Estándares de TI. Sesión 231 Octubre Álvaro Rodríguez de Roa Gómez

Transcripción

1 BCM en ISO y en otros Estándares de TI Sesión 231 Octubre 2011 Álvaro Rodríguez de Roa Gómez alvaro.deroa@sgs.com

2

3 Agenda 1. Introducción y Contexto Actual. 2. Requisitos relativos a Business Continuity en la Norma ISO y en otras normas y buenas prácticas. 3. Marco de referencia del dominio A14 incluido en la Norma ISO y sinergias relativas a BC en la Norma ISO y BS Matriz de relación entre ISO (Dominio A14) y BS Algunas técnicas y buenas prácticas sobre como responder sistemáticamente a los Incidentes de Continuidad de Negocio 5. Conclusiones y Feedback.

4 1. Introducción y Contexto t Actual (1) Fotografías = Imagen Cisne Negro y Efecto del Terremoto de San Francisco en 1906

5 Cuántas veces hemos oído? Es imposible que nos pase a nosotros, Saldremos adelante siempre lo hacemos!! Somos demasiado grandes como para fallar en esto No somos un objetivo de nadie Si ya tenemos todo previsto!!

6 Puede su organización continuar su actividad después de?

7 TOP 10 de Desastres Naturales y Tendencias hasta 2010 (1) (1) Fuente: EM DAT: The OFDA/CRED International Disaster Database Université catholique de Louvain Brussels Belgium

8 Información Anual sobre Daños Motivados por Desastres (1) (1) Fuente: EM DAT: The OFDA/CRED International Disaster Database Université catholique de Louvain Brussels Belgium

9 Barry Ritholtz publicó un listado con los Cisnes negros de los últimos 100 años de septiembre 2001, los ataques contra el World Trade Center y el Pentágono; 2. 78% de bajada enelnasdaq; el Ola de calor en Europa ( muertes); tsunami en Sumatra, Indonesia ( muertes); Terremoto de Cachemira y Pakistán ( muertes) ciclón Myanmar ( muertes); terremoto de Sichuan, China ( muertes); 8. Derivados enturbian el sistema bancario mundial y los mercados financieros; 9. El incumplimiento de Lehman Brothers y la venta o liquidación de Bear Stearns; % de caída en el precio de la vivienda EE.UU.; terremoto de Haití ( muertes); Ola de calor de Rusia ( muertes); Derrame de BP en el Golfo de México; Flash Crash (una caída de puntos en el Dow Jones); Oleada de disturbios en el Oriente Medio, 16. Terremoto y tsunami en Japón ( ) (1) Fuente: ; se cita la publicación de Barry Ritholtz uno de los personajes más influyentes de Wall Street publicó con el listado con los Cisnes negros de los últimos 100 años.

10 Son predecibles estos desastres y catástrofes? t 1. Como se puede ver en las diferentes estadísticas la mayoría de estos Cisnes Negros son acontecimientos del todo impredecibles, los más dañinos en lo económico son de carácter humano: Inevitables o poco como son los actos terroristas y otros bastante más predecibles y que se podrían minimizar como los relacionados con la reciente crisis financiera. 2. Lo que está claro es que una situación económico social compleja como la que vivimos actualmente, donde los mercados viven a diario situaciones de incertidumbre, las empresas buscan nuevas fórmulas y desafíos que les permitan no sólo seguir siendo competitivas sino su propia supervivencia, y donde fenómenos puntuales (Ej. catástrofes naturales, vuelcos en los mercados de valores, ataques terroristas o Cyber terroristas, etc.), pueden hacer que toda medida preventiva sea insuficiente ante eventos no controlados de estas características y que una compañía pueda sufrir un impacto importante en sus actividades pudiendo alcanzar incluso el final de las mismas. 3. Cuál ha sido el impacto económico del terremoto que asoló a Japón hace unos meses? El Banco Mundial estima que estará entre los y los millones de dólares, lo que equivale entre el 2,5 y el 4% del Producto Interior Bruto (PIB) nipón. 4. Son ahora mucho más hb habituales los desastres y catástrofes que hace años? Tenemos más Datos?

11 Qué son los Cisnes Negros? 1. Sucesos improbables, con consecuencias importantes y todas las explicaciones que se pueden ofrecer a posterior no tienen en cuenta el azar sino encajar lo imprevisible en modelos. 2. El éxito de compañías como Apple, los Actos Terrorista del 11 S, la difusión de las redes sociales más conocidas a nivel insospechados son algunos ejemplos de cisnes negros. 3. Podemos Identificar estos Fenómenos? 4. Un Cisne Negro es una rareza dentro del estándar generalizado, que produce un impacto tremendo por su condición de rareza y que la naturaleza humana trata de buscar explicaciones después del hecho (1) Fuente: El Cisne Negro: El Impacto de lo Altamente Improbable. Nassim Nicholas Taleb. Página 23. Prólogo.

12 Y qué es la Continuidad de Negocio? 1. Cuando hablamos de manera general de Continuidad de Negocio odecontinuidad de la Actividad Empresarial, Planes de Continuidad id dde Negocio, del anglicismo i Business Continuity, it etc., y desus conceptos y terminología asociada, estamos repasando fundamentos clásicos que han convivido siempre tanto en el contexto económico social a lo largo de diferentes generaciones. 2. Continuidad de Negocio es un concepto amplio que abarca todos los sectores de Negocio, y todas las líneas de actividad id d (no solo las referidas a Disaster Recovery desded el punto de vista it de TI). A pesardesuexistenciaanterior,desdeel11deseptiembrede2001,sepusounmayorénfasis ylos Planes de Continuidad de Negocio cobraron mayor importancia abarcando una mayor cobertura inicialmente a Compañías del Sector Financiero y a sus empresas relacionadas y es en este sector de actividad donde hasta la fecha en día tiene su mayor difusión y aplicación. Pero, realmente, qué entendemos por Continuidad de Negocio?

13 Definición Proceso de gestión holístico que identifica impactos potenciales que amenazan a la organización y que nos proporciona un marco de trabajo para desarrollar resiliencia y una capacidad de respuesta efectiva, salvaguardando los intereses de diferentes aspectos de la organización. El concepto abarca tanto el establecimiento de herramientas para mejorar la capacidad en la gestión eficaz de los incidentes de seguridad, como la definición de buenas prácticas de gestión de incidentes y de continuidad del negocio que contemplen políticas, recursos y procedimientos de seguridad específicos EN RESUMEN DESASTRE = PELIGRO + OPORTUNIDAD

14 Tres conceptos Claves (BS Glosario) Incidente: Situación que pudiera ser o podría redundar en una interrupción de negocio, pérdida, emergencia o crisis. BIA: Análisis de Impacto en el Negocio, definido como las funciones de análisis en el negocio y el efecto que una interrupción podría dí tener en dichas funciones. Interrupción: Acontecimiento ya sea previsto o imprevisto que causa una interrupción negativa no planificada respecto a la espera entregada de productos o servicios según los objetivos de la organización.

15 Business Continuity = Estar preparados para el peor Escenario!

16 2. Requisitos relativos a Business Continuity en la Norma ISO y en Otras Normas y Buenas prácticas páctcas

17 Contexto Existen multitud de estándares y buenas prácticas relacionadas con el mundo de la continuidad de negocio, especialmente en el sector TI. Se ha aprobado hace 7 meses la Norma ISO Continuidad TI., se va a aprobar la ISO este año Requisitos para un Sistema de Gestión de la Continuidad que sustituirá a la actual ISO 22399, a la BS25999 y a la UNE No obstante parece que sigue existiendo una carencia entre este tipo No obstante, parece que sigue existiendo una carencia entre este tipo de estándares quizás más operativos y su foco con el verdadero Negocio =( /US$)

18 Normas y Buenas Prácticas en TI: Niveles de Madurez IV V ISO Gobiernos de las TIC COBIT 4.1. / 5.0 Control Objectives for Information and related Technology Buenas Prácticas en Continuidad de Negocio BCI / DRI Estratégico Madurez vel de M Niv II III ISO y CMMI Norma y Modelo para Evaluar y Mejorar la Capacidad del Soft. ISO Continuidad TIC ISO y 2 Gestión de Servicios TI UNE 71599, BS e ISO FDIS Gestión de la Continuidad de Negocio ISO / 2 Seguridad de la Información Táctico I ISO Gestión de Activos de Software ISO Recuperación de Desastres ISO Ciclo de Vida de Desarrollo de Software Operativo Normas y Buenas Prácticas

19 ISO e ISO Breve Análisis de algunos Estándares ESTÁNDAR DEFINICIÓN PRINCIPAL UTILIZACIÓN NORMAS Y ELEMENTOS PRINCIPALES La información es el activo clave de muchos negocios y debe ser protegidos frente a riesgos internos y externos. Crear un SGSI es vital para preservar la Continuidad de Negocio ISO e ISO ISO COBIT Es la norma internacionalmente reconocida para la Gestión de la Seguridad de la Información (ISO 27001) y su Código de Práctica (ISO 27002) Norma Internacional para la Gestión de la Calidad de los servicios TI, recientemente revisada en mayo de Establece procesos y procedimientos para gestionar eficazmente los servios TI. La versión de 2011 Está alineada con las la Librería de Buenas Prácticas ITIL en su versión 3.0. Norma Internacional para establecer tbl y mejorar la capacidad de los procesos de desarrollo de software. Objetivos de Control para Tecnologías de información y relacionadas (COBIT) es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información,(ISACA) y el Instituto de Administración de las Tecnologías de la Información (ITGI) en Proporciona el marco para asegurar que la información está protegida frente a la pérdida de: Confidencialidad, Integridady Disponibilidad Para gestionar y demostrar un alto nivel de calidad y fiabilidad en los servicios TI tanto interna como externamente Es un modelo de evaluación de la capacidad de los procesos de desarrollo de software y establece niveles de madurez de los mismos en una organización. La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control que sean autorizados, actualizados, e internacionales para el uso del día a día de los gestores de negocios. Elementos Principales: 1) Inventario de Activos 2) Análisis de Riesgos y 3) Gestión adecuada de los Riesgos. La primera parte de la Norma contiene la especificación, el marco para realizar y gestionar de manera efectiva el suministro de servicios que cumplan con los requisitos del cliente y del negocio. La segunda parte es un código de buenas prácticas en la gestión de servicios y que sirve como guía para la implementación de la norma. El nivel de madurez de la organización proporciona garantía de la calidad del software desarrollado. d Tiene 5 niveles de madurez: 0 = Incompleto, 1= Realizado ; 2 = Gestionado; 3= Establecido; 4= Predecible; 5= Optimizado. Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de la información) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un modelo de administración de las tecnologías de la información.

20 Y normas y guías relacionadas con Business Continuity? it BS y BS y en 2011 la Norma ISO / FDIS UNE Norma Española en Continuidad de Negocio ISO Continuidad TIC Guía de Buenas Prácticas en Continuidad de Negocio (Publicada por el BCI). ISO PAS Operational Continuity i & Emergency Preparedness Australian BCM Guidelines Civil Contengencies Act (UK) Legislación de Riesgos Laborales y Seguidad e Higiene, Legislación de Protección de Datos, Ley de Inf. Críticas.

21 Relación de la Norma BS 25999/2 con algunos de los estándares expuestos: ISO (vs. 2011) 6.3 Gestión de la continuidad y disponibilidad del Servicio Requisitos de la continuidad y disponibilidad del Servicio. El proveedor del servicio debe evaluar y documentar los riesgos sobre disponibilidad y continuidad de los servicios. El proveedor del servicio debe identificar y acordar con los clientes y partes interesadas los requisitos de continuidad y disponibilidad del servicio. Los requisitos acordados deben tener en cuenta los planes de negocio aplicables, requisitos de los servicios, SLA y riesgos. Los requisitos de continuidad y disponibilidad del servicio deben incluir al menos: a) Derechos de acceso a los servicios; b) Tiempos de respuestade los servicios; c) Disponibilidad extremo a extremo de los servicios Planes de la continuidad y disponibilidad. El proveedor del servicio debe crear, implementar y mantener un plan de continuidad de servicio y un plan de disponibilidad. Los cambios a estos planes deben ser controlados por el proceso de gestión de cambios. Los planes de continuidad del servicio, las listas de contactos y la CMDB deben estar accesibles cuando no sea posible el acceso a las ubicaciones normales de los servicios. El plan debe incluir al menos los requisitos de disponibilidad y los objetivos. El proveedor del servicio debe evaluar el impacto de las peticiones de cambio en los planes de continuidad de servicio y en los planes de disponibilidad Monitorización y prueba de la continuidad y disponibilidad del servicio. Se debe monitorizar la disponibilidad de los servicios, registrar los resultados y compararlos con los objetivos. Se deben investigar las indisponibilidades no planificadas y tomar las acciones necesarias. Se deben probar los planes de continuidad de servicio contra los requisitos de continuidad de servicio. Los planes de disponibilidad se deben probar contra los requisitos de disponibilidad. Los planes de continuidad y disponibilidad del servicio se deben volver a probar tras cambios significativos. Los resultados de las pruebas deben ser registrados y se deben realizar revisiones tras cada prueba.

22 Relación de la Norma BS 25999/2 con algunos de los estándares expuestos: ISO (vs. 2011) I N FR N E G O C I O A ES S T R U CT U RA

23 Relación de la Norma BS 25999/2 con algunos de los estándares expuestos: COBIT 4.1. (Puntos) 1ª Parte 1. Entregar y Dar Soporte: DS4 Garantizar la continuidad del servicio: La necesidad de brindar continuidad en los servicios de TI requiere desarrollar, mantener y probar planes de continuidad de TI, almacenar respaldos fuera de las instalaciones y entrenar de forma periódica sobre los planes de continuidad. 2. Modelo de madurez Optimizado cuando: El plan de continuidad de TI está integrado con los planes de continuidad del negocio y se le da mantenimiento de manera rutinaria

24 Relación de la Norma BS 25999/2 con algunos de los estándares expuestos: COBIT 4.1. (Puntos) 2ª Parte 3. Y además en: P06. Comunicar las Aspiraciones y la Dirección de la Gerencia: Garantizar que los servicios ii e infraestructura de TI (ID) pueden resistir iy recuperarse de fll fallas debidas a errores, ataques o desastres. AI7. Instalar y Acreditar Soluciones y Cambios: (ID) pueden resistir apropiadamente y recuperarse de fallas por errores, ataques deliberados o desastres. DS5. Garantizar la Seguridad de los Sistemas: (ID) pueden resistir y recuperarse de fallas originadas por un error, ataque deliberado o desastre. DS12. Administración del Ambiente Físico: (ID) puede resistir y recuperarse de forma apropiada de fallas ocasionadas por un error, ataque deliberado o desastre. DS13. Administración de Operaciones: (ID) puedan resistir y recuperarse de fallas ocasionadas por errores, ataques deliberados o desastres. ME2. Monitorear y Evaluar el Control Interno: (ID) pueden resistir y recuperarse apropiadamente de fallas debidas a error, ataque deliberado o desastre.

25 3. Marco de referencia del dominio A14 incluido en la Norma ISO y sinergias relativas a BC en la Norma ISO y BS Matriz de relación entre ISO (Dominio i A14) y BS25999

26 Relación de la Norma BS 25999/2 con algunos de los estándares expuestos: Objetivo de Control ISO Objetivo de Control A.14. de la Norma, persigue el contrarrestar interrupciones en las actividades empresariales y en los procesos críticos de negocio derivados de fallos importantes en los sistemas de información y garantizar su reanudación

27 Relación de la Norma BS 25999/2 con algunos de los estándares expuestos: ISO = Controles Proceso de gestión de continuidad de negocio: Implementar un proceso para el desarrollo y mantenimiento de la continuidad de negocio en la organización orientado a los requerimientos de seguridad de la información necesarios para la continuidad de negocio de la organización Continuidad de negocio y valoración de riesgo: Identificar los eventos que pueden causar interrupciones a procesos de negocio, así como la probabilidad e impacto de las interrupciones y sus consecuencias Desarrollar e implantar planes de continuidad que incluyan la seguridad de la información Marco para la planificación de la continuidad del negocio: Mantener un solo marco para los planes de continuidad de los negocios para garantizar que sean uniformes e identificar prioridades para las pruebas y mantenimiento Pruebas, mantenimiento y re evaluación de los planes de continuidad de negocio

28 Matriz de Relación Gestión de Riesgos en ISO y Gestión de Continuidad de Negocio en BS ELEMENTO Herramienta o método habitual ISO 27001: GESTIÓN DE RIESGOS AR: Análisis de Riesgos BS GESTIÓN CONTINUIDAD DE NEGOCIO BIA: Análisis de Impacto en el Negocio Claves Impacto y Probabilidad Impacto y Tiempo Tipología del Incidente Magnitud Enfoque Escenarios e Intensidad Todo tipo de eventualidades (segmentadas) Toda, generalmente segmentada y en coste o no PREVENTIVO: Gestión de Riesgos para los objetivos de negocio Todos (Segmentados) / Toda Fallos críticos para el negocio (no segmentados) Incidentes estratégicos críticos para el negocio CORRECTIVO: Gestión de incidentes El Peor Escenario s / Incidentes súbitos

29 4. Algunas técnicas y buenas prácticas sobre como responder sistemáticamente a los Incidentes de Continuidad de Negocio o

30 Introducción Eit Existen diferentes metodologías para la Gestión de Incidentes en función dl del estándar o buena práctica que utilicemos. Así en ISO 20000, la gestión de incidentes es un área de procesos perteneciente a la Gestión de Servicio TI ysu primer objetivo es recuperar el nivel habitual de funcionamiento del servicio y minimizar i i en todo lo posible el impacto negativo en la organización ió yen la calidad del servicio y su disponibilidad; en ISO en su Dominio A.13. se centra más en la gestión de incidencias desde la perspectiva de la seguridad de la información y la BS25999 y las Buenas Prácticas para la Gestión de la Continuidad id dde Negocio dlbci del en lavueltaalanormalidadlt l lid d tras un incidenteenid el menor plazo de tiempo posible. Nos centraremos en estas últimas.

31 Visión BS y Buenas Prácticas en Continuidad de Negocio del BCI. Objetivo de Recuperación: Vuelta a la Normalidad lo Antes posible 1 2 Existen diferentes metodologías para la Gestión de Incidentes en Continuidad de Negocio en función del estándar y de la metodología utilizada. (1) Fuente: Buenas Práctcas del BCI versión Module 4 Version 2.0 Developing & Implementing BCM Response (2) Diagrama PDCA para la GCN recogido en la FDIS de la Norma ISO 22301

32 Algunas Claves Comúnes a Otras Normas y Modelos 1. Desarrollar e Implementar una respuesta de BCM es un elemento clave de una buena BCM. La intención de los diversos planes es definir las acciones y recursos necesarios para permitir a la organización gestionar un interrupción cualquiera que sea su causa. 2. Desarrollar e Implementar una Respuesta de BCM cubre una serie de áreas de trabajo relacionadas tales como: Estructura de Respuesta a Incidentes, Plan de Gestión de Incidentes, Plan de Continuidad de Negocio y Planes de Respuesta de Actividades 3. Facilitar la identificación y asignación de presupuestos adecuados para la gestión de incidentes y para la continuidad del negocio. 4. Utilizar la información y conocimiento obtenido en la gestión de incidentes para establecer métricas y realizar una mejor gestión de futuros incidentes. 5. Determinar los sistemas de información y recursos sobre los que se apoyan los servicios clave y el impacto que tendría su prestación la falta de disponibilidad de los mismos.

33 Algunas Reflexiones Antes de Comenzar Qué hay que hacer en los primeros momentos de un incidente? Quiénes serán los responsables de la activación? Y de la notificación y Gestión? Quién velará por el bienestar de los empleados? Cuáles serán los protocolos de comunicación del incidente?

34 Realmente tenemos el Equipo Ideal para la Gestión de un Incidente? Jefe BC

35 Organización para Responder a los Incidentes Las claves para responder de forma efectiva a un Incidente son: Una Definición clara de la tipología de incidentes. Un procedimiento para el escalado y control de un incidente. Un equipoformado y sensibilizado. Comunicación con las partes interesadas Planespara reanudar las actividades interrumpidas OBJETIVO: Minimizar el daño y evitar el escalado adicional.

36 Un ejemplo de Estructura de Respuesta puede ser el esquema clásico Ejemplo estructura de Respuesta en BC EQUIPO ORO EQUIPO PLATA EQUIPO BRONCE Nivel Estratégico Nivel Táctico Nivel de Ejecución, operativo ES NECESARIO ESCALAR EL PROCESO? Equipo de la Alta Dirección asignado para la Gestión de Incidentes Equipo de Continuidad de Negocio Equipos de Respuesta a Incidentes, Prevención de Riesgos y de Reinicio de Actividades PROCESOS DE CONTROL

37 Fases para la Gestión de Incidentes (1) Fuente: Buenas Práctcas del BCI versión Module 4 Version 2.0 Developing & Implementing BCM Response

38 De la respuesta a la Acción: Plan de Gestión de Incidentes visión BS25999 Objetivo de recuperación general: Vuelta a la normalidad lo antes posible Module 4 Version 2.0 Developing & Implementing BCM Response

39 5. Conclusiones y Feedback (1) Fotografías = Imagen Cisne Negro y Efecto del Terremoto de San Francisco en 1906

40 Los Cisnes Negros son sucesos improbables, con consecuencias importantes y todas las explicaciones que se pueden ofrecer a posterior no tienen encuenta elazarsino encajarlo imprevisible en modelos. Ideas para Recordar No es imposible que nos pase a nosotros Continuidad de Negocio: Proceso de gestión holístico que identifica impactos potenciales que amenazan a la organización y que nos proporciona un marco de trabajo para desarrollar resiliencia y una capacidad de respuesta efectiva, salvaguardando d los intereses de diferentes aspectos de la organización. Business Continuity: Estar preparados para el peor escenario posible. Se ha aprobado hace 7 meses la Norma ISO Continuidad TI., se va a aprobar la ISO este año Requisitos para un Sistema de Gestión de la Continuidad que sustituirá a la actual ISO 22399, a la BS25999 y a la UNE Existen multitud de estándares y buenas prácticas relacionadas con el mundo de la continuidad de negocio, especialmente en el sector TI pero parece que existe una carencia entre este tipo de normas y su foco en ( / US $) Matriz de Relación entre Normas, especialmente la Gestión de Riesgos en ISO (A14) y en BC (BS25999) Claves para responder de forma efectiva a un Incidente: Definición de la tipología de incidentes; Procedimiento para el escalado y control de incidentes; Eequipo formado; Comunicación adecuada con Stakeholders; Planes para reanudar las actividades interrumpidas

41 Key Words

42 GRACIAS!! Álvaro Rodríguez de Roa Gómez