Presentación de José Ramón Concha, Responsable de Consultoría en Mxtel y Director del Comité Regional Euskadi en itSMF España, durante el Seminario "Gestión de la Seguridad en TIC" de Mxtel en Meet In Polanco el jueves, 21 de noviembre de 2013
1. Continuidad de
negocio, valor para
sus clientes
José Ramón Concha García
Responsable del área de Consultoría
Gestión de la seguridad TIC
21 de noviembre 2013
2. Índice
Primera parte
• Confianza y disparadores de la mejora en el ámbito TIC
• Referencias normativas
• Optimizando el modelo de consultoría
Segunda parte
• Gestión de la continuidad del negocio ISO 22301 (BCM)
3. ¿Qué preocupa a las organizaciones?
Daño en la reputación (97%)
Influencia del consumidor (97%)
Creciente competencia global (91%)
Innovación (91%)
Regulaciones no financieras (64%)
Fuente: Deloitte Consulting LLP junto con Economist Intelligence Unit.
4. ¿Por qué existen las organizaciones?
“La función de la empresa
es crear clientes”
Peter Drucker
VALOR= función +Garantía
Presente y futuro = CONFIANZA
5. ¿Nuestro poder?
Como la confianza se apoya en
futuribles, lo único que podemos
hacer es evidenciar el control
actual y esperar que el otro
considere esto como una prueba
válida para ganar su confianza.
Fuente: Libro “Estrategia Digital” . Pere Rosales. Edit. DEUSTO
7. Es simple…. Las decisiones dependen de la información
* Objetivos de negocio
* Objetivos de capacidad
de la operación
de madurez
Gestión
8. ¿Cómo mantener la capacidad?
“You can't manage what
you can't measure”
Peter Drucker
… si no se mide, no puedes gestionar,
si no se gestiona, no se puede mejorar,
si no se mejora, es probable que no importe,…
puedes terminar amortizado o externalizado.
9. ¿Cuál es el objetivo?
Garantizar
para seguir prestando servicio o generando producto
en base a las necesidades estratégicas de la organización
de manera continuada y empleando los recursos necesarios.
Generar Confianza
Accionistas
Clientes
Empleados
Sociedad
Administración
Pero…
10. TIC es más que TIC
“Quien solo conoce el martillo piensa
que todos sus problemas son clavos”
11. Índice
Primera parte
• Confianza y disparadores de la mejora en el ámbito TIC
• Referencias normativas
• Optimizando el modelo de consultoría
Segunda parte
• Gestión de la continuidad del negocio ISO 22301 (BCM)
13. Referencias Normativas
Seguridad de la Información
Sistema de gestión
Análisis de riesgos
Plan de Tratamiento de
Riesgos
Seguridad de la información
gestionada
A
C
Auditorías
P
D
ISO 27001-1:2013
14. Referencias Normativas
Continuidad del negocio
Sistema de gestión
Análisis de riesgos
Análisis de impacto
en el negocio (BIA)
Planes de contingencia
Continuidad de negocio
gestionada
A
C
Auditorías
P
D
ISO 22301-1:2012
15. Referencias Normativas
Gestión de servicios
Sistema de gestión
Procesos
Servicio
Servicio
Servicio
Servicios gestionados
A
C
Auditorías
P
D
ISO 20000-1:2012
16. Índice
Primera parte
• Confianza y disparadores de la mejora en el ámbito TIC
• Referencias normativas
• Optimizando el modelo de consultoría
Segunda parte
• Gestión de la continuidad del negocio ISO 22301 (BCM)
18. Referencias Normativas
Seguridad de la Información
Análisis de riesgos
Plan de Tratamiento de
Riesgos
Sistema de gestión
A
C
Auditorías
P
D
ISO 27001-1:2013
19. Referencias Normativas
Continuidad del negocio
Sistema de gestión
Análisis de riesgos
Análisis de impacto
en el negocio (BIA)
Planes de contingencia
A
Auditorías
P
C
Gestión
D
ISO 22301-1:2012
20. Referencias Normativas
Gestión de servicios
Procesos
Sistema de gestión
Servicio
Servicio
A
Auditorías
P
C
Servicio
D
ISO 20000-1:2012
21. Situación actual
Atencíón
Sensación final del cliente de hastío, por el
esfuerzo final realizado. con el proyecto, el
consultor...
CONSULTORÍA TRADICIONAL
Fase de análisis
de estado
Fase de
implantación
Costes gestión del cliente
Desplazamientos
Desplazamientos
F. Fin
Requerimientos
Requerimientos
de ubicación
de ubicación en el en el
cliente
cliente
Consultor
Consultor
proyecto
proyecto
CONSULTORÍA
INTRUSIVA
Fase de
certificación, cierre
Gestión
Gestión de de
agendas internas
agendas internas
F. Inicio
Gestor proyecto
Gestor proyecto
Gestión para el
interlocutor en cliente
Costes desplazamientos
Participantes
Participantes
CURVA
PROCRASTINACIÓN
Tiempo
Los compromisos internos
del cliente suelen
disminuir a lo largo del
proyecto, su dedicación
Gestión predictiva: Fases cerradas, no admite desviaciones, objetivos concretos y
definido desde el inicio, consultoría intrusiva.
Costes: Proyectos larga duración, desplazamientos, costes internos (gestión
de recursos , agendas, proyecto…).
Eficacia: Des priorización, incertidumbre, sobre esfuerzo, hastío final, sensación de
poca utilidad…
22. Propuesta de valor
Instalaciones consultor
Instalaciones cliente
Acceso a la visión de conjunto del
servicio para las partes
interesadas en cualquier fase
Herramienta
Gestión de
proyectos
No predictiva
Metodología ágil
Formación
herramientas
colaborativas /
gestión
Seguimiento no gestión
interna
Fase de análisis
de estado
Fase de análisis
de estado
Gestor proyecto
Gestor proyecto
Gestión de
calendarios
Gestión a través de
herramientas
Gestión directa
Fase de
implantación
Plataforma
formativa
Fase de
implantación
Consultor
Consultor
proyecto
proyecto
Actividades operativas
Video conferencia
Fase de
certificación, cierre
Contratación por periodos
Herramienta
implantación/
explotación
Equipo backup
Equipo backup
Visión de conjunto
del proyecto del
consultor
Fase de
certificación, cierre
Participantes
Participantes
Atencíón
Posibilidad de reunión
Posibilidad de reunión
Presencial con consultor
Presencial con consultor
Herramientas
colaborativas y de gestión
No fecha. Fin
Plaataforma SaaS GARANTIZADA, sin coste
para el cliente final durante la prestación del
servicio
F. Inicio
CURVA
PROCRASTINACIÓN
23. Propuesta de valor
ANTES
Gestión predictiva: Fases cerradas, no admite desviaciones, objetivos concretos y
definido desde el inicio, intrusiva.
Costes: Proyectos larga duración, desplazamientos, costes internos (gestión de recursos ,
agendas, proyecto…).
Eficacia: Des priorización, incertidumbre, sobre esfuerzo, hastío final, sensación de poca
utilidad…
AHORA
Gestión dinámica: Metodología ágil ( adaptación constante a los cambios en el entorno del
cliente y adecuación de objetivos), entrega constante de valor.
Coste ajustados: Disminución costes desplazamiento, de gestión…
Eficacia: Contratación mensual en base a la eficacia en la consecución de objetivos.
Proyecto de consultoría
Servicio de consultoría
Metodología ágil de consultoría en Cloud
24. Propuesta
Servicio ágil
Aportación de valor
Adaptación al entorno
Adaptación del servicio
Reducción de costes
Equipo Consultoría
Ingeniería Telecomunicaciones
Ingeniería Informática
Ingeniería Organización Industrial
CISA, CISM, ITIL, Lead Auditor 27001
Lead Auditor 20000, CHFI, MBA
Reducción de riesgos
Servicio de consultoría
Ágil
Plataforma colaborativa
Consultoría no intrusiva
Ámbitos
Disponibilidad garantizada
Mejora de procesos TIC
Seguridad de la información
Infraestructuras TIC
Seguimiento en tiempo real
Cloud
25. Ámbitos de consulta
Mejora de procesos
* ITIL
* Gestión de servicios ISO 20000
* Gestión de proveedores
* MAAGTICSI
* Inventario y gestión de activos
* SLA´s
* Gestión de incidencias / Peticiones
* Métricas e indicadores
* Catálogo de servicios
Seguridad de la información
* Gestión de la seguridad de la información ISO 27001
* Gestión de la continuidad de negocio ISO 22301
* Gestión de incidentes
* Análisis de riesgos
* Planes de seguridad
* Auditorías de cumplimiento
Infraestructuras TIC
* Planificación de sistemas “llave en mano”
* Diseño centro de control y gestión de red
* Análisis y optimización de redes y sistemas
* Sistemas redundantes de alta disponibilidad en líneas y servicios
* Gestión de anchos de banda con múltiples enlaces
* Virtualización de sistemas
* Auditoría LAN y WAN
* Planes de sistemas
26. Calidad de servicio basado en SLA
•
Disponibilidad mínima garantizada de un consultor del equipo, en el horario de 8:30 a
18:00,hora local México, de lunes a viernes para la atención inmediata.
•
Disponibilidad para la notificación de incidencias sobre las aplicaciones colaborativas y de
gestión en el horario continuado de 24x7, a través del servicio SAT.
•
Disponibilidad de notificación de peticiones, incidencias, reclamaciones durante los 365 días
del año, 24x7, a través del portal del cliente.
•
Notificación mensual sobre incidencias acaecidas en el servicio.
•
Notificación mensual del hito alcanzado en base a la previsión inicial para el periodo.
•
Notificación mensual de nuevas peticiones y nivel de priorización considerado.
•
Notificación mensual de propuestas de mejora identificadas por los consultores externos.
•
Notificación mensual de riesgos y propuestas de contramedidas en el servicio.
27. Índice
Primera parte
• Confianza y disparadores de la mejora en el ámbito TIC
• Referencias normativas
• Optimizando el modelo de consultoría
Segunda parte
• Gestión de la continuidad del negocio ISO 22301 (BCM )
33. ISO 22301
Compromiso de la Organización
¿En que me centro ? ¿cómo estamos?
Antes de que ocurra tenemos que…
¿Qué procesos?
¿Cómo lo hago en cada caso?
Si no se actualiza no vale
34. ISO 22301
Planificación temporal en función de:
•Objetivos
•Recursos
•Presupuestos
•…
Objetivos de la Política:
•Actividades coordinadas y controladas
•GCN que cumpla las necesidades del negocio
•Marco definido para la capacidad continua del GCN
36. ISO 22301
Impacto
Análisis de impacto en el negocio
Análisis de riesgos
Proc. A
Proc. C
Proc. D
Proc. B
15
min
1 dia
2
dias
1
semana
1
mes
2
meses
Tiempo
Riesgo (R)= Impacto (I) Alto x Probabilidad (P) Alta= Riesgo crítico
37. ISO 22301
Riesgo (R)= Impacto (I) Alto x Probabilidad (P) Alta= Riesgo crítico
Maneras de gestionar el riesgo:
•Asumir
•Transferir
•Reducir a niveles aceptables
•Eliminar el origen
38. ISO 22301
Riesgo (R)= Impacto (I) Alto x Probabilidad (P) Alta= Riesgo crítico
Maneras de gestionar el riesgo:
•Asumir
•Transferir
•Reducir a niveles aceptables
•Eliminar el origen
39. Gestión de la continuidad de Negocio
Personas
Instalaciones
Tecnología
Información
Plan de gestión de incidentes
Planes de continuidad de negocio
Planes de recuperación
Procedimiento de
Procedimiento de
recuperación
recuperación
Procedimiento de
recuperación
Servicios
41. Conclusiones
• El ámbito TIC tiene que evidenciar su valor para su cliente.
• La gestión es la única garantía y mejora del valor.
• Se pueden establecer distintos elementos de disparo de
la mejora en función de las circunstancias y estrategia.
• Existen modelos de referencia internacionalmente, no es
necesario” reinventar la rueda”.
• No sólo vale con conocer la norma hay que adecuarla
a la organización, experiencia en implementaciones.
• La experiencia de las consultoras y certificadoras redunda
en eficiencia y eficacia de lo implantado.
• La única garantía de capacidad de un modelo de
continuidad de negocio pasa por su gestión y mejora continua.