y procedimientos relacionados como el plan de gestión de crisis. Según estudiamos en el primer capítulo, manejo de crisis se enfoca en el manejo del impacto estratégico del incidente, como severas pérdidas financieras, daño reputacional, o compromiso a la capacidad de la organización para lograr sus objetivos. comunicación interna y externa juega un papel vital en el manejo de crisis. Ningún programa de continuidad del negocio está completo sin un plan de comunicación de crisis total y efectivo que garantice que pueda comunicarse rápidamente con empleados, clientes y otras partes interesadas. La respuesta de emergencia, como habíamos estudiado, se centra en las acciones inmediatas ante un incidente. Y el manejo de incidentes se trata la escalada y manejo de los hechos e incidentes. También, analizamos ideas plan de recuperación ante desastres que se centra en la respuesta y recuperación de sistemas y activos de TI a partir de cortes importantes, videos o interrupciones del servicio. Todos estos planes deben coordinarse y vincularse entre sí. Por lo general, esto se hace a nivel de gobernanza, como si una organización tuviera un BCM o un comité de gobernanza de resiliencia organizacional que garantice que estas plantas estén bien integradas y sean referenciadas entre sí. 32. Capacitación y conciencia de continuidad de negocio: ¿ Qué continuidad del negocio planea ser utilizable y eficaz? El aspecto más crucial e importante es el factor humano. La gente necesita estar lista para responder a eventos disruptivos. Mejorar la capacidad de su gente para responder a las interrupciones es un elemento clave del sistema de gestión de la continuidad del negocio. Los elementos clave de educación y conciencia dentro del CMS, nuestro compromiso e implicación de grupos empresariales e individuos en la planificación y ejercicios de continuidad. Cuanto más se involucren, mejor será su comprensión. Siguiente es la inducción y manejó sesiones informativas para nuevas personas así como líderes durante la incorporación. Conciencia de riesgos. sesiones de capacitación que consideren aspectos generales deben proporcionarsesiones de capacitación que consideren aspectos generalesde la continuidad empresarial como parte del proceso de inducción para todo el personal, así como durante el proceso de entrega. Y se cambian las responsabilidades y responsabilidades. A continuación se presentan las sesiones periódicas de capacitación. Estas deben ser sesiones periódicas o en curso de Capacitación y Concienciación BCPL. Un buen momento para hacerlo es después de los ejercicios periódicos de bcb, asegúrate de registrar esa tendencia de estas sesiones. El siguiente, sobre todo el streaming. Aparte de las sesiones más amplias de capacitación y sensibilización, se deben realizar algunas sesiones de detalle y específicas para las personas involucradas en la planificación o ejecución de la continuidad del negocio. Por ejemplo, realizar una sesión de detalle sobre cómo realizar Análisis de Impacto Empresarial. Sesiones informativas de Dean sobre cambios y modificaciones. Por lo que siempre que se actualicen o modifiquen los planes de continuidad del negocio, se deben realizar sesiones de debriefing. De acuerdo con ISO W2 3-0. El hacer el trabajo de una persona deberá estar al tanto de uno. La política de continuidad del negocio. Hacer su contribución a la efectividad del BC MS, incluyendo los beneficios de mejorar el desempeño de la continuidad del negocio. Tres, las implicaciones de no conformar los Requisitos del Sistema de Gestión de la continuidad del negocio. Y combatieron sus propias reglas y responsabilidades antes, durante y después de las interrupciones. 33. 8.2 de la de inserción de BCM en la cultura organizada: Incrustar la gestión de la continuidad del negocio en la cultura de la organización no es una actividad única, sino un proceso en curso. Esta integración seguirá mejorando a medida que las personas se familiaricen más con los conceptos de continuidad empresarial a través de la participación en la planeación y ejercicios. Y como las prácticas de continuidad del negocio se incluyen dentro del negocio como actividades habituales. La gestión del muelle tiene un papel vital que desempeñar aquí para lograr esta integración cultural. La alta dirección debe alentar continuamente a todas las personas y líderes a buscar oportunidades para fortalecer resiliencia organizacional ante las interrupciones incorporando los arreglos de continuidad en los negocios como actividades habituales como el empleo descripciones, contratos de suministro, estrategias comerciales, o planeación de negocios. Por lo que administrar el factor humano es clave para el éxito de su sistema de gestión de la continuidad del negocio. Sin manejar el aspecto de la gente. El personal no tendrá una comprensión adecuada de sus funciones en el mantenimiento del MS del BCS ni qué hacer en caso de una interrupción. Además, sin un programa de capacitación bien pensado, pueden no ser suficiente visibilidad en cuanto a si las personas tienen las habilidades y competencias requeridas para apoyar al PCP y los procesos. Por ello, las organizaciones necesitan asegurarse de contar con un programa de capacitación formal, especialmente para personas clave involucradas en las actividades de planeación y respuesta de continuidad del negocio. Desarrollar también una cultura de resiliencia organizacional, no sólo como un proceso en curso, sino también como parte de los procesos de inducción y entrega. 34. 9.1 Pruebas y ejercicios: Las pruebas y los ejercicios son esenciales para garantizar que los PCP sean efectivos. Significa que pueden caminar en la práctica, no sólo en el papel. Ajuste para propósito. Para entender. Si somos algún ajuste se necesitan en los planes de continuidad del negocio y capaces de cumplir con los objetivos. Medios, ¿somos capaces de lograr esos objetivos de recuperación o no? Si no se realizan pruebas regulares de planes de continuidad del negocio y componentes relacionados de DR de TI. El personal puede estar más ansioso y nervioso durante una interrupción ya que se verán obligados a pensar en sus pies. Con el estrés y la incertidumbre se acentuó. En consecuencia, la organización no cuenta la seguridad de que podrán recuperar los servicios y procesos de negocio en un plazo que sea aceptable para la organización en general. Estos ejercicios también son eventos educativos vitales, brindando excelentes oportunidades para que los líderes practiquen la toma de decisiones en condiciones de crisis y se preparen o escenarios similares. las áreas críticas más operativas y de tiempo deseen realizar ejercicios más frecuentes y rigurosos para asegurar su capacidad de responder a las interrupciones. 35. 9.2 y 9.3: parte 1 y 2: Los métodos de prueba varían desde la preparación mínima y los recursos hasta los más complejos. Cada base sus propias características, objetivos, y beneficios. El tipo de pruebas empleadas por la organización se determinará dentro de la planeación de continuidad del negocio con base en recursos, tamaño, complejidad, costo, y naturaleza de los objetivos de prueba. Existen varios tipos de metodologías de ejercicio que pueden utilizarse para validar los conocimientos del equipo y el uso de los planes respectivos. He mencionado los cuatro métodos de prueba más comunes aquí. Partiendo de la caminata estructurada. Eso es más un ejercicio basado en discusión todo el camino hasta la prueba a gran escala. Ese es el tipo más completo de pruebas realizadas. Y como puede ver, la frecuencia, el costo, tiempo y el esfuerzo varían en función del tipo de ejercicio que seleccione. En las próximas conferencias, discutiremos con más detalle las diferencias y lo que sucede en cada uno de estos métodos de prueba. Está estructurado. Los tutelares son ejercicios basados en discusión. Las discusiones son sobre cómo se ejecuta el plan de continuidad del negocio en una sala de conferencias o en un entorno de grupos pequeños. El foco está en el entrenamiento individual y en equipo. Y se aclaran o resaltan elementos críticos del plan. El propósito principal de realizar una caminata estructurada es validar el proceso de integridad y educar a los miembros del equipo de recuperación interdependiente sobre los pasos de prueba, las tareas y los plazos. Los participantes exploran temas relevantes y caminaron por plan de continuidad del negocio en un ambiente suelto, sin presión. Dado que se trata de un ejercicio muy bajo y rápido, por lo general se puede realizar varias veces en un aire. A continuación se presenta un ejercicio de mesa. Un ejercicio de mesa es algo más involucrado que un ejercicio de caminata porque los participantes eligen un escenario de evento específico y le aplican el PCP. Los componentes de un ejercicio de mesa pueden incluir la práctica y validación de la capacidad de respuesta funcional específica. Enfocarse en la demostración de conocimientos y habilidades, así como la interacción en equipo y la capacidad de toma de decisiones. rol con respuesta simulada en ubicaciones o instalaciones alternas para actuar pasos críticos, reconocer dificultades y resolver problemas en un entorno no amenazante. Movilización de todo o parte del equipo de Gestión de Crisis o respuesta para practicar una adecuada coordinación. Estas son las cosas que suelen estar involucradas en un ejercicio de mesa. Las pruebas funcionales son el primer tipo de prueba que implica la movilización real de personal en otros sitios en un intento de establecer comunicación y coordinación como se establece en los planes de continuidad del negocio. El ensayo funcional u operativo se realiza sobre uno o más componentes del plan y las condiciones reales de operación. Los componentes de la prueba operativa funcional incluyen la demostración de capacidades de gestión de la continuidad del negocio de varios grupos. Son los escupiendo una serie de funciones interactivas, como activación interna en diferentes grupos empresariales, coordinación con proveedores, trato con interesados externos, etc. Respuesta real o simulada a ubicaciones alternativas o instalaciones utilizando capacidades reales de comunicación y grado de lectura de real A diferencia de simularlo, notificaciones y movilización de recursos. En evento simulado de función, se espera que los participantes estén familiarizados con los planes que se ejercen y se les exige demostrar cómo funcionan estos planes a medida que se despliega el escenario. Las pruebas a escala completa son el tipo de prueba más completo. En una prueba integrada a escala completa, la organización implementa la totalidad o parte de su plan de continuidad del negocio mediante procesamiento de datos y transacciones utilizando medios de copia de seguridad en un sitio de recuperación alternativo. Típicamente bajo condiciones de operación simuladas. Los componentes de una prueba integrada a gran escala implican similar a prueba de función, demostración de conocimientos y habilidades, así como respuesta de gestión y capacidad de toma de decisiones, validación de funciones de respuesta a crisis. Pero también incluye en la escena la ejecución de roles de coordinación y toma de decisiones. Actual A diferencia de notificaciones simuladas, movilización de recursos, y comunicación de decisiones. Actividades realizadas en lugares o instalaciones de respuesta reales. Participación e interacción amplia de la empresa de equipos de respuesta de gestión interna y externa. Con plena participación de organizaciones externas. El procesamiento real de los datos que utilizan medios de copia de seguridad significa que es necesario realizar una restauración completa de los datos. Los ejercicios a gran escala generalmente se extienden durante un período de tiempo más largo para permitir que las cuestiones evolucionen plenamente medida que votan en una crisis y permitan juego de roles realista de todas las partes y grupos involucrados. 36. 9.4 Métodos de búsqueda de continuidad de negocios: parte 3: Por lo tanto, es importante identificar qué ejercicios funcionan mejor para tu grupo empresarial u organización y luego realizarlos de manera regular. Porque si no se realizan ejercicios o pruebas, puede asegurar la línea de tiempo real para recuperar todos los sistemas y procesos de negocio. Y no hay un claro entendimiento de que el PCCh funcionaría en línea con las expectativas. En base a mi experiencia. Una forma muy efectiva de abordar esto es desarrollar un plan de ejercicios. El horario de ejercicios, asegurar que los ejercicios no sean una actividad de una sola vez. Y son una serie de eventos que permiten que tu organización mejore gradualmente con el tiempo. Al desarrollar este plan de ejercicios, considere una variedad de métodos de ejercicio como estos que hemos discutido. Recorridos estructurados, ejercicios de mesa, prueba funcional, y prueba a escala completa. Por lo general, un ejercicio de continuidad del negocio comienza con un recorrido estructurado y avanza a una prueba funcional y a gran escala a medida el sistema de gestión de la continuidad del negocio madura o un período de tiempo. 37. 9.5 Revista de ejercicios de la de BCP: Después de los ejercicios bcb, sesiones de debriefing son una parte importante mejorar la resiliencia ante las interrupciones del negocio. Permiten a los equipos celebrar el éxito e identificar áreas de mejora. En la sesión de debrief se debe realizar lo antes posible prácticamente después del final de una operación de ejercicio o respuesta. Estas sesiones para captar lo que funcionó bien, áreas de mejora y lo que no salió según lo planeado y aprendizajes individuales. Estos temas deben registrarse en un breve informe de forma y distribuirse a los involucrados en la sesión. Las mejoras o las acciones correctivas deben tener cada una un honor especificado y debe rastrearse para asegurar que se concluyan de manera oportuna. 38. 10.1 de mantenimiento de los planes de continuidad de negocios: El objetivo de esta etapa es establecer los requisitos fundamentales necesarios para realizar un mantenimiento del plan de continuidad empresarial invalidado y medir el vencimiento de los planes de GC-MS y de continuidad empresarial individual. mantenimiento de los PCP debe realizarse después de un cambio significativo en nuestro proceso de negocio, función o sistema. En este caso, también se requerirá que se realice un análisis de impacto empresarial para la función o sistema de proceso de negocio. Y las plantas deberán actualizarse en consecuencia. Después de cada prueba de continuidad del negocio. modificarán, aprobarán, y se requerirá que se lean distribuidos oportunamente los terrenos . Periódicamente, al menos anualmente. debe revisar el sistema de gestión de la continuidad empresarial y los PCP. Puede haber cambios en los datos de contacto, cambios en los roles, etcétera, con cambios en el empleo. Y recuerda seguir los procedimientos de control de cambios para cualquier actualización del plan de continuidad del negocio. 39. 10.2 Monitoreo y garantía de los planes de continuación de negocios: El objetivo de esta etapa es escrutar el apego a la política, normas y procedimientos que se han establecido por el sistema de gestión de la continuidad empresarial. Las autoevaluaciones son buenas. No obstante, una revisión imparcial o independiente bajo la dirección de, digamos, la auditoría interna suele ser muy eficaz. monitoreo y aseguramiento incluye el monitoreo contra los objetivos del GCMS establecidos en el marco de gestión de la política o continuidad empresarial. Diez centavos medidos desde el último ejercicio y número de cuestiones no resueltas. Y medir diez centavos desde que se realizó el último análisis de impacto empresarial, un proceso de negocio de EMI o cambios de aplicación ocurrieron desde entonces. Y revisión de integridad de planes y documentación de ejercicios. También la vista planea la inclusión o eliminación de procesos de negocio nuevos u obsoletos o cambios de aplicación. Estas auditorías podrán realizarse periódicamente para evaluar los planes individuales o el marco de gestión de la continuidad empresarial a nivel empresarial. Una forma efectiva de realizar esto, como discutimos, es a través de auditorías independientes. Qué evaluaciones que se pueden realizar periódicamente para evaluar estas y la madurez del marco BCM y los planes individuales de continuidad empresarial. Por lo tanto, estas actividades de monitoreo y aseguramiento de la continuidad del negocio en para asegurar y validar que la organización sea resistente a las interrupciones y pueda reanudar los servicios críticos y las operaciones completas de la tienda en un marco temporal y de manera aceptable para el negocio. 40. 11.1 Wrap para arriba: Ya hemos llegado a la conclusión de este curso. Para una rápida recapitulación, hemos estudiado varios conceptos fundamentales y temas clave relacionados con la gestión de la continuidad del negocio a lo largo de este curso que incluyeron diferencias clave entre diversos aspectos de resiliencia organizacional y plantas como manejo de crisis, respuesta de emergencia, manejo de incidentes, TI, DR. etcétera. En ISO W2 3012019, capítulo del Sistema de Gestión de Continuidad del Negocio, miramos lo que vi estándar W3 0-1 es que miramos el ciclo de vida PDCA Plan-Do Check-Act. ¿ Cuáles son las cláusulas ISO den? Qué significan, y cuáles son algunos de los beneficios clave de implementar y mantener un MS BC desde diferentes perspectivas, como beneficios desde perspectiva empresarial, Perspectivas Financieras, Perspectivas de Procesos Internos, y partes interesadas perspectivas. Después miramos el capítulo de gobernanza, donde discutimos sobre la importancia de contar con una rendición de cuentas, titularidad y responsabilidades claras. Y por qué tener una política y un marco es importante para la gobernabilidad de un BCM”. s en gestión de riesgos. Donde estudiamos cómo es importante una gestión eficaz del riesgo para el GC-MS. ¿ Cuáles son las diferencias entre la gestión del riesgo empresarial y la resiliencia empresarial? Y cuáles son algunas de las opciones comunes de tratamiento de riesgo que se pueden aplicar a la continuidad empresarial religiosa. A continuación, miramos el análisis de impacto empresarial, o BIA. Hablamos de lo que es BIA. ¿ Por qué realizamos la BIA? Y cómo BIA te ayuda a entender mejor a tu organización. Se estudie cuáles son los objetivos de recuperación. Los conceptos clave de RTO, objetivos de tiempo de recuperación y objetivo de punto de recuperación de arpegio. Después miramos los seis pasos de realizar una BIA. Después de BIA, miramos los detalles de la planificación de la continuidad del negocio. Se estudió qué es el PCP, cuáles son los requisitos de las estrategias de continuidad empresarial, y cómo podemos desarrollar el PCP considerando diversos aspectos como personas, comunicación, instalaciones, sistemas, dependencias, etcétera. ¿ Y cuáles son los contenidos que hay que incluir en el plan de continuidad empresarial? Después de ser Cp, miramos la vinculación que la recuperación ante desastres de TI y las plantas relacionadas en vinculación con TI DR y planes relacionados que estudiamos sobre el Plan DR de TI con más detalle, incluyendo Y IT DR. Se requiere planeación. ¿ Y cuáles son los componentes del Plan DR de TI? Entonces discutimos por qué es esencial que plan de continuidad empresarial no sea un documento independiente. Más bien, conecta a la perfección con los planes relacionados como respuesta de emergencia, Gestión de Crisis, Gestión de Incidentes, etcétera. El siguiente capítulo que estudiamos fue el factor humano. Aquí es donde estudiamos por qué la capacitación en una Venus es aspecto más crucial para que los planes de continuidad del negocio sean utilizables y efectivos. Analizamos lo que algunos de los elementos clave de educación y conciencia deberían ser dentro de la MS BC También discutimos por qué BCM puede ser incrustado y cómo se puede incrustar en la cultura organizacional con la ayuda de un proceso continuo e implicación desde la alta dirección. Después miramos los ejercicios del PCP. En el capítulo de ejercicios bcb, se estudió la importancia de realizar las pruebas y ejercicios de bcb fin de asegurar que las plantas trabajen en la práctica y no solo en el papel. Y si son capaces de ser los objetivos requeridos. Miramos varios métodos de prueba y ejercicio y cuál será adecuado en diferentes escenarios. También, la importancia de llevar a cabo las sesiones de debriefing y cómo deben realizarse. Después pasamos al capítulo de monitoreo y aseguramiento de mantenimiento donde miramos cómo los PCP el CMS B debe mantenerse y mantenerse actualizado. Y cuáles son los principales aspectos de realizar el monitoreo y aseguramiento periódico. Por ello, con todas estas estrategias, planes, ejercicios, conciencia y aseguramiento. Todo lo que estamos tratando de lograr es cuando un incidente golpea tu organización y los empleados no están prohibidos actuar como ciervo Mezclado por un faro. Y en cambio están listos y entrenados como Artes que se preparan para el día lluvioso. 41. 11.2 Reflexiones finales y próximos pasos: Espero que hayan disfrutado de este curso y hayan aprendido algunos conceptos muy importantes relacionados con la gestión de la continuidad del negocio. Realmente te animaría a seguir estas pautas e implementar un MS BC, o desarrollar un PCP que te permita asegurar tu organización sea resistente a las interrupciones y pueda reanudar servicios críticos, restaurar operaciones completas dentro de un plazo aceptable. Incluso si actualmente no tienes este rol en tu organización o no estás trabajando disímiles y organización, lo sabes bien y trataste de aplicar estos conceptos en ella. El miembro BCM no es un ejercicio de una sola vez y hecho. Asegurar la continuidad del negocio y la resiliencia organizacional requiere un ojo constante en las amenazas nuevas y en evolución y garantizar que esté consciente y gestione el riesgo. El código que compartí con ustedes antes de Dennis resume mucho el discurso bastante bien. Espera lo mejor, planea lo peor y prepárate para sorprenderte. Muchas gracias por acompañarme en este viaje. He disfrutado enseñando lo que llevo haciendo desde hace varios años. Y espero verte en mi próximo curso. Que tengas un gran día.