CASO PRÁCTICO PARA LA EJECUCIÓN DE UN BIA Mario Ureña Cuate Secure Information Technologies CISA, CISM, CGEIT, CISSP Lead Auditor ISO 27001, ISO 22301 Lead Implementer ISO 22301
INTRODUCCIÓN
Base metodológica
Qué es un BIA? Proceso de analizar actividades y el efecto que una interrupción del negocio podría tener sobre ellas ISO 22301: 2012, cláusula 3.8
Qué es una actividad? Proceso o conjunto de procesos realizados por una organización (o en su nombre) que produce o soporta uno o mas productos o servicios. ISO 22301: 2012, cláusula 3.1
Qué es un proceso? Conjunto de actividades interelacionadas o interactivas que transforma entradas en salidas. ISO 22301: 2012, cláusula 3.40
Qué hacemos primero? Valuación de riesgos (RA) Análisis de Impacto al Negocio (BIA)
Requerimientos de ISO 22301 Existen diversas metodologías para Análisis de Impacto al Negocio y Valuación de Riesgos que determinarán el órden en que estos serán conducidos ISO 22301: 2012, cláusula 8.2.1, Nota
En qué momento hacemos el BIA?
En qué momento hacemos el BIA?
Objetivos de un BIA Determinar prioridades de continuidad Determinar prioridades de recuperación Determinar objetivos de continuidad Determinar metas
PROCESO BIA
BURBUJA, la tortuga
Recursos Personas Entradas Actividades Salidas Procedimientos Medidores
Ejemplo Entendimiento del negocio Partes interesadas Roles y responsabilidades Productos y servicios Objetivos de continuidad Criterios de impacto Requisitos legales Dinero Tiempo Herramientas ISO 22301 Cláusula 8.2.2 Procedimientos Metodología Técnicas Responsables de actividades Tomadores de decisión Gestión BCMS Actividades críticas Prioridades RTO, MTPoD, RPO, MBCO Dependencias Recursos críticos Actividades analizadas / total Personal capacitado / total
POLÍTICA Y OBJETIVOS ESTRATEGIA
REQUERIMIENTOS ISO 22301
a
Identificar actividades Evaluar impactos en el tiempo Establecer periodos de tiempo y objetivos de operación Identificar dependencias y recursos que las soportan
1. IDENTIFICAR ACTIVIDADES
Proveedores y socios de negocio Productos y servicios Organización Propósito de la organización Producto / servicio Contexto interno Producto / servicio Contexto externo Actividad Actividad Actividad Actividad Actividad Actividad Actividades de soporte Activos y recursos Dependencias y actividades de soporte Activos y recursos Clientes
1. Identificar actividades Identificar productos y servicios Identificar actividades críticas Identificar actividades de soporte Identificar dependencias Identificar proveedores críticos Identificar recursos críticos
Nivel de operación Línea de tiempo Nivel de operación normal Operación normal Ocurre el incidente Detección del incidente Inicio de recuperación Recuperación (mínima) de la operación en el sitio alterno Resolución del incidente Tiempo Regreso a la operación normal del negocio!
Cuál es el RTO? Nivel de operación B A C D E F Nivel de operación normal Operación normal Ocurre el incidente! Detección del incidente Inicio de recuperación Recuperación (mínima) de la operación en el sitio alterno Resolución del incidente Tiempo Regreso a la operación normal del negocio
Cuál es el RTO? Nivel de operación B A C D E F Nivel de operación normal Operación normal Ocurre el incidente! Detección del incidente Inicio de recuperación Recuperación (mínima) de la operación en el sitio alterno Resolución del incidente Tiempo Regreso a la operación normal del negocio
Cuál es el MTPD / MAO? Nivel de operación 1 2 3 4 5 Nivel de operación normal Operación normal Ocurre el incidente! Detección del incidente Inicio de recuperación Recuperación (mínima) de la operación en el sitio alterno Resolución del incidente Tiempo Regreso a la operación normal del negocio
Cuál es el MTPD / MAO? Nivel de operación 1 2 3 4 5 Nivel de operación normal Operación normal Ocurre el incidente! Detección del incidente Inicio de recuperación Recuperación (mínima) de la operación en el sitio alterno Resolución del incidente Tiempo Regreso a la operación normal del negocio
2. EVALUAR IMPACTOS EN EL TIEMPO
Cuál es el impacto en el tiempo? Impacto al negocio Alto Medio Bajo!
Cuál es el impacto en el tiempo? Impacto al negocio Alto Medio A A A A Bajo B B B B M M! 0-1 Min 1-5 Min 5-15 Min 15-30Min 30-60Min 1-2 Hrs 1-2 Hrs 2-5 Hrs 5-12 Hrs 12-24 Hrs
Cuál es el impacto en el tiempo?
3. ESTABLECER PERIODOS DE TIEMPO
Cuál es el MTPD / MAO? Nivel de operación RPO RTO MTPoD Nivel de operación normal MBCO Operación normal Ocurre el incidente! Detección del incidente Inicio de recuperación Recuperación (mínima) de la operación en el sitio alterno Resolución del incidente Tiempo Regreso a la operación normal del negocio
4. IDENTIFICAR DEPENDENCIAS Y RECURSOS QUE LAS SOPORTAN
Proveedores y socios de negocio Productos y servicios Organización Propósito de la organización Producto / servicio Contexto interno Producto / servicio Contexto externo Actividad Actividad Actividad Actividad Actividad Actividad Actividades de soporte Activos y recursos Dependencias y actividades de soporte Activos y recursos Clientes
4a. Identificar dependencias Actividad Y Actividad X Actividad M
4b. Identificar recursos Personal / Gente Información y datos Instalaciones Mobiliario, equipamiento y consumibles Sistemas de información y comunicaciones Transportación Finanzas Proveedores y socios de negocio
Auditoría a
Preguntas y respuestas Mario Ureña Cuate CISSP, CISA, CISM, CGEIT ISO27001LA, BS25999LA, ISO22301 Gracias! mario.urena@secureit.com.mx @mariourena www.slideshare.net/mariourena
DEPENDE