Modelos de madurez en Business Continuity Management paso a paso hacia la excelencia

Transcripción

1 Modelos de madurez en Business Continuity Management paso a paso hacia la excelencia Sesión 223 Octubre 2011 Álvaro Rodríguez de Roa Gómez alvaro.deroa@sgs.com

2 Agenda 1. Introducción y Contexto Actual. 2. Mejores Prácticas en Gestión de Continuidad de Negocio y cómo llevar a cabo un Gap Analysis / Diagnóstico en BCM. 3. Modelo de Madurez en 5 niveles para la excelencia: Alcance, Metodología, Informe. 4. Como progresar? Plan de Acción. Metodologías de Mejora Continua. 5. Conclusiones y Feedback.

3 1. Introducción y Contexto t Actual Business Continuity

4 Introducción 1. En una situación económico social compleja como la que vivimos actualmente, donde los mercados viven a diario situaciones de incertidumbre, las empresas buscan nuevas fórmulas y desafíos que les permitan no sólo seguir siendo competitivas sino su propia supervivencia, y donde fenómenos puntuales (Ej. catástrofes naturales, vuelcos en los mercados de valores, ataques terroristas o Cyber terroristas, etc.), pueden hacer que toda medida preventiva sea insuficiente ante eventos no controlados de estas características y que una compañía pueda sufrir un impacto importante en sus actividades pudiendo alcanzar incluso el final de las mismas. 2. Podemos afirmar que cualquier organización, en algún instante de tiempo, se deberá enfrentar a una situación anómala que amenace su actividad? (1) En la presentación nos referiremos al acrónimo BCM cuando hablemos de Gestión de Continuidad de Negocio

5 Algunas Situaciones para reflexionar 11 de septiembre 2001, los ataques contra el World Trade Center y el Pentágono Guerra en Libia 2011 y movimientos y oleadas de Disturbios en Oriente Medio 1. Derivados enturbian el sistema bancario mundial y los mercados financieros; 2. El incumplimiento de Lehman Brothers y la venta o liquidación de Bear Stearns; 3. 30% de caída en el precio de la vivienda EE.UU.; 1. Ataquesde Hackers: El más reciente, al FMI según el New York Times en el cual según información señalan vinculación con algún gobierno extranjero, pues los datos sustraídos serían vitales para algún servicio de inteligencia. 2. Anonymous, etc 2003 Ola de calor en Europa ( muertes); 2004 Tsunami en Sumatra, Indonesia ( muertes); 2005 Terremoto de Cachemira y Pakistán ( muertes) 2008 ciclón Myanmar ( muertes); 2008 terremoto de Sichuan, China ( muertes) 2011 Terremoto y Tsunami en Japón 2010 Derrame BP en el Golfo de México 2010 Terremoto de Haití ( muertes) 2011 Rescates en Europa: Grecia, Portugal, Irlanda Italia? España?

6 Contexto 1. Cuando hablamos de manera general de Continuidad de Negocio odecontinuidad de la Actividad Empresarial, Planes de Continuidad de Negocio, delanglicismo Business Continuity, etc., y de sus conceptos y terminología asociada, estamos repasando fundamentos clásicos que han convivido siempre tanto en el contexto económico social a lo largo de diferentes generaciones (1) 2. Continuidad id d de Negocio es un concepto amplio que abarca todos los sectores de Negocio, y todas las líneas de actividad (no solo las referidas a Disaster Recovery desde el punto de vista de TI). A pesar de su existencia anterior, desde el 11 de Septiembre de 2001, se puso un mayor énfasis y los Planes de Continuidad de Negocio cobraron mayor importancia abarcando una mayor cobertura inicialmente a Compañías del Sector Financiero y a sus empresas relacionadas y es en este sector de actividad donde hasta la fecha en día tiene su mayor difusión y aplicación. Pero, realmente, qué entendemos por Continuidad de Negocio? (1) En la presentación nos referiremos al acrónimo BCM cuando hablemos de Gestión de Continuidad de Negocio

7 Definición Proceso de gestión holístico que identifica impactos potenciales que amenazan a la organización y que nos proporciona un marco de trabajo para desarrollar resiliencia y una capacidad de respuesta efectiva, salvaguardando los intereses de diferentes aspectos de la organización. El concepto abarca tanto el establecimiento de herramientas para mejorar la capacidad en la gestión eficaz de los incidentes de seguridad, como la definición de buenas prácticas de gestión de incidentes y de continuidad del negocio que contemplen políticas, recursos y procedimientos de seguridad específicos EN RESUMEN DESASTRE = PELIGRO + OPORTUNIDAD

8 Algunos conceptos clave Incidente: Situación que pudiera ser o podría redundar en una interrupción de negocio, pérdida, emergencia o crisis. Interrupción: Acontecimiento ya sea previsto o imprevisto que causa una interrupción negativa no planificada respecto a la espera entregada de productos o servicios según los objetivos de la organización. Amenaza: Evento que puede desencadenar un incidente en la organización produciendo daños o pérdidas en la infraestructura. Riesgo: Posibilidad que una amenaza se materialice. Vulnerabilidad: Debilidad de los sistemas o los recursos, la cuál puede ser explotada por las amenazas existentes.

9 Algunos conceptos clave: BIA 1 Análisis de Impacto en el Negocio (Business Impact Analysis): Las funciones de análisis en el negocio y el efecto que una interrupción podría tener en dichas funciones (coste económico, cualitativo o mixto), como resultado de un desastreointerrupciónenunservicio. Pararealizardicho análisis el BIA tiene que identificar al menos los 5 atributos descritos a continuación.

10 Algunos conceptos clave: BIA 2 Procesos críticos de negocio Las pérdidas o el daño potencial que causaría la interrupción de los procesos críticos BIA El personal, habilidades, instalaciones y servicios (incluidos los TI) necesarios para permitir que el proceso de negocio siga operando a un nivel mínimo aceptable El tiempo en el cuál se pueden recuperar unos niveles mínimos de personal, instalaciones y servicios El tiempo en el cuál se pueden recuperar, al nivel requerido por el proceso de negocio, el personal, las instalaciones i y los servicios ii Con esta información, se puede realizar un mapeo entre los diferentes elementos de entrada y los procesos críticos de negocio para ir dando los primeros pasos en la gestión de continuidad de negocio

11 The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again. The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again. The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again. The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again. Algunos conceptos clave: BIA 3 Alto Impacto alto, probabilidad baja Mitigar (*) Área de actividad tradicional de la BCM Impacto alto, probabilidad alta Evitar Eliminar inmediatamente Transferir mpacto jo Im Baj Impacto bajo, probabilidad baja Impacto bajo, probabilidad alta Aceptar Reducir, Evitar, Transferir, Medidas Revisar periódicamente preventivas Área Tradicional Gestión de Riesgos Baja Probabilidad Alta

12 2. Mejores Prácticas en Gestión de Continuidad de Negocio y cómo llevar a cabo un Gap Analysis / Diagnóstico en BCM. Business Continuity

13 Contexto Existen multitud de estándares y buenas prácticas relacionadas con el mundo de la continuidad de negocio, especialmente en el sector TI. Se ha aprobado hace 7 meses la Norma ISO Continuidad TI., se va a aprobar la ISO (previsiblemente en octubre) Requisitos para un Sistema de Gestión de la Continuidad que sustituirá a la actual ISO 22399, a la BS25999 y a la UNE No obstante parece que sigue existiendo una carencia entre este tipo No obstante, parece que sigue existiendo una carencia entre este tipo de estándares quizás más operativos y su foco con el verdadero Negocio =( /$)

14 Y normas y guías relacionadas con Business Continuity? i BS y 2 ISO UNE ISO Guías BCI, DRI NIST

15 Referencias a BC en otras normas: Ejemplo 1: ISO (vs. 2011) 6.3 Gestión de la continuidad y disponibilidad del Servicio Requisitos de la continuidad y disponibilidad del Servicio. El proveedor del servicio debe evaluar y documentar los riesgos sobre disponibilidad y continuidad de los servicios. El proveedor del servicio debe identificar y acordar con los clientes y partes interesadas los requisitos de continuidad y disponibilidad del servicio. Los requisitos acordados deben tener en cuenta los planes de negocio aplicables, requisitos de los servicios, SLA y riesgos. Los requisitos de continuidad y disponibilidad del servicio deben incluir al menos: a) Derechos de acceso a los servicios; b) Tiempos de respuestade los servicios; c) Disponibilidad extremo a extremo de los servicios Planes de la continuidad y disponibilidad. El proveedor del servicio debe crear, implementar y mantener un plan de continuidad de servicio y un plan de disponibilidad. Los cambios a estos planes deben ser controlados por el proceso de gestión de cambios. Los planes de continuidad del servicio, las listas de contactos y la CMDB deben estar accesibles cuando no sea posible el acceso a las ubicaciones normales de los servicios. El plan debe incluir al menos los requisitos de disponibilidad y los objetivos. El proveedor del servicio debe evaluar el impacto de las peticiones de cambio en los planes de continuidad de servicio y en los planes de disponibilidad Monitorización y prueba de la continuidad y disponibilidad del servicio. Se debe monitorizar la disponibilidad de los servicios, registrar los resultados y compararlos con los objetivos. Se deben investigar las indisponibilidades no planificadas y tomar las acciones necesarias. Se deben probar los planes de continuidad de servicio contra los requisitos de continuidad de servicio. Los planes de disponibilidad se deben probar contra los requisitos de disponibilidad. Los planes de continuidad y disponibilidad del servicio se deben volver a probar tras cambios significativos. Los resultados de las pruebas deben ser registrados y se deben realizar revisiones tras cada prueba.

16 Referencias a BC en otras normas: Ejemplo 1: ISO (vs. 2011) I N FR N E G O C I O A ES S T R U CT U RA

17 Referencias en otras normas y modelos Ejemplo: Cobit Entregar y Dar Soporte: DS4 Garantizar la continuidad del servicio: La necesidad de brindar continuidad en los servicios de TI requiere desarrollar, mantener y probar planes de continuidad de TI, almacenar respaldos fuera de las instalaciones y entrenar de forma periódica sobre los planes de continuidad. 2. Modelo de madurez Optimizado cuando: El plan de continuidad de TI está integrado con los planes de continuidad del negocio y se le da mantenimiento de manera rutinaria

18 Referencias en otras normas y modelos Ejemplo: Cobit Y además en: P06. Comunicar las Aspiraciones y la Dirección de la Gerencia: Garantizar que los servicios ii e infraestructura de TI (ID) pueden resistir iy recuperarse de fll fallas debidas a errores, ataques o desastres. AI7. Instalar y Acreditar Soluciones y Cambios: (ID) pueden resistir apropiadamente y recuperarse de fallas por errores, ataques deliberados o desastres. DS5. Garantizar la Seguridad de los Sistemas: (ID) pueden resistir y recuperarse de fallas originadas por un error, ataque deliberado o desastre. DS12. Administración del Ambiente Físico: (ID) puede resistir y recuperarse de forma apropiada de fallas ocasionadas por un error, ataque deliberado o desastre. DS13. Administración de Operaciones: (ID) puedan resistir y recuperarse de fallas ocasionadas por errores, ataques deliberados o desastres. ME2. Monitorear y Evaluar el Control Interno: (ID) pueden resistir y recuperarse apropiadamente de fallas debidas a error, ataque deliberado o desastre.

19 Referencias a BC en otras normas: Ejemplo 3: ISO (vs. 2011) Objetivo de Control A.14. de la Norma, persigue el contrarrestar interrupciones en las actividades empresariales y en los procesos críticos de negocio derivados de fallos importantes en los sistemas de información y garantizar su reanudación

20 Referencias a BC en otras normas: Ejemplo 3: ISO (vs. 2011) Proceso de gestión de continuidad de negocio: Implementar un proceso para el desarrollo y mantenimiento de la continuidad de negocio en la organización orientado a los requerimientos de seguridad de la información necesarios para la continuidad de negocio de la organización Continuidad de negocio y valoración de riesgo: Identificar los eventos que pueden causar interrupciones a procesos de negocio, así como la probabilidad e impacto de las interrupciones y sus consecuencias Desarrollar e implantar planes de continuidad que incluyan la seguridad de la información Marco para la planificación de la continuidad del negocio: Mantener un solo marco para los planes de continuidad de los negocios para garantizar que sean uniformes e identificar prioridades para las pruebas y mantenimiento Pruebas, mantenimiento y re evaluación de los planes de continuidad de negocio

21 Qué es un Gap Analisys? Dos preguntas: " Dónde estamos?" y " Dónde queremos estar?" MEJORA Dónde queremos estar? GAP Si no hacemos nada Objetivo 1 Objetivo 2 Objetivo 3 TIEMPO

22 Qué es un Gap Analisys en Continuidad id dde Negocio? Es un diagnóstico o estudio del estado actual en el que se encuentra una organización contra un estándar y/o buena práctica en materia de continuidad de negocio y/o requisitos corporativos. Permite cuantificar el nivel de cumplimiento i y de madurez de la organización respecto la norma o práctica de referencia y proponer los pasos a seguir con objeto de aumentar su nivel de cumplimiento, chequear el grado de madurez de los mismos, los controles existentes en materia de BCM e identificar la existencia de riesgos que puedan afectar a la interrupción de la actividad y minimizar sus impactos en caso de su materialización. Con esta información, se puede saber dónde está una organización AHORA y dónde quiere estar en el FUTURO en materia de BCM

23 Cómo llevar a cabo un Gap Análisis en Continuidad id dde Negocio? Check Lists Simples. Mixtas. Asociadas a uno o varios. estándares, buenas prácticas Con y sin recomendaciones de mejora, etc Diagnósticos Asociados a Modelos de Madurez Estudio de la situación actual frente a los estándares de Continuidad de Negocio. Basado en modelos de madurez. Diagnósticos Diagnósticos más complejos. Cuantitativos. Cualitativos. Mixtos. Con recomendaciones asociadas a fórmulas e indicadores, etc Diagnósticos Segmentados Segmentados por área o por objetivos de la organización. Asociados a Planes Directores. Mixtos con otras normas relacionadas (Ej. ISO 27001, etc.)

24 Primeros Pasos Actividades Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6 Planificación y Ejecución del GAP Reunión con la Dirección y Cierre del Alcance Análisis de la situación actual y modelo o normas de referencia Desarrollo del Gap Análisis: Análisis detallado de la situación actual con respecto a los procesos existentes y su grado de implantación para evaluar el nivel de madurez respecto a los requisitos. Elaboración, cierre y presentación del Informe a la Direcciónió Kick off Entrevistas (estimativo) Kick off (.) Reunión de Cierre e Informe Entrevistas y reuniones (estimativo) Reuniones clave, feedback a la dirección y Presentación de resultados Presentación del informe y /o propuesta del Plan de Acción en su caso.

25 Modelos de Informe Check List Simple BS Req. Characteristic Yes No Specific comments regarding deficiencies/ effectiveness 4.0 Business Continuity Management 4.1 General Requirements Has the organization developed, implemented, maintained and continually improved its documented BUSINESS CONTINUITY MANAGEMENT in accordance with 4.2 to 4.4? 4.2 Establishing and Managing the BUSINESS CONTINUITY MANAGEMENT SYSTEM Has the organization established: requirements for business continuity taking into account organization objectives, obligations and legal duties; business continuity objectives and plans; the scope of business continuity in terms of products and services? Has the organization assured itself that key suppliers and outsource partners have effective BUSINESS CONTINUITY MANAGEMENT arrangements in place? BUSINESS CONTINUITY MANAGEMENT Policy Has top management established and demonstrated its commitment to a BUSINESS CONTINUITY MANAGEMENT policy? Does the BUSINESS CONTINUITY MANAGEMENT policy include or make reference to: the objectives of business continuity within the organization; the scope of business continuity, including limitations and exclusions

26 Modelos de Informe Check List Aplicación ió Modelos dl Madurez

27 Herramienta Diagnóstico Modelos dl Madurez

28 Conectamos?

29 3. Modelo de Madurez en 5 niveles para la excelencia: Alcance, Metodología, Informe. Business Continuity

30 Modelo de Madurez en BCM: Áreas y Secciones El modelo que se describe a continuación, soportado a través de una herramienta informática en soporte Web, contiene un conjunto de prácticas o procesos clave agrupados en Áreas Clave de Proceso. Para cada área de proceso define un conjunto de buenas prácticas divididas en áreas o secciones siguiendo la siguiente estructura: 1) POLÍTICA Aborda la creación, contenido y mantenimiento de una política de continuidad de negocio 4) PLANIFICACIÓN Etapa de la BCM que cubre los objetivos, los planes de trabajo y la provisión de recursos 2) ORGANIZACIÓN Nivel de personas (funciones y responsabilidades), control de documentación y registros, y gestión de proyectos relacionados con BC Áreas / Secciones en materia de BC 5) RESPUESTA A INCIDENTES Acciones a seguir en caso de producirse un incidente: determinación de estrategias, comunicación y estructura de respuesta a incidentes. 3) DETERMINACIÓN DE LOS REQUISITOS De continuidad de Negocio en la Organización 6) MANTENIMIENTO Y MEJORA Pruebas a los planes de continuidad, auditorías internas, gestión de no conformidades

31 Modelo de Madurez en BCM: Relación entre Secciones y Niveles Cada una de las secciones, se encuentra dividida en sub. secciones y cada una de estas cubre un aspecto relacionado con la gestión de la continuidad de negocio. A su vez, cada una de las sub. secciones, tiene un número de preguntas asociadas. Cada una de las preguntas, se encuentra relacionada con un nivel de madurez, de modo que pueden existir una o varias preguntas dentro de cada sub. sección relacionadas con cada nivel de madurez. MODELOS DE MADUREZ EN BC PREGUNTAS NIVELES DE SECCIONES SUBSECCIONES ASOCIADAS A MADUREZ (5)

32 Modelo de Madurez en BCM: 5 Niveles y Relación con Áreas y Secciones GAP ANALISIS DE LA SITUACION DE PARTIDA Nivel 1 OPERATIVO Nivel 5 PERFECCIONADO Nivel 2 TÁCTICO Nivel 4 EFICIENTE Nivel 3 ESTRATÉGICO

33 Modelo de Madurez en BCM: Evolución y mejora hacia la excelencia NIVEL 1 OPERATIVO Se llevan a cabo algunas acciones preventivas, con objeto de poder tomar medidas en caso de contingencia. No existen planes de actuación específicos definidos en caso de contingencia. NIVEL 2 TÁCTICO Existen planes de continuidad ante algunos escenarios definidos NIVEL 3 GESTIONADO Existe un sistema de gestión relacionado con la continuidad de negocio NIVEL 4 EFICIENTE Se llevan a cabo mediciones de la efectividad y de la eficiencia del sistema de gestión y de los controles y medidas en materia de continuidad. NIVEL 5 PERFECCIONADO Se encuentran implantadas las mejores prácticas de la industria. Existe un sistema que se mejora anualmente y se retroalimenta con el SGCN, así como con el feedback de las partes interesadas y con los cambios de situación en el entorno que puedan afectar a la organización.

34 Trabajamos con la Herramienta?

35 4. Como progresar? Plan de Acción. Metodologías Mtdl de Mejora Continua. Business Continuity

36 Metodología de Mejora Continua: Eliminación de Gaps en cada nivel de madurez TIEMPO / MEJORAS NIVEL 5 NIVEL 4: EFICIENTE NIVEL 3: GESTIONADO GAP 3 NIVEL 2: TÁCTICO GAP 2 NIVEL 1: OPERATIVO GAP 1 NIVEL 0 = Inexistente = Arranque primer GAP = Niveles Evolutivos NIVEL DE MADUREZ

37 Metodología de Mejora Continua: Detección de Criticidad Ciiid dpor alarmas 1/2 La siguiente tabla refleja los niveles de madurez de los procesos de Gestión de Continuidad de Negocio analizados tras la fase de diagnóstico, y una la valoración respecto a la situación de cada sección (se le han asociado colores a modo de alarmas y como herramienta de priorización). NIVEL Perfeccionado Eficiente Gestionado Táctico Operativo SECCIONES Determinación Respuesta a Monitorización y Política Organización Requisitos Planificación Incidentes Mejora VERDE: La capacidad actual se ajusta a los niveles mínimos de madurez de BC de organizaciones similares en estructura y sector. AMARILLA: El nivel de madurez actual es inferior al deseado para una organización similar. ROJA: La madurez actual incumple los requisitos y estándares mínimos recogidos en las buenas prácticas y normas mínimas en BC.

38 Metodología de Mejora Continua: Gáfi Gráfico cualitativo i priorizando i por colores 2/2 Tomando como punto de partida la información anterior se identifica la criticidad (alta, media y baja) de cada una de las secciones o subsecciones, evaluando el estado td de madurez, los gaps existentes, it t la ausencia de controles, etc Por último se establecen prioridades y planes de acción para el desarrollo de cada sección y subsección, teniendo en cuenta tanto el nivel de madurez en comparación con el conjunto de secciones y sus dependencias entre las mismas y la coherencia global del Sistema de Gestión de Continuidad de Negocio en la Organización. Sección Política Cumplimiento 100% Organización 100% Determinación de Requisitos 100% Planificación 50% Respuesta a Incidentes 50% Monitorización y Mejora 25% Monitorización y Mejora Respuesta a Incidentes Política 100% 90% 80% 70% 60% 50% Organización 40% 30% 20% 10% 0% Determinación de Requisitos Planificación

39 Metodología de Mejora Continua: Monitorización i ió de Actividades id d

40 5. Conclusiones y Feedback. Business Continuity

41 Conclusiones y Feedback 1. En una situación compleja como la que vivimos actualmente, las empresas buscan nuevas fórmulas y desafíos que eviten un impacto importante en sus actividades (Gestión de Riesgos). 2. La GCN identifica impactos potenciales que amenazan a la organización y nos proporcionan un marco de trabajo para desarrollar resiliencia y una capacidad de respuesta efectiva. 3. Existen diferentes herramientas y modelos para la Gestión de la Continuidad de Negocio. 4. La elaboración de un Gap Analysis como punto de partida / referencia para poder progresar en materia de BC es crítica. 5. Existen metodología orientadas a modelos de madurez en Continuidad de Negocio, que nos permiten avanzar hacia una mejor eficiencia por áreas y secciones, estableciendo objetivos y planes de acción cuantitativos y cualitativos. 6. Cualquier tipo de organización puede alcanzar un nivel de madurez máximo en Continuidad de Negocio con una adecuada gestión. Responder de modo sistemático ante incidentes. 7. Una metodología adecuada d enmateria de BC, nospermite adoptar medidas de respuesta adecuadas d a cada incidente 8. El establecer una cultura adecuada en BC ante incidentes de seguridad nos permite minimizar los impactos en la empresa y responder de forma más eficaz a los mismos. 9. ElusodeunmodelodemadurezenBC, nos permite la identificación y asignación de presupuestos p adecuados para la gestión de incidentes y la continuidad del negocio. 10. Utilizar la información y conocimiento obtenido en las diferentes fases del modelo de modelo de madurez en BC, nos permite establecer métricas y realizar una mejor gestión de futuros pasos.

42 GRACIAS!! Álvaro Rodríguez de Roa Gómez