Post on 28-Dec-2015
Sistema de Gestión de Continuidaddel Negocio de Acuerdo con
BS25999 e ISO 22301BS25999 e ISO 22301
O t b 2011October 2011
Mario Ureña CuateMario Ureña CuateCISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001
AgendaAgenda
• IntroducciónIntroducción• Elementos que componen el SGCN• Gestión de incidentes en el SGCN• Gestión de incidentes en el SGCN• Similitudes y diferencias entre BS 25999‐2 e ISO/DIS 22301ISO/DIS 22301
• Factores críticos de éxitoC l i• Conclusiones
NotaNota
• Al cierre de la preparación de esta presentación,p p p ,el estándar ISO 22301 no ha sido publicado en suversión final, por lo que la información contenidaen esta presentación se refiere al documentoen esta presentación se refiere al documentoISO/DIS 22301.
• La publicación de ISO 22301 en su versión finalpudiera incluir cambios relevantes no incluídos enesta presentaciónesta presentación.
Introducción
Introducción• Ejemplos de incidentes que pueden afectar la
continuidad del negocio:continuidad del negocio:
– Percepción negativa del público hacia la organizaciónP bl d t i i– Problema con productos y servicios
– Problema financiero– Problema de relaciones con empleados– Evento internacional adverso– Violencia en el lugar de trabajo– Pérdida de personalPérdida de personal– Desastre natural
Introducción• Evento Internacional Adverso
• El 31 de diciembre de 1986 ocurrió un incendio en el hotelDupont Plaza en San Juan, Puerto Rico teniendo comoresultado 97 muertos y 140 lesionados El fuego fue iniciadoresultado 97 muertos y 140 lesionados. El fuego fue iniciadopor un empleado inconforme.
2,300 demandantes.2,300 demandantes.
Drexel Heritage Furnishingf e encontrada “nofue encontrada “no
responsable” por el jurado en 1989.
Introducción• Eventos que en ocasiones no son consideradas,causadas por:causadas por:
– Un proveedor– Un prueba / ejercicio– Acciones de los empleadosAcciones del departamento de Recursos Humanos– Acciones del departamento de Recursos Humanos
– Acciones de los medios– Situación de espionaje industrialp j– Muerte precipitada de funcionarios
Introducción• Proveedores
• En 1993 Play‐Doh Co inhabilitó a 80 empleados debido a queuno de sus proveedores en Illinois era incapaz de proveerharina que se utiliza para la fabricación de masa para modelarharina que se utiliza para la fabricación de masa para modelar.
El proveedor fue afectado por l “ d ó d l ’ ”la “gran inundación del ’93”.
Los trabajadores fueron j fllamados cuando se encontró
un nuevo proveedor.
Introducción• Pruebas / ejercicios mal ejecutados
• En 1992 el Federal Reserve Bank de San Francisco realizó unaprueba de su plan de recuperación ante desastres. Comoresultado de las actividades realizadas durante la prueba unresultado de las actividades realizadas durante la prueba, unmainframe dejó de operar durante 12 horas, afectando ausuarios en California y Arizona.
15 instituciones bancarias fueron afectadas.
El banco atribuye el hecho a un error humano.
Introducción• Pruebas / ejercicios mal ejecutados
• En 1996 cinco hombres “enmascarados” ingresaron a la salade emergencia del Memorial Hospital en Martinsville,Virginia apuntando sus armas al personal y demandandoVirginia, apuntando sus armas al personal y demandandomedicamentos. La prueba fue preparada por el staff deseguridad del hospital.
“No creo que cualquiera pueda apuntar un arma en la cabeza de una persona y se salga con la suya…”
Abogado representante de 3 enfermeras.
Introducción – EvoluciónIntroducción Evolución
• Plan de Contingencias (CP)• Plan de Contingencias (CP)• Plan de Recuperación de Desastres (DRP)• Plan de Continuidad de las Operaciones (COOP)• Plan de Continuidad del Negocio (BCP)• Plan de Reanudación del Negocio (BRP)• Gestión de la Continuidad del Negocio (BCM)• Gestión de la Continuidad del Negocio (BCM)• Programa de Gestión de la Continuidad del Negocio (BCMP)• Sistema de Gestión de Continuidad del Negocio (BCMS)• Sistema de Gestión de Preparación y Continuidad (PCMS) ?
Introducción – RetosIntroducción Retos
• No contar con una estrategia de continuidadNo contar con una estrategia de continuidad
• Falta de apoyo de la dirección• Inexistencia de análisis de riesgos y de impacto al negociog y p g• Falta de integración entre planes• Complejidad Tecnológica• Planes no actualizados• No se realizan pruebas, auditoría, revisiones gerenciales• Planes demasiado generales o demasiado específicos
IntroducciónIntroducción
Introducción
Fuente: http://www.fema.gov/privatesector/preparedness/adoption standards.shtmp // f g /p /p p / p _
IntroducciónIntroducción
IntroducciónIntroducción
IntroducciónIntroducciónBuenas prácticas BCM
27001
PAS56 27031
BS25999-1
BS25999-2BCMSSistema de Gestión de Continuidad del NegocioCo t u dad de egoc o
IntroducciónIntroducción
Gestión de Continuidad el Negocio (BCM)(BCM)
VsVsSistema de Gestión de Continuidad Sistema de Gestión de Continuidad
del Negocio (BCMS)
Introducción ‐ DefinicionesIntroducción Definiciones
• BCMProceso de gestión holístico que identifica amenazas
potenciales a la organización y sus impactos a la ió d l ioperación del negocio que esas amenazas, en caso
realizarse, pudieran causar, y provee una estructura para construir resiliencia organizacional con la p g
capacidad para la efectiva respuesta salvaguardando los intereses de las principales partes interesadas, reputación marca y actividades que crean valorreputación, marca y actividades que crean valor.
BS 25999‐2:2007
Introducción ‐ DefinicionesIntroducción Definiciones
• BCMSBCMS
d l Si d G ió lLa parte del Sistema de Gestión general que establece, implementa, opera, monitorea, i i j l i id d d lrevisa, mantiene y mejora la continuidad del
negocio.
BS 25999‐2:2007
Introducción – BS25999Introducción BS25999
PARTE 1 PARTE 2PARTE 1 PARTE 2
Elementos que componen el SGCNElementos que componen el SGCN
Parte 2Requisitos de Parte 1 Requisitos deSistemas de Gestión
(auditoría acción
Prácticas no auditables (sugerencias,
Requisitos Comunes
(auditoría, acción correctiva y
preventiva, etc)
comentarios, guías, etc)
Elementos que componen el SGCNElementos que componen el SGCN
• Parte 1 – Ciclo de Vida de BCMParte 1 Ciclo de Vida de BCM• Parte 2 – BCMS basado en modelo P‐D‐C‐A
Planear – Hacer – Verificar ‐ Actuar
Elementos que componen el SGCNElementos que componen el SGCNCiclo de
Vid d BCMBCMS
Vida de BCM
Elementos del Ciclo de Vida de BCMElementos del Ciclo de Vida de BCM
Elementos del BCMSElementos del BCMS
Requerimientos de documentación de BS 25999‐2
• Alcance, objetivos y procedimientosca ce, objet os y p oced e tos• Política de GCN• Provisión de recursosProvisión de recursos• Competencia del personal de GCN• Análisis de Impacto al NegocioAnálisis de Impacto al Negocio• Evaluación de riesgos• Estrategia de Continuidad del NegocioEstrategia de Continuidad del Negocio• Estructura de respuesta a incidentes
Requerimientos de documentación de BS 25999‐2
• Plan(es) de continuidad del negocioa (es) de co t u dad de egoc o• Plan(es) de gestión de incidentes• Ejercicio de GCNEjercicio de GCN• Mantenimiento y revisión de arreglos de GCN• Auditoría internaAuditoría interna• Revisión de la gerencia del SGCN• Acciones correctivas y preventivasAcciones correctivas y preventivas• Mejora continua
Requerimientos de documentación de BS 25999‐2
¿Y el manual del SGCN?
Elementos de IRBCElementos de IRBC
Elementos de IRBC
Elementos de PCMSElementos de PCMS
DefiniciónDefinición
• IRBC – ICT Readiness for Business ContinuityC C ead ess o us ess Co t u ty(ICT – Information and Comunication Technology)
Capacidad de una organización para soportar sus operaciones a través de la prevención, detección p p ,y respuesta a la interrupción y recuperación de
servicios de ICT.
ISO 27031:2011
Gestión de Incidentes y el SGCNGestión de Incidentes y el SGCN
• Plan de Gestión de Incidentesa de Gest ó de c de tes
Plan de acción claramente definido y documentadoPlan de acción claramente definido y documentado para ser utilizado cuando ocurre un incidente, típicamente cubre al personal clave, recursos,
servicios y acciones necesarias para implementar el proceso de gestión de incidentes.
BS 25999‐2:2007
Gestión de Incidentes y el SGCNt0 MTPoDRPO t2 t3 ≤ RTO t4t1 t5
Nivel de operación normal Nivel de operación normal
Nivel de operación en crisis
Operación normal Recuperación Operación en continuidad Operación normalOperación normal Recuperación Operación en continuidad Operación normal
Plan de Continuidad del Negocio
Plan de Gestión de Incidentes
RegresoNota: Esta información no es un requisito de BS25999
Similitudes y diferencias entre BS 25999‐2 e ISO22301
BS 25999‐2 ISO DIS 223011 ‐ Alcance 1 ‐ Alcance2 ‐ Términos y definiciones 2 ‐ Referencias normativas3 l l SGCN 3 é i d fi i i3 ‐ Planear el SGCN 3 ‐ Términos y definiciones4 ‐ Implementar y operar el SGCN 4 ‐ Requerimientos generales5 ‐Monitorear y revisar el SGCN 5 ‐ Liderazgo5 Monitorear y revisar el SGCN 5 Liderazgo6 ‐Mantener y mejorar el SGCN 6 ‐ Planeación
7 ‐ Soporte8 ‐ Operación9 ‐ Evaluación del desempeño10 ‐Mejora10 Mejora
Similitudes y diferencias entre BS 25999‐2 e ISO22301
BS 25999‐2 ISO DIS 22301Cláusula Descripción Cláusula Descripción
Introducción Introducción1 Alcance 1 Alcance
2 Referencias normativas2 Términos y definiciones 3 Términos y definiciones
Similitudes y diferencias entre BS 25999‐2 e ISO22301BS 25999‐2 ISO DIS 22301
lá l ó lá l óCláusula Descripción Cláusula Descripción3 Planeación del SGCN 6 Planeación3.1 General3.2 Establecer y gestionar el SGCNy g3.2.1 Alcance y objetivos 6.1 Objetivos y planes para alcanzarlos
6.2 Acciones para atender problemas y preocupaciones
4 R i i t l4 Requerimientos generales
4.1 Entendimiento de la organización y su contexto
3.2.1.1 Alcance y objetivos 4.3 Sistema de Gestión y Alcancey j y3.2.1.2 Productos y servicios clave 4.2 Necesidades y requerimientos3.2.2 Política de GCN 5.3 Política
Similitudes y diferencias entre BS 25999‐2 e ISO22301
BS 25999‐2 ISO DIS 22301Cláusula Descripción Cláusula Descripción3 2 3 Provisión de recursos 7 1 Recursos
BS 25999 2 e ISO22301
3.2.3 Provisión de recursos 7.1 Recursos3.2.3.1 Recursos generales
3.2.3.2Roles, responsabilidades, competencias y autoridades d GCN
5.4 Roles, responsabilidades y autoridades organizacionales
de GCN 7.2 Competencia
3.2.3.3 Designación del responsable5.4 Roles, responsabilidades y
autoridades organizacionales7.2 Competenciap
3.3 Integrar GCN en la cultura de la organización 7.3 Concientización
7.5 Información documentada7 5 1 General
3.4 Documentación y registros del SGCN
7.5.1 General7.5.2 Crear y actualizar
7.5.3 Control de información documentada
BS 25999‐2 ISO DIS 22301Cláusula Descripción Cláusula Descripción
8 O ió
4 Implementar y operar el SGCN
8 Operación8.1 General
8.2 Planeación y control operacional
4.1 Entender a la organización 8.3 Preparación8.4 Planeación
8.4.3 Análisis de Impacto al Negocio y Evaluación de Riesgosy Evaluación de Riesgos
4.1.1 Análisis de Impacto al Negocio 8.4.3.3 Análisis de Impacto al Negocio4.1.2 Evaluación de riesgos 8.4.3.4 Evaluación de riesgos
8.4.4 Opciones de continuidad del i8.4.4 negocio
4.1.3 Determinar opciones8.4.4.1 Determinación y selección de
opciones8.4.4.3 Protección y mitigacióny g
4.2 Determinar estrategia de continuidad del negocio 8.4.4.2 Establecer requerimientos de
recursos
BS 25999‐2 ISO DIS 22301Cláusula Descripción Cláusula Descripción
Desarrollar e implementar la7.4 Comunicación7 4 1 Comunicación externa
4.3 Desarrollar e implementar la GCN
7.4.1 Comunicación externa7.4.2 Comunicación interna8.5 Ejecución
4 3 1 General 8 5 1Desarrollar e implementar una respuesta de continuidad del4.3.1 General 8.5.1 respuesta de continuidad del negocio
8.5.2 Estructura de respuesta8.5.3 Alerta y comunicación8 5 4 R t
4.3.24.3.3
Estructura de respuesta a incidentesPlanes de continuidad del
i tió d
8.5.4 Respuesta
8.5.5 Planes de continuidad el negocio
8.5.6 Requerimientos de di i t d tnegocio y gestión de
incidentesprocedimientos de respuesta
8.5.7 Contenido del procedimiento de respuesta
8.5.8 Recuperación8.5.9 Comunicación y consulta
4.4 Ejercitar. Mantener y revisar los arreglos de BCM 8.6.1 Ejercicios y pruebas
Similitudes y diferencias entre
BS 25999‐2 ISO DIS 22301
BS 25999‐2 e ISO22301BS 25999 2 ISO DIS 22301
Cláusula Descripción Cláusula Descripción9 Evaluación del desempeño8.7 Revisión
d l d5 Monitorear y revisar el SGCN
8.6.2 Monitoreo del desempeño
8.7.2 Evaluación de procedimientos de continuidad
9.1 Evaluación del desempeñop5.1 Auditoría interna 9.2 Auditoría interna
5.2 Revisión de la gerencia del SGCN
8.7.1 Revisión de la gerencia9.3 Revisión de la gerencia
Similitudes y diferencias entre BS 25999‐2 e ISO22301
BS 25999‐2 ISO DIS 22301Cláusula Descripción Cláusula Descripción
6 Mantener y mejorar el SGCN 10 Mejora6.1 Acciones preventivas y correctivas6.1.1 General6.1.2 Acción preventivap6.1.3 Acción correctiva 10.1 No conformidad y acción correctiva6.2 Mejora continua 10.2 Mejora continua
Estatus de ISO 22301
Fuente: www.iso.org
Estatus de ISO 22301
Fuente: www.iso.org
Factores críticos de éxitoFactores críticos de éxito
• Asegurar el apoyo de la direccióng p y• BCM requiere recursos permanentes ( $)• Roles y responsabilidades claramente establecidos• Programa de concientización adecuado• Documentación suficientemente detallada
P d j i i b• Programa de ejercicios y pruebas• Promover la participación de toda la organización• Procedimiento de control de cambios efectivoProcedimiento de control de cambios efectivo• Auditoría, revisión de la gerencia y mejora continua
ConclusionesConclusiones
Preguntas y respuestasg y p¡Gracias!
Mario Ureña CuateCISA CISM CGEIT CISSP
mario.urena@secureit.com.m
CISA, CISM, CGEIT, CISSPISO27001LA, BS25999LA
x
@mariourena
www.mariourenacuate.com
www.slideshare.net/mariourena