Sistema de Gestión de Continuidad del Negocio de Acuerdo con BS25999 e ISO 22301 Otb October 2011 Mario Ureña Cuate Mario Ureña Cuate CISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001
Agenda Introducción Elementos que componen el SGCN Gestión de incidentes en el SGCN Similitudes y diferencias entre BS 25999 2 e ISO/DIS 22301 Factores críticos de éxito Conclusiones
Nota Al cierre de la preparación p de esta presentación, el estándar ISO 22301 no ha sido publicado en su versión final, por lo que la información contenida en esta presentación se refiere al documento ISO/DIS 22301. La publicación de ISO 22301 en su versión final pudiera incluir cambios relevantes no incluídos en esta presentación.
Introducción
Introducción Ejemplos de incidentes que pueden afectar la continuidad del negocio: Percepción negativa del público hacia la organización Problema con productos y servicios ii Problema financiero Problema de relaciones con empleados Evento internacional adverso Violencia en el lugar de trabajo Pérdida de personal Desastre natural
Evento Internacional Adverso Introducción El 31 de diciembre de 1986 ocurrió un incendio en el hotel Dupont Plaza en San Juan, Puerto Rico teniendo como resultado 97 muertos y 140 lesionados. El fuego fue iniciado por un empleado inconforme. 2,300 demandantes. Drexel Heritage Furnishing fue eencontrada encontrada no responsable por el jurado en 1989.
Introducción Eventos que en ocasiones no son consideradas, causadas por: Un proveedor Un prueba / ejercicio Acciones de los empleados Acciones del departamento de Recursos Humanos Acciones de los medios Situacióndeespionaje industrial Muerte precipitada de funcionarios
Introducción Proveedores En 1993 Play Doh Co inhabilitó a 80 empleados debido a que uno de sus proveedores en Illinois era incapaz de proveer harina que se utiliza para la fabricación de masa para modelar. El proveedor fue afectado por la gran inundación del dl 93. Los trabajadores fueron llamados cuando se encontró un nuevo proveedor.
Introducción Pruebas / ejercicios mal ejecutados En 1992 el Federal Reserve Bank de San Francisco realizó una prueba de su plan de recuperación ante desastres. Como resultado de las actividades realizadas durante la prueba, un mainframe dejó de operar durante 12 horas, afectando a usuarios en California y Arizona. 15 instituciones bancarias fueron afectadas. El banco atribuye el hecho a un error humano.
Introducción Pruebas / ejercicios mal ejecutados En 1996 cinco hombres enmascarados ingresaron a la sala de emergencia del Memorial Hospital en Martinsville, Virginia, apuntando sus armas al personal y demandando medicamentos. La prueba fue preparada por el staff de seguridad del hospital. No creo que cualquiera pueda apuntar un arma en la cabeza de una persona y se salga con la suya Abogado representante de 3 enfermeras.
Introducción Evolución Plande Contingencias (CP) Plan de Recuperación de Desastres (DRP) Plan de Continuidad de las Operaciones (COOP) Plan de Continuidad del Negocio (BCP) Plan de Reanudación del Negocio (BRP) Gestión de la Continuidad del Negocio (BCM) Programa de Gestión de la Continuidad del Negocio (BCMP) Sistema de Gestión de Continuidad del Negocio (BCMS) Sistema de Gestión de Preparación y Continuidad (PCMS)?
Introducción Retos No contar con una estrategia de continuidad Falta de apoyo de la dirección Inexistencia de análisis de riesgos y de impacto al negocio Falta de integración entre planes Complejidad Tecnológica Planes no actualizados No se realizan pruebas, auditoría, revisiones gerenciales Planes demasiado generales o demasiado específicos
Introducción
Introducción Fuente: http://www.fema.gov/privatesector/preparedness/adoption p// /p /p p / p _ standards.shtm
Introducción
Introducción
Introducción Buenas prácticas BCM 27001 PAS56 27031 BS25999-1 BS25999-2 BCMS Sistema de Gestión de Continuidad del Negocio o
Introducción Gestión de Continuidad el Negocio (BCM) Vs Sistema de Gestión de Continuidad del Negocio (BCMS)
Introducción Definiciones BCM Proceso de gestión holístico que identifica amenazas potenciales a la organización y sus impactos a la operación dl del negocio que esas amenazas, en caso realizarse, pudieran causar, y provee una estructura para construir resiliencia organizacional con la capacidad para la efectiva respuesta salvaguardando los intereses de las principales partes interesadas, reputación, marca y actividades que crean valor. BS 25999 2:2007
Introducción Definiciones BCMS La parte dlsi del Sistema de Gestión general que establece, implementa, opera, monitorea, revisa, mantiene y mejora la continuidad id ddl del negocio. BS 25999 2:2007
Introducción BS25999 PARTE 1 PARTE 2
Elementos que componen el SGCN Parte 1 Prácticas no auditables (sugerencias, comentarios, guías, etc) Requisitos Comunes Parte 2 Requisitos de Sistemas de Gestión (auditoría, acción correctiva y preventiva, etc)
Elementos que componen el SGCN Parte 1 Ciclo de Vida de BCM Parte 2 BCMS basado en modelo P D C A Planear Hacer Verificar Actuar
Elementos que componen el SGCN Ciclo de Vida de BCM BCMS
Elementos del Ciclo de Vida de BCM
Elementos del BCMS
Requerimientos de documentación de BS 25999 2 Alcance, ce, objetivos os y procedimientos poced e Política de GCN Provisión derecursos Competencia del personal de GCN AnálisisdeImpacto al Negocio Evaluación de riesgos Estrategia de Continuidad del Negocio Estructura de respuesta a incidentes
Requerimientos de documentación de BS 25999 2 Plan(es) (es)de continuidad del negocio o Plan(es) de gestión de incidentes Ejercicio de GCN Mantenimiento y revisión de arreglos de GCN Auditoría interna Revisión de la gerencia del SGCN Acciones correctivas y preventivas Mejora continua
Requerimientos de documentación de BS 25999 2 Y el manual del SGCN?
Elementos de IRBC
Elementos de IRBC
Elementos de PCMS
Definición IRBC ICT Readiness ess forbusiness Continuity ty (ICT Information and Comunication Technology) Capacidad de una organización para soportar sus operaciones a través de la prevención, detección y respuesta a la interrupción y recuperación de servicios de ICT. ISO 27031:2011
Gestión de Incidentes y el SGCN Plan degestión de Incidentes Plan de acción claramente definido y documentado para ser utilizado cuando ocurre un incidente, típicamente cubre al personal clave, recursos, servicios y acciones necesarias para implementar el proceso de gestión de incidentes. BS 25999 2:2007
Gestión de Incidentes y el SGCN RPO t0 t1 t2 t3 RTO t4 t5 MTPoD Nivel de operación normal Nivel de operación normal Nivel de operación en crisis Operación normal Recuperación Operación encontinuidad Operación normal Plan de Gestión de Incidentes Plan de Continuidad del Negocio Nota: Esta información no es un requisito de BS25999 Regreso
Similitudes y diferencias entre BS 25999 2 e ISO22301 BS 25999 2 ISO DIS 22301 1 Alcance 1 Alcance 2 Términos y definiciones 2 Referencias normativas 3 Planear el SGCN 3 Términos y dfiii definiciones 4 Implementar y operar el SGCN 4 Requerimientos generales 5 Monitorear y revisar el SGCN 5 Liderazgo 6 Mantener y mejorar el SGCN 6 Planeación 7 Soporte 8 Operación 9 Evaluación del desempeño 10 Mejora
Similitudes y diferencias entre BS 25999 2 e ISO22301 BS 25999 2 ISO DIS 22301 Cláusula Descripción Cláusula Descripción Introducción Introducción 1 Alcance 1 Alcance 2 Referencias normativas 2 Términos y definiciones 3 Términos y definiciones
Similitudes y diferencias entre BS 25999 2 e ISO22301 BS 25999 2 ISO DIS 22301 Cláusula l Descripción Cláusula l Descripción 3 Planeación del SGCN 6 Planeación 3.1 General 3.2 Establecer y gestionar el SGCN 3.2.1 Alcance y objetivos 6.1 Objetivos y planes para alcanzarlos 6.2 Acciones para atender problemas y preocupaciones 4 Requerimientos i generales 4.1 Entendimiento de la organización y su contexto 3.2.1.1 Alcance y objetivos 4.3 Sistema de Gestión y Alcance 3.2.1.2 Productos y servicios clave 4.2 Necesidades y requerimientos 3.2.2 Política de GCN 5.3 Política
Similitudes y diferencias entre BS 25999 2 2 e ISO22301 BS 25999 2 ISO DIS 22301 Cláusula Descripción Cláusula Descripción 3.2.3 3 Provisión de recursos 7.1 Recursos 3.2.3.1 Recursos generales Roles, responsabilidades, Roles, responsabilidades y 5.4 3.2.3.2 competencias y autoridades autoridades organizacionales de GCN 7.2 Competencia Roles, responsabilidades y 5.4 3.2.3.3 Designación del responsable autoridades organizacionales 7.2 Competencia 3.3 Integrar GCN en la cultura de la organización 7.3 Concientización 7.5 Información documentada 751 7.5.1 General Documentación y registros del 3.4 7.5.2 Crear y actualizar SGCN Control de información 7.5.3 documentada
BS 25999 2 ISO DIS 22301 Cláusula Descripción Cláusula Descripción 8 Operación 8.1 General 4 Implementar y operar el SGCN Planeación y control 8.2 operacional 4.1 Entender a la organización 8.3 Preparación 8.4 Planeación 8.4.3 Análisis de Impacto al Negocio y Evaluación de Riesgos 4.1.1 Análisis de Impacto al Negocio 8.4.3.3 Análisis de Impacto al Negocio 4.1.2 Evaluación de riesgos 8.4.3.4 Evaluación de riesgos 8.4.4 Opciones de continuidad del negocio Determinación y selección de 8.4.4.1 4.1.3 Determinar opciones opciones 8.4.4.3 Protección y mitigación 4.2 Determinar estrategia de continuidad del negocio 8.4.4.2 Establecer requerimientos de recursos
BS 25999 2 ISO DIS 22301 Cláusula Descripción Cláusula Descripción 7.4 Comunicación 4.3 Desarrollar e implementar la 7.4.1 Comunicación externa GCN 7.4.2 Comunicación interna 8.5 Ejecución 431 4.3.1 General 851 8.5.1 Desarrollar e implementar una respuesta de continuidad del negocio 8.5.2 Estructura de respuesta 8.5.3 Alerta y comunicación 854 8.5.4 Respuesta Estructura de respuesta a Planes de continuidad el 8.5.5 incidentes negocio 4.3.2 Planes de continuidad del Requerimientos de 4.3.3 8.5.6 negocio y gestión de procedimientos i de respuesta incidentes Contenido del procedimiento 8.5.7 de respuesta 8.5.8 Recuperación 8.5.9 Comunicación y consulta 4.4 Ejercitar. Mantener y revisar los arreglos de BCM 8.6.1 Ejercicios y pruebas
Similitudes y diferencias entre BS 25999 2 e ISO22301 BS25999 2 2 ISO DIS 22301 Cláusula Descripción Cláusula Descripción 9 Evaluación del desempeño 8.7 Revisión 8.6.2 Monitoreo dld del desempeño 5 Monitorear y revisar el SGCN Evaluación de procedimientos 8.7.2 de continuidad 9.1 Evaluación del desempeño 5.1 Auditoría interna 9.2 Auditoría interna 5.2 Revisión de la gerencia del 8.7.1 Revisión de la gerencia SGCN 9.3 Revisión de la gerencia
Similitudes y diferencias entre BS 25999 2 e ISO22301 BS 25999 2 ISO DIS 22301 Cláusula Descripción Cláusula Descripción 6 Mantener y mejorar el SGCN 10 Mejora 6.1 Acciones preventivas y correctivas 6.1.1 General 6.1.2 Acción preventiva 6.1.3 Acción correctiva 10.1 No conformidad y acción correctiva 6.2 Mejora continua 10.2 Mejora continua
Estatus de ISO 22301 Fuente: www.iso.org
Estatus de ISO 22301 Fuente: www.iso.org
Factores críticos de éxito Asegurar el apoyo de la dirección BCM requiere recursos permanentes ( $) Roles y responsabilidades claramente establecidos Programa de concientización adecuado Documentación suficientemente detallada Programa de ejercicios i y pruebas Promover la participación de toda la organización Procedimiento decontrol decambios efectivo Auditoría, revisión de la gerencia y mejora continua
Conclusiones
Preguntas y respuestas Gracias! Mario Ureña Cuate CISA, CISM, CGEIT, CISSP ISO27001LA, BS25999LA mario.urena@secureit.com.m x @mariourena www.mariourenacuate.com www.slideshare.net/mariour ena