diseño de gestion de continuidad de negocio de acuerdo con bs25999 e iso 22301

Sistema de Gestión de Continuidaddel Negocio de Acuerdo con

BS25999 e ISO 22301BS25999 e ISO 22301

O t b 2011October 2011

Mario Ureña CuateMario Ureña CuateCISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001

AgendaAgenda

• IntroducciónIntroducción• Elementos que componen el SGCN• Gestión de incidentes en el SGCN• Gestión de incidentes en el SGCN• Similitudes y diferencias entre BS 25999‐2 e ISO/DIS 22301ISO/DIS 22301

• Factores críticos de éxitoC l i• Conclusiones

NotaNota

• Al cierre de la preparación de esta presentación,p p p ,el estándar ISO 22301 no ha sido publicado en suversión final, por lo que la información contenidaen esta presentación se refiere al documentoen esta presentación se refiere al documentoISO/DIS 22301.

• La publicación de ISO 22301 en su versión finalpudiera incluir cambios relevantes no incluídos enesta presentaciónesta presentación.

Introducción

Introducción• Ejemplos de incidentes que pueden afectar la

continuidad del negocio:continuidad del negocio:

– Percepción negativa del público hacia la organizaciónP bl d t i i– Problema con productos y servicios

– Problema financiero– Problema de relaciones con empleados– Evento internacional adverso– Violencia en el lugar de trabajo– Pérdida de personalPérdida de personal– Desastre natural

Introducción• Evento Internacional Adverso

• El 31 de diciembre de 1986 ocurrió un incendio en el hotelDupont Plaza en San Juan, Puerto Rico teniendo comoresultado 97 muertos y 140 lesionados El fuego fue iniciadoresultado 97 muertos y 140 lesionados. El fuego fue iniciadopor un empleado inconforme.

2,300 demandantes.2,300 demandantes.

Drexel Heritage Furnishingf e encontrada “nofue encontrada “no

responsable” por el jurado en 1989.

Introducción• Eventos que en ocasiones no son consideradas,causadas por:causadas por:

– Un proveedor– Un prueba / ejercicio– Acciones de los empleadosAcciones del departamento de Recursos Humanos– Acciones del departamento de Recursos Humanos

– Acciones de los medios– Situación de espionaje industrialp j– Muerte precipitada de funcionarios

Introducción• Proveedores

• En 1993 Play‐Doh Co inhabilitó a 80 empleados debido a queuno de sus proveedores en Illinois era incapaz de proveerharina que se utiliza para la fabricación de masa para modelarharina que se utiliza para la fabricación de masa para modelar.

El proveedor fue afectado por l “ d ó d l ’ ”la “gran inundación del ’93”.

Los trabajadores fueron j fllamados cuando se encontró

un nuevo proveedor.

Introducción• Pruebas / ejercicios mal ejecutados

• En 1992 el Federal Reserve Bank de San Francisco realizó unaprueba de su plan de recuperación ante desastres. Comoresultado de las actividades realizadas durante la prueba unresultado de las actividades realizadas durante la prueba, unmainframe dejó de operar durante 12 horas, afectando ausuarios en California y Arizona.

15 instituciones bancarias fueron afectadas.

El banco atribuye el hecho a un error humano.

Introducción• Pruebas / ejercicios mal ejecutados

• En 1996 cinco hombres “enmascarados” ingresaron a la salade emergencia del Memorial Hospital en Martinsville,Virginia apuntando sus armas al personal y demandandoVirginia, apuntando sus armas al personal y demandandomedicamentos. La prueba fue preparada por el staff deseguridad del hospital.

“No creo que cualquiera pueda apuntar un arma en la cabeza de una persona y se salga con la suya…”

Abogado representante de 3 enfermeras.

Introducción – EvoluciónIntroducción Evolución

• Plan de Contingencias (CP)• Plan de Contingencias (CP)• Plan de Recuperación de Desastres (DRP)• Plan de Continuidad de las Operaciones (COOP)• Plan de Continuidad del Negocio (BCP)• Plan de Reanudación del Negocio (BRP)• Gestión de la Continuidad del Negocio (BCM)• Gestión de la Continuidad del Negocio (BCM)• Programa de Gestión de la Continuidad del Negocio (BCMP)• Sistema de Gestión de Continuidad del Negocio (BCMS)• Sistema de Gestión de Preparación y Continuidad (PCMS) ?

Introducción – RetosIntroducción Retos

• No contar con una estrategia de continuidadNo contar con una estrategia de continuidad

• Falta de apoyo de la dirección• Inexistencia de análisis de riesgos y de impacto al negociog y p g• Falta de integración entre planes• Complejidad Tecnológica• Planes no actualizados• No se realizan pruebas, auditoría, revisiones gerenciales• Planes demasiado generales o demasiado específicos

IntroducciónIntroducción

Introducción

Fuente: http://www.fema.gov/privatesector/preparedness/adoption standards.shtmp // f g /p /p p / p _

IntroducciónIntroducciónBuenas prácticas BCM

27001

PAS56 27031

BS25999-1

BS25999-2BCMSSistema de Gestión de Continuidad del NegocioCo t u dad de egoc o


Gestión de Continuidad el Negocio (BCM)(BCM)

VsVsSistema de Gestión de Continuidad Sistema de Gestión de Continuidad

del Negocio (BCMS)

Introducción ‐ DefinicionesIntroducción Definiciones

• BCMProceso de gestión holístico que identifica amenazas

potenciales a la organización y sus impactos a la ió d l ioperación del negocio que esas amenazas, en caso

realizarse, pudieran causar, y provee una estructura para construir resiliencia organizacional con la p g

capacidad para la efectiva respuesta salvaguardando los intereses de las principales partes interesadas, reputación marca y actividades que crean valorreputación, marca y actividades que crean valor.

BS 25999‐2:2007

Introducción ‐ DefinicionesIntroducción Definiciones

• BCMSBCMS

d l Si d G ió lLa parte del Sistema de Gestión general que establece, implementa, opera, monitorea, i i j l i id d d lrevisa, mantiene y mejora la continuidad del

negocio.

BS 25999‐2:2007

Introducción – BS25999Introducción BS25999

PARTE 1 PARTE 2PARTE 1 PARTE 2

Elementos que componen el SGCNElementos que componen el SGCN

Parte 2Requisitos de Parte 1 Requisitos deSistemas de Gestión

(auditoría acción

Prácticas no auditables (sugerencias,

Requisitos Comunes

(auditoría, acción correctiva y

preventiva, etc)

comentarios, guías, etc)

Elementos que componen el SGCNElementos que componen el SGCN

• Parte 1 – Ciclo de Vida de BCMParte 1 Ciclo de Vida de BCM• Parte 2 – BCMS basado en modelo P‐D‐C‐A

Planear – Hacer – Verificar ‐ Actuar

Elementos que componen el SGCNElementos que componen el SGCNCiclo de

Vid d BCMBCMS

Vida de BCM

Elementos del Ciclo de Vida de BCMElementos del Ciclo de Vida de BCM

Elementos del BCMSElementos del BCMS

Requerimientos de documentación de BS 25999‐2

• Alcance, objetivos y procedimientosca ce, objet os y p oced e tos• Política de GCN• Provisión de recursosProvisión de recursos• Competencia del personal de GCN• Análisis de Impacto al NegocioAnálisis de Impacto al Negocio• Evaluación de riesgos• Estrategia de Continuidad del NegocioEstrategia de Continuidad del Negocio• Estructura de respuesta a incidentes


• Plan(es) de continuidad del negocioa (es) de co t u dad de egoc o• Plan(es) de gestión de incidentes• Ejercicio de GCNEjercicio de GCN• Mantenimiento y revisión de arreglos de GCN• Auditoría internaAuditoría interna• Revisión de la gerencia del SGCN• Acciones correctivas y preventivasAcciones correctivas y preventivas• Mejora continua


¿Y el manual del SGCN?

Elementos de IRBCElementos de IRBC

Elementos de IRBC

Elementos de PCMSElementos de PCMS

DefiniciónDefinición

• IRBC – ICT Readiness for Business ContinuityC C ead ess o us ess Co t u ty(ICT – Information and Comunication Technology)

Capacidad de una organización para soportar sus operaciones a través de la prevención, detección p p ,y respuesta a la interrupción y recuperación de

servicios de ICT.

ISO 27031:2011

Gestión de Incidentes y el SGCNGestión de Incidentes y el SGCN

• Plan de Gestión de Incidentesa de Gest ó de c de tes

Plan de acción claramente definido y documentadoPlan de acción claramente definido y documentado para ser utilizado cuando ocurre un incidente, típicamente cubre al personal clave, recursos,

servicios y acciones necesarias para implementar el proceso de gestión de incidentes.

BS 25999‐2:2007

Gestión de Incidentes y el SGCNt0 MTPoDRPO t2 t3 ≤ RTO t4t1 t5

Nivel de operación normal Nivel de operación normal

Nivel de operación en crisis

Operación normal Recuperación Operación en continuidad Operación normalOperación normal Recuperación Operación en continuidad Operación normal

Plan de Continuidad del Negocio

Plan de Gestión de Incidentes

RegresoNota: Esta información no es un requisito de BS25999

Similitudes y diferencias entre BS 25999‐2 e ISO22301

BS 25999‐2 ISO DIS 223011 ‐ Alcance 1 ‐ Alcance2 ‐ Términos y definiciones 2 ‐ Referencias normativas3 l l SGCN 3 é i d fi i i3 ‐ Planear el SGCN 3 ‐ Términos y definiciones4 ‐ Implementar y operar el SGCN 4 ‐ Requerimientos generales5 ‐Monitorear y revisar el SGCN 5 ‐ Liderazgo5 Monitorear y revisar el SGCN 5 Liderazgo6 ‐Mantener y mejorar el SGCN 6 ‐ Planeación

7 ‐ Soporte8 ‐ Operación9 ‐ Evaluación del desempeño10 ‐Mejora10 Mejora


BS 25999‐2 ISO DIS 22301Cláusula Descripción Cláusula Descripción

Introducción Introducción1 Alcance 1 Alcance

2 Referencias normativas2 Términos y definiciones 3 Términos y definiciones

Similitudes y diferencias entre BS 25999‐2 e ISO22301BS 25999‐2 ISO DIS 22301

lá l ó lá l óCláusula Descripción Cláusula Descripción3 Planeación del SGCN 6 Planeación3.1 General3.2 Establecer y gestionar el SGCNy g3.2.1 Alcance y objetivos 6.1 Objetivos y planes para alcanzarlos

6.2 Acciones para atender problemas y preocupaciones

4 R i i t l4 Requerimientos generales

4.1 Entendimiento de la organización y su contexto

3.2.1.1 Alcance y objetivos 4.3 Sistema de Gestión y Alcancey j y3.2.1.2 Productos y servicios clave 4.2 Necesidades y requerimientos3.2.2 Política de GCN 5.3 Política


BS 25999‐2 ISO DIS 22301Cláusula Descripción Cláusula Descripción3 2 3 Provisión de recursos 7 1 Recursos

BS 25999 2 e ISO22301

3.2.3 Provisión de recursos 7.1 Recursos3.2.3.1 Recursos generales

3.2.3.2Roles, responsabilidades, competencias y autoridades d GCN

5.4 Roles, responsabilidades y autoridades organizacionales

de GCN 7.2 Competencia

3.2.3.3 Designación del responsable5.4 Roles, responsabilidades y

autoridades organizacionales7.2 Competenciap

3.3 Integrar GCN en la cultura de la organización 7.3 Concientización

7.5 Información documentada7 5 1 General

3.4 Documentación y registros del SGCN

7.5.1 General7.5.2 Crear y actualizar

7.5.3 Control de información documentada


8 O ió

4 Implementar y operar el SGCN

8 Operación8.1 General

8.2 Planeación y control operacional

4.1 Entender a la organización 8.3 Preparación8.4 Planeación

8.4.3 Análisis de Impacto al Negocio y Evaluación de Riesgosy Evaluación de Riesgos

4.1.1 Análisis de Impacto al Negocio 8.4.3.3 Análisis de Impacto al Negocio4.1.2 Evaluación de riesgos 8.4.3.4 Evaluación de riesgos

8.4.4 Opciones de continuidad del i8.4.4 negocio

4.1.3 Determinar opciones8.4.4.1 Determinación y selección de

opciones8.4.4.3 Protección y mitigacióny g

4.2 Determinar estrategia de continuidad del negocio 8.4.4.2 Establecer requerimientos de

recursos


Desarrollar e implementar la7.4 Comunicación7 4 1 Comunicación externa

4.3 Desarrollar e implementar la GCN

7.4.1 Comunicación externa7.4.2 Comunicación interna8.5 Ejecución

4 3 1 General 8 5 1Desarrollar e implementar una respuesta de continuidad del4.3.1 General 8.5.1 respuesta de continuidad del negocio

8.5.2 Estructura de respuesta8.5.3 Alerta y comunicación8 5 4 R t

4.3.24.3.3

Estructura de respuesta a incidentesPlanes de continuidad del

i tió d

8.5.4 Respuesta

8.5.5 Planes de continuidad el negocio

8.5.6 Requerimientos de di i t d tnegocio y gestión de

incidentesprocedimientos de respuesta

8.5.7 Contenido del procedimiento de respuesta

8.5.8 Recuperación8.5.9 Comunicación y consulta

4.4 Ejercitar. Mantener y revisar los arreglos de BCM 8.6.1 Ejercicios y pruebas

Similitudes y diferencias entre

BS 25999‐2 ISO DIS 22301

BS 25999‐2 e ISO22301BS 25999 2 ISO DIS 22301

Cláusula Descripción Cláusula Descripción9 Evaluación del desempeño8.7 Revisión

d l d5 Monitorear y revisar el SGCN

8.6.2 Monitoreo del desempeño

8.7.2 Evaluación de procedimientos de continuidad

9.1 Evaluación del desempeñop5.1 Auditoría interna 9.2 Auditoría interna

5.2 Revisión de la gerencia del SGCN

8.7.1 Revisión de la gerencia9.3 Revisión de la gerencia



6 Mantener y mejorar el SGCN 10 Mejora6.1 Acciones preventivas y correctivas6.1.1 General6.1.2 Acción preventivap6.1.3 Acción correctiva 10.1 No conformidad y acción correctiva6.2 Mejora continua 10.2 Mejora continua

Estatus de ISO 22301

Fuente: www.iso.org

Factores críticos de éxitoFactores críticos de éxito

• Asegurar el apoyo de la direccióng p y• BCM requiere recursos permanentes ( $)• Roles y responsabilidades claramente establecidos• Programa de concientización adecuado• Documentación suficientemente detallada

P d j i i b• Programa de ejercicios y pruebas• Promover la participación de toda la organización• Procedimiento de control de cambios efectivoProcedimiento de control de cambios efectivo• Auditoría, revisión de la gerencia y mejora continua

ConclusionesConclusiones

Preguntas y respuestasg y p¡Gracias!

Mario Ureña CuateCISA CISM CGEIT CISSP

[email protected]

CISA, CISM, CGEIT, CISSPISO27001LA, BS25999LA

x

@mariourena

www.mariourenacuate.com

www.slideshare.net/mariourena

diseño de gestion de continuidad de negocio de acuerdo con bs25999 e iso 22301

Documents