GlobalContinuity: Solución de Gestión a los Planes de ... · gestiona ÍNTEGRAMENTE la...
Transcript of GlobalContinuity: Solución de Gestión a los Planes de ... · gestiona ÍNTEGRAMENTE la...
GlobalContinuity: Solución de Gestión a
los Planes de Continuidad de Negocio
AUDISEC: QUIÉNES SOMOS
AUDISEC Seguridad de la Información, una empresa dedicada a aportar seguridad a sus clientes en
el tratamiento de su activo más importante, sus datos, su información.
Experiencia en Consultoría, Implantación y auditoría de:
• Sistemas de Gestión de Seguridad de la Información (SGSI) Norma ISO 27001
(LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)
•Sistemas de Gestión de Servicios TI Norma ISO 20000
(MÁS DE LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)
•Planes de continuidad de Negocio BS 25999
•Sistemas de gestión para Protección de Infraestructuras Críticas
•Calidad de Software, CMMI, SPICE
•Sistemas de protección de datos de carácter personal (LOPD)
•Esquema Nacional de Seguridad (ENS)
Desarrollo de proyectos de I + D + i
Desarrollo de productos para esos servicios: GlobalSUITE
Introducción
Primera empresa en España en obtener:
•La certificación ISO 27001
•La certificación ISO 20000
•La certificación BS 25999 de continuidad de negocio
•Hemos empezado la implantación de SPICE.
SOLUCIONES DE ÉXITO EN LA IMPLANTACIÓN: GLOBAL SUITE
GlobalSUITE® Única herramienta que existe actualmente en el mercado mundial que
gestiona ÍNTEGRAMENTE la implantación y mantenimiento de cualquier tipo de sistema de
gestión
GlobalSUITE® permite gestionar de manera integrada o bien de manera separada cualquier
tipo de sistema de gestión
GlobalSUITE ® : Solución integrada de Gestión
Introducción
Introducción a ISO 22301
ISO 22301, el estándar internacional para la implantación de
sistemas de gestión de continuidad de negocio ha sido
publicado.
Introducción a ISO 22301
NOVEDADES/DIFERENCIAS respecto a BS 25999
• Nueva estructura de la norma.
• Cambios menores en el PDCA.
• Se eliminan siglas como el MTPD.
• Se da más importancia al análisis de riesgos -> Hace mención a ISO
31000, norma para Gestión del Riesgo.
• Se potencia la parte de recuperación de la tecnología.
Pero sobre todo, el hecho de tener un estándar internacional.
Situación actual
¿Cuál es el grado real de exigencia por parte de las organizaciones?,
¿podemos estar parados?
Situación actual
¿Cuál es la tendencia actual?, ¿qué están haciendo las organizaciones
para abordar correctamente sus planes de continuidad (BCP)?
Problemática. Dificultades. Soluciones.
Problemática.
Dificultades Habituales.
Soluciones.
Factores Críticos de Éxito en BCPs
¿Dónde nacen estos problemas?
•Alcances mal definidos.
•En la falta de alineación de los objetivos de negocio con los
objetivos de continuidad.
• En la falta de formación de los equipos de proyecto.
• En la falta de apoyo de la dirección no dotando de recursos
adecuados a los proyectos.
• En la mala gestión y planificación del proyecto, que lo hace
inabordable.
• En la no automatización de estos procesos.
GlobalCONTINUITY: Presentación
GlobalCONTINUITY es la
herramienta web que permite
cubrir el ciclo completo de análisis,
implantación, gestión, despliegue
y mantenimiento de la Norma ISO
22301.
Problemática. Dificultades. Soluciones.
INTERROGANTES HABITUALES
¿Estoy definiendo bien el alcance de mis planes de continuidad?
¿Cómo puedo hacer todos los BIAs que necesito en un tiempo
razonable?, ¿cómo consolido BIAs hechos por diferentes equipos?
¿Qué papel juega el análisis de riesgos dentro de mis BCPs?
¿Qué metodologías utilizo?
¿Cómo podría automatizar el despliegue del plan?, ¿cómo contacto
con todos los equipos de continuidad de forma rápida y sencilla?
PROBLEMA: Definir un alcance correcto
¿Todas las actividades deben estar dentro de un BCP?
Sólo aquellas que realmente sean críticas.
¿Cómo determinamos qué actividades son críticas?.
Con un BIA un nivel por encima del BIA habitual. Un PRE-BIA.
PRE-BIA -> se hace a los servicios externos que prestamos a los clientes.
BIA -> se hace a los procesos internos que dan soporte a los servicios.
PROBLEMA: Definir un alcance correcto
Delimitar actividades críticas
Beneficios de hacer un PRE-BIA:
• Se hace un análisis de impacto en el negocio sobre todas las
actividades de la organización, pudiendo descubrir actividades
críticas que a priori no lo parecían.
• Vamos a tener la certeza de que los planes de continuidad están
realmente sobre las actividades principales del negocio, asegurando
así la continuidad de la organización.
• Se implica a más áreas de la organización, no sólo a los
responsables de continuidad.
PRE-BIA y Análisis de Impacto en el Negocio
Si ya he hecho el PRE-BIA, ¿tengo que hacer luego el BIA habitual?
Si. El PRE-BIA podríamos considerarlo también como un “BIA de negocio”,
ya que no se centra en los procesos de la organización, si no en las
actividades, para saber cuales son críticas.
Será sobre esos procesos de soporte sobre los que haremos el posterior
BIA.
PRE-BIA y Análisis de Impacto en el Negocio
La secuencia sería la siguiente:
Identificar todas las actividades de
negocio
PRE-BIA para ver las más críticas
Identificar procesos de soporte a esas
actividades
Modelar dependencias entre
actividades y procesos
Análisis de Riesgos
BIA a los procesos de soporte a los
servicios
MTPDs, RTOs y RPOs
Estrategias y opciones
Desarrollo
Cuadro de mando
Pruebas
Mantenimiento
PROBLEMA: hacer y consolidar múltiples BIAs
Realización de múltiples BIAs
• Necesidad de realizar un alto número de BIAs: por cada
departamento, cada área, cada servicio, cada sede, cada país,
etc -> se convierte en un proyecto en sí mismo.
• Riesgos del “proyecto”:
Desvíos en recursos, costes y plazo.
No consecución de algunos BIAs.
Datos erróneos en algunos BIAs.
Etc.
PROBLEMA: hacer y consolidar múltiples BIAs
Consolidación de PRE-BIA y BIA
• En entornos complejos se hace necesario que el PRE-BIA/BIA sea
realizado por varias personas y por varias áreas de la organización,
incluso en sedes o países diferentes -> surge la necesidad de
elaborar varios BIAs que luego deben derivar en un BIA
“consolidado” para cada actividad crítica.
• Se deben definir criterios para consolidar esos BIAs.
PROBLEMA: el análisis de riesgos, ¿dónde ,cuándo y cómo?
¿Cuándo hacer el análisis de riesgos?, ¿antes o después del BIA?, ¿cómo
se relaciona con los planes de continuidad de negocio?.
BIA
AGR
Desarrollo planes
AGR
BIA
Desarrollo planes
Factores Críticos de Éxito en BCPs y DRs
¿Exigen los estándares hacer una fase antes que otra?
No, aunque el BIA siempre se menciona antes que el AGR.
En la práctica deben ser procesos paralelos e interconectados. La propia
UNE 71599 nos dice:
“La organización debe entender el impacto que podría producirse se
una amenaza identificada se convirtiera en un incidente y causara una
interrupción en el negocio”.
Se mezclan conceptos del BIA y del AGR.
Factores Críticos de Éxito en BCPs y DRs
¿Cómo relacionar BIA con AGR?
Podemos alimentar el BIA con escenarios de desastre basados en
resultados del AGR y con las valoraciones de impacto de cada riesgo.
En el AGR podemos valorar el impacto que tiene un incidente usando
criterios que hayamos usado previamente en el BIA.
LA RELACIÓN ESTÁN EN LA VARIABLE IMPACTO, común en los dos
procesos, uno con enfoque de riesgos y otro con enfoque de
continuidad.
Factores Críticos de Éxito en BCPs y DRs
RECOMENDACIÓN
BIA
Impacto
AGR
MÁS PROBLEMÁTICA: Mantenimiento diario
Para que un BCP tenga éxito debe mantenerse actualizado al mismo
nivel que la infraestructura sobre la que debe desplegarse.
El principal problema viene por los entorno cambiantes sobre todo en
tecnología.
¿Soluciones?
• Automatización de los planes.
• Tenerlos dentro de los procesos de gestión de cambios de la
infraestructura TI y del resto de elementos a los que da soporte.
• Auditorías periódicas.
MÁS PROBLEMÁTICA: Metodologías a usar
No se exige ninguna metodología, ni por parte del mercado ni por parte
de los estándares.
Entonces…¿qué metodologías utilizar?
Soluciones
• Pensar en la naturaleza de nuestro negocio: algunas metodologías
están más orientadas a sectores de actividad concretos o criticidad
de las actividades desarrolladas.
• Adaptarlas a la forma de trabajar para evitar la resistencia al
cambio.
• Comenzar con metodologías sencillas.
MÁS PROBLEMÁTICA: Despliegue de los planes
Aún cuando todos los problemas anteriores ya han sido resueltos siempre
queda uno:
Ante la ocurrencia de un desastre…¿cómo pongo en marcha el plan de
manera óptima?
• Suele haber muchas áreas y personas implicadas.
• Dispersión geográfica.
• Teléfonos que ya no existen.
• Servidores de correo caídos.
• El personal no está disponible.
• Etc.
SOLUCIONES
Todos y cada uno de los problemas presentados se resuelven con
GlobalContinuity.
Y además…
BCPs y SCORECARD
PLANES DE CONTINUIDAD
&
CUADROS DE MANDO INTEGRALES
BCPs y SCORECARD
MÉTRICAS
INDICADORES
CSF
OBJETIVOS DE NEGOCIO
Obj. Cont.
Obj. Plan1
Indicador Cont.1
Indicador Cont.2
Obj. Plan2
Indicador Cont.3
MétricaA MétricaB
BCPs y SCORECARD
¿Por qué un BSC con un BCP?
• Plasmamos el funcionamiento de todo un plan de continuidad de
negocio en un cuadro de mando.
¿Qué conseguimos?
• Medir la eficacia y eficiencia del BCP.
• Mejorar el BCP.
• Tener una visión de negocio del BCP.
• Mayor control.
• Reporte a dirección.
BCPs y SCORECARD
¿Qué serían los objetivos de negocio de un BCP?
• Los objetivos que desde dirección han impulsado la creación y
puesta en marcha del BCP.
Ejemplo:
• La continuidad de las actividades críticas de la compañía.
• No incurrir en penalizaciones con clientes por interrupciones del
servicio.
• No ser noticia a causa de un desastre mal gestionado.
• No caer en incumplimientos legales motivados por la interrupción
de las actividades.
BCPs y SCORECARD
¿Qué serían los CSF / objetivos de específicos de un BCP?
• Los objetivos que cada plan de continuidad tiene (ya que suele
haber varios planes).
Ejemplo:
• No interrupción del proceso de soporte a usuarios.
• No interrupción del servicio de la MacroLAN entre sedes.
• Recuperación de una caída del servicio en menos de 1 hora.
• Reanudación de las actividades a niveles normales de operación
en menos de 72 horas tras un desastre que afecte al CPD de
comunicaciones.
BCPs y SCORECARD
¿Qué serían los indicadores y métricas?
• Indicadores técnicos que nos ayudan a determinar si vamos a ser
capaces de cumplir los CSFs anteriores.
• Las métricas serán indicadores simples y los indicadores serían la
composición de varias métricas a través de fórmulas.
Ejemplo:
• INDICADOR: tiempo de caída de la MACROLAN al MES.
• MÉTRICAS QUE LO COMPONEN:
• A: tiempo de caída al mes.
• B: tiempo total del mes.
BCPs y SCORECARD
Más beneficios de la integración de BCPs con BSCs
• Ayudan al mantenimiento diario del BCP, al tener monitorizadas
múltiples variables del sistema.
• Dirección es más consciente de la importancia del BCP al tener
integrados en su cuadro de mando objetivos de continuidad.
• Damos visibilidad al área de continuidad de negocio, y cómo sus
actividades ayudan a conseguir los objetivos de negocio.
CONCLUSIONES
Los planes de continuidad son mucho más que documentos técnicos, y
hay muchos enfoques a la hora de desarrollarlos.
Ideas a recordar:
La automatización de ciertas tareas es clave, si no los proyectos se
van en tiempo y coste.
Concepto de PRE-BIA.
AGR y BIA, el núcleo de los proyectos.
Automatizar el despliegue.
Mantenimiento diario.
Integración con cuadros de mando.
Más información
MADRID – BARCELONA – CIUDAD REAL – BOGOTÁ – MÉXICO D.F.
[email protected] 902 056 203 www.audisec.es
GRACIAS POR LA ATENCIÓN PRESTADA