RESILIENCIA OPERATIVA

Transcripción

1 RESILIENCIA OPERATIVA David Jiménez CISO PROCESOS DE NEGOCIO Y TECNOLOGÍA DE INFORMACIÓN 1

2 Agenda Qué es la resiliencia operativa? Por qué es importante? Cuál es el alcance de la resiliencia operativa? Qué mejores prácticas existen al respecto? Cómo puedo mejorar mi resiliencia operativa? Conclusiones 2

3 Qué es la resiliencia operativa? Es la habilidad de la organización para alcanzar su misión y aprovechar oportunidades incluso en circunstancias degradadas o adversas 3

4 Qué es la resiliencia operativa? Misión Servicios Procesos de Negocio La habilidad de la organización de mantener los procesos de negocio y servicios que soportan de manera directa la misión de la organización, haciendo lo que se supone que deben hacer Gente Tecnología Información Instalaciones 4

5 Ambiente de riesgo Organización A Organización B Organización C Organización D Qué es la resiliencia operativa? Resiliencia Operativa 5

6 Resiliencia Operativa Situaciones de estrés Tecnología Complejidades Soporte Vulnerabilidades y Riesgos Proveedores Soporte a procesos Ceder control Vulnerabilidades y Riesgos Globalización Riesgos 6

7 Por qué es importante? 1. El mundo alrededor de las organizaciones esta cambiando en términos de riesgos y oportunidades 2. No es posible reaccionar a todas las situaciones posibles 3. Dejar de determinar nuestra resiliencia en términos de lo que no ha pasado El servicio sigue arriba, lo que hacemos seguro lo hacemos bien 4. Poder predecir que tan bien se va a desempeñar la organización ante un cambio en el ambiente de riesgo 7

8 Convergencia = Alineación de gestión de riesgos Cuál es el alcance de la resiliencia operativa? Gestión de Seguridad Gestión de la continuidad del negocio Gestión de la Operación de TI 8

9 CERT-RMM Gestión de la resiliencia operativa El CERT Resilience Management Model (CERT-RMM) es un modelo de capacidades para la gestión y mejora de la resiliencia operacional Establecer una convergencia del riesgo operacional y las actividades de gestión de la resiliencia Gestión de Seguridad Gestión de Continuidad Gestión de las operaciones de TI Aplicar un enfoque de mejora de procesos mediante la definición y aplicación de una escala de capacidades (Amigable con CMMI), la cual expresa niveles de madurez en los procesos Trazabilidad con ISO27000, COBIT e ITIL 9

10 CERT-RMM Gestión de la resiliencia operativa Estratégico Define Objetivos organizacionales Alineando con Metas y objetivos Informa de resiliencia Establece Requerimientos de resiliencia Define Influencia Tolerancia y apetito de riesgo Objetivos de control Objetivos de control Controles de protección Influencia Protección Se aplica a Controles de continuidad Influencia Continuidad Establece Táctico Gestión de condiciones Servicios críticos Define Activos de alto valor Gestión de consecuencias 10

11 CERT-RMM Gestión de la resiliencia operativa Protección Gestionar condiciones de riesgo Continuidad Gestionar las consecuencias del riesgo 11

12 CERT-RMM Identificar Proteger Dar continuidad Actividades del día a día para gestionar la resiliencia 26 procesos 4 categorías 256 prácticas específicas 94 metas específicos Actividades de alto nivel para soportar la gestión de la resiliencia Implementar, medir, monitorear y mejorar 12

13 Componentes del modelo Proceso Propósito Notas de introducción Relación con otros procesos Metas especificas Metas genéricas Prácticas especificas Prácticas genéricas Productos de trabajo Subprácticas Subprácticas Nota adicional 13

14 CERT-RMM Modelo de madurez CERT-RMM 1.1 MIL (Maturity Indicator Level) 13 Indicador Nivel 0: Incompleto MIL 0: Incompleto No se realiza el proceso Nivel 1: Realizado MIL 1: Realizado Alguna práctica especifica se realiza Nivel 2: Administrado MIL 2: Planeado MIL 3: Administrado MIL 4: Medido Se realiza una práctica especifica con planeación, soporte de stakeholders, guías y estándares La práctica especifica es gobernada, financiada, con responsabilidades claras y con gente capacitada Ejecutada, planeada, administrada, monitoreada y controlada Nivel 3: Definido MIL 5: Definido Es medida y se realiza en todas las unidades de negocio MIL 6: Compartido Un proceso compartido con una comunidad que persigue el mismo objetivo 14

15 Cómo puedo utilizar el CERT-RMM? Punto de partida para aprovechar la convergencia entre seguridad, continuidad del negocio y las actividades de operaciones de TI Línea base para evaluar las capacidades de la organización y mejorar su postura de resiliencia Guía para mejorar las áreas donde la capacidad de la organización no son iguales al estado deseado Mejorar las actividades de seguridad de la información, así como las responsabilidades de cumplimiento asociadas Mejorar las actividades de operaciones de TI Mejorar las operaciones de continuidad y recuperación de desastres a nivel política Evaluar las actividades de protección de la infraestructura crítica 15

16 Por donde empiezo? 1. Define tu objetivo de mejora Proceso o Servicios de negocio Aplicaciones críticas 2. Revisa detenidamente el modelo, particularmente el propósito de cada proceso y selecciona aquellos que sumen a tu objetivo de mejora 3. Elige que partes de la organización serán el objetivo de la mejora Objetivo organizacional + Unidad de negocio + sponsor (CIO, CISO, Responsables de continuidad del negocio) 4. Selecciona un proceso u objetivo y prácticas para cada proceso 16

17 Organización A Organización B Conclusiones 17

18 Conclusiones 1. Conoce tu negocio 2. Conoce los objetivos estratégicos y de negocio de la organización 3. Liga los procesos y servicios de negocio con los objetivos para identificar aquellos que habilitan la misión de manera directa 4. Identifica los activos que soportan esos procesos y servicios 5. Define una estrategia de protección y una de continuidad para el activo, tomando en cuenta la postura de riesgo de la organización 6. La resiliencia operativa nunca se alcanza, debe ser gestionada continuamente 7. CERT-RMM es un modelo de referencia, empieza con las áreas de interés y ve creciendo, apóyate de otras mejores prácticas 8. Podemos tener un mejor entendimiento del retorno de la inversión si pensamos en la resiliencia 18

19 GRACIAS David Jiménez PROCESOS DE NEGOCIO Y TECNOLOGÍA DE INFORMACIÓN 19