GlobalContinuity: Solución de Gestión a los Planes de Continuidad de Negocio

Transcripción

1 GlobalContinuity: Solución de Gestión a los Planes de Continuidad de Negocio

2 AUDISEC: QUIÉNES SOMOS AUDISEC Seguridad de la Información, una empresa dedicada a aportar seguridad a sus clientes en el tratamiento de su activo más importante, sus datos, su información. Experiencia en Consultoría, Implantación y auditoría de: Sistemas de Gestión de Seguridad de la Información (SGSI) Norma ISO (LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA) Sistemas de Gestión de Servicios TI Norma ISO (MÁS DE LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA) Planes de continuidad de Negocio BS Sistemas de gestión para Protección de Infraestructuras Críticas Calidad de Software, CMMI, SPICE Sistemas de protección de datos de carácter personal (LOPD) Esquema Nacional de Seguridad (ENS) Desarrollo de proyectos de I + D + i Desarrollo de productos para esos servicios: GlobalSUITE

3 Introducción Primera empresa en España en obtener: La certificación ISO La certificación ISO La certificación BS de continuidad de negocio Hemos empezado la implantación de SPICE.

4 GlobalSUITE : Solución integrada de Gestión SOLUCIONES DE ÉXITO EN LA IMPLANTACIÓN: GLOBAL SUITE GlobalSUITE Única herramienta que existe actualmente en el mercado mundial que gestiona ÍNTEGRAMENTE la implantación y mantenimiento de cualquier tipo de sistema de gestión GlobalSUITE permite gestionar de manera integrada o bien de manera separada cualquier tipo de sistema de gestión

5 Introducción

6 Introducción a ISO ISO 22301, el estándar internacional para la implantación de sistemas de gestión de continuidad de negocio ha sido publicado.

7 Introducción a ISO NOVEDADES/DIFERENCIAS respecto a BS Nueva estructura de la norma. Cambios menores en el PDCA. Se eliminan siglas como el MTPD. Se da más importancia al análisis de riesgos -> Hace mención a ISO 31000, norma para Gestión del Riesgo. Se potencia la parte de recuperación de la tecnología. Pero sobre todo, el hecho de tener un estándar internacional.

8 Situación actual Cuál es el grado real de exigencia por parte de las organizaciones?, podemos estar parados?

9 Situación actual Cuál es la tendencia actual?, qué están haciendo las organizaciones para abordar correctamente sus planes de continuidad (BCP)?

10 Problemática. Dificultades. Soluciones. Problemática. Dificultades Habituales. Soluciones.

11 Factores Críticos de Éxito en BCPs Dónde nacen estos problemas? Alcances mal definidos. En la falta de alineación de los objetivos de negocio con los objetivos de continuidad. En la falta de formación de los equipos de proyecto. En la falta de apoyo de la dirección no dotando de recursos adecuados a los proyectos. En la mala gestión y planificación del proyecto, que lo hace inabordable. En la no automatización de estos procesos.

12 GlobalCONTINUITY: Presentación GlobalCONTINUITY es la herramienta web que permite cubrir el ciclo completo de análisis, implantación, gestión, despliegue y mantenimiento de la Norma ISO

13 Problemática. Dificultades. Soluciones. INTERROGANTES HABITUALES Estoy definiendo bien el alcance de mis planes de continuidad? Cómo puedo hacer todos los BIAs que necesito en un tiempo razonable?, cómo consolido BIAs hechos por diferentes equipos? Qué papel juega el análisis de riesgos dentro de mis BCPs? Qué metodologías utilizo? Cómo podría automatizar el despliegue del plan?, cómo contacto con todos los equipos de continuidad de forma rápida y sencilla?

14 PROBLEMA: Definir un alcance correcto Todas las actividades deben estar dentro de un BCP? Sólo aquellas que realmente sean críticas. Cómo determinamos qué actividades son críticas?. Con un BIA un nivel por encima del BIA habitual. Un PRE-BIA. PRE-BIA -> se hace a los servicios externos que prestamos a los clientes. BIA -> se hace a los procesos internos que dan soporte a los servicios.

15 PROBLEMA: Definir un alcance correcto Delimitar actividades críticas Beneficios de hacer un PRE-BIA: Se hace un análisis de impacto en el negocio sobre todas las actividades de la organización, pudiendo descubrir actividades críticas que a priori no lo parecían. Vamos a tener la certeza de que los planes de continuidad están realmente sobre las actividades principales del negocio, asegurando así la continuidad de la organización. Se implica a más áreas de la organización, no sólo a los responsables de continuidad.

16 PRE-BIA y Análisis de Impacto en el Negocio Si ya he hecho el PRE-BIA, tengo que hacer luego el BIA habitual? Si. El PRE-BIA podríamos considerarlo también como un BIA de negocio, ya que no se centra en los procesos de la organización, si no en las actividades, para saber cuales son críticas. Será sobre esos procesos de soporte sobre los que haremos el posterior BIA.

17 PRE-BIA y Análisis de Impacto en el Negocio La secuencia sería la siguiente: Identificar todas las actividades de negocio Estrategias y opciones Desarrollo PRE-BIA para ver las más críticas MTPDs, RTOs y RPOs Cuadro de mando Identificar procesos de soporte a esas actividades BIA a los procesos de soporte a los servicios Pruebas Modelar dependencias entre actividades y procesos Análisis de Riesgos Mantenimiento

18 PROBLEMA: hacer y consolidar múltiples BIAs Realización de múltiples BIAs Necesidad de realizar un alto número de BIAs: por cada departamento, cada área, cada servicio, cada sede, cada país, etc -> se convierte en un proyecto en sí mismo. Riesgos del proyecto : Desvíos en recursos, costes y plazo. No consecución de algunos BIAs. Datos erróneos en algunos BIAs. Etc.

19 PROBLEMA: hacer y consolidar múltiples BIAs Consolidación de PRE-BIA y BIA En entornos complejos se hace necesario que el PRE-BIA/BIA sea realizado por varias personas y por varias áreas de la organización, incluso en sedes o países diferentes -> surge la necesidad de elaborar varios BIAs que luego deben derivar en un BIA consolidado para cada actividad crítica. Se deben definir criterios para consolidar esos BIAs.

20 PROBLEMA: el análisis de riesgos, dónde,cuándo y cómo? Cuándo hacer el análisis de riesgos?, antes o después del BIA?, cómo se relaciona con los planes de continuidad de negocio?. BIA AGR AGR BIA Desarrollo planes Desarrollo planes

21 Factores Críticos de Éxito en BCPs y DRs Exigen los estándares hacer una fase antes que otra? No, aunque el BIA siempre se menciona antes que el AGR. En la práctica deben ser procesos paralelos e interconectados. La propia UNE nos dice: La organización debe entender el impacto que podría producirse se una amenaza identificada se convirtiera en un incidente y causara una interrupción en el negocio. Se mezclan conceptos del BIA y del AGR.

22 Factores Críticos de Éxito en BCPs y DRs Cómo relacionar BIA con AGR? Podemos alimentar el BIA con escenarios de desastre basados en resultados del AGR y con las valoraciones de impacto de cada riesgo. En el AGR podemos valorar el impacto que tiene un incidente usando criterios que hayamos usado previamente en el BIA. LA RELACIÓN ESTÁN EN LA VARIABLE IMPACTO, común en los dos procesos, uno con enfoque de riesgos continuidad. y otro con enfoque de

23 Factores Críticos de Éxito en BCPs y DRs RECOMENDACIÓN AGR Impacto BIA

24 MÁS PROBLEMÁTICA: Mantenimiento diario Para que un BCP tenga éxito debe mantenerse actualizado al mismo nivel que la infraestructura sobre la que debe desplegarse. El principal problema viene por los entorno cambiantes sobre todo en tecnología. Soluciones? Automatización de los planes. Tenerlos dentro de los procesos de gestión de cambios de la infraestructura TI y del resto de elementos a los que da soporte. Auditorías periódicas.

25 MÁS PROBLEMÁTICA: Metodologías a usar No se exige ninguna metodología, ni por parte del mercado ni por parte de los estándares. Entonces qué metodologías utilizar? Soluciones Pensar en la naturaleza de nuestro negocio: algunas metodologías están más orientadas a sectores de actividad concretos o criticidad de las actividades desarrolladas. Adaptarlas a la forma de trabajar para evitar la resistencia al cambio. Comenzar con metodologías sencillas.

26 MÁS PROBLEMÁTICA: Despliegue de los planes Aún cuando todos los problemas anteriores ya han sido resueltos siempre queda uno: Ante la ocurrencia de un desastre cómo pongo en marcha el plan de manera óptima? Suele haber muchas áreas y personas implicadas. Dispersión geográfica. Teléfonos que ya no existen. Servidores de correo caídos. El personal no está disponible. Etc.

27 SOLUCIONES Todos y cada uno de los problemas presentados se resuelven con GlobalContinuity. Y además

28 BCPs y SCORECARD PLANES DE CONTINUIDAD & CUADROS DE MANDO INTEGRALES

29 BCPs y SCORECARD OBJETIVOS DE NEGOCIO Obj. Cont. CSF Obj. Plan1 Obj. Plan2 INDICADORES Indicador Cont.1 Indicador Cont.2 Indicador Cont.3 MÉTRICAS MétricaA MétricaB

30 BCPs y SCORECARD Por qué un BSC con un BCP? Plasmamos el funcionamiento de todo un plan de continuidad de negocio en un cuadro de mando. Qué conseguimos? Medir la eficacia y eficiencia del BCP. Mejorar el BCP. Tener una visión de negocio del BCP. Mayor control. Reporte a dirección.

31 BCPs y SCORECARD Qué serían los objetivos de negocio de un BCP? Los objetivos que desde dirección han impulsado la creación y puesta en marcha del BCP. Ejemplo: La continuidad de las actividades críticas de la compañía. No incurrir en penalizaciones con clientes por interrupciones del servicio. No ser noticia a causa de un desastre mal gestionado. No caer en incumplimientos legales motivados por la interrupción de las actividades.

32 BCPs y SCORECARD Qué serían los CSF / objetivos de específicos de un BCP? Los objetivos que cada plan de continuidad tiene (ya que suele haber varios planes). Ejemplo: No interrupción del proceso de soporte a usuarios. No interrupción del servicio de la MacroLAN entre sedes. Recuperación de una caída del servicio en menos de 1 hora. Reanudación de las actividades a niveles normales de operación en menos de 72 horas tras un desastre que afecte al CPD de comunicaciones.

33 BCPs y SCORECARD Qué serían los indicadores y métricas? Indicadores técnicos que nos ayudan a determinar si vamos a ser capaces de cumplir los CSFs anteriores. Las métricas serán indicadores simples y los indicadores serían la composición de varias métricas a través de fórmulas. Ejemplo: INDICADOR: tiempo de caída de la MACROLAN al MES. MÉTRICAS QUE LO COMPONEN: A: tiempo de caída al mes. B: tiempo total del mes.

34 BCPs y SCORECARD Más beneficios de la integración de BCPs con BSCs Ayudan al mantenimiento diario del BCP, al tener monitorizadas múltiples variables del sistema. Dirección es más consciente de la importancia del BCP al tener integrados en su cuadro de mando objetivos de continuidad. Damos visibilidad al área de continuidad de negocio, y cómo sus actividades ayudan a conseguir los objetivos de negocio.

35 CONCLUSIONES Los planes de continuidad son mucho más que documentos técnicos, y hay muchos enfoques a la hora de desarrollarlos. Ideas a recordar: La automatización de ciertas tareas es clave, si no los proyectos se van en tiempo y coste. Concepto de PRE-BIA. AGR y BIA, el núcleo de los proyectos. Automatizar el despliegue. Mantenimiento diario. Integración con cuadros de mando.

36 Más información GRACIAS POR LA ATENCIÓN PRESTADA MADRID BARCELONA CIUDAD REAL BOGOTÁ MÉXICO D.F