CASO PRÁCTICO PARA LA EJECUCIÓN DE UN BIA

Tamaño: px

Comenzar la demostración a partir de la página:

Download "CASO PRÁCTICO PARA LA EJECUCIÓN DE UN BIA"

Concepción Rojas Lozano
hace 6 años
Vistas:

1 CASO PRÁCTICO PARA LA EJECUCIÓN DE UN BIA Mario Ureña Cuate Secure Information Technologies CISA, CISM, CGEIT, CISSP Lead Auditor ISO 27001, ISO Lead Implementer ISO 22301

2 INTRODUCCIÓN

3 Base metodológica

4 Qué es un BIA? Proceso de analizar actividades y el efecto que una interrupción del negocio podría tener sobre ellas ISO 22301: 2012, cláusula 3.8

5 Qué es una actividad? Proceso o conjunto de procesos realizados por una organización (o en su nombre) que produce o soporta uno o mas productos o servicios. ISO 22301: 2012, cláusula 3.1

6 Qué es un proceso? Conjunto de actividades interelacionadas o interactivas que transforma entradas en salidas. ISO 22301: 2012, cláusula 3.40

7 Qué hacemos primero? Valuación de riesgos (RA) Análisis de Impacto al Negocio (BIA)

8 Requerimientos de ISO Existen diversas metodologías para Análisis de Impacto al Negocio y Valuación de Riesgos que determinarán el órden en que estos serán conducidos ISO 22301: 2012, cláusula 8.2.1, Nota

9 En qué momento hacemos el BIA?

10 En qué momento hacemos el BIA?

11 Objetivos de un BIA Determinar prioridades de continuidad Determinar prioridades de recuperación Determinar objetivos de continuidad Determinar metas

12 PROCESO BIA

13 BURBUJA, la tortuga

15 Recursos Personas Entradas Actividades Salidas Procedimientos Medidores

16 Ejemplo Entendimiento del negocio Partes interesadas Roles y responsabilidades Productos y servicios Objetivos de continuidad Criterios de impacto Requisitos legales Dinero Tiempo Herramientas ISO Cláusula Procedimientos Metodología Técnicas Responsables de actividades Tomadores de decisión Gestión BCMS Actividades críticas Prioridades RTO, MTPoD, RPO, MBCO Dependencias Recursos críticos Actividades analizadas / total Personal capacitado / total

17 POLÍTICA Y OBJETIVOS ESTRATEGIA

18 REQUERIMIENTOS ISO 22301

19 a

20 Identificar actividades Evaluar impactos en el tiempo Establecer periodos de tiempo y objetivos de operación Identificar dependencias y recursos que las soportan

21 1. IDENTIFICAR ACTIVIDADES

Proveedores y socios de negocio Productos y servicios Organización Propósito de la organización Producto / servicio Contexto interno Producto / servicio Contexto

22 Proveedores y socios de negocio Productos y servicios Organización Propósito de la organización Producto / servicio Contexto interno Producto / servicio Contexto externo Actividad Actividad Actividad Actividad Actividad Actividad Actividades de soporte Activos y recursos Dependencias y actividades de soporte Activos y recursos Clientes

23 1. Identificar actividades Identificar productos y servicios Identificar actividades críticas Identificar actividades de soporte Identificar dependencias Identificar proveedores críticos Identificar recursos críticos

24 Nivel de operación Línea de tiempo Nivel de operación normal Operación normal Ocurre el incidente Detección del incidente Inicio de recuperación Recuperación (mínima) de la operación en el sitio alterno Resolución del incidente Tiempo Regreso a la operación normal del negocio!

25 Cuál es el RTO? Nivel de operación B A C D E F Nivel de operación normal Operación normal Ocurre el incidente! Detección del incidente Inicio de recuperación Recuperación (mínima) de la operación en el sitio alterno Resolución del incidente Tiempo Regreso a la operación normal del negocio

26 Cuál es el RTO? Nivel de operación B A C D E F Nivel de operación normal Operación normal Ocurre el incidente! Detección del incidente Inicio de recuperación Recuperación (mínima) de la operación en el sitio alterno Resolución del incidente Tiempo Regreso a la operación normal del negocio

27 Cuál es el MTPD / MAO? Nivel de operación Nivel de operación normal Operación normal Ocurre el incidente! Detección del incidente Inicio de recuperación Recuperación (mínima) de la operación en el sitio alterno Resolución del incidente Tiempo Regreso a la operación normal del negocio

28 Cuál es el MTPD / MAO? Nivel de operación Nivel de operación normal Operación normal Ocurre el incidente! Detección del incidente Inicio de recuperación Recuperación (mínima) de la operación en el sitio alterno Resolución del incidente Tiempo Regreso a la operación normal del negocio

29 2. EVALUAR IMPACTOS EN EL TIEMPO

30 Cuál es el impacto en el tiempo? Impacto al negocio Alto Medio Bajo!

31 Cuál es el impacto en el tiempo? Impacto al negocio Alto Medio A A A A Bajo B B B B M M! 0-1 Min 1-5 Min 5-15 Min 15-30Min 30-60Min 1-2 Hrs 1-2 Hrs 2-5 Hrs 5-12 Hrs Hrs

32 Cuál es el impacto en el tiempo?

33 3. ESTABLECER PERIODOS DE TIEMPO

34 Cuál es el MTPD / MAO? Nivel de operación RPO RTO MTPoD Nivel de operación normal MBCO Operación normal Ocurre el incidente! Detección del incidente Inicio de recuperación Recuperación (mínima) de la operación en el sitio alterno Resolución del incidente Tiempo Regreso a la operación normal del negocio

35 4. IDENTIFICAR DEPENDENCIAS Y RECURSOS QUE LAS SOPORTAN

36 Proveedores y socios de negocio Productos y servicios Organización Propósito de la organización Producto / servicio Contexto interno Producto / servicio Contexto externo Actividad Actividad Actividad Actividad Actividad Actividad Actividades de soporte Activos y recursos Dependencias y actividades de soporte Activos y recursos Clientes

37 4a. Identificar dependencias Actividad Y Actividad X Actividad M

38 4b. Identificar recursos Personal / Gente Información y datos Instalaciones Mobiliario, equipamiento y consumibles Sistemas de información y comunicaciones Transportación Finanzas Proveedores y socios de negocio

41 Auditoría a

42 Preguntas y respuestas Mario Ureña Cuate CISSP, CISA, CISM, CGEIT ISO27001LA, BS25999LA, ISO22301 Gracias!

43 DEPENDE

Documentos relacionados

Sistema de Gestión de Continuidad del Negocio de Acuerdo con

Sistema de Gestión de Continuidad del Negocio de Acuerdo con BS25999 e ISO 22301 Otb October 2011 Mario Ureña Cuate Mario Ureña Cuate CISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001 Agenda Introducción