La continuidad de negocio

Transcripción

1 CONFERENCIA: La continuidad de negocio Por: Manuel Carpio Cámara 01/04/2020 Manuel Carpio 1

2 SUMARIO TERMINOLOGÍA RESPONSABILIDADES ESCENARIOS ESTÁNDARES REQUISITOS MÍNIMOS INTERDEPENDENCIAS ISO 22301:2019 SISTEMA CORPORATIVO DE GESTIÓN DE LA CONTINUIDAD (GCSGCN) ANÁLISIS DE IMPACTO PARA EL NEGOCIO (BIA) PLAN DE CONTINUIDAD DE NEGOCIO (PCN) GESTIÓN DE CRISIS PROCEDIMIENTOS DE GESTIÓN DE CRISIS Y CONTINUIDAD PLAN DE FORMACIÓN Y PLAN DE PRUEBAS MÉTRICAS Y PLAN DE MEJORA PROYECTO TIPO FACTORES CLAVE DE ÉXITO 01/04/2020 Manuel Carpio 2

3 TERMINOLOGÍA Por un clavo se perdió la herradura Por la herradura se perdió el caballo Por el caballo se perdió la batalla Por la batalla se perdió la guerra Por la guerra se perdió el Reino ISO 22300:2018(en) Security and resilience Vocabulary Ocurrencia o cambio de un conjunto particular de circunstancias Cuestión distinta de la principal en un proceso Parte de la advertencia pública que capta la atención de los socorristas y las personas en riesgo en una situación de emergencia en desarrollo Evento Incidencia Alerta Crisis Parada Incidente Disrupción Contingencia Posible evento futuro, condición o eventualidad Situación que puede ser, o podría conducir a, una interrupción), pérdida, emergencia o crisis Condición inestable que implica un cambio abrupto o significativo inminente que requiere atención y acción urgentes para proteger la vida, los activos, la propiedad o el medio ambiente Evento, ya sea anticipado (por ejemplo, una huelga laboral o huracán) o no anticipado (por ejemplo, un apagón o un terremoto), que causa una desviación negativa no planificada de la entrega esperada de productos o servicios de acuerdo con la organización objetivos Continuidad Capacidad estratégica y táctica, preaprobada por la gerencia, de una organización para planificar y responder a condiciones, situaciones y eventos para continuar las operaciones a un nivel predefinido aceptable Situación en la que se han producido pérdidas humanas, materiales, económicas o medioambientales generalizadas que superaron la capacidad de la organización afectada, la comunidad o la sociedad para responder y recuperarse utilizando sus propios recursos Desastre Resiliencia Capacidad de un material, mecanismo o sistema para recuperar su estado inicial cuando ha cesado la perturbación a la que había estado sometido

4 RESPONSABILIDADES Incidentes en infraestructuras empresariales Ataques terroristas Septiembre 2001 Fallo sistemas TI BA Agosto 2019 Huracán Katryna Nueva Orleans Agosto 2005 Desastres Naturales Eyjafjallajökull Islandia Abril /04/2020 Manuel Carpio 4

5 RESPONSABILIDADES 13 de julio 2012, 2h 04m 51s Diámetro 1m Peso 2 Tn Velocidad Km/h Altitud 40Km Meteorito de Cheliabinsk Rusia, Febrero edificios afectados, entre ellos 700 escuelas, 200 hospitales y viviendas personas heridas km 2 de cristales rotos trabajadores de servicios de emergencia movilizados 01/04/2020 Manuel Carpio 5

6 Responsabilidad de las inversiones para garantizar objetivos de resiliencia mínima Organización Grupo sectorial Gobierno Países Potencias? RESPONSABILIDADES A proposal for categorization of responsibilities in prevention of business continuity crisis scenarios Fuente: Instituciones Financieras Críticas: Escenarios de Continuidad de Negocios y su coste. César Pérez-Chirinos. European CIIP Newsletter. August-September 2009 Alcance de Basilea II Katrina Alcance de la Directiva CIIP 2008/114 Escenarios Extinción Escenarios altamente catastróficos 11-S COVID-19 Categoría II Eyjafjallajökull (volcán) Categoría III Categoría British I Airways Riesgo de supervivencia de: Organización Sector Cadena suministro Nación Área económica Humanos

7 RESPONSABILIDADES 01/04/2020 Manuel Carpio 7

8 RESPONSABILIDADES Continuidad de negocio Servicios Finales Procesos de negocio Datos Servicios de soporte Personas Sistemas Instalaciones Redes Redes Contingencia tecnológica Infraestructuras Infraestructuras críticas Relaciones oficiales 01/04/2020 Manuel Carpio 8

9 ESCENARIOS Inaccesibilidad al centro de trabajo e inhabitabilidad (total o parcial) Indisponibilidad de Sistemas de Información Indisponibilidad de Suministros Críticos Indisponibilidad de Capital Humano 01/04/2020 Manuel Carpio 9

10 ESTÁNDARES Nª ORDEN SERIE CATEGORÍA TIPO ISO Security and resilience Business continuity management systems Requirements ISO Security and resilience Business continuity management systems Guidance on the use of ISO ISO/TS Security and resilience Business continuity management systems Guidelines for people aspects of business continuity ISO/TS Security and resilience Business continuity management systems Guidelines for business continuity strategy ISO/TS Societal security Business continuity management systems Guidelines for business impact analysis (BIA) ISO/TS Societal security Business continuity management systems Guidelines for supply chain continuity ISO Societal security Guidelines for exercises ISO/IEC Information technology Security techniques Code of practice for information security controls ISO/IEC Information technology Security techniques Guidelines for information and communication technology readiness for business continuity ISO Risk management Guidelines 01/04/2020 Manuel Carpio 10

11 ESTÁNDARES NFPA 1600 BS 7799 DRII Prácticas Profesionales para BCM BCI PAS 56 BCI PAS 200 DRII Terminología ISO Basilea II BS BCI BCLM Bank for International Settlement ANSI/ASIS Organizational resilience ISO ISO NFPA 1600 ISO ISO ISO ISO PSO/PPE Contenidos mínimos ISO ENISA OES MSR 01/04/2020 Manuel Carpio 11

12 REQUISITOS MÍNIMOS SECURITY SUB-DOMAIN Continuity of operations Crisis management Crisis management Continuity of operations Crisis management SECURITY MEASURE Disaster recovery management Crisis management organisation Crisis management organization Business continuity management Crisis management process DESCRIPTION ISO NIST CSF In accordance with its ISSP, the operator defines objectives and strategic guidelines regarding disaster recovery management, in case of a severe IT security incident. The operator defines in its ISSP the organization for crisis management in case of IT security incidents and the continuity of organization s activities. In accordance with its ISSP, the operator defines objectives and strategic guidelines regarding business continuity management, in case of IT security incident. The operator defines in its ISSP the processes for crisis management which the crisis management organization will implement in case of IT security incidents and the continuity of an organization s activities. A.17.2 Redundancies 5.3 Organizational roles, responsibilities and authorities A Information security roles and responsibilities A Equipment maintenance A.17.1 Information security continuity 5.3 Organizational roles, responsibilities and authorities A Information security roles and responsibilities A Equipment maintenance A.17.1 Information security continuity 9.3 Management review 10.2 Continual improvement A Review of the policies for information security A Equipment maintenance A.17.1 Information security continuity A.17.2 Redundancies 7.4 Communication 9.3 Management review 10.2 Continual improvement A Review of the policies for information security A Contact with authorities A Equipment maintenance A.17.1 Information security continuity ID.BE-5 PR.PT-5 PR.IP-9, 10 PR.DS-4 RC.IM-1, 2 RC.RP-1 PR.DS-4 PR.IP-10 ID.BE-5 PR.DS-4 PR.IP-10 ID.BE-5 ID.RM-1, 2, 3 RP.IP-4, 7, 9, 10 RS.IM- 2 RC.IM-1, 2 RC.RP-1 RC.CO-1,2,3 PR.PT-5 PR.DS-4 ID.BE-5 ID.SC-5 RC.CO-1, 2, 3 RC.RP-1 RS.IM-1, 2 ID.SC-5 PR.IP-4, 9, 10 PR.PT-5 ISA/IEC SR 5.2 SR 7.1 SR 7.2 SR 3.3 SR 7.1 SR 7.2 SR 3.3 SR 7.1 SR 7.2 SR 2.8 SR 3.3 SR 5.2 SR.6.1 SR 7.1, SR 7.2 SR 7.3 SR 7.4 SR 2.8 SR 3.3 SR.6.1 SR 7.1 SR 7.2 SR 7.3 SR /04/2020 Manuel Carpio 12

13 INTERDEPENDENCIAS País 3 Finanzas Transportes País 2 Comunicaciones País 1 Electricidad 01/04/2020 Manuel Carpio 13

14 ISO 22301:2019 ACT PLAN CHECK DO 01/04/2020 Manuel Carpio 14

15 ANÁLISIS DE IMPACTO PARA EL NEGOCIO (BIA) 63 <= VTI <= h<T<6h 6h<T<12h 12h<T<24h 24h<T<48h 48h<T<96h >96h vtim vtim vtiem Intervalo Valoración Económico Legal Estratégico Externo VTI(i) = = = 72 = VTIe 2,176 1,181 0,016 3, Reputación = , McorrVI Financiero Legal Estratégico Externo Reputación Financiero 1 0,5 0,75 0,5 0,5 Legal 0,5 1 0,25 0,25 0,5 Estratégico 0,75 0,25 1 0,1 0,25 VI P = VTIe 1 0,5 0,5 1 VTIe T = 7,069 Externo 0,5 0,25 0,1 1 0,75 Reputación 0,5 0,5 0,25 0,75 1 VTI(i) = ( 10 Valoración i Intervalo i ) VTIe = VTI(i) vtim vtim vtim + vtiem VTIe = Valor Tipo de Impacto Escalado VTI = Valor Tipo Impacto vtim = valor mínimo del intervalo al que corresponde VTI vtim = valor máximo del intervalo al que corresponde VTI vtiem = valor mínimo del intervalo al que corresponde VTIe VI = Valoración del Impacto P = Proceso que se está valorando VTIe = Vector de valoraciones de tipo de impacto escalado del proceso P MCorrVI = Matriz de correlación de tipos de impacto 01/04/2020 Manuel Carpio 15

16 PLAN DE CONTINUIDAD DE NEGOCIO (PCN) Actividad Crítica 1 Actividad Crítica M Personal crítico físico Centro Alternativo Centro de trabajo 5 Personal crítico remoto Hogares personal crítico Localización y acondicionamiento de Centros Alternativos y establecimiento de procedimientos de Acceso Remoto para poder ejecutar las Actividades de Negocio Críticas en caso de contingencia 01/04/2020 Manuel Carpio 16

17 PLAN DE CONTINUIDAD DE NEGOCIO (PCN) Actividad Crítica 1 Hogares personal crítico Centro de trabajo Centro Alternativo Actividad Crítica M 6 Definición de los Procedimientos de Gestión de Crisis Personal No Crítico 01/04/2020 Manuel Carpio 17

18 GESTIÓN DE CRISIS Alerta Evaluación Declaración Contingencia Recomendable centralizar desde un Centro de Control de Seguridad Integral (CCSI) : Monitorización y recepción de Alarmas de Seguridad Física. Monitorización y recepción de Incidentes de Seguridad Lógica. Movilización de los equipos de evaluación y en caso de ser necesario, del Comité de Crisis. Equipos de evaluación diferenciados para cada escenario de contingencia: Indisponibilidad de Infraestructuras Indisponibilidad Tecnológica Indisponibilidad de Proveedores Críticos. Indisponibilidad de Personas Declaración de la situación de contingencia y activación de los Planes correspondientes para recuperar las actividades identificadas como críticas. 01/04/2020 Manuel Carpio 18

19 GESTIÓN DE CRISIS Comité de Crisis Grupo Apoyo Crisis Seguridad Física RRHH Presidente Coordinador / Secretario Unidad N Unidad 2 Unidad 1 Responsables de las áreas de Negocio con Actividades críticas afectadas Prevención RRLL Gestión Patrimonial / Servicios Generales Sistemas de Información Y Comunicaciones Operaciones Asuntos Legales Servicios Médicos Seguros Medio Ambiente Comunicación Crisis Comunicación Interna Comunicación Externa

20 PLAN DE FORMACIÓN Y PLAN DE PRUEBAS Sesiones o Cursos de Formación periódicos: Segmentadas según audiencia Incluyen información relevante e instrucciones a seguir en caso de contingencia Plan de Pruebas: Comprobar que los procedimientos se cumplen según lo previsto Aumentar progresivamente el nivel de madurez: Trabajo remoto con equipo del usuario Trabajo remoto con equipo nuevo (incluye plataformado) Prueba de continuidad completa Mantener actualizado el Plan de Contingencias Optimizar los procedimientos Obtener sugerencias y recomendaciones de mejora 01/04/2020 Manuel Carpio 20

21 Mantenimiento y Revisión de los Planes de Continuidad de Negocio Concienciación y Formación en Continuidad de Negocio Organización de Gestión de Crisis MÉTRICAS Y PLAN DE MEJORA Plan de Pruebas Planes de Continuidad de Negocio y Gestión de Crisis Estrategia de Continuidad de Negocio Análisis de Riesgos Análisis de Impacto en el Negocio (BIAS) PROCESO DE NEGOCIO CRÍTICO PROCESO DE NEGOCIO NO CRÍTICO 01/04/2020 Manuel Carpio 21

22 MÉTRICAS Y PLAN DE MEJORA 100% 5 Optimizado: procesos automatizados y fiables 80% 4 Gestionado: procesos monitorizados y medidos 60% 3 Definido: procesos documentados y publicados 40% 2 Repetible: los procesos siguen un patrón regular 20% 1 Inicial: se aplican procesos ad-hoc y desorganizados 0% 0 Inexistente: no se aplican procesos de gestión 01/04/2020 Manuel Carpio 22

23 LOCAL CORPORATIVO FACTORES CLAVES DE ÉXITO Apoyo institucional Metodología Herramientas Respaldo Continuidad Análisis de Riesgos BIA Métricas Portal Formación Comunicación Gestión crisis Gestión continuidad Capacidades Auditoría Comunicación Presupuesto Compromiso de las áreas Capacidades Respaldo mutuo Presupuesto SLAs Formación Teletrabajo 01/04/2020 Manuel Carpio 23

24 Muchas gracias! Manuel Carpio Cybersecurity Senior Advisor 01/04/2020 Manuel Carpio 24