Sistema de Gestión de Continuidad del Negocio

Sistema de Gestión de Continuidad
del Negocio de Acuerdo con BS25999 e ISO 22301
BS25999 e ISO 22301
O t b 2011
October 2011
Mario Ureña Cuate
Mario Ureña Cuate
CISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001
Agenda
Introducción
Elementos que componen el SGCN
Gestión de incidentes en el SGCN
Gestión de incidentes en el SGCN
Similitudes y diferencias entre BS 25999‐2 e ISO/DIS 22301
ISO/DIS 22301
• Factores críticos de éxito
• Conclusiones
C l i
•
•
•
•
Nota
• Al cierre de la p
preparación
p
de esta p
presentación,,
el estándar ISO 22301 no ha sido publicado en su
versión final, por lo que la información contenida
en esta presentación se refiere al documento
ISO/DIS 22301.
• La publicación de ISO 22301 en su versión final
pudiera incluir cambios relevantes no incluídos en
esta presentación.
presentación
Introducción
Introducción
• Ejemplos de incidentes
continuidad del negocio:
–
–
–
–
–
–
–
–
que
pueden
afectar
Percepción negativa del público hacia la organización
P bl
Problema
con productos
d t y servicios
i i
Problema financiero
Problema de relaciones con empleados
Evento internacional adverso
Violencia en el lugar de trabajo
Pérdida de personal
Desastre natural
la
Introducción
• Evento Internacional Adverso
• El 31 de diciembre de 1986 ocurrió un incendio en el hotel
Dupont Plaza en San Juan, Puerto Rico teniendo como
resultado 97 muertos y 140 lesionados.
lesionados El fuego fue iniciado
por un empleado inconforme.
2,300 demandantes.
2,300 demandantes.
Drexel Heritage Furnishing
f e encontrada “no
fue encontrada “no responsable” por el jurado en 1989.
Introducción
• Eventos que en ocasiones no son consideradas,
causadas por:
–
–
–
–
–
–
–
Un proveedor
Un prueba / ejercicio
Acciones de los empleados
Acciones del departamento de Recursos Humanos
Acciones de los medios
Situación de espionaje
p
j industrial
Muerte precipitada de funcionarios
Introducción
• Proveedores
• En 1993 Play‐Doh Co inhabilitó a 80 empleados debido a que
uno de sus proveedores en Illinois era incapaz de proveer
harina que se utiliza para la fabricación de masa para modelar.
modelar
El proveedor fue afectado por l “
la “gran inundación del ’93”.
d ó d l’ ”
Los trabajadores fueron j
f
llamados cuando se encontró un nuevo proveedor.
Introducción
• Pruebas / ejercicios mal ejecutados
• En 1992 el Federal Reserve Bank de San Francisco realizó una
prueba de su plan de recuperación ante desastres. Como
resultado de las actividades realizadas durante la prueba,
prueba un
mainframe dejó de operar durante 12 horas, afectando a
usuarios en California y Arizona.
15 instituciones bancarias fueron afectadas.
El banco atribuye el hecho a un error humano.
Introducción
• Pruebas / ejercicios mal ejecutados
• En 1996 cinco hombres “enmascarados” ingresaron a la sala
de emergencia del Memorial Hospital en Martinsville,
Virginia apuntando sus armas al personal y demandando
Virginia,
medicamentos. La prueba fue preparada por el staff de
seguridad del hospital.
“No creo que cualquiera pueda apuntar un arma en la cabeza de una persona y se salga con la suya…”
Abogado representante de 3 enfermeras.
Introducción – Evolución
Introducción •
•
•
•
•
•
•
•
•
Plan de Contingencias (CP)
Plan
de Contingencias (CP)
Plan de Recuperación de Desastres (DRP)
Plan de Continuidad de las Operaciones (COOP)
Plan de Continuidad del Negocio (BCP)
Plan de Reanudación del Negocio (BRP)
Gestión de la Continuidad del Negocio (BCM)
Gestión de la Continuidad del Negocio (BCM)
Programa de Gestión de la Continuidad del Negocio (BCMP)
Sistema de Gestión de Continuidad del Negocio (BCMS)
Sistema de Gestión de Preparación y Continuidad (PCMS) ?
Introducción – Retos
Introducción • No contar con una estrategia de continuidad
No contar con una estrategia de continuidad
•
•
•
•
•
•
•
Falta de apoyo de la dirección
Inexistencia de análisis de riesgos y de impacto al negocio
g y
p
g
Falta de integración entre planes
Complejidad Tecnológica
Planes no actualizados
No se realizan pruebas, auditoría, revisiones gerenciales
Planes demasiado generales o demasiado específicos
Introducción
Introducción
Fuente: http://www.fema.gov/privatesector/preparedness/adoption
p //
f
g /p
/p p
/
p
_standards.shtm
Introducción
Introducción
Introducción
Buenas prácticas BCM
27001
PAS56
27031
BS25999-1
BCMS
BS25999-2 Sistema de Gestión de
Continuidad
Co
t u dad de
del Negocio
egoc o
Introducción
Gestión de Continuidad el Negocio
(BCM)
Vs
Sistema de Gestión de Continuidad
del Negocio (BCMS)
Introducción ‐ Definiciones
Introducción • BCM
Proceso de gestión holístico que identifica amenazas
potenciales a la organización y sus impactos a la operación del negocio que esas amenazas, en caso ió d l
i
realizarse, pudieran causar, y provee una estructura para construir resiliencia organizacional con la p
g
capacidad para la efectiva respuesta salvaguardando los intereses de las principales partes interesadas, reputación marca y actividades que crean valor
reputación, marca y actividades que crean valor.
BS 25999‐2:2007
Introducción ‐ Definiciones
Introducción • BCMS
La parte del Sistema de Gestión general que d l Si
d G ió
l
establece, implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del i
i
j
l
i id d d l
negocio.
BS 25999‐2:2007
Introducción – BS25999
Introducción PARTE 1
PARTE 1
PARTE 2
PARTE 2
Elementos que componen el SGCN
Elementos que componen el SGCN
Parte 1
Prácticas no auditables (sugerencias, comentarios, guías, etc)
Requisitos Comunes
Parte 2
Requisitos de Requisitos
de
Sistemas de Gestión (auditoría, acción (auditoría
acción
correctiva y preventiva, etc)
Elementos que componen el SGCN
Elementos que componen el SGCN
• Parte
Parte 1 1 – Ciclo de Vida de BCM
Ciclo de Vida de BCM
• Parte 2 – BCMS basado en modelo P‐D‐C‐A
Planear – Hacer – Verificar ‐ Actuar
Elementos que componen el SGCN
Elementos que componen el SGCN
Ciclo de Vid d BCM
Vida de BCM
BCMS
Elementos del Ciclo de Vida de BCM
Elementos del Ciclo de Vida de BCM
Elementos del BCMS
Elementos del BCMS
Requerimientos de documentación de BS 25999‐2
•
•
•
•
•
•
•
•
Alcance, objetivos y procedimientos
ca ce, objet os y p oced e tos
Política de GCN
Provisión de recursos
Provisión de recursos
Competencia del personal de GCN
Análisis de Impacto al Negocio
Análisis de Impacto al Negocio
Evaluación de riesgos
Estrategia de Continuidad del Negocio
Estrategia de Continuidad del Negocio
Estructura de respuesta a incidentes
Requerimientos de documentación de BS 25999‐2
•
•
•
•
•
•
•
•
Plan(es) de continuidad del negocio
a (es) de co t u dad de egoc o
Plan(es) de gestión de incidentes
Ejercicio de GCN
Ejercicio de GCN
Mantenimiento y revisión de arreglos de GCN
Auditoría interna
Auditoría interna
Revisión de la gerencia del SGCN
Acciones correctivas y preventivas
Acciones correctivas y preventivas
Mejora continua
Requerimientos de documentación de BS 25999‐2
¿Y el manual del SGCN?
Elementos de IRBC
Elementos de IRBC
Elementos de IRBC
Elementos de PCMS
Elementos de PCMS
Definición
• IRBC –
C ICT Readiness
C ead ess for
o Business Continuity
us ess Co t u ty
(ICT – Information and Comunication Technology)
Capacidad de una organización para soportar sus operaciones a través de la prevención, detección p
p
,
y respuesta a la interrupción y recuperación de servicios de ICT.
ISO 27031:2011
Gestión de Incidentes y el SGCN
Gestión de Incidentes y el SGCN
• Plan de Gestión de Incidentes
a de Gest ó de c de tes
Plan de acción claramente definido y documentado Plan
de acción claramente definido y documentado
para ser utilizado cuando ocurre un incidente, típicamente cubre al personal clave, recursos, servicios y acciones necesarias para implementar el proceso de gestión de incidentes.
BS 25999‐2:2007
Gestión de Incidentes y el SGCN
t0 t1
RPO
t2
t3 ≤ RTO
t4
t5
Nivel de operación normal
MTPoD
Nivel de operación normal
Nivel de operación en crisis
Operación normal
Operación normal
Recuperación
Operación en continuidad
Operación en continuidad
Plan de Gestión de Incidentes
Plan de Continuidad del Negocio
Nota: Esta información no es un requisito de BS25999
Regreso
Operación normal
Operación normal
Similitudes y diferencias entre BS 25999‐2 e ISO22301
BS 25999‐2
1 ‐ Alcance
2 ‐ Términos y definiciones
3 Planear el SGCN
3 ‐
l
l SGCN
4 ‐ Implementar y operar el SGCN
5 ‐ Monitorear y revisar el SGCN
5 Monitorear y revisar el SGCN
6 ‐ Mantener y mejorar el SGCN
ISO DIS 22301
1 ‐ Alcance
2 ‐ Referencias normativas
3 Términos y definiciones
3 ‐
é i
d fi i i
4 ‐ Requerimientos generales
5 ‐ Liderazgo
5 6 ‐ Planeación
7 ‐ Soporte
8 ‐ Operación
9 ‐ Evaluación del desempeño
10 ‐ Mejora
10 Similitudes y diferencias entre BS 25999‐2 e ISO22301
BS 25999‐2
Cláusula
Descripción
Introducción
1
Alcance
2
Términos y definiciones
ISO DIS 22301
Cláusula
Descripción
Introducción
1
Alcance
2
Referencias normativas
3
Términos y definiciones
Similitudes y diferencias entre BS 25999‐2 e ISO22301
BS 25999‐2
Cláusula
lá l
Descripción
ó
3
Planeación del SGCN
3.1
General
3.2
Establecer y gestionar el SGCN
yg
3.2.1 Alcance y objetivos
ISO DIS 22301
Cláusula
lá l
Descripción
ó
6
Planeación
6.1
6.2
4
4.1
3.2.1.1
3.2.1.2
3.2.2
Alcance y objetivos
y j
Productos y servicios clave
Política de GCN
4.3
4.2
5.3
Objetivos y planes para alcanzarlos
Acciones para atender problemas y preocupaciones
R
Requerimientos generales
i i t
l
Entendimiento de la organización y su contexto
Sistema de Gestión y Alcance
y
Necesidades y requerimientos
Política
Similitudes y diferencias entre BS 25999‐2
BS 25999
2 e ISO22301
e ISO22301
BS 25999‐2
Cláusula
Descripción
3 2 3 Provisión de recursos
3.2.3
Provisión de recursos
3.2.3.1 Recursos generales
Roles, responsabilidades, 3.2.3.2 competencias y autoridades d GCN
de GCN
3.2.3.3 Designación del responsable
3.3
3.4
Integrar GCN en la cultura de la organización
Documentación y registros del SGCN
ISO DIS 22301
Cláusula
71
7.1
Descripción
Recursos
7.2
Roles, responsabilidades y autoridades organizacionales
Competencia
Roles, responsabilidades y autoridades organizacionales
Competencia
p
7.3
Concientización
5.4
7.2
5.4
7.5
751
7.5.1
7.5.2
7.5.3
Información documentada
General
Crear y actualizar
Control de información documentada
BS 25999‐2
Cláusula Descripción
4
Implementar y operar el SGCN
ISO DIS 22301
Cláusula
8
8.1
8.2
4.1
Entender a la organización
8.3
8.4
8.4.3
4.1.1 Análisis de Impacto al Negocio
4.1.2 Evaluación de riesgos
8.4.3.3
8.4.3.4
8.4.4
4.1.3 Determinar opciones
8.4.4.1
8.4.4.3
4.2
Determinar estrategia de continuidad del negocio
8.4.4.2
Descripción
O
Operación
ió
General
Planeación y control operacional
Preparación
Planeación
Análisis de Impacto al Negocio y Evaluación de Riesgos
y Evaluación de Riesgos
Análisis de Impacto al Negocio
Evaluación de riesgos
Opciones de continuidad del negocio
i
Determinación y selección de opciones
y
g
Protección y mitigación
Establecer requerimientos de recursos
BS 25999‐2
Cláusula Descripción
4.3
Desarrollar e implementar la Desarrollar
e implementar la
GCN
4 3 1 General
4.3.1
ISO DIS 22301
Cláusula
7.4
741
7.4.1
7.4.2
8.5
8.5.8
8.5.9
Descripción
Comunicación
Comunicación externa
Comunicación externa
Comunicación interna
Ejecución
Desarrollar e implementar una respuesta de continuidad del
respuesta de continuidad del negocio
Estructura de respuesta
Alerta y comunicación
R
Respuesta
t
Planes de continuidad el negocio
Requerimientos de procedimientos de respuesta
di i t d
t
Contenido del procedimiento de respuesta
Recuperación
Comunicación y consulta
8.6.1
Ejercicios y pruebas
851
8.5.1
8.5.2
8.5.3
854
8.5.4
Estructura de respuesta a incidentes
4.3.2
Planes de continuidad del 4.3.3
negocio y gestión de i
tió d
incidentes
4.4
Ejercitar. Mantener y revisar los arreglos de BCM
8.5.5
8.5.6
8.5.7
Similitudes y diferencias entre BS 25999‐2 e ISO22301
BS 25999
BS
25999‐2
2
Cláusula Descripción
5
Monitorear y revisar el SGCN
ISO DIS 22301
ISO DIS 22301
Cláusula
9
8.7
8.6.2
8.7.2
5.1
5.2
Auditoría interna
Revisión de la gerencia del SGCN
9.1
9.2
8.7.1
9.3
Descripción
Evaluación del desempeño
Revisión
d ld
Monitoreo del desempeño
Evaluación de procedimientos de continuidad
Evaluación del desempeño
p
Auditoría interna
Revisión de la gerencia
Revisión de la gerencia
Similitudes y diferencias entre BS 25999‐2 e ISO22301
BS 25999‐2
Cláusula Descripción
6
Mantener y mejorar el SGCN
6.1
Acciones preventivas y correctivas
6.1.1 General
6.1.2 Acción preventiva
p
6.1.3 Acción correctiva
6.2
Mejora continua
Cláusula
10
Mejora
10.1
10.2
ISO DIS 22301
Descripción
No conformidad y acción correctiva
Mejora continua
Estatus de ISO 22301
Fuente: www.iso.org
Estatus de ISO 22301
Fuente: www.iso.org
Factores críticos de éxito
Factores críticos de éxito
•
•
•
•
•
•
•
•
•
Asegurar el apoyo de la dirección
g
p y
BCM requiere recursos permanentes (d # $)
Roles y responsabilidades claramente establecidos
Programa de concientización adecuado
Documentación suficientemente detallada
P
Programa de ejercicios y pruebas
d j i i
b
Promover la participación de toda la organización
Procedimiento de control de cambios efectivo
Procedimiento de control de cambios efectivo
Auditoría, revisión de la gerencia y mejora continua
Conclusiones
Preguntas
g
yy respuestas
p
¡Gracias!
Mario Ureña Cuate
CISA, CISM, CGEIT, CISSP
CISA
CISM CGEIT CISSP
ISO27001LA, BS25999LA
mario.urena@secureit.com.m
x
@mariourena
www.mariourenacuate.com
www.slideshare.net/mariour
ena