Sistema de Gestión de Continuidad del Negocio de Acuerdo con

Transcripción

1 Sistema de Gestión de Continuidad del Negocio de Acuerdo con BS25999 e ISO Otb October 2011 Mario Ureña Cuate Mario Ureña Cuate CISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001

2 Agenda Introducción Elementos que componen el SGCN Gestión de incidentes en el SGCN Similitudes y diferencias entre BS e ISO/DIS Factores críticos de éxito Conclusiones

3 Nota Al cierre de la preparación p de esta presentación, el estándar ISO no ha sido publicado en su versión final, por lo que la información contenida en esta presentación se refiere al documento ISO/DIS La publicación de ISO en su versión final pudiera incluir cambios relevantes no incluídos en esta presentación.

4 Introducción

5 Introducción Ejemplos de incidentes que pueden afectar la continuidad del negocio: Percepción negativa del público hacia la organización Problema con productos y servicios ii Problema financiero Problema de relaciones con empleados Evento internacional adverso Violencia en el lugar de trabajo Pérdida de personal Desastre natural

6 Evento Internacional Adverso Introducción El 31 de diciembre de 1986 ocurrió un incendio en el hotel Dupont Plaza en San Juan, Puerto Rico teniendo como resultado 97 muertos y 140 lesionados. El fuego fue iniciado por un empleado inconforme. 2,300 demandantes. Drexel Heritage Furnishing fue eencontrada encontrada no responsable por el jurado en 1989.

7 Introducción Eventos que en ocasiones no son consideradas, causadas por: Un proveedor Un prueba / ejercicio Acciones de los empleados Acciones del departamento de Recursos Humanos Acciones de los medios Situacióndeespionaje industrial Muerte precipitada de funcionarios

8 Introducción Proveedores En 1993 Play Doh Co inhabilitó a 80 empleados debido a que uno de sus proveedores en Illinois era incapaz de proveer harina que se utiliza para la fabricación de masa para modelar. El proveedor fue afectado por la gran inundación del dl 93. Los trabajadores fueron llamados cuando se encontró un nuevo proveedor.

9 Introducción Pruebas / ejercicios mal ejecutados En 1992 el Federal Reserve Bank de San Francisco realizó una prueba de su plan de recuperación ante desastres. Como resultado de las actividades realizadas durante la prueba, un mainframe dejó de operar durante 12 horas, afectando a usuarios en California y Arizona. 15 instituciones bancarias fueron afectadas. El banco atribuye el hecho a un error humano.

10 Introducción Pruebas / ejercicios mal ejecutados En 1996 cinco hombres enmascarados ingresaron a la sala de emergencia del Memorial Hospital en Martinsville, Virginia, apuntando sus armas al personal y demandando medicamentos. La prueba fue preparada por el staff de seguridad del hospital. No creo que cualquiera pueda apuntar un arma en la cabeza de una persona y se salga con la suya Abogado representante de 3 enfermeras.

11 Introducción Evolución Plande Contingencias (CP) Plan de Recuperación de Desastres (DRP) Plan de Continuidad de las Operaciones (COOP) Plan de Continuidad del Negocio (BCP) Plan de Reanudación del Negocio (BRP) Gestión de la Continuidad del Negocio (BCM) Programa de Gestión de la Continuidad del Negocio (BCMP) Sistema de Gestión de Continuidad del Negocio (BCMS) Sistema de Gestión de Preparación y Continuidad (PCMS)?

12 Introducción Retos No contar con una estrategia de continuidad Falta de apoyo de la dirección Inexistencia de análisis de riesgos y de impacto al negocio Falta de integración entre planes Complejidad Tecnológica Planes no actualizados No se realizan pruebas, auditoría, revisiones gerenciales Planes demasiado generales o demasiado específicos

13 Introducción

14 Introducción Fuente: p// /p /p p / p _ standards.shtm

15 Introducción

16 Introducción

17 Introducción Buenas prácticas BCM PAS BS BS BCMS Sistema de Gestión de Continuidad del Negocio o

18 Introducción Gestión de Continuidad el Negocio (BCM) Vs Sistema de Gestión de Continuidad del Negocio (BCMS)

19 Introducción Definiciones BCM Proceso de gestión holístico que identifica amenazas potenciales a la organización y sus impactos a la operación dl del negocio que esas amenazas, en caso realizarse, pudieran causar, y provee una estructura para construir resiliencia organizacional con la capacidad para la efectiva respuesta salvaguardando los intereses de las principales partes interesadas, reputación, marca y actividades que crean valor. BS :2007

20 Introducción Definiciones BCMS La parte dlsi del Sistema de Gestión general que establece, implementa, opera, monitorea, revisa, mantiene y mejora la continuidad id ddl del negocio. BS :2007

21 Introducción BS25999 PARTE 1 PARTE 2

22 Elementos que componen el SGCN Parte 1 Prácticas no auditables (sugerencias, comentarios, guías, etc) Requisitos Comunes Parte 2 Requisitos de Sistemas de Gestión (auditoría, acción correctiva y preventiva, etc)

23 Elementos que componen el SGCN Parte 1 Ciclo de Vida de BCM Parte 2 BCMS basado en modelo P D C A Planear Hacer Verificar Actuar

24 Elementos que componen el SGCN Ciclo de Vida de BCM BCMS

25 Elementos del Ciclo de Vida de BCM

26 Elementos del BCMS

27 Requerimientos de documentación de BS Alcance, ce, objetivos os y procedimientos poced e Política de GCN Provisión derecursos Competencia del personal de GCN AnálisisdeImpacto al Negocio Evaluación de riesgos Estrategia de Continuidad del Negocio Estructura de respuesta a incidentes

28 Requerimientos de documentación de BS Plan(es) (es)de continuidad del negocio o Plan(es) de gestión de incidentes Ejercicio de GCN Mantenimiento y revisión de arreglos de GCN Auditoría interna Revisión de la gerencia del SGCN Acciones correctivas y preventivas Mejora continua

29 Requerimientos de documentación de BS Y el manual del SGCN?

30 Elementos de IRBC

31 Elementos de IRBC

32 Elementos de PCMS

33 Definición IRBC ICT Readiness ess forbusiness Continuity ty (ICT Information and Comunication Technology) Capacidad de una organización para soportar sus operaciones a través de la prevención, detección y respuesta a la interrupción y recuperación de servicios de ICT. ISO 27031:2011

34 Gestión de Incidentes y el SGCN Plan degestión de Incidentes Plan de acción claramente definido y documentado para ser utilizado cuando ocurre un incidente, típicamente cubre al personal clave, recursos, servicios y acciones necesarias para implementar el proceso de gestión de incidentes. BS :2007

35 Gestión de Incidentes y el SGCN RPO t0 t1 t2 t3 RTO t4 t5 MTPoD Nivel de operación normal Nivel de operación normal Nivel de operación en crisis Operación normal Recuperación Operación encontinuidad Operación normal Plan de Gestión de Incidentes Plan de Continuidad del Negocio Nota: Esta información no es un requisito de BS25999 Regreso

36 Similitudes y diferencias entre BS e ISO22301 BS ISO DIS Alcance 1 Alcance 2 Términos y definiciones 2 Referencias normativas 3 Planear el SGCN 3 Términos y dfiii definiciones 4 Implementar y operar el SGCN 4 Requerimientos generales 5 Monitorear y revisar el SGCN 5 Liderazgo 6 Mantener y mejorar el SGCN 6 Planeación 7 Soporte 8 Operación 9 Evaluación del desempeño 10 Mejora

37 Similitudes y diferencias entre BS e ISO22301 BS ISO DIS Cláusula Descripción Cláusula Descripción Introducción Introducción 1 Alcance 1 Alcance 2 Referencias normativas 2 Términos y definiciones 3 Términos y definiciones

38 Similitudes y diferencias entre BS e ISO22301 BS ISO DIS Cláusula l Descripción Cláusula l Descripción 3 Planeación del SGCN 6 Planeación 3.1 General 3.2 Establecer y gestionar el SGCN Alcance y objetivos 6.1 Objetivos y planes para alcanzarlos 6.2 Acciones para atender problemas y preocupaciones 4 Requerimientos i generales 4.1 Entendimiento de la organización y su contexto Alcance y objetivos 4.3 Sistema de Gestión y Alcance Productos y servicios clave 4.2 Necesidades y requerimientos Política de GCN 5.3 Política

39 Similitudes y diferencias entre BS e ISO22301 BS ISO DIS Cláusula Descripción Cláusula Descripción Provisión de recursos 7.1 Recursos Recursos generales Roles, responsabilidades, Roles, responsabilidades y competencias y autoridades autoridades organizacionales de GCN 7.2 Competencia Roles, responsabilidades y Designación del responsable autoridades organizacionales 7.2 Competencia 3.3 Integrar GCN en la cultura de la organización 7.3 Concientización 7.5 Información documentada General Documentación y registros del Crear y actualizar SGCN Control de información documentada

40 BS ISO DIS Cláusula Descripción Cláusula Descripción 8 Operación 8.1 General 4 Implementar y operar el SGCN Planeación y control 8.2 operacional 4.1 Entender a la organización 8.3 Preparación 8.4 Planeación Análisis de Impacto al Negocio y Evaluación de Riesgos Análisis de Impacto al Negocio Análisis de Impacto al Negocio Evaluación de riesgos Evaluación de riesgos Opciones de continuidad del negocio Determinación y selección de Determinar opciones opciones Protección y mitigación 4.2 Determinar estrategia de continuidad del negocio Establecer requerimientos de recursos

41 BS ISO DIS Cláusula Descripción Cláusula Descripción 7.4 Comunicación 4.3 Desarrollar e implementar la Comunicación externa GCN Comunicación interna 8.5 Ejecución General Desarrollar e implementar una respuesta de continuidad del negocio Estructura de respuesta Alerta y comunicación Respuesta Estructura de respuesta a Planes de continuidad el incidentes negocio Planes de continuidad del Requerimientos de negocio y gestión de procedimientos i de respuesta incidentes Contenido del procedimiento de respuesta Recuperación Comunicación y consulta 4.4 Ejercitar. Mantener y revisar los arreglos de BCM Ejercicios y pruebas

42 Similitudes y diferencias entre BS e ISO22301 BS ISO DIS Cláusula Descripción Cláusula Descripción 9 Evaluación del desempeño 8.7 Revisión Monitoreo dld del desempeño 5 Monitorear y revisar el SGCN Evaluación de procedimientos de continuidad 9.1 Evaluación del desempeño 5.1 Auditoría interna 9.2 Auditoría interna 5.2 Revisión de la gerencia del Revisión de la gerencia SGCN 9.3 Revisión de la gerencia

43 Similitudes y diferencias entre BS e ISO22301 BS ISO DIS Cláusula Descripción Cláusula Descripción 6 Mantener y mejorar el SGCN 10 Mejora 6.1 Acciones preventivas y correctivas General Acción preventiva Acción correctiva 10.1 No conformidad y acción correctiva 6.2 Mejora continua 10.2 Mejora continua

44 Estatus de ISO Fuente:

45 Estatus de ISO Fuente:

46 Factores críticos de éxito Asegurar el apoyo de la dirección BCM requiere recursos permanentes ( $) Roles y responsabilidades claramente establecidos Programa de concientización adecuado Documentación suficientemente detallada Programa de ejercicios i y pruebas Promover la participación de toda la organización Procedimiento decontrol decambios efectivo Auditoría, revisión de la gerencia y mejora continua

47 Conclusiones

48 Preguntas y respuestas Gracias! Mario Ureña Cuate CISA, CISM, CGEIT, CISSP ISO27001LA, BS25999LA mario.urena@secureit.com.m ena