Upload
mario-urena
View
2.631
Download
0
Embed Size (px)
DESCRIPTION
Conferencia presentada en ISACA - Latin CACS 2011 (Puerto Rico) sobre el Sistema de Gestión de Continuidad del Negocio basado en BS25999 e ISO22301. 03 Octubre 2011. Mario Ureña
Citation preview
Sistema de Gestión de Continuidaddel Negocio de Acuerdo con
BS25999 e ISO 22301
October 2011
Mario Ureña CuateCISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001
Agenda
• Introducción
• Elementos que componen el SGCN
• Gestión de incidentes en el SGCN
• Similitudes y diferencias entre BS 25999-2 e ISO/DIS 22301
• Factores críticos de éxito
• Conclusiones
Nota
• Al cierre de la preparación de esta presentación,el estándar ISO 22301 no ha sido publicado en suversión final, por lo que la información contenidaen esta presentación se refiere al documentoISO/DIS 22301.
• La publicación de ISO 22301 en su versión finalpudiera incluir cambios relevantes no incluídos enesta presentación.
Introducción
Introducción
An
guill
a
An
tigu
a an
d B
arb
ud
a
Arg
enti
na
Bah
amas
Bar
bad
os
Bel
ize
Ber
mu
da
Bo
livia
Bra
zil
Cay
man
Isla
nd
s
Ch
ile
Co
lom
bia
Co
sta
Ric
a
Cu
ba
Do
min
ica
Do
min
ican
Rep
Ecu
ado
r
El S
alva
do
r
Fren
ch G
uia
na
Gre
nad
a
Gu
adel
ou
pe
Gu
atem
ala
Gu
yan
a
Hai
ti
Ho
nd
ura
s
Jam
aica
Mar
tin
iqu
e
Mex
ico
Mo
nts
erra
t
Net
her
lan
ds
An
tille
s
Nic
arag
ua
No
rth
ern
Mar
ian
a Is
Pan
ama
Par
agu
ay
Per
u
Pu
erto
Ric
o
St K
itts
an
d N
evis
St L
uci
a
St V
ince
nt
and
Th
e G
ren
adin
es
Suri
nam
e
Trin
idad
an
d T
ob
ago
Turk
s an
d C
aico
s Is
Uru
guay
Ven
ezu
ela
Vir
gin
Is (
UK
)
Vir
gin
Is (
US)
Tota
l
Desastres complejos 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 2
Sequía 1 1 2 0 1 0 0 10 16 0 2 1 3 6 0 1 3 5 0 1 0 4 3 7 9 3 0 6 0 0 4 0 1 6 8 1 0 1 0 0 1 0 1 1 0 0 109
Terremoto (Actividad sísmica) 0 0 5 0 1 0 0 3 2 0 28 23 13 2 1 2 16 10 0 0 1 12 0 2 5 1 1 28 0 0 9 0 4 0 39 1 0 1 0 0 1 0 0 8 0 0 219
Epidemia 5 0 2 0 0 0 0 12 16 0 1 2 1 2 0 6 11 9 0 0 1 7 0 3 8 5 1 3 0 0 11 0 5 8 12 0 0 0 0 0 0 0 0 7 0 0 138
Temperatura extrema 0 0 8 0 0 1 0 4 8 0 6 0 0 0 0 0 0 1 0 0 0 2 0 0 0 0 0 16 0 0 0 0 0 3 8 0 0 0 0 0 0 0 4 0 0 0 61
Inundación 1 0 46 1 2 4 0 35 110 0 26 65 25 21 0 20 27 14 1 1 1 19 6 44 28 13 0 57 0 0 16 0 31 15 40 6 1 1 5 3 2 0 12 25 0 0 724
Accidente industrial 0 0 3 0 0 0 0 3 13 0 3 13 1 2 0 0 5 2 0 0 0 1 1 1 2 2 0 35 0 0 2 0 0 0 4 2 0 0 0 0 1 0 0 5 0 0 101
Infestación por insectos 0 0 0 0 0 0 0 0 1 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 3
Movimiento de masas secas 0 0 0 0 0 0 0 0 0 0 0 3 0 0 0 0 1 0 0 0 0 2 0 0 1 1 0 0 0 0 0 0 0 0 2 0 0 0 0 0 0 0 0 0 0 0 10
Movimiento de masas humedas 0 0 3 0 0 0 0 6 23 0 4 38 1 0 0 0 11 2 0 0 0 7 1 2 1 1 0 12 0 0 1 0 0 0 31 2 0 1 0 0 1 0 0 4 0 0 152
Accidentes miscelaneos 0 0 6 0 1 1 0 0 23 0 6 10 2 1 0 2 4 4 0 1 0 5 4 13 5 1 0 15 0 0 2 0 6 1 10 2 0 0 0 0 2 0 1 7 0 0 135
Tormenta 6 11 17 20 7 14 6 2 17 7 13 7 9 38 12 26 0 14 0 6 12 11 0 35 21 28 13 79 4 4 20 1 4 4 3 16 8 14 9 0 7 6 6 4 2 6 549
Accidente de transporte 1 0 23 3 0 1 2 31 103 0 12 50 2 21 1 12 23 6 0 0 2 26 0 30 9 1 0 78 0 1 3 0 8 2 116 7 0 0 0 3 0 2 5 30 0 0 614
Actividad volcánica 0 0 2 0 0 0 0 0 0 0 7 11 6 0 0 0 11 1 0 0 1 12 0 0 0 0 1 10 4 0 5 0 0 0 2 0 0 0 3 0 1 0 0 0 0 0 77
Incendios forestales 0 0 5 0 0 0 0 4 3 0 7 3 2 2 0 3 2 0 0 0 0 2 0 0 1 0 0 3 0 0 3 0 1 1 1 0 0 0 0 0 0 0 0 0 0 0 43
Total 14 12 122 24 12 21 8 110 335 7 115 227 65 95 14 72 114 68 1 9 18 110 15 137 90 56 16 342 8 5 77 1 61 40 277 37 9 18 17 6 16 8 29 91 2 6
Source: "EM-DAT: The OFDA/CRED International Disaster Database
www.emdat.be - Université Catholique de Louvain - Brussels - Belgium"
Introducción
Source: "EM-DAT: The OFDA/CRED International Disaster Database
www.emdat.be - Université Catholique de Louvain - Brussels - Belgium"
Arg
enti
na
Bel
ize
Bo
livia
Bra
zil
Ch
ile
Co
lom
bia
Co
sta
Ric
a
Cu
ba
Do
min
ican
Rep
Ecu
ado
r
El S
alva
do
r
Gu
atem
ala
Hai
ti
Ho
nd
ura
s
Jam
aica
Mex
ico
Nic
arag
ua
Pan
ama
Par
agu
ay
Per
u
Pu
erto
Ric
o
Trin
idad
an
d T
ob
ago
Uru
guay
Ven
ezu
ela
Desastres complejos 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 0 0 0 0 0 0
Sequía 2 0 10 16 2 1 3 6 1 3 5 4 7 9 3 6 4 1 6 8 1 1 1 1
Terremoto (Actividad sísmica) 5 0 3 2 28 23 13 2 2 16 10 12 2 5 1 28 9 4 0 39 1 1 0 8
Epidemia 2 0 12 16 1 2 1 2 6 11 9 7 3 8 5 3 11 5 8 12 0 0 0 7
Temperatura extrema 8 1 4 8 6 0 0 0 0 0 1 2 0 0 0 16 0 0 3 8 0 0 4 0
Inundación 46 4 35 110 26 65 25 21 20 27 14 19 44 28 13 57 16 31 15 40 6 2 12 25
Accidente industrial 3 0 3 13 3 13 1 2 0 5 2 1 1 2 2 35 2 0 0 4 2 1 0 5
Infestación por insectos 0 0 0 1 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0
Movimiento de masas secas 0 0 0 0 0 3 0 0 0 1 0 2 0 1 1 0 0 0 0 2 0 0 0 0
Movimiento de masas humedas 3 0 6 23 4 38 1 0 0 11 2 7 2 1 1 12 1 0 0 31 2 1 0 4
Accidentes miscelaneos 6 1 0 23 6 10 2 1 2 4 4 5 13 5 1 15 2 6 1 10 2 2 1 7
Tormenta 17 14 2 17 13 7 9 38 26 0 14 11 35 21 28 79 20 4 4 3 16 7 6 4
Accidente de transporte 23 1 31 103 12 50 2 21 12 23 6 26 30 9 1 78 3 8 2 116 7 0 5 30
Actividad volcánica 2 0 0 0 7 11 6 0 0 11 1 12 0 0 0 10 5 0 0 2 0 1 0 0
Incendios forestales 5 0 4 3 7 3 2 2 3 2 0 2 0 1 0 3 3 1 1 1 0 0 0 0
Total 122 21 110 335 115 227 65 95 72 114 68 110 137 90 56 342 77 61 40 277 37 16 29 91
Introducción
Opciones de Tratamiento de Riesgos
Aceptar / Retener
Transferir / Compartir
Terminar / Evitar
Reducir* / Mitigar
Introducción
Opciones de Tratamiento de Riesgos
(Reducir*)
Reducir la posibilidad
Reducir el tiempo de interrupción
Reducir el impacto de una interrupción
Introducción
No es opción: Amplificar
Introducción
No es opción: Simular
Introducción
No es opción: Desatender
Introducción
No es opción: Ignorar
Introducción
No es opción: Confiar
Introducción
No es opción: Aparentar
Introducción
No es opción: Disimular
Introducción
• Ejemplos de incidentes que pueden afectar lacontinuidad del negocio:
– Percepción negativa del público hacia la organización
– Problema con productos y servicios
– Problema financiero
– Problema de relaciones con empleados
– Evento internacional adverso
– Violencia en el lugar de trabajo
– Pérdida de personal
– Desastre natural
Introducción• Evento Internacional Adverso
• El 31 de diciembre de 1986 ocurrió un incendio en el hotelDupont Plaza en San Juan, Puerto Rico teniendo comoresultado 97 muertos y 140 lesionados. El fuego fue iniciadopor un empleado inconforme.
2,300 demandantes.
Drexel Heritage Furnishingfue encontrada “no
responsable” por el jurado en 1989.
Introducción
• Eventos que en ocasiones no son consideradas,causadas por:
– Un proveedor
– Un prueba / ejercicio
– Acciones de los empleados
– Acciones del departamento de Recursos Humanos
– Acciones de los medios
– Situación de espionaje industrial
– Muerte precipitada de funcionarios
Introducción• Proveedores
• En 1993 Play-Doh Co inhabilitó a 80 empleados debido a queuno de sus proveedores en Illinois era incapaz de proveerharina que se utiliza para la fabricación de masa para modelar.
El proveedor fue afectado por la “gran inundación del ’93”.
Los trabajadores fueron llamados cuando se encontró
un nuevo proveedor.
Introducción• Pruebas / ejercicios mal ejecutados
• En 1992 el Federal Reserve Bank de San Francisco realizó unaprueba de su plan de recuperación ante desastres. Comoresultado de las actividades realizadas durante la prueba, unmainframe dejó de operar durante 12 horas, afectando ausuarios en California y Arizona.
15 instituciones bancarias fueron afectadas.
El banco atribuye el hecho a un error humano.
Introducción• Pruebas / ejercicios mal ejecutados
• En 1996 cinco hombres “enmascarados” ingresaron a la salade emergencia del Memorial Hospital en Martinsville,Virginia, apuntando sus armas al personal y demandandomedicamentos. La prueba fue preparada por el staff deseguridad del hospital.
“No creo que cualquiera pueda apuntar un arma en la cabeza de una
persona y se salga con la suya…”
Abogado representante de 3 enfermeras.
Introducción – Evolución
• Plan de Contingencias (CP)• Plan de Recuperación de Desastres (DRP)• Plan de Continuidad de las Operaciones (COOP)• Plan de Continuidad del Negocio (BCP)• Plan de Reanudación del Negocio (BRP)• Gestión de la Continuidad del Negocio (BCM)• Programa de Gestión de la Continuidad del Negocio (BCMP)• Sistema de Gestión de Continuidad del Negocio (BCMS)• Sistema de Gestión de Preparación y Continuidad (PCMS) ?
Introducción – Retos
• No contar con una estrategia de continuidad
• Falta de apoyo de la dirección
• Inexistencia de análisis de riesgos y de impacto al negocio
• Falta de integración entre planes
• Complejidad Tecnológica
• Planes no actualizados
• No se realizan pruebas, auditoría, revisiones gerenciales
• Planes demasiado generales o demasiado específicos
Introducción
Introducción
Fuente: http://www.fema.gov/privatesector/preparedness/adoption_standards.shtm
Introducción
Introducción
Introducción
PAS56
BS25999-1
BS25999-2
BCMS
Sistema de Gestión de
Continuidad del Negocio
Buenas prácticas BCM
Introducción
Gestión de Continuidad el Negocio
(BCM)
Vs
Sistema de Gestión de Continuidad
del Negocio (BCMS)
Introducción - Definiciones
• BCM
Proceso de gestión holístico que identifica amenazaspotenciales a la organización y sus impactos a la
operación del negocio que esas amenazas, en caso realizarse, pudieran causar, y provee una estructura
para construir resiliencia organizacional con la capacidad para la efectiva respuesta salvaguardando
los intereses de las principales partes interesadas, reputación, marca y actividades que crean valor.
BS 25999-2:2007
Introducción - Definiciones
• BCMS
La parte del Sistema de Gestión general que establece, implementa, opera, monitorea,
revisa, mantiene y mejora la continuidad del negocio.
BS 25999-2:2007
Introducción – BS25999
PARTE 1 PARTE 2
Elementos que componen el SGCN
Parte 2Requisitos de Sistemas de
Gestión (auditoría, acción
correctiva y preventiva, etc)
Parte 1Prácticas no auditables (sugerencias,
comentarios, guías, etc)
Requisitos Comunes
Elementos que componen el SGCN
• Parte 1 – Ciclo de Vida de BCM
• Parte 2 – BCMS basado en modelo P-D-C-A
Planear – Hacer – Verificar - Actuar
Elementos que componen el SGCN
Ciclo de Vida de BCM
BCMS
Elementos del Ciclo de Vida de BCM
Elementos del BCMS
Requerimientos de documentación de BS 25999-2
• Alcance, objetivos y procedimientos
• Política de GCN
• Provisión de recursos
• Competencia del personal de GCN
• Análisis de Impacto al Negocio
• Evaluación de riesgos
• Estrategia de Continuidad del Negocio
• Estructura de respuesta a incidentes
Requerimientos de documentación de BS 25999-2
• Plan(es) de continuidad del negocio
• Plan(es) de gestión de incidentes
• Ejercicio de GCN
• Mantenimiento y revisión de arreglos de GCN
• Auditoría interna
• Revisión de la gerencia del SGCN
• Acciones correctivas y preventivas
• Mejora continua
Requerimientos de documentación de BS 25999-2
¿Y el manual del SGCN?
Elementos de IRBC
Definición
• IRBC – ICT Readiness for Business Continuity
(ICT – Information and Comunication Technology)
Capacidad de una organización para soportar sus operaciones a través de la prevención, detección y respuesta a la interrupción y recuperación de
servicios de ICT.
ISO 27031:2011
Elementos de IRBC
Elementos de PCMS
Gestión de Incidentes y el SGCN
• Plan de Gestión de Incidentes
Plan de acción claramente definido y documentado para ser utilizado cuando ocurre un incidente, típicamente cubre al personal clave, recursos,
servicios y acciones necesarias para implementar el proceso de gestión de incidentes.
BS 25999-2:2007
t0 MTPoDRPO t2 t3 RTO t4t1
Operación normal Recuperación Operación en continuidad
t5
Operación normal
Plan de Continuidad del Negocio
Plan de Gestión de Incidentes
Regreso
Nivel de operación normal Nivel de operación normal
Nivel de operación en crisis
Nota: Esta información no es un requisito de BS25999
Gestión de Incidentes y el SGCN
Similitudes y diferencias entre BS 25999-2 e ISO22301
BS 25999-2 ISO DIS 22301
1 - Alcance 1 - Alcance
2 - Términos y definiciones 2 - Referencias normativas
3 - Planear el SGCN 3 - Términos y definiciones
4 - Implementar y operar el SGCN 4 - Requerimientos generales
5 - Monitorear y revisar el SGCN 5 - Liderazgo
6 - Mantener y mejorar el SGCN 6 - Planeación
7 - Soporte
8 - Operación
9 - Evaluación del desempeño
10 - Mejora
Similitudes y diferencias entre BS 25999-2 e ISO22301
BS 25999-2 ISO DIS 22301
Cláusula Descripción Cláusula Descripción
Introducción Introducción
1 Alcance 1 Alcance
2 Referencias normativas
2 Términos y definiciones 3 Términos y definiciones
Similitudes y diferencias entre BS 25999-2 e ISO22301
BS 25999-2 ISO DIS 22301
Cláusula Descripción Cláusula Descripción
3 Planeación del SGCN 6 Planeación
3.1 General
3.2 Establecer y gestionar el SGCN
3.2.1 Alcance y objetivos 6.1 Objetivos y planes para alcanzarlos
6.2Acciones para atender problemas y preocupaciones
4 Requerimientos generales
4.1Entendimiento de la organización y su contexto
3.2.1.1 Alcance y objetivos 4.3 Sistema de Gestión y Alcance
3.2.1.2 Productos y servicios clave 4.2 Necesidades y requerimientos
3.2.2 Política de GCN 5.3 Política
BS 25999-2 ISO DIS 22301
Cláusula Descripción Cláusula Descripción
3.2.3 Provisión de recursos 7.1 Recursos
3.2.3.1 Recursos generales
3.2.3.2Roles, responsabilidades, competencias y autoridades de GCN
5.4Roles, responsabilidades y autoridades organizacionales
7.2 Competencia
3.2.3.3 Designación del responsable5.4
Roles, responsabilidades y autoridades organizacionales
7.2 Competencia
3.3Integrar GCN en la cultura de la organización
7.3 Concientización
3.4Documentación y registros del SGCN
7.5 Información documentada
7.5.1 General
7.5.2 Crear y actualizar
7.5.3Control de información documentada
Similitudes y diferencias entre BS 25999-2 e ISO22301
BS 25999-2 ISO DIS 22301
Cláusula Descripción Cláusula Descripción
4 Implementar y operar el SGCN
8 Operación
8.1 General
8.2Planeación y control operacional
4.1 Entender a la organización 8.3 Preparación
8.4 Planeación
8.4.3Análisis de Impacto al Negocio y Evaluación de Riesgos
4.1.1 Análisis de Impacto al Negocio 8.4.3.3 Análisis de Impacto al Negocio
4.1.2 Evaluación de riesgos 8.4.3.4 Evaluación de riesgos
8.4.4Opciones de continuidad del negocio
4.1.3 Determinar opciones8.4.4.1
Determinación y selección de opciones
8.4.4.3 Protección y mitigación
4.2Determinar estrategia de continuidad del negocio
8.4.4.2Establecer requerimientos de recursos
BS 25999-2 ISO DIS 22301
Cláusula Descripción Cláusula Descripción
4.3Desarrollar e implementar la GCN
7.4 Comunicación
7.4.1 Comunicación externa
7.4.2 Comunicación interna
8.5 Ejecución
4.3.1 General 8.5.1Desarrollar e implementar una respuesta de continuidad del negocio
4.3.24.3.3
Estructura de respuesta a incidentesPlanes de continuidad del negocio y gestión de incidentes
8.5.2 Estructura de respuesta
8.5.3 Alerta y comunicación
8.5.4 Respuesta
8.5.5Planes de continuidad el negocio
8.5.6Requerimientos de procedimientos de respuesta
8.5.7Contenido del procedimiento de respuesta
8.5.8 Recuperación
8.5.9 Comunicación y consulta
4.4Ejercitar. Mantener y revisar los arreglos de BCM
8.6.1 Ejercicios y pruebas
BS 25999-2 ISO DIS 22301
Cláusula Descripción Cláusula Descripción
5 Monitorear y revisar el SGCN
9 Evaluación del desempeño
8.7 Revisión
8.6.2 Monitoreo del desempeño
8.7.2Evaluación de procedimientos de continuidad
9.1 Evaluación del desempeño
5.1 Auditoría interna 9.2 Auditoría interna
5.2Revisión de la gerencia del SGCN
8.7.1 Revisión de la gerencia
9.3 Revisión de la gerencia
Similitudes y diferencias entre BS 25999-2 e ISO22301
Similitudes y diferencias entre BS 25999-2 e ISO22301
BS 25999-2 ISO DIS 22301
Cláusula Descripción Cláusula Descripción
6 Mantener y mejorar el SGCN 10 Mejora
6.1 Acciones preventivas y correctivas
6.1.1 General
6.1.2 Acción preventiva
6.1.3 Acción correctiva 10.1 No conformidad y acción correctiva
6.2 Mejora continua 10.2 Mejora continua
Estatus de ISO 22301
Fuente: www.iso.org
Estatus de ISO 22301
Fuente: www.iso.org
Factores críticos de éxito
• Asegurar el apoyo de la dirección
• BCM requiere recursos permanentes ( $)
• Roles y responsabilidades claramente establecidos
• Programa de concientización adecuado
• Documentación suficientemente detallada
• Programa de ejercicios y pruebas
• Promover la participación de toda la organización
• Procedimiento de control de cambios efectivo
• Auditoría, revisión de la gerencia y mejora continua
Conclusiones
Preguntas y respuestas¡Gracias!
Mario Ureña CuateCISA, CISM, CGEIT, CISSPISO27001LA, BS25999LA