Planificación de continuidad del negocio
|
Este artículo tiene varios problemas. Por favor ayuda mejorar o hablar de estos temas en la la página de discusión. (Aprender cómo y cuándo quitar estos mensajes de plantilla)
(Aprender cómo y cuándo quitar este mensaje de plantilla)
|
Planificación de continuidad del negocio (o continuidad del negocio y planificación de la resiliencia) es el proceso de creación de sistemas de prevención y recuperación para hacer frente a posibles amenazas a una empresa.[1]
Cualquier evento que pudiera afectar negativamente las operaciones está incluido en el plan, tales como cadena de suministro interrupción, pérdida de o daños a la infraestructura crítica (maquinaria principales o computación recursos /network). Así, el BCP es un subconjunto de gestión de riesgos.[2]En los Estados Unidos, entidades del gobierno se refieren al proceso como continuidad de las operaciones de planificación (COOP).[3]
Contenido
- 1 Normas vigentes
- 1.1 Ley de contingencias civiles
- 2 Análisis
- 2.1 Análisis del impacto del negocio (BIA)
- 2.2 Análisis de amenaza y riesgo (TRA)
- 2.3 Escenarios de impacto
- 2.4 Requerimiento de recuperación
- 3 Diseño de la solución
- 4 Puesta en práctica
- 5 Aceptación de pruebas y de organización
- 5.1 Ejercicios de mesa
- 5.2 Ejercicios de medianas
- 5.3 Ejercicios complejos
- 6 Mantenimiento
- 6.1 Objetivos de información
- 6.2 Técnica
- 6.3 Pruebas y verificación de procedimientos de recuperación
- 7 Véase también
- 8 Referencias
- 8.1 Notas
- 8.2 Bibliografía
- 9 Lectura adicional
- 9.1 International Organization for Standardization
- 9.2 Institución de estándares británicos
- 9.3 Otros
- 10 Acoplamientos externos
Normas vigentes
En diciembre de 2006, el Institución de estándares británicos (BSI) publicó una norma independiente para BCP, BS 25999-1. Antes de la introducción de BS 25999, Profesionales BCP confiaron en seguridad de la información estándar BS 7799, que dirigió sólo periféricamente BCP para mejorar los procedimientos de seguridad de información de una organización. BS de 25999 aplicabilidad se extiende a todas las organizaciones. En 2007, el BSI publicó BS 25999-2 "Especificación para el negocio gestión de continuidad", que especifica los requisitos para la implementación, funcionamiento y mejora de un sistema de gestión de la continuidad del negocio documentado (SGCN).
Gestión de continuidad del negocio está estandarizado en todo el Reino Unido por estándares británicos (BS) a través de BS 25999-2:2007 y BS 25999-1: 2006. BS 25999-gestión de continuidad de negocio de 2:2007 es el estándar británico de gestión de continuidad del negocio a través de todas las organizaciones. Esto incluye la industria y sus sectores. El estándar proporciona un marco de práctica mejor para minimizar las interrupciones durante eventos inesperados que podría traer el negocio a un punto muerto. El documento ofrece un plan práctico para atender eventualidades más – de condiciones climáticas extremas para el terrorismo, fallos en el sistema IT y enfermedad del personal.[4]
Este documento fue reemplazado en noviembre de 2012 por la British standard BS ISO22301:2012, el estándar actual para la planificación de continuidad del negocio.[5]
Ley de contingencias civiles
En 2004, a raíz de las crisis en los últimos años, el gobierno del Reino Unido aprobado las contingencias civiles acto 2004 (la ley). Esto proporciona la legislación para la protección civil en el Reino Unido: las empresas tienen que tener continuidad, planificación de medidas con el fin de sobrevivir y continuar prosperando mientras trabajando para mantener el incidente tan mínimos como sea posible.[6]
El acto fue separado en dos partes: parte 1 se centra en arreglos locales para la protección civil, estableciendo un marco legal de funciones y responsabilidades para equipos de respuesta locales. Parte 2 se centró en los poderes de emergencia, establecimiento de que un marco moderno para el uso especial legislativo las medidas que sería necesario para hacer frente a los efectos de la emergencia más grave.
Análisis
La fase de análisis consiste en el análisis de impacto, análisis de amenazas e impacto escenarios.
Análisis del impacto del negocio (BIA)
Un análisis del impacto del negocio (BIA) distingue crítica (urgente) y funciones/actividades de la organización (no urgente) no crítico. Las funciones críticas son aquellas cuya interrupción se considera como inaceptable. Percepciones de aceptabilidad son afectadas por el costo de soluciones de recuperación. Una función también puede ser considerada crítica si dictado por la ley. Para cada función crítica (en volumen), entonces se asignan dos valores:
- Objetivo de punto recuperación (RPO) – la latencia aceptable de datos que no se recuperará. ¿Por ejemplo es aceptable para la empresa a perder 2 días de datos?[7]
- Objetivo de tiempo de recuperación (RTO) – la cantidad aceptable de tiempo a restablecer la función.
El objetivo de punto de recuperación debe asegurarse de que no se supere la pérdida de datos máxima tolerable para cada actividad. El objetivo de tiempo de recuperación debe garantizar que la Período máximo Tolerable de interrupción (MTPoD) para cada actividad no se supera.
A continuación, el análisis de impacto resultados en los requisitos de recuperación para cada función crítica. Requerimientos de recuperación consisten en la siguiente información:
- Los requerimientos del negocio para recuperación de la función crítica, o
- Los requisitos técnicos para la recuperación de la función crítica
Análisis de amenaza y riesgo (TRA)
Después de definir los requerimientos de recuperación, cada amenaza potencial puede requerir pasos de recuperación única. Amenazas comunes incluyen:
- Epidemia de
- Terremoto
- Fuego
- Inundación
- Ataque cibernético
- Sabotaje (información privilegiada o amenaza externa)
- Huracán u otra gran tormenta
- Corte de energía
- Corte de agua (interrupción del suministro, contaminación)
- Interrupción del alumbrado
- Corte de ti
- Terrorismo/Piratería
- Guerra/ civil trastorno
- Robo (insider o amenaza externa, información vital o material)
- Error aleatorio de sistemas de misión crítica
El impacto de una epidemia puede considerarse como puramente humana y puede ser aliviado con soluciones técnicas y comerciales. Sin embargo, si detrás de estos planes son afectados por la enfermedad, entonces el proceso puede tropezar.
Durante el 2002-2003 SARS brote, algunas organizaciones agrupadas personal en equipos separados y rotan los equipos entre los sitios de trabajo primaria y secundaria, con una frecuencia de rotación igual a la período de incubación de la enfermedad. Las organizaciones también prohibición el contacto intergrupal directo durante negocios y horas no hábiles. La división aumentó resiliencia frente a la amenaza de cuarentena medidas si una persona en un equipo fue expuesta a la enfermedad.
Escenarios de impacto
Después de identificar las amenazas aplicables, se consideran escenarios de impacto para apoyar el desarrollo de un plan de recuperación de negocios. Planes de prueba de continuidad del negocio pueden documentar escenarios para cada identificadas amenazas y escenarios de impacto. También pueden documentar más localizada escenarios de impacto – por ejemplo la pérdida de un piso de concreto en un edificio. Los planes de BC deben reflejar los requisitos para recuperar el negocio en el mayor daño posible. La evaluación del riesgo debe atender a desarrollar escenarios de impacto que son aplicables a la empresa o las instalaciones que opera. Por ejemplo, no sería lógico considerar tsunami en la región de Mideast puesto que la probabilidad de que una amenaza es insignificante.
Requerimiento de recuperación
Después de la fase de análisis, requerimientos del negocio y recuperación técnica preceden a la fase de soluciones. Inventarios de activos permiten la rápida identificación de los recursos de despliegue. Para un negocio basado en la oficina, uso intensivo de ti, pueden cubrir los requisitos del plan de escritorio, recursos humanos, aplicaciones, datos, soluciones manual, ordenadores y periféricos. Otros entornos de negocio, tales como producción, distribución, almacenamiento voluntad etc. deben cubrir estos elementos, sino que probablemente tienen problemas adicionales.
La robustez de un gestión de emergencias plan depende de cuánto dinero de una organización o negocio puede poner en el plan. La organización debe equilibrar factibilidad realista con la necesidad de preparar adecuadamente. En general, por cada $1 en un plan de manejo de emergencias evitará 7 dólares de pérdida.[8]
Diseño de la solución
La fase de diseño de la solución identifica el más rentable recuperación ante desastres solución que cumple con dos requisitos principales de la etapa de análisis de impacto.
Para efectos de la IT, esto se expresa comúnmente como los requisitos mínimos de la aplicación y los datos y el tiempo en que la aplicación mínima y los datos de aplicación deben estar disponibles.
Fuera del dominio de ti, debe considerarse la preservación de la información impresa, como contratos, personal calificado o restauración de la tecnología encajada en una planta de proceso. Esta fase se traslapa con Planificación de recuperación ante desastres metodología. La fase de solución se determina:
- gestión de crisis estructura de mando
- lugares de trabajo secundaria
- arquitectura de telecomunicaciones entre los sitios de trabajo primaria y secundaria
- replicación de datos metodología entre los sitios de trabajo primaria y secundaria
- aplicaciones y los datos requeridos en el sitio de trabajo secundaria
- requisitos de datos físicos en el lugar de trabajo secundario.
Puesta en práctica
La fase de implementación involucra cambios normativos, adquisiciones materiales, dotación de personal y pruebas.
Aceptación de pruebas y de organización
El propósito de la prueba es lograr la aceptación organizacional que la solución cumple los requisitos de recuperación. Planes pueden no cumplir con las expectativas debido a los requerimientos de recuperación insuficiente o inexacta, solución diseño defectos o errores de aplicación de solución. Pruebas pueden incluir:
- Equipo llamada pruebas de comando de crisis
- Prueba técnica del oscilación de primaria secundaria trabajo
- Prueba técnica del oscilación de secundario a primario de trabajo
- Prueba de aplicación
- Prueba de proceso de negocio
Como mínimo, la prueba se lleva a cabo en un horario semestral.
El libro de 2008 Ejercicio de la excelencia, publicado por la Institución de estándares británicos identificado tres tipos de ejercicios que se pueden emplear al probar planes de continuidad del negocio.
Ejercicios de mesa
Ejercicios de mesa generalmente involucran a un pequeño número de personas y se concentra en un aspecto específico de una BCP. Pueden acomodar fácilmente a equipos completos de un área específica de una empresa.
Otra forma consiste en un solo representante de cada uno de varios equipos. Por lo general, los participantes trabajan con escenario simple y luego discuten aspectos específicos del plan. Por ejemplo, un incendio se descubre fuera de horas de trabajo.
El ejercicio consume sólo unas pocas horas y a menudo se divide en dos o tres sesiones, cada uno concentrado en un tema diferente.
Ejercicios de medianas
Un ejercicio medio se lleva a cabo dentro de un "mundo Virtual" y reúne a varios departamentos, equipos o disciplinas. Por lo general se concentra en múltiples aspectos BCP, provocando la interacción entre equipos. El alcance de un ejercicio de media puede variar desde unos pocos equipos de una organización ubicados en un edificio para múltiples equipos que operan a través de lugares dispersos. El ambiente debe ser tan realista como sea posible y tamaños de equipo deberían reflejar una situación realista. Realismo puede extenderse a simulado informativos y sitios Web.
Un ejercicio medio normalmente dura unas horas, aunque puede prolongar durante varios días. Típicamente involucran una "célula de escenario" que agrega pre-scripts "sorpresas" durante todo el ejercicio.
Ejercicios complejos
Un ejercicio complejo pretende tener límites como pocos como sea posible. Incorpora todos los aspectos de un ejercicio medio. El ejercicio se mantiene dentro de un mundo virtual, pero máximo realismo es esencial. Esto podría incluir aviso de no activación, evacuación real y real invocación de un sitio de recuperación ante desastres.
Mientras que arranque y parada es previamente acordado, la duración real podría ser desconocida si se permitieron que los acontecimientos sigan su curso.
Mantenimiento
Mantenimiento del ciclo de mantenimiento anual o bianual de un manual BCP se divide en tres actividades periódicas.
- Confirmación de la información en el manual, rodillo hacia fuera al personal para el conocimiento y específicas de formación de individuos críticos.
- Pruebas y verificación de soluciones técnicas establecidos para las operaciones de recuperación.
- Pruebas y verificación de procedimientos de recuperación de la organización.
Problemas encontrados durante la fase de prueba a menudo deben ser reintroducidas a la fase de análisis.
Objetivos de información
El manual BCP debe evolucionar con la organización. Activación de la árbol de la llamada verifica la eficacia del plan de notificación como la exactitud de los datos así como contacto. Como la mayoría de los procedimientos de negocios, planificación de continuidad de negocio tiene su propia jerga. Comprensión de toda la organización de la jerga de continuidad de negocio es vital y glosarios están disponibles.[9] Tipos de cambios organizacionales que deben ser identificados y actualizados en el manual incluyen:
- Dotación de personal
- Clientes importantes
- Vendedores/proveedores
- Cambios en la estructura organización
- Declaración de misión y portafolio de inversión la empresa
- Infraestructura de comunicación y transporte tales como carreteras y puentes
Técnica
Se deben mantener recursos técnicos especializados. Controles incluyen:
- Virus de la distribución de definición
- Seguridad de aplicaciones y servicio de distribución de parches
- Funcionamiento de hardware
- Operabilidad de la aplicación
- Verificación de datos
- Aplicación de datos
Pruebas y verificación de procedimientos de recuperación
Como trabajo de procesos de cambio, recuperación anterior procedimientos pueden no ser adecuados. Controles incluyen:
- ¿Son todos los procesos de trabajo para funciones críticas documentadas?
- ¿Han cambiado los sistemas utilizados para funciones críticas?
- ¿Son las listas de comprobación documentada obra significativa y precisa?
- ¿Hacer las tareas de recuperación del proceso de trabajo documentado y apoyar la infraestructura de recuperación ante desastres permite personal recuperar dentro del objetivo de tiempo de recuperación predeterminado?
Véase también
- Modelado de la catástrofe
- Recuperación ante desastres
- Ante desastres
- Gestión de emergencias
- Riesgos naturales
- Riesgos provocados por el hombre
- Gestión de riesgos
- Recuperación ante desastres y continuidad de negocio auditoría
- Ingeniería de sistemas
- Ciclo de vida del sistema
- Pensamiento de sistemas
- Siete niveles de recuperación ante desastres
Referencias
Notas
- ^ Elliot, D.; Swartz, E.; Herbane, B. justo (1999) esperando el próximo big bang: continuidad del negocio en el sector de Finanzas de Reino Unido. Revista de estudios de administración aplicada, Vol. 8, No, pp. 43-60. Aquí: p. 48.
- ^ Intrieri, Charles (10 de septiembre de 2013). "Planificación de continuidad del negocio". Flevy. 29 de septiembre 2013.
- ^ https://www.fema.gov/Guidance-Directives
- ^ Institución de estándares británica (2006). Continuidad gestión-parte 1: código de prácticas: Londres
- ^ Institución de estándares británicos (2012). Seguridad social-gestión de continuidad de negocio sistemas – requisitos: Londres
- ^ Gabinete. (2004). Resumen de la ley. En: Civil contingencias Secretaría Civil contingencias ley 2004: un corto. Londres: Contingencias Civil Secretaría
- ^ Mayo, Richard. "Búsqueda de RPO y RTO".
- ^ "¿puede su organización sobrevivir un desastre Natural?". La Universidad de Boston. 22 de diciembre 2014.
- ^ Glosario de términos de continuidad de negocio
Bibliografía
- Continuidad del negocio de planificación, FEMA, Obtenido: 16 de junio de 2012
- Continuidad de las operaciones de planificación (sin fecha). Estados Unidos Departamento de seguridad nacional. Obtenido 26 de julio de 2006.
- Propósito de la lista de verificación estándar criterios para la recuperación del negocio (sin fecha). Federal Emergency Management Agency. Obtenido 26 de julio de 2006.
- Estándar NFPA 1600 manejo de desastres/emergencias y programas de continuidad de negocio-PDF[acoplamiento muerto] (2010). National Fire Protection Association.
- Guía de Y2k BCP oficina de Contabilidad General Estados Unidos (Agosto de 1998). Oficina de rendición de cuentas del gobierno de Estados Unidos.
Lectura adicional
International Organization for Standardization
- ISO/IEC 27001: 2005 (anteriormente BS 7799-2: 2002) sistema de gestión de seguridad de información
- ISO/IEC 27002:2005 (renumerated ISO17999:2005) gestión de la seguridad de información – código de práctica
- ISO/IEC 27031:2011 información tecnología - técnicas de seguridad - directrices para la preparación de la tecnología de información y la comunicación para continuidad del negocio
- ISO/PAS 22399:2007 guía para la preparación de incidentes y gestión de la continuidad operacional
- ISO/IEC 24762:2008 directrices para servicios de recuperación de desastres de la tecnología de información y las comunicaciones
- Preparación para emergencia de AIT 5:2006
- 22301:2012 ISO seguridad social - sistemas de gestión de continuidad de negocio - requisitos
- 22313:2012 ISO seguridad social - sistemas de gestión de continuidad de negocio - orientación
- ISO/TS 22315:2015 seguridad social - sistemas de gestión de continuidad de negocio - pautas para el análisis del impacto del negocio (BIA)
Institución de estándares británicos
- BS 25999-1: 2006 negocios continuidad gestión parte 1: código de práctica
- BS 25999-2:2007 parte de gestión de continuidad de negocio 2: Especificación
Otros
- James C. Barnes. Una guía de continuidad del negocio planificación. ISBN 978-0471530152.
- Kenneth L Fulmer. Continuidad del negocio planificación, una guía paso a paso. ISBN 978-1931332217.
- Richard Kepenach. Diseño de Plan de continuidad empresarial, 8 pasos para conseguir comenzado diseñar un Plan de.
- Judy Bell. Planificación de supervivencia de desastre: Una guía práctica para las empresas. ISBN 978-0963058003.
- Dimattia, S. (15 de noviembre de 2001). "Planificación para la continuidad". Library Journal: 32-34.
Acoplamientos externos
- Directrices del Plan de emergencia de seguridad Departamento de patria
- Toolkit guía CIDRAP/SHRM pandemia HR