Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio de acuerdo con...

Sistema de Gestión de Continuidaddel Negocio de Acuerdo con

BS25999 e ISO 22301

October 2011

Mario Ureña CuateCISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001

Agenda

• Introducción

• Elementos que componen el SGCN

• Gestión de incidentes en el SGCN

• Similitudes y diferencias entre BS 25999-2 e ISO/DIS 22301

• Factores críticos de éxito

• Conclusiones

Nota

• Al cierre de la preparación de esta presentación,el estándar ISO 22301 no ha sido publicado en suversión final, por lo que la información contenidaen esta presentación se refiere al documentoISO/DIS 22301.

• La publicación de ISO 22301 en su versión finalpudiera incluir cambios relevantes no incluídos enesta presentación.

Introducción

Introducción

An

guill

a

An

tigu

a an

d B

arb

ud

a

Arg

enti

na

Bah

amas

Bar

bad

os

Bel

ize

Ber

mu

da

Bo

livia

Bra

zil

Cay

man

Isla

nd

s

Ch

ile

Co

lom

bia

Co

sta

Ric

a

Cu

ba

Do

min

ica

Do

min

ican

Rep

Ecu

ado

r

El S

alva

do

r

Fren

ch G

uia

na

Gre

nad

a

Gu

adel

ou

pe

Gu

atem

ala

Gu

yan

a

Hai

ti

Ho

nd

ura

s

Jam

aica

Mar

tin

iqu

e

Mex

ico

Mo

nts

erra

t

Net

her

lan

ds

An

tille

s

Nic

arag

ua

No

rth

ern

Mar

ian

a Is

Pan

ama

Par

agu

ay

Per

u

Pu

erto

Ric

o

St K

itts

an

d N

evis

St L

uci

a

St V

ince

nt

and

Th

e G

ren

adin

es

Suri

nam

e

Trin

idad

an

d T

ob

ago

Turk

s an

d C

aico

s Is

Uru

guay

Ven

ezu

ela

Vir

gin

Is (

UK

)

Vir

gin

Is (

US)

Tota

l

Desastres complejos 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 2

Sequía 1 1 2 0 1 0 0 10 16 0 2 1 3 6 0 1 3 5 0 1 0 4 3 7 9 3 0 6 0 0 4 0 1 6 8 1 0 1 0 0 1 0 1 1 0 0 109

Terremoto (Actividad sísmica) 0 0 5 0 1 0 0 3 2 0 28 23 13 2 1 2 16 10 0 0 1 12 0 2 5 1 1 28 0 0 9 0 4 0 39 1 0 1 0 0 1 0 0 8 0 0 219

Epidemia 5 0 2 0 0 0 0 12 16 0 1 2 1 2 0 6 11 9 0 0 1 7 0 3 8 5 1 3 0 0 11 0 5 8 12 0 0 0 0 0 0 0 0 7 0 0 138

Temperatura extrema 0 0 8 0 0 1 0 4 8 0 6 0 0 0 0 0 0 1 0 0 0 2 0 0 0 0 0 16 0 0 0 0 0 3 8 0 0 0 0 0 0 0 4 0 0 0 61

Inundación 1 0 46 1 2 4 0 35 110 0 26 65 25 21 0 20 27 14 1 1 1 19 6 44 28 13 0 57 0 0 16 0 31 15 40 6 1 1 5 3 2 0 12 25 0 0 724

Accidente industrial 0 0 3 0 0 0 0 3 13 0 3 13 1 2 0 0 5 2 0 0 0 1 1 1 2 2 0 35 0 0 2 0 0 0 4 2 0 0 0 0 1 0 0 5 0 0 101

Infestación por insectos 0 0 0 0 0 0 0 0 1 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 3

Movimiento de masas secas 0 0 0 0 0 0 0 0 0 0 0 3 0 0 0 0 1 0 0 0 0 2 0 0 1 1 0 0 0 0 0 0 0 0 2 0 0 0 0 0 0 0 0 0 0 0 10

Movimiento de masas humedas 0 0 3 0 0 0 0 6 23 0 4 38 1 0 0 0 11 2 0 0 0 7 1 2 1 1 0 12 0 0 1 0 0 0 31 2 0 1 0 0 1 0 0 4 0 0 152

Accidentes miscelaneos 0 0 6 0 1 1 0 0 23 0 6 10 2 1 0 2 4 4 0 1 0 5 4 13 5 1 0 15 0 0 2 0 6 1 10 2 0 0 0 0 2 0 1 7 0 0 135

Tormenta 6 11 17 20 7 14 6 2 17 7 13 7 9 38 12 26 0 14 0 6 12 11 0 35 21 28 13 79 4 4 20 1 4 4 3 16 8 14 9 0 7 6 6 4 2 6 549

Accidente de transporte 1 0 23 3 0 1 2 31 103 0 12 50 2 21 1 12 23 6 0 0 2 26 0 30 9 1 0 78 0 1 3 0 8 2 116 7 0 0 0 3 0 2 5 30 0 0 614

Actividad volcánica 0 0 2 0 0 0 0 0 0 0 7 11 6 0 0 0 11 1 0 0 1 12 0 0 0 0 1 10 4 0 5 0 0 0 2 0 0 0 3 0 1 0 0 0 0 0 77

Incendios forestales 0 0 5 0 0 0 0 4 3 0 7 3 2 2 0 3 2 0 0 0 0 2 0 0 1 0 0 3 0 0 3 0 1 1 1 0 0 0 0 0 0 0 0 0 0 0 43

Total 14 12 122 24 12 21 8 110 335 7 115 227 65 95 14 72 114 68 1 9 18 110 15 137 90 56 16 342 8 5 77 1 61 40 277 37 9 18 17 6 16 8 29 91 2 6

Source: "EM-DAT: The OFDA/CRED International Disaster Database

www.emdat.be - Université Catholique de Louvain - Brussels - Belgium"

Introducción

Source: "EM-DAT: The OFDA/CRED International Disaster Database

www.emdat.be - Université Catholique de Louvain - Brussels - Belgium"

Arg

enti

na

Bel

ize

Bo

livia

Bra

zil

Ch

ile

Co

lom

bia

Co

sta

Ric

a

Cu

ba

Do

min

ican

Rep

Ecu

ado

r

El S

alva

do

r

Gu

atem

ala

Hai

ti

Ho

nd

ura

s

Jam

aica

Mex

ico

Nic

arag

ua

Pan

ama

Par

agu

ay

Per

u

Pu

erto

Ric

o

Trin

idad

an

d T

ob

ago

Uru

guay

Ven

ezu

ela

Desastres complejos 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 0 0 0 0 0 0

Sequía 2 0 10 16 2 1 3 6 1 3 5 4 7 9 3 6 4 1 6 8 1 1 1 1

Terremoto (Actividad sísmica) 5 0 3 2 28 23 13 2 2 16 10 12 2 5 1 28 9 4 0 39 1 1 0 8

Epidemia 2 0 12 16 1 2 1 2 6 11 9 7 3 8 5 3 11 5 8 12 0 0 0 7

Temperatura extrema 8 1 4 8 6 0 0 0 0 0 1 2 0 0 0 16 0 0 3 8 0 0 4 0

Inundación 46 4 35 110 26 65 25 21 20 27 14 19 44 28 13 57 16 31 15 40 6 2 12 25

Accidente industrial 3 0 3 13 3 13 1 2 0 5 2 1 1 2 2 35 2 0 0 4 2 1 0 5

Infestación por insectos 0 0 0 1 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0

Movimiento de masas secas 0 0 0 0 0 3 0 0 0 1 0 2 0 1 1 0 0 0 0 2 0 0 0 0

Movimiento de masas humedas 3 0 6 23 4 38 1 0 0 11 2 7 2 1 1 12 1 0 0 31 2 1 0 4

Accidentes miscelaneos 6 1 0 23 6 10 2 1 2 4 4 5 13 5 1 15 2 6 1 10 2 2 1 7

Tormenta 17 14 2 17 13 7 9 38 26 0 14 11 35 21 28 79 20 4 4 3 16 7 6 4

Accidente de transporte 23 1 31 103 12 50 2 21 12 23 6 26 30 9 1 78 3 8 2 116 7 0 5 30

Actividad volcánica 2 0 0 0 7 11 6 0 0 11 1 12 0 0 0 10 5 0 0 2 0 1 0 0

Incendios forestales 5 0 4 3 7 3 2 2 3 2 0 2 0 1 0 3 3 1 1 1 0 0 0 0

Total 122 21 110 335 115 227 65 95 72 114 68 110 137 90 56 342 77 61 40 277 37 16 29 91

Introducción

Opciones de Tratamiento de Riesgos

Aceptar / Retener

Transferir / Compartir

Terminar / Evitar

Reducir* / Mitigar

Introducción

Opciones de Tratamiento de Riesgos

(Reducir*)

Reducir la posibilidad

Reducir el tiempo de interrupción

Reducir el impacto de una interrupción

Introducción

No es opción: Amplificar

Introducción

No es opción: Simular

Introducción

No es opción: Desatender

Introducción

No es opción: Ignorar

Introducción

No es opción: Confiar

Introducción

No es opción: Aparentar

Introducción

No es opción: Disimular

Introducción

• Ejemplos de incidentes que pueden afectar lacontinuidad del negocio:

– Percepción negativa del público hacia la organización

– Problema con productos y servicios

– Problema financiero

– Problema de relaciones con empleados

– Evento internacional adverso

– Violencia en el lugar de trabajo

– Pérdida de personal

– Desastre natural

Introducción• Evento Internacional Adverso

• El 31 de diciembre de 1986 ocurrió un incendio en el hotelDupont Plaza en San Juan, Puerto Rico teniendo comoresultado 97 muertos y 140 lesionados. El fuego fue iniciadopor un empleado inconforme.

2,300 demandantes.

Drexel Heritage Furnishingfue encontrada “no

responsable” por el jurado en 1989.

Introducción

• Eventos que en ocasiones no son consideradas,causadas por:

– Un proveedor

– Un prueba / ejercicio

– Acciones de los empleados

– Acciones del departamento de Recursos Humanos

– Acciones de los medios

– Situación de espionaje industrial

– Muerte precipitada de funcionarios

Introducción• Proveedores

• En 1993 Play-Doh Co inhabilitó a 80 empleados debido a queuno de sus proveedores en Illinois era incapaz de proveerharina que se utiliza para la fabricación de masa para modelar.

El proveedor fue afectado por la “gran inundación del ’93”.

Los trabajadores fueron llamados cuando se encontró

un nuevo proveedor.

Introducción• Pruebas / ejercicios mal ejecutados

• En 1992 el Federal Reserve Bank de San Francisco realizó unaprueba de su plan de recuperación ante desastres. Comoresultado de las actividades realizadas durante la prueba, unmainframe dejó de operar durante 12 horas, afectando ausuarios en California y Arizona.

15 instituciones bancarias fueron afectadas.

El banco atribuye el hecho a un error humano.

Introducción• Pruebas / ejercicios mal ejecutados

• En 1996 cinco hombres “enmascarados” ingresaron a la salade emergencia del Memorial Hospital en Martinsville,Virginia, apuntando sus armas al personal y demandandomedicamentos. La prueba fue preparada por el staff deseguridad del hospital.

“No creo que cualquiera pueda apuntar un arma en la cabeza de una

persona y se salga con la suya…”

Abogado representante de 3 enfermeras.

Introducción – Evolución

• Plan de Contingencias (CP)• Plan de Recuperación de Desastres (DRP)• Plan de Continuidad de las Operaciones (COOP)• Plan de Continuidad del Negocio (BCP)• Plan de Reanudación del Negocio (BRP)• Gestión de la Continuidad del Negocio (BCM)• Programa de Gestión de la Continuidad del Negocio (BCMP)• Sistema de Gestión de Continuidad del Negocio (BCMS)• Sistema de Gestión de Preparación y Continuidad (PCMS) ?

Introducción – Retos

• No contar con una estrategia de continuidad

• Falta de apoyo de la dirección

• Inexistencia de análisis de riesgos y de impacto al negocio

• Falta de integración entre planes

• Complejidad Tecnológica

• Planes no actualizados

• No se realizan pruebas, auditoría, revisiones gerenciales

• Planes demasiado generales o demasiado específicos

Introducción

Introducción

Fuente: http://www.fema.gov/privatesector/preparedness/adoption_standards.shtm

Introducción

Introducción

PAS56

BS25999-1

BS25999-2

BCMS

Sistema de Gestión de

Continuidad del Negocio

Buenas prácticas BCM

Introducción

Gestión de Continuidad el Negocio

(BCM)

Vs

Sistema de Gestión de Continuidad

del Negocio (BCMS)

Introducción - Definiciones

• BCM

Proceso de gestión holístico que identifica amenazaspotenciales a la organización y sus impactos a la

operación del negocio que esas amenazas, en caso realizarse, pudieran causar, y provee una estructura

para construir resiliencia organizacional con la capacidad para la efectiva respuesta salvaguardando

los intereses de las principales partes interesadas, reputación, marca y actividades que crean valor.

BS 25999-2:2007

Introducción - Definiciones

• BCMS

La parte del Sistema de Gestión general que establece, implementa, opera, monitorea,

revisa, mantiene y mejora la continuidad del negocio.

BS 25999-2:2007

Introducción – BS25999

PARTE 1 PARTE 2

Elementos que componen el SGCN

Parte 2Requisitos de Sistemas de

Gestión (auditoría, acción

correctiva y preventiva, etc)

Parte 1Prácticas no auditables (sugerencias,

comentarios, guías, etc)

Requisitos Comunes


• Parte 1 – Ciclo de Vida de BCM

• Parte 2 – BCMS basado en modelo P-D-C-A

Planear – Hacer – Verificar - Actuar


Ciclo de Vida de BCM

BCMS

Elementos del Ciclo de Vida de BCM

Elementos del BCMS

Requerimientos de documentación de BS 25999-2

• Alcance, objetivos y procedimientos

• Política de GCN

• Provisión de recursos

• Competencia del personal de GCN

• Análisis de Impacto al Negocio

• Evaluación de riesgos

• Estrategia de Continuidad del Negocio

• Estructura de respuesta a incidentes


• Plan(es) de continuidad del negocio

• Plan(es) de gestión de incidentes

• Ejercicio de GCN

• Mantenimiento y revisión de arreglos de GCN

• Auditoría interna

• Revisión de la gerencia del SGCN

• Acciones correctivas y preventivas

• Mejora continua


¿Y el manual del SGCN?

Elementos de IRBC

Definición

• IRBC – ICT Readiness for Business Continuity

(ICT – Information and Comunication Technology)

Capacidad de una organización para soportar sus operaciones a través de la prevención, detección y respuesta a la interrupción y recuperación de

servicios de ICT.

ISO 27031:2011

Elementos de IRBC

Elementos de PCMS

Gestión de Incidentes y el SGCN

• Plan de Gestión de Incidentes

Plan de acción claramente definido y documentado para ser utilizado cuando ocurre un incidente, típicamente cubre al personal clave, recursos,

servicios y acciones necesarias para implementar el proceso de gestión de incidentes.

BS 25999-2:2007

t0 MTPoDRPO t2 t3 RTO t4t1

Operación normal Recuperación Operación en continuidad

t5

Operación normal

Plan de Continuidad del Negocio

Plan de Gestión de Incidentes

Regreso

Nivel de operación normal Nivel de operación normal

Nivel de operación en crisis

Nota: Esta información no es un requisito de BS25999

Gestión de Incidentes y el SGCN

Similitudes y diferencias entre BS 25999-2 e ISO22301

BS 25999-2 ISO DIS 22301

1 - Alcance 1 - Alcance

2 - Términos y definiciones 2 - Referencias normativas

3 - Planear el SGCN 3 - Términos y definiciones

4 - Implementar y operar el SGCN 4 - Requerimientos generales

5 - Monitorear y revisar el SGCN 5 - Liderazgo

6 - Mantener y mejorar el SGCN 6 - Planeación

7 - Soporte

8 - Operación

9 - Evaluación del desempeño

10 - Mejora


BS 25999-2 ISO DIS 22301

Cláusula Descripción Cláusula Descripción

Introducción Introducción

1 Alcance 1 Alcance

2 Referencias normativas

2 Términos y definiciones 3 Términos y definiciones


BS 25999-2 ISO DIS 22301


3 Planeación del SGCN 6 Planeación

3.1 General

3.2 Establecer y gestionar el SGCN

3.2.1 Alcance y objetivos 6.1 Objetivos y planes para alcanzarlos

6.2Acciones para atender problemas y preocupaciones

4 Requerimientos generales

4.1Entendimiento de la organización y su contexto

3.2.1.1 Alcance y objetivos 4.3 Sistema de Gestión y Alcance

3.2.1.2 Productos y servicios clave 4.2 Necesidades y requerimientos

3.2.2 Política de GCN 5.3 Política

BS 25999-2 ISO DIS 22301


3.2.3 Provisión de recursos 7.1 Recursos

3.2.3.1 Recursos generales

3.2.3.2Roles, responsabilidades, competencias y autoridades de GCN

5.4Roles, responsabilidades y autoridades organizacionales

7.2 Competencia

3.2.3.3 Designación del responsable5.4

Roles, responsabilidades y autoridades organizacionales

7.2 Competencia

3.3Integrar GCN en la cultura de la organización

7.3 Concientización

3.4Documentación y registros del SGCN

7.5 Información documentada

7.5.1 General

7.5.2 Crear y actualizar

7.5.3Control de información documentada


BS 25999-2 ISO DIS 22301


4 Implementar y operar el SGCN

8 Operación

8.1 General

8.2Planeación y control operacional

4.1 Entender a la organización 8.3 Preparación

8.4 Planeación

8.4.3Análisis de Impacto al Negocio y Evaluación de Riesgos

4.1.1 Análisis de Impacto al Negocio 8.4.3.3 Análisis de Impacto al Negocio

4.1.2 Evaluación de riesgos 8.4.3.4 Evaluación de riesgos

8.4.4Opciones de continuidad del negocio

4.1.3 Determinar opciones8.4.4.1

Determinación y selección de opciones

8.4.4.3 Protección y mitigación

4.2Determinar estrategia de continuidad del negocio

8.4.4.2Establecer requerimientos de recursos

BS 25999-2 ISO DIS 22301


4.3Desarrollar e implementar la GCN

7.4 Comunicación

7.4.1 Comunicación externa

7.4.2 Comunicación interna

8.5 Ejecución

4.3.1 General 8.5.1Desarrollar e implementar una respuesta de continuidad del negocio

4.3.24.3.3

Estructura de respuesta a incidentesPlanes de continuidad del negocio y gestión de incidentes

8.5.2 Estructura de respuesta

8.5.3 Alerta y comunicación

8.5.4 Respuesta

8.5.5Planes de continuidad el negocio

8.5.6Requerimientos de procedimientos de respuesta

8.5.7Contenido del procedimiento de respuesta

8.5.8 Recuperación

8.5.9 Comunicación y consulta

4.4Ejercitar. Mantener y revisar los arreglos de BCM

8.6.1 Ejercicios y pruebas

BS 25999-2 ISO DIS 22301


5 Monitorear y revisar el SGCN

9 Evaluación del desempeño

8.7 Revisión

8.6.2 Monitoreo del desempeño

8.7.2Evaluación de procedimientos de continuidad

9.1 Evaluación del desempeño

5.1 Auditoría interna 9.2 Auditoría interna

5.2Revisión de la gerencia del SGCN

8.7.1 Revisión de la gerencia

9.3 Revisión de la gerencia



BS 25999-2 ISO DIS 22301


6 Mantener y mejorar el SGCN 10 Mejora

6.1 Acciones preventivas y correctivas

6.1.1 General

6.1.2 Acción preventiva

6.1.3 Acción correctiva 10.1 No conformidad y acción correctiva

6.2 Mejora continua 10.2 Mejora continua

Estatus de ISO 22301

Fuente: www.iso.org

Factores críticos de éxito

• Asegurar el apoyo de la dirección

• BCM requiere recursos permanentes ( $)

• Roles y responsabilidades claramente establecidos

• Programa de concientización adecuado

• Documentación suficientemente detallada

• Programa de ejercicios y pruebas

• Promover la participación de toda la organización

• Procedimiento de control de cambios efectivo

• Auditoría, revisión de la gerencia y mejora continua

Conclusiones

Preguntas y respuestas¡Gracias!

Mario Ureña CuateCISA, CISM, CGEIT, CISSPISO27001LA, BS25999LA

Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio de acuerdo con...

Business

Transcript of Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio de acuerdo con...