Sistema de Gestión de Continuidad del Negocio
Transcription
Sistema de Gestión de Continuidad del Negocio
Sistema de Gestión de Continuidad del Negocio de Acuerdo con BS25999 e ISO 22301 BS25999 e ISO 22301 O t b 2011 October 2011 Mario Ureña Cuate Mario Ureña Cuate CISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001 Agenda Introducción Elementos que componen el SGCN Gestión de incidentes en el SGCN Gestión de incidentes en el SGCN Similitudes y diferencias entre BS 25999‐2 e ISO/DIS 22301 ISO/DIS 22301 • Factores críticos de éxito • Conclusiones C l i • • • • Nota • Al cierre de la p preparación p de esta p presentación,, el estándar ISO 22301 no ha sido publicado en su versión final, por lo que la información contenida en esta presentación se refiere al documento ISO/DIS 22301. • La publicación de ISO 22301 en su versión final pudiera incluir cambios relevantes no incluídos en esta presentación. presentación Introducción Introducción • Ejemplos de incidentes continuidad del negocio: – – – – – – – – que pueden afectar Percepción negativa del público hacia la organización P bl Problema con productos d t y servicios i i Problema financiero Problema de relaciones con empleados Evento internacional adverso Violencia en el lugar de trabajo Pérdida de personal Desastre natural la Introducción • Evento Internacional Adverso • El 31 de diciembre de 1986 ocurrió un incendio en el hotel Dupont Plaza en San Juan, Puerto Rico teniendo como resultado 97 muertos y 140 lesionados. lesionados El fuego fue iniciado por un empleado inconforme. 2,300 demandantes. 2,300 demandantes. Drexel Heritage Furnishing f e encontrada “no fue encontrada “no responsable” por el jurado en 1989. Introducción • Eventos que en ocasiones no son consideradas, causadas por: – – – – – – – Un proveedor Un prueba / ejercicio Acciones de los empleados Acciones del departamento de Recursos Humanos Acciones de los medios Situación de espionaje p j industrial Muerte precipitada de funcionarios Introducción • Proveedores • En 1993 Play‐Doh Co inhabilitó a 80 empleados debido a que uno de sus proveedores en Illinois era incapaz de proveer harina que se utiliza para la fabricación de masa para modelar. modelar El proveedor fue afectado por l “ la “gran inundación del ’93”. d ó d l’ ” Los trabajadores fueron j f llamados cuando se encontró un nuevo proveedor. Introducción • Pruebas / ejercicios mal ejecutados • En 1992 el Federal Reserve Bank de San Francisco realizó una prueba de su plan de recuperación ante desastres. Como resultado de las actividades realizadas durante la prueba, prueba un mainframe dejó de operar durante 12 horas, afectando a usuarios en California y Arizona. 15 instituciones bancarias fueron afectadas. El banco atribuye el hecho a un error humano. Introducción • Pruebas / ejercicios mal ejecutados • En 1996 cinco hombres “enmascarados” ingresaron a la sala de emergencia del Memorial Hospital en Martinsville, Virginia apuntando sus armas al personal y demandando Virginia, medicamentos. La prueba fue preparada por el staff de seguridad del hospital. “No creo que cualquiera pueda apuntar un arma en la cabeza de una persona y se salga con la suya…” Abogado representante de 3 enfermeras. Introducción – Evolución Introducción • • • • • • • • • Plan de Contingencias (CP) Plan de Contingencias (CP) Plan de Recuperación de Desastres (DRP) Plan de Continuidad de las Operaciones (COOP) Plan de Continuidad del Negocio (BCP) Plan de Reanudación del Negocio (BRP) Gestión de la Continuidad del Negocio (BCM) Gestión de la Continuidad del Negocio (BCM) Programa de Gestión de la Continuidad del Negocio (BCMP) Sistema de Gestión de Continuidad del Negocio (BCMS) Sistema de Gestión de Preparación y Continuidad (PCMS) ? Introducción – Retos Introducción • No contar con una estrategia de continuidad No contar con una estrategia de continuidad • • • • • • • Falta de apoyo de la dirección Inexistencia de análisis de riesgos y de impacto al negocio g y p g Falta de integración entre planes Complejidad Tecnológica Planes no actualizados No se realizan pruebas, auditoría, revisiones gerenciales Planes demasiado generales o demasiado específicos Introducción Introducción Fuente: http://www.fema.gov/privatesector/preparedness/adoption p // f g /p /p p / p _standards.shtm Introducción Introducción Introducción Buenas prácticas BCM 27001 PAS56 27031 BS25999-1 BCMS BS25999-2 Sistema de Gestión de Continuidad Co t u dad de del Negocio egoc o Introducción Gestión de Continuidad el Negocio (BCM) Vs Sistema de Gestión de Continuidad del Negocio (BCMS) Introducción ‐ Definiciones Introducción • BCM Proceso de gestión holístico que identifica amenazas potenciales a la organización y sus impactos a la operación del negocio que esas amenazas, en caso ió d l i realizarse, pudieran causar, y provee una estructura para construir resiliencia organizacional con la p g capacidad para la efectiva respuesta salvaguardando los intereses de las principales partes interesadas, reputación marca y actividades que crean valor reputación, marca y actividades que crean valor. BS 25999‐2:2007 Introducción ‐ Definiciones Introducción • BCMS La parte del Sistema de Gestión general que d l Si d G ió l establece, implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del i i j l i id d d l negocio. BS 25999‐2:2007 Introducción – BS25999 Introducción PARTE 1 PARTE 1 PARTE 2 PARTE 2 Elementos que componen el SGCN Elementos que componen el SGCN Parte 1 Prácticas no auditables (sugerencias, comentarios, guías, etc) Requisitos Comunes Parte 2 Requisitos de Requisitos de Sistemas de Gestión (auditoría, acción (auditoría acción correctiva y preventiva, etc) Elementos que componen el SGCN Elementos que componen el SGCN • Parte Parte 1 1 – Ciclo de Vida de BCM Ciclo de Vida de BCM • Parte 2 – BCMS basado en modelo P‐D‐C‐A Planear – Hacer – Verificar ‐ Actuar Elementos que componen el SGCN Elementos que componen el SGCN Ciclo de Vid d BCM Vida de BCM BCMS Elementos del Ciclo de Vida de BCM Elementos del Ciclo de Vida de BCM Elementos del BCMS Elementos del BCMS Requerimientos de documentación de BS 25999‐2 • • • • • • • • Alcance, objetivos y procedimientos ca ce, objet os y p oced e tos Política de GCN Provisión de recursos Provisión de recursos Competencia del personal de GCN Análisis de Impacto al Negocio Análisis de Impacto al Negocio Evaluación de riesgos Estrategia de Continuidad del Negocio Estrategia de Continuidad del Negocio Estructura de respuesta a incidentes Requerimientos de documentación de BS 25999‐2 • • • • • • • • Plan(es) de continuidad del negocio a (es) de co t u dad de egoc o Plan(es) de gestión de incidentes Ejercicio de GCN Ejercicio de GCN Mantenimiento y revisión de arreglos de GCN Auditoría interna Auditoría interna Revisión de la gerencia del SGCN Acciones correctivas y preventivas Acciones correctivas y preventivas Mejora continua Requerimientos de documentación de BS 25999‐2 ¿Y el manual del SGCN? Elementos de IRBC Elementos de IRBC Elementos de IRBC Elementos de PCMS Elementos de PCMS Definición • IRBC – C ICT Readiness C ead ess for o Business Continuity us ess Co t u ty (ICT – Information and Comunication Technology) Capacidad de una organización para soportar sus operaciones a través de la prevención, detección p p , y respuesta a la interrupción y recuperación de servicios de ICT. ISO 27031:2011 Gestión de Incidentes y el SGCN Gestión de Incidentes y el SGCN • Plan de Gestión de Incidentes a de Gest ó de c de tes Plan de acción claramente definido y documentado Plan de acción claramente definido y documentado para ser utilizado cuando ocurre un incidente, típicamente cubre al personal clave, recursos, servicios y acciones necesarias para implementar el proceso de gestión de incidentes. BS 25999‐2:2007 Gestión de Incidentes y el SGCN t0 t1 RPO t2 t3 ≤ RTO t4 t5 Nivel de operación normal MTPoD Nivel de operación normal Nivel de operación en crisis Operación normal Operación normal Recuperación Operación en continuidad Operación en continuidad Plan de Gestión de Incidentes Plan de Continuidad del Negocio Nota: Esta información no es un requisito de BS25999 Regreso Operación normal Operación normal Similitudes y diferencias entre BS 25999‐2 e ISO22301 BS 25999‐2 1 ‐ Alcance 2 ‐ Términos y definiciones 3 Planear el SGCN 3 ‐ l l SGCN 4 ‐ Implementar y operar el SGCN 5 ‐ Monitorear y revisar el SGCN 5 Monitorear y revisar el SGCN 6 ‐ Mantener y mejorar el SGCN ISO DIS 22301 1 ‐ Alcance 2 ‐ Referencias normativas 3 Términos y definiciones 3 ‐ é i d fi i i 4 ‐ Requerimientos generales 5 ‐ Liderazgo 5 6 ‐ Planeación 7 ‐ Soporte 8 ‐ Operación 9 ‐ Evaluación del desempeño 10 ‐ Mejora 10 Similitudes y diferencias entre BS 25999‐2 e ISO22301 BS 25999‐2 Cláusula Descripción Introducción 1 Alcance 2 Términos y definiciones ISO DIS 22301 Cláusula Descripción Introducción 1 Alcance 2 Referencias normativas 3 Términos y definiciones Similitudes y diferencias entre BS 25999‐2 e ISO22301 BS 25999‐2 Cláusula lá l Descripción ó 3 Planeación del SGCN 3.1 General 3.2 Establecer y gestionar el SGCN yg 3.2.1 Alcance y objetivos ISO DIS 22301 Cláusula lá l Descripción ó 6 Planeación 6.1 6.2 4 4.1 3.2.1.1 3.2.1.2 3.2.2 Alcance y objetivos y j Productos y servicios clave Política de GCN 4.3 4.2 5.3 Objetivos y planes para alcanzarlos Acciones para atender problemas y preocupaciones R Requerimientos generales i i t l Entendimiento de la organización y su contexto Sistema de Gestión y Alcance y Necesidades y requerimientos Política Similitudes y diferencias entre BS 25999‐2 BS 25999 2 e ISO22301 e ISO22301 BS 25999‐2 Cláusula Descripción 3 2 3 Provisión de recursos 3.2.3 Provisión de recursos 3.2.3.1 Recursos generales Roles, responsabilidades, 3.2.3.2 competencias y autoridades d GCN de GCN 3.2.3.3 Designación del responsable 3.3 3.4 Integrar GCN en la cultura de la organización Documentación y registros del SGCN ISO DIS 22301 Cláusula 71 7.1 Descripción Recursos 7.2 Roles, responsabilidades y autoridades organizacionales Competencia Roles, responsabilidades y autoridades organizacionales Competencia p 7.3 Concientización 5.4 7.2 5.4 7.5 751 7.5.1 7.5.2 7.5.3 Información documentada General Crear y actualizar Control de información documentada BS 25999‐2 Cláusula Descripción 4 Implementar y operar el SGCN ISO DIS 22301 Cláusula 8 8.1 8.2 4.1 Entender a la organización 8.3 8.4 8.4.3 4.1.1 Análisis de Impacto al Negocio 4.1.2 Evaluación de riesgos 8.4.3.3 8.4.3.4 8.4.4 4.1.3 Determinar opciones 8.4.4.1 8.4.4.3 4.2 Determinar estrategia de continuidad del negocio 8.4.4.2 Descripción O Operación ió General Planeación y control operacional Preparación Planeación Análisis de Impacto al Negocio y Evaluación de Riesgos y Evaluación de Riesgos Análisis de Impacto al Negocio Evaluación de riesgos Opciones de continuidad del negocio i Determinación y selección de opciones y g Protección y mitigación Establecer requerimientos de recursos BS 25999‐2 Cláusula Descripción 4.3 Desarrollar e implementar la Desarrollar e implementar la GCN 4 3 1 General 4.3.1 ISO DIS 22301 Cláusula 7.4 741 7.4.1 7.4.2 8.5 8.5.8 8.5.9 Descripción Comunicación Comunicación externa Comunicación externa Comunicación interna Ejecución Desarrollar e implementar una respuesta de continuidad del respuesta de continuidad del negocio Estructura de respuesta Alerta y comunicación R Respuesta t Planes de continuidad el negocio Requerimientos de procedimientos de respuesta di i t d t Contenido del procedimiento de respuesta Recuperación Comunicación y consulta 8.6.1 Ejercicios y pruebas 851 8.5.1 8.5.2 8.5.3 854 8.5.4 Estructura de respuesta a incidentes 4.3.2 Planes de continuidad del 4.3.3 negocio y gestión de i tió d incidentes 4.4 Ejercitar. Mantener y revisar los arreglos de BCM 8.5.5 8.5.6 8.5.7 Similitudes y diferencias entre BS 25999‐2 e ISO22301 BS 25999 BS 25999‐2 2 Cláusula Descripción 5 Monitorear y revisar el SGCN ISO DIS 22301 ISO DIS 22301 Cláusula 9 8.7 8.6.2 8.7.2 5.1 5.2 Auditoría interna Revisión de la gerencia del SGCN 9.1 9.2 8.7.1 9.3 Descripción Evaluación del desempeño Revisión d ld Monitoreo del desempeño Evaluación de procedimientos de continuidad Evaluación del desempeño p Auditoría interna Revisión de la gerencia Revisión de la gerencia Similitudes y diferencias entre BS 25999‐2 e ISO22301 BS 25999‐2 Cláusula Descripción 6 Mantener y mejorar el SGCN 6.1 Acciones preventivas y correctivas 6.1.1 General 6.1.2 Acción preventiva p 6.1.3 Acción correctiva 6.2 Mejora continua Cláusula 10 Mejora 10.1 10.2 ISO DIS 22301 Descripción No conformidad y acción correctiva Mejora continua Estatus de ISO 22301 Fuente: www.iso.org Estatus de ISO 22301 Fuente: www.iso.org Factores críticos de éxito Factores críticos de éxito • • • • • • • • • Asegurar el apoyo de la dirección g p y BCM requiere recursos permanentes (d # $) Roles y responsabilidades claramente establecidos Programa de concientización adecuado Documentación suficientemente detallada P Programa de ejercicios y pruebas d j i i b Promover la participación de toda la organización Procedimiento de control de cambios efectivo Procedimiento de control de cambios efectivo Auditoría, revisión de la gerencia y mejora continua Conclusiones Preguntas g yy respuestas p ¡Gracias! Mario Ureña Cuate CISA, CISM, CGEIT, CISSP CISA CISM CGEIT CISSP ISO27001LA, BS25999LA [email protected] x @mariourena www.mariourenacuate.com www.slideshare.net/mariour ena
Similar documents
Sistema de Gestión Integral con g PAS 99, ISO
Estatus de acciones correctivas y preventivas Acciones de seguimiento para revisiones previas Circunstancias cambiantes, incluyendo aspectos legales y otros requerimientos, relacionados con la orga...
More information