Presentación IRBC basado en ISO 27031:2011 e ISO

22301:2012

ICT readiness for business continuity.

Sisteseg Consulting

INTRODUCCIÓN

IRBC

■ Capacidad de una entidad para soportar sus operaciones denegocio mediante la prevención, detección y respuesta a unainterrupción así como la recuperación de sus servicios deICTTIC

■ ICT: Information and communication technology.

■ TIC: Tecnologías de información y comunicaciones.■ IRBC: ICT readiness for business continuity.

Inundaciones

Fuente: RCN Noticias

Mapa sísmico Bogotá

Fuente: INGEOMINAS

Falla de potencia

Fuente: Siemens

Algunos comentarios…

– …Nosotros somos inmunes a desastres

– …Eso nunca pasará aquí– …Nosotros tenemos una póliza de

seguros, eso es suficiente– …Nosotros nunca hemos tenido

problemas antes– Somos ISO 9001– Mi negocio es vender, no analizar

riesgos– Contamos con sistemas de alta

disponibilidad– El otro año….

Estadísticas

Fuente:Horizon Scan Report 2016

ObjetivosProcedimientos

para interrupciones

Identificar sistemas críticos

Tiempos de recuperación

Funcionalidad mínima

Sensibilización

Pruebas

La organización

Recursos

Falla en recursos

Integración IRBC y BCM

Planes adicionales (Business Continuity Management)

BCM

Plan de Recuperación

ante Desastres

Plan de comunicación

de crisis

Plan de evacuación por edificio

Respuestas aciber-

incidentes

Planes de contingencia

Nivel de madurez

Leadership VL L M H H HBC Awareness

BC Program StructureProgram Pervasiveness

MetricsResource Commitment

External Coordination

VL L L M H HVL L L M H H

VL L L M H HVL L M H H HVL L M M H HVL L L L M H

Corporate Competencies General Attributes of an Organization at Each Maturity Level

BC Program Content VL L M H H H

Maturity Model LevelsLevel 1

Self-GovernedLevel 6Synergistic

Level 5PlannedGrowth

Level 4EnterpriseAwakening

Level 3CentrallyGoverned

Level 2Supported

Self-Governed

Athlete AnalogyComparative Model

Able to Crawl Competitive Runner Olympic Runner“Fit” Runner”Able to RunAble to Walk

Organization “At Risk” “Competent” Performer “Best of Breed”

Increasing Business Continuity Competency Maturity

Fuente:BCI

Principios y elementos del IRBC

Principios del IRBC ISO 27031:2011

Prevención Detección Respuesta

Recuperación Mejora

Elementos del IRBC

Tecnologías Facilidades Personas

Información Procesos Proveedores

Ciclo PHVA del IRBC

Principios del IRBC (Mintic)

Fuente: MinTic

Análisis de impacto al negocio BIA (Business Impact Analysis)

Tipos de BIA

Tipos de BIA Definición

BIA Estratégico

Identifica y prioriza los productos y servicios másurgentes y determina los tiempos de recuperación y elimpacto a la disrupción desde un punto de vistaestratégico.

BIA tácticoSe determinan los procesos requeridos para la entregade los productos y servicios críticos y se analizan losimpactos por interrupciones.

BIA operacionalSe identifican y se priorizan las actividades en losprocesos determinados como críticos y se determinanlos recursos requeridos.

Actividades BIA según ISO 22317

■ Lograr el entendimiento de la organización, sus productos, procesos yservicios críticos

■ Identificar las actividades que soportan los productos y servicioscríticos

■ Evaluar el impacto sobre el tiempo de no ofrecer los productos,procesos y servicios críticos

■ Definir los tiempos de recuperación de estas actividades■ Identificar dependencias y recursos, incluyendo proveedores, socios

de negocio y partes interesadas

Tiempos de recuperación

RPO RTORecuperación del Sistema WRT

MTPD

Operación normal

Operación normal

Ultimo Back up

Caída del sistema

Recuperación

Recuperación de información, pruebas y verificaciones

Disrupción

Definición de requerimientos de continuidad

Falla Internet

Fallas en la BD

Ausencia de personal Perdida de

rendimiento del servidor

crítico

Falla en proveedores

Escenarios de riesgo

Definición de estrategias para el IRBC

Datacenter alterno o sitio en la nube

Plan de Recuperación de Desastres DRP

DRP

■ El Plan de recuperación ante Desastres tiene como finalidad proteger la plataformatecnológica y restaurar la operación de los sistemas de información, aplicaciones ybases de datos que soportan los procesos misionales.

Escenarios de Desastres

■ Incendio

■ Sismo

■ Atentados terroristas

■ Artefactos explosivos

■ Robos

■ Ausencia de suministro eléctrico prolongado

■ Ataques cibernéticos

Árbol de llamadas

■ En caso de presentarse un desastre que active el DRP, y teniendo en cuenta que lascomunicaciones son fundamentales en la mitigación del impacto, el Líder IRBC tiene bajo suresponsabilidad contactar a los funcionarios designados como parte de los equipos.

■ A través de los medios de comunicación disponibles.

■ Datos de contacto.

Notificación, evaluación y activación del DRP (Plan de Respuesta TIC y Recuperación)

Inicio Declaración de emergencia

Compras y adquisiciones

Configuración sitio en la

nube

Puesta en marcha sitio en la nube

Pruebas Puesta en producción Restauración

Operación normalizada

Cierre del Evento

Manejo de Crisis

■ Con el fin de manejar la crisis al activar el DRP, se deben realizar actividades para mitigar laafectación de la imagen, reputación y operación.

■ Informe a Dirección general

■ Incidente y diagnostico

■ Tiempo estimado de solución

■ Informar periódicamente, de forma exacta y veraz

■ Interesados internos y externos

■ Monitoreo permanente y actualización

Pruebas, Mantenimiento de la Guía DRP y Revisión

■ El objetivo de los escenarios de pruebas es asegurar la viabilidad de las soluciones descritas ysu puesta en marcha ante la crisis

■ Escritorio, parciales y totales, mínimo una vez al año

■ El DRP debe ser revisado dos veces al año con los líderes y una vez al año con directivos.Actualizado mínimo una vez al año.

■ Capacitación 1 vez al año

Resiliencia

Resiliencia

Continuidad de Negocio

Alta Disponibilidad

Infraestructura resistente a fallos para el servicio

continuo de aplicaciones

Operación Continua

Backups no disruptivos y ventanas de

mantenimiento mínimas, asegurando

disponibilidad continua de aplicaciones

Recuperación ante Desastres

Protección contra eventos no

planificados de forma fiable y predictiva

Beneficios del IRBC

BeneficiosConfiabilidad

Mejor clima organizacional

Disminución de costo en pólizas

Cumplimiento de regulaciones

Gobierno del riesgo

Permanencia de la entidad

Procesos más seguros

Conclusiones

Conclusiones

■ El IRBC debe ser parte de la estrategia integral del BCM■ La gestión de riesgos debe complementar el IRBC■ La seguridad de la información se complementa con el IRBC■ El IRBC debe ser mejorado de manera continua■ Se requiere apoyo de alto nivel■ La resiliencia y la alta disponibilidad ayudan a la efectividad y

eficiencia del IRBC■ El IRBC debe ser actualizado al menos una vez al año o cuando

existan cambios trascendentales a los procesos o a lainfraestructura tecnológica.

Bibliografía

■ Business Continuity Institute (2013) Good Practice Guidelines: A guide to global goodpractice in business continuity, Business Continuity Institute, Caversham.

■ Disaster Recovery Institute International (DRII) (2012) Professional Practices forBusiness Continuity Practitioners, DRII, New York.

■ ISO 22301 (2012) – Societal security – Business continuity management systems –Requirements

■ ISO 22301 (2012) – Societal security – Business continuity management systems –Guidance

■ ISO 22301 (2012) – Societal security – Terminology■ ISO 27031 (2011) Guidelines for information and communication technology

readiness for business continuity.■ Guía para la preparación de las TIC para la continuidad del negocio (Mintic)■ ISO 22317 (2014) Business Impact Analysis