GlobalContinuity: Solución de Gestión a

los Planes de Continuidad de Negocio

AUDISEC: QUIÉNES SOMOS

AUDISEC Seguridad de la Información, una empresa dedicada a aportar seguridad a sus clientes en

el tratamiento de su activo más importante, sus datos, su información.

Experiencia en Consultoría, Implantación y auditoría de:

• Sistemas de Gestión de Seguridad de la Información (SGSI) Norma ISO 27001

(LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)

•Sistemas de Gestión de Servicios TI Norma ISO 20000

(MÁS DE LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)

•Planes de continuidad de Negocio BS 25999

•Sistemas de gestión para Protección de Infraestructuras Críticas

•Calidad de Software, CMMI, SPICE

•Sistemas de protección de datos de carácter personal (LOPD)

•Esquema Nacional de Seguridad (ENS)

Desarrollo de proyectos de I + D + i

Desarrollo de productos para esos servicios: GlobalSUITE

Introducción

Primera empresa en España en obtener:

•La certificación ISO 27001

•La certificación ISO 20000

•La certificación BS 25999 de continuidad de negocio

•Hemos empezado la implantación de SPICE.

SOLUCIONES DE ÉXITO EN LA IMPLANTACIÓN: GLOBAL SUITE

GlobalSUITE® Única herramienta que existe actualmente en el mercado mundial que

gestiona ÍNTEGRAMENTE la implantación y mantenimiento de cualquier tipo de sistema de

gestión

GlobalSUITE® permite gestionar de manera integrada o bien de manera separada cualquier

tipo de sistema de gestión

GlobalSUITE ® : Solución integrada de Gestión

Introducción

Introducción a ISO 22301

ISO 22301, el estándar internacional para la implantación de

sistemas de gestión de continuidad de negocio ha sido

publicado.

Introducción a ISO 22301

NOVEDADES/DIFERENCIAS respecto a BS 25999

• Nueva estructura de la norma.

• Cambios menores en el PDCA.

• Se eliminan siglas como el MTPD.

• Se da más importancia al análisis de riesgos -> Hace mención a ISO

31000, norma para Gestión del Riesgo.

• Se potencia la parte de recuperación de la tecnología.

Pero sobre todo, el hecho de tener un estándar internacional.

Situación actual

¿Cuál es el grado real de exigencia por parte de las organizaciones?,

¿podemos estar parados?

Situación actual

¿Cuál es la tendencia actual?, ¿qué están haciendo las organizaciones

para abordar correctamente sus planes de continuidad (BCP)?

Problemática. Dificultades. Soluciones.

Problemática.

Dificultades Habituales.

Soluciones.

Factores Críticos de Éxito en BCPs

¿Dónde nacen estos problemas?

•Alcances mal definidos.

•En la falta de alineación de los objetivos de negocio con los

objetivos de continuidad.

• En la falta de formación de los equipos de proyecto.

• En la falta de apoyo de la dirección no dotando de recursos

adecuados a los proyectos.

• En la mala gestión y planificación del proyecto, que lo hace

inabordable.

• En la no automatización de estos procesos.

GlobalCONTINUITY: Presentación

GlobalCONTINUITY es la

herramienta web que permite

cubrir el ciclo completo de análisis,

implantación, gestión, despliegue

y mantenimiento de la Norma ISO

22301.

Problemática. Dificultades. Soluciones.

INTERROGANTES HABITUALES

¿Estoy definiendo bien el alcance de mis planes de continuidad?

¿Cómo puedo hacer todos los BIAs que necesito en un tiempo

razonable?, ¿cómo consolido BIAs hechos por diferentes equipos?

¿Qué papel juega el análisis de riesgos dentro de mis BCPs?

¿Qué metodologías utilizo?

¿Cómo podría automatizar el despliegue del plan?, ¿cómo contacto

con todos los equipos de continuidad de forma rápida y sencilla?

PROBLEMA: Definir un alcance correcto

¿Todas las actividades deben estar dentro de un BCP?

Sólo aquellas que realmente sean críticas.

¿Cómo determinamos qué actividades son críticas?.

Con un BIA un nivel por encima del BIA habitual. Un PRE-BIA.

PRE-BIA -> se hace a los servicios externos que prestamos a los clientes.

BIA -> se hace a los procesos internos que dan soporte a los servicios.

PROBLEMA: Definir un alcance correcto

Delimitar actividades críticas

Beneficios de hacer un PRE-BIA:

• Se hace un análisis de impacto en el negocio sobre todas las

actividades de la organización, pudiendo descubrir actividades

críticas que a priori no lo parecían.

• Vamos a tener la certeza de que los planes de continuidad están

realmente sobre las actividades principales del negocio, asegurando

así la continuidad de la organización.

• Se implica a más áreas de la organización, no sólo a los

responsables de continuidad.

PRE-BIA y Análisis de Impacto en el Negocio

Si ya he hecho el PRE-BIA, ¿tengo que hacer luego el BIA habitual?

Si. El PRE-BIA podríamos considerarlo también como un “BIA de negocio”,

ya que no se centra en los procesos de la organización, si no en las

actividades, para saber cuales son críticas.

Será sobre esos procesos de soporte sobre los que haremos el posterior

BIA.

PRE-BIA y Análisis de Impacto en el Negocio

La secuencia sería la siguiente:

Identificar todas las actividades de

negocio

PRE-BIA para ver las más críticas

Identificar procesos de soporte a esas

actividades

Modelar dependencias entre

actividades y procesos

Análisis de Riesgos

BIA a los procesos de soporte a los

servicios

MTPDs, RTOs y RPOs

Estrategias y opciones

Desarrollo

Cuadro de mando

Pruebas

Mantenimiento

PROBLEMA: hacer y consolidar múltiples BIAs

Realización de múltiples BIAs

• Necesidad de realizar un alto número de BIAs: por cada

departamento, cada área, cada servicio, cada sede, cada país,

etc -> se convierte en un proyecto en sí mismo.

• Riesgos del “proyecto”:

Desvíos en recursos, costes y plazo.

No consecución de algunos BIAs.

Datos erróneos en algunos BIAs.

Etc.

PROBLEMA: hacer y consolidar múltiples BIAs

Consolidación de PRE-BIA y BIA

• En entornos complejos se hace necesario que el PRE-BIA/BIA sea

realizado por varias personas y por varias áreas de la organización,

incluso en sedes o países diferentes -> surge la necesidad de

elaborar varios BIAs que luego deben derivar en un BIA

“consolidado” para cada actividad crítica.

• Se deben definir criterios para consolidar esos BIAs.

PROBLEMA: el análisis de riesgos, ¿dónde ,cuándo y cómo?

¿Cuándo hacer el análisis de riesgos?, ¿antes o después del BIA?, ¿cómo

se relaciona con los planes de continuidad de negocio?.

BIA

AGR

Desarrollo planes

AGR

BIA

Desarrollo planes

Factores Críticos de Éxito en BCPs y DRs

¿Exigen los estándares hacer una fase antes que otra?

No, aunque el BIA siempre se menciona antes que el AGR.

En la práctica deben ser procesos paralelos e interconectados. La propia

UNE 71599 nos dice:

“La organización debe entender el impacto que podría producirse se

una amenaza identificada se convirtiera en un incidente y causara una

interrupción en el negocio”.

Se mezclan conceptos del BIA y del AGR.

Factores Críticos de Éxito en BCPs y DRs

¿Cómo relacionar BIA con AGR?

Podemos alimentar el BIA con escenarios de desastre basados en

resultados del AGR y con las valoraciones de impacto de cada riesgo.

En el AGR podemos valorar el impacto que tiene un incidente usando

criterios que hayamos usado previamente en el BIA.

LA RELACIÓN ESTÁN EN LA VARIABLE IMPACTO, común en los dos

procesos, uno con enfoque de riesgos y otro con enfoque de

continuidad.

Factores Críticos de Éxito en BCPs y DRs

RECOMENDACIÓN

BIA

Impacto

AGR

MÁS PROBLEMÁTICA: Mantenimiento diario

Para que un BCP tenga éxito debe mantenerse actualizado al mismo

nivel que la infraestructura sobre la que debe desplegarse.

El principal problema viene por los entorno cambiantes sobre todo en

tecnología.

¿Soluciones?

• Automatización de los planes.

• Tenerlos dentro de los procesos de gestión de cambios de la

infraestructura TI y del resto de elementos a los que da soporte.

• Auditorías periódicas.

MÁS PROBLEMÁTICA: Metodologías a usar

No se exige ninguna metodología, ni por parte del mercado ni por parte

de los estándares.

Entonces…¿qué metodologías utilizar?

Soluciones

• Pensar en la naturaleza de nuestro negocio: algunas metodologías

están más orientadas a sectores de actividad concretos o criticidad

de las actividades desarrolladas.

• Adaptarlas a la forma de trabajar para evitar la resistencia al

cambio.

• Comenzar con metodologías sencillas.

MÁS PROBLEMÁTICA: Despliegue de los planes

Aún cuando todos los problemas anteriores ya han sido resueltos siempre

queda uno:

Ante la ocurrencia de un desastre…¿cómo pongo en marcha el plan de

manera óptima?

• Suele haber muchas áreas y personas implicadas.

• Dispersión geográfica.

• Teléfonos que ya no existen.

• Servidores de correo caídos.

• El personal no está disponible.

• Etc.

SOLUCIONES

Todos y cada uno de los problemas presentados se resuelven con

GlobalContinuity.

Y además…

BCPs y SCORECARD

PLANES DE CONTINUIDAD

&

CUADROS DE MANDO INTEGRALES

BCPs y SCORECARD

MÉTRICAS

INDICADORES

CSF

OBJETIVOS DE NEGOCIO

Obj. Cont.

Obj. Plan1

Indicador Cont.1

Indicador Cont.2

Obj. Plan2

Indicador Cont.3

MétricaA MétricaB

BCPs y SCORECARD

¿Por qué un BSC con un BCP?

• Plasmamos el funcionamiento de todo un plan de continuidad de

negocio en un cuadro de mando.

¿Qué conseguimos?

• Medir la eficacia y eficiencia del BCP.

• Mejorar el BCP.

• Tener una visión de negocio del BCP.

• Mayor control.

• Reporte a dirección.

BCPs y SCORECARD

¿Qué serían los objetivos de negocio de un BCP?

• Los objetivos que desde dirección han impulsado la creación y

puesta en marcha del BCP.

Ejemplo:

• La continuidad de las actividades críticas de la compañía.

• No incurrir en penalizaciones con clientes por interrupciones del

servicio.

• No ser noticia a causa de un desastre mal gestionado.

• No caer en incumplimientos legales motivados por la interrupción

de las actividades.

BCPs y SCORECARD

¿Qué serían los CSF / objetivos de específicos de un BCP?

• Los objetivos que cada plan de continuidad tiene (ya que suele

haber varios planes).

Ejemplo:

• No interrupción del proceso de soporte a usuarios.

• No interrupción del servicio de la MacroLAN entre sedes.

• Recuperación de una caída del servicio en menos de 1 hora.

• Reanudación de las actividades a niveles normales de operación

en menos de 72 horas tras un desastre que afecte al CPD de

comunicaciones.

BCPs y SCORECARD

¿Qué serían los indicadores y métricas?

• Indicadores técnicos que nos ayudan a determinar si vamos a ser

capaces de cumplir los CSFs anteriores.

• Las métricas serán indicadores simples y los indicadores serían la

composición de varias métricas a través de fórmulas.

Ejemplo:

• INDICADOR: tiempo de caída de la MACROLAN al MES.

• MÉTRICAS QUE LO COMPONEN:

• A: tiempo de caída al mes.

• B: tiempo total del mes.

BCPs y SCORECARD

Más beneficios de la integración de BCPs con BSCs

• Ayudan al mantenimiento diario del BCP, al tener monitorizadas

múltiples variables del sistema.

• Dirección es más consciente de la importancia del BCP al tener

integrados en su cuadro de mando objetivos de continuidad.

• Damos visibilidad al área de continuidad de negocio, y cómo sus

actividades ayudan a conseguir los objetivos de negocio.

CONCLUSIONES

Los planes de continuidad son mucho más que documentos técnicos, y

hay muchos enfoques a la hora de desarrollarlos.

Ideas a recordar:

La automatización de ciertas tareas es clave, si no los proyectos se

van en tiempo y coste.

Concepto de PRE-BIA.

AGR y BIA, el núcleo de los proyectos.

Automatizar el despliegue.

Mantenimiento diario.

Integración con cuadros de mando.

Más información

MADRID – BARCELONA – CIUDAD REAL – BOGOTÁ – MÉXICO D.F.

info@audisec.es 902 056 203 www.audisec.es

GRACIAS POR LA ATENCIÓN PRESTADA