Alejandro Delgado, Director de Proyectos

Transcripción

1 Análisis y gestión de riesgos basados en ISO31000 y su integración con planes de continuidad de negocio basados en ISO Herramientas GlobalRISK y GlobalContinuity Alejandro Delgado, Director de Proyectos

2 ISO ha sido publicada ISO 22301: Estándar Internacional para BCM. Antigua BS para la implantación de planes de continuidad de negocio, ahora convertido en estándar internacional. Se estandariza a nivel internacional cómo montar un sistema de gestión de continuidad de negocio. Marco de referencia en continuidad de negocio para todas las organizaciones que quieran acometer este tipo de proyectos. Dice qué tenemos que hacer, pero NO DICE CÓMO HACERLO.

3 ISO 22301, ISO y la gestión de riesgos ISO 31000: Gestión de Riesgos. Estándar internacional, publicado en 2009 y traducido en 2010, para analizar y gestionar riesgos. Establece principios para que el proceso de gestión del riesgo sea un proceso eficaz. Se adapta a cualquier tipo de organización. Es válida para cualquier tipo de riesgo: Legales. Operacionales. Financieros. Etc.

4 Contextualizando La ocurrencia de incidentes, en la mayoría de los casos, deriva en pérdida de operatividad, lo cual es directamente traducible a costes. Por qué ocurren los incidentes? -> Por RIESGOS mal gestionados.

5 ISO 22301, ISO y la gestión de riesgos ISO & ISO Uno de los principales cambios de ISO 22301: mayor importancia a la fase de análisis y gestión de riesgos: Recomienda el uso de ISO para todo el proceso de gestión del riesgo. Los riesgos deben ser parte del origen de los escenarios de desastre a contemplar. No sólo RIESGOS TIC.

6 ISO 22301, ISO y la gestión de riesgos ISO & ISO Tienen más puntos en común, que deben ser aprovechados en uno u otro sentido: Hablan de que los riesgos y la continuidad de negocio pueden y deben afectar a toda la organización, a todas sus áreas y niveles, en todo momento, y a todas sus actividades y productos. Al igual que ha hecho ISO 22301, el resto de normas que incluyan un proceso de análisis y gestión de riesgo irán haciendo mención a ISO en sus revisiones futuras.

7 ISO 22301, ISO y la gestión de riesgos Proceso de gestión del riesgo

8 ISO 22301, ISO y la gestión de riesgos ISO & ISO & PDCA

9 Contexto legal y normativo Por qué hablar de continuidad y riesgos? Gran multitud de normas relacionadas con continuidad: BS 25999: norma de referencia en continuidad de negocio hasta la publicación de ISO UNE 71599: normas española de continuidad de negocio: traducción de la BS BS 25777: buenas prácticas en continuidad TIC. ISO 27031: directrices para la preparación de las TIC para la continuidad de negocio. ISO e ISO tienen requisitos de continuidad.

10 Contexto legal y normativo Por qué hablar de continuidad y riesgos? Desde el punto de vista legal también tenemos diversas referencias a la continuidad de negocio: Esquema Nacional de Seguridad: obliga a las AAPP con servicios de administración electrónica a adoptar diferentes medidas de continuidad de negocio, en función de los datos manejados. Ley de Protección de Infraestructuras Críticas: obliga a aquellas organizaciones (públicas o privadas) que hayan sido catalogadas como críticas a adoptar planes de continuidad de negocio y de gestión de la crisis. PCI-DSS obliga a tener planes de continuidad de negocio y recuperación ante desastres.

11 Contexto legal y normativo Por qué hablar de continuidad y riesgos? Para gestión del riesgo también hay regulaciones específicas para el sector de BANCA Y SEGUROS: Basilea III. Solvencia 2. Regulaciones sectoriales. Regulaciones propias de cada país. Etc. Todas ellas obligan a realizar una gestión del riesgo eficaz.

12 Factores Críticos de Éxito en BCPs y GRs Duda Habitual en la parte organizativa Cuándo hacer el análisis de riesgos?, antes o después del BIA? BIA AGR AGR BIA Desarrollo planes Desarrollo planes

13 Factores Críticos de Éxito en BCPs y GRs RECOMENDACIÓN: partir de un mismo mapa de nuestros procesos y que uno y otro proceso sean colaborativos. AGR BIA

14 Factores Críticos de Éxito en BCPs y GRs Cómo relacionar BIA con AGR? Podemos alimentar el BIA con escenarios de desastre basados en resultados del AGR y con las valoraciones de impacto de cada riesgo. En el AGR podemos valorar el impacto que tiene un incidente usando criterios que hayamos usado previamente en el BIA. LA RELACIÓN ESTÁN EN LA VARIABLE IMPACTO, común en los dos procesos.

15 Factores Críticos de Éxito en BCPs y GRs Hay que automatizar estos procesos!!!!!!!!!!!! En el año 2012 no podemos seguir haciendo los análisis de riesgos o los planes de continuidad de negocio en herramientas ofimáticas. Automatizar significa optimizar, y centrar nuestros esfuerzos en el negocio.

16 BCPs y SCORECARD PLANES DE CONTINUIDAD & GESTIÓN DEL RIESGO & CUADROS DE MANDO INTEGRALES

17 BCPs, GRs y SCORECARD OBJETIVOS DE NEGOCIO Obj. Cont. Y GR CSF Obj. P1 Obj. P2 INDICADORES Indicador 1 Indicador 2 Indicador 3 MÉTRICAS MétricaA MétricaB

18 BCPs, GRs y SCORECARD Por qué un BSC con un BCP/GR? Plasmamos el funcionamiento de todo un plan de continuidad de negocio en un cuadro de mando. Qué conseguimos? Medir la eficacia y eficiencia del BCP. Mejorar el BCP. Tener una visión de negocio del BCP. Mayor control. Reporte a dirección. La gestión del riesgo se incluye dentro del ScoreCard al estar incluida dentro del proceso de continuidad de negocio.

19 Herramientas GlobalSuite

20 Introducción GlobalSuite es la herramienta gracias a la cual podrá implantar y mantener cualquier Sistema de Gestión basado en las normas ISO 27001, ISO 20000, BS 25999/UNE 71599, Esquema Nacional de Seguridad (ENS), Ley de Protección de Datos (LOPD), etc. Ahora también con los requisitos para ayudar a la implantación y mantenimiento de SGPICs (Sistemas de Gestión para la Protección de Infraestructuras Críticas). GlobalSuite permite implantar y gestionar sistemas de gestión ya sea de manera individual así como ampliarlos a otros sistemas de manera integrada. Cumple también con el ciclo de gestión PDCA de otros estándares como ISO 9001, ISO 14001, etc. permitiendo su llevanza de manera integrada con los anteriores o bien de manera separada.

21 GlobalSUITE : : Modelado de Procesos de Negocio

22 GlobalSUITE : : Modelado de Árbol de Activos

23 GlobalSUITE.:. Catálogos de Riesgos

24 GlobalSUITE.:. Análisis.:. Gestión de Riesgos

25 GlobalSUITE.:. Mapas y Reporting de Riesgos

26 GlobalSUITE. : :. BIA Y CONSOLIDACIÓN DE BIAs

27 GlobalSUITE. : :. Plan de Gestión de Incidentes

28 GlobalSUITE. : :. Plan de Continuidad

29 GlobalSUITE. : :. Activación del Plan de Continuidad

30 Más información MADRID BARCELONA CIUDAD REAL BOGOTÁ MÉXICO D.F