Sistema deGestin deContinuidad

delNegocio deAcuerdo con

BS25999 e ISO 22301 BS25999eISO22301
O t b 2011 October2011
Mario Urea Cuate MarioUreaCuate
CISA,CISM,CGEIT,CISSP,LABS25999,LAISO27001
Agenda Agenda
Introduccin Introduccin
ElementosquecomponenelSGCN
Gestin de incidentes en el SGCN GestindeincidentesenelSGCN
SimilitudesydiferenciasentreBS259992e
ISO/DIS 22301 ISO/DIS22301
Factorescrticosdexito
C l i Conclusiones
Nota Nota
Al cierre de la preparacin de esta presentacin, p p p ,
el estndar ISO 22301 no ha sido publicado en su
versin final, por lo que la informacin contenida
en esta presentacin se refiere al documento en esta presentacin se refiere al documento
ISO/DIS 22301.
La publicacin de ISO 22301 en su versin final
pudiera incluir cambios relevantes no includos en
esta presentacin esta presentacin.
Introduccin
Introduccin
Ejemplos de incidentes que pueden afectar la
continuidad del negocio: continuidad del negocio:
Percepcin negativa del pblico hacia la organizacin
P bl d t i i Problema con productos y servicios
Problema financiero
Problema de relaciones con empleados
Evento internacional adverso
Violencia en el lugar de trabajo
Prdida de personal Prdida de personal
Desastre natural
Introduccin
Evento Internacional Adverso
El 31 de diciembre de 1986 ocurri un incendio en el hotel
Dupont Plaza en San Juan, Puerto Rico teniendo como
resultado 97 muertos y 140 lesionados El fuego fue iniciado resultado 97 muertos y 140 lesionados. El fuego fue iniciado
por un empleado inconforme.
2,300 demandantes. 2,300demandantes.
Drexel Heritage Furnishing
f e encontrada no fueencontradano
responsableporeljuradoen
1989.
Introduccin
Eventos que en ocasiones no son consideradas,
causadas por: causadas por:
Un proveedor
Un prueba / ejercicio
Acciones de los empleados
Acciones del departamento de Recursos Humanos Acciones del departamento de Recursos Humanos
Acciones de los medios
Situacin de espionaje industrial p j
Muerte precipitada de funcionarios
Introduccin
Proveedores
En 1993 PlayDoh Co inhabilit a 80 empleados debido a que
uno de sus proveedores en Illinois era incapaz de proveer
harina que se utiliza para la fabricacin de masa para modelar harina que se utiliza para la fabricacin de masa para modelar.
Elproveedorfueafectadopor
l d d l lagraninundacindel93.
Lostrabajadoresfueron j f
llamadoscuandoseencontr
unnuevoproveedor.
Introduccin
Pruebas / ejercicios mal ejecutados
En 1992 el Federal Reserve Bank de San Francisco realiz una
prueba de su plan de recuperacin ante desastres. Como
resultado de las actividades realizadas durante la prueba un resultado de las actividades realizadas durante la prueba, un
mainframe dej de operar durante 12 horas, afectando a
usuarios en California y Arizona.
15institucionesbancarias
fueronafectadas.
Elbancoatribuyeelhechoa
unerrorhumano.
Introduccin
Pruebas / ejercicios mal ejecutados
En 1996 cinco hombres enmascarados ingresaron a la sala
de emergencia del Memorial Hospital en Martinsville,
Virginia apuntando sus armas al personal y demandando Virginia, apuntando sus armas al personal y demandando
medicamentos. La prueba fue preparada por el staff de
seguridad del hospital.
Nocreoquecualquierapueda
apuntarunarmaenlacabezadeuna
personaysesalgaconlasuya
Abogadorepresentantede3
enfermeras.
Introduccin Evolucin Introduccin Evolucin
Plan de Contingencias (CP) PlandeContingencias(CP)
PlandeRecuperacindeDesastres(DRP)
PlandeContinuidaddelasOperaciones(COOP)
PlandeContinuidaddelNegocio(BCP)
PlandeReanudacindelNegocio(BRP)
Gestin de la Continuidad del Negocio (BCM) GestindelaContinuidaddelNegocio(BCM)
ProgramadeGestindelaContinuidaddelNegocio(BCMP)
SistemadeGestindeContinuidaddelNegocio(BCMS)
SistemadeGestindePreparacinyContinuidad(PCMS)?
Introduccin Retos Introduccin Retos
No contar con una estrategia de continuidad Nocontarconunaestrategiadecontinuidad
Faltadeapoyodeladireccin
Inexistenciadeanlisisderiesgosydeimpactoalnegocio g y p g
Faltadeintegracinentreplanes
ComplejidadTecnolgica
Planesnoactualizados
Noserealizanpruebas,auditora,revisionesgerenciales
Planesdemasiadogeneralesodemasiadoespecficos
Introduccin Introduccin
Introduccin
Fuente:http://www.fema.gov/privatesector/preparedness/adoption standards.shtm p // f g /p /p p / p _
Introduccin Introduccin
Introduccin Introduccin
Introduccin Introduccin
Buenas prcticas BCM
27001
PAS56 27031
BS25999-1
BS25999-2
BCMS
Sistema de Gestin de
Continuidad del Negocio Co t u dad de egoc o
Introduccin Introduccin
Gestin de Continuidad el Negocio
(BCM) (BCM)
Vs Vs
Sistema de Gestin de Continuidad Sistema de Gestin de Continuidad
del Negocio (BCMS)
Introduccin Definiciones Introduccin Definiciones
BCM
Procesodegestinholsticoqueidentificaamenazas
potencialesalaorganizacinysusimpactos ala
i d l i operacindelnegocioqueesasamenazas,encaso
realizarse,pudierancausar,yproveeunaestructura
paraconstruirresiliencia organizacionalconla p g
capacidadparalaefectivarespuesta salvaguardando
losinteresesdelasprincipalespartesinteresadas,
reputacin marca y actividades que crean valor reputacin,marcayactividadesquecreanvalor.
BS259992:2007
Introduccin Definiciones Introduccin Definiciones
BCMS BCMS
d l Si d G i l LapartedelSistemadeGestingeneralque
establece,implementa,opera,monitorea,
i i j l i id d d l revisa,mantieneymejoralacontinuidaddel
negocio.
BS259992:2007
Introduccin BS25999 Introduccin BS25999
PARTE 1
PARTE 2
PARTE1
PARTE2
Elementos que componen el SGCN ElementosquecomponenelSGCN
Parte2
Requisitosde
Parte1
Requisitos de
Sistemasde
Gestin
(auditora accin
Prcticasno
auditables
(sugerencias,
Requisitos
Comunes
(auditora,accin
correctivay
preventiva,etc)
comentarios,guas,
etc)
Elementos que componen el SGCN ElementosquecomponenelSGCN
Parte 1 Ciclo de Vida de BCM Parte1 CiclodeVidadeBCM
Parte2 BCMSbasadoenmodeloPDCA
Planear Hacer Verificar Actuar
Elementos que componen el SGCN ElementosquecomponenelSGCN
Ciclode
Vid d BCM
BCMS
VidadeBCM
Elementos del Ciclo de Vida de BCM ElementosdelCiclodeVidadeBCM
Elementos del BCMS ElementosdelBCMS
Requerimientosdedocumentacinde
BS259992
Alcance,objetivosyprocedimientos ca ce, objet os y p oced e tos
PolticadeGCN
Provisin de recursos Provisinderecursos
CompetenciadelpersonaldeGCN
Anlisis de Impacto al Negocio AnlisisdeImpactoalNegocio
Evaluacinderiesgos
Estrategia de Continuidad del Negocio EstrategiadeContinuidaddelNegocio
Estructuraderespuestaaincidentes
Requerimientosdedocumentacinde
BS259992
Plan(es)decontinuidaddelnegocio a (es) de co t u dad de egoc o
Plan(es)degestindeincidentes
Ejercicio de GCN EjerciciodeGCN
MantenimientoyrevisindearreglosdeGCN
Auditora interna Auditorainterna
RevisindelagerenciadelSGCN
Acciones correctivas y preventivas Accionescorrectivasypreventivas
Mejoracontinua
Requerimientosdedocumentacinde
BS259992
YelmanualdelSGCN?
Elementos de IRBC ElementosdeIRBC
ElementosdeIRBC
Elementos de PCMS ElementosdePCMS
Definicin Definicin
IRBC ICTReadiness for BusinessContinuity C C ead ess o us ess Co t u ty
(ICT Information andComunication Technology)
Capacidaddeunaorganizacinparasoportarsus
operacionesatravsdelaprevencin,deteccin p p ,
yrespuestaalainterrupcinyrecuperacinde
serviciosdeICT.
ISO27031:2011
Gestin de Incidentes y el SGCN GestindeIncidentesyelSGCN
PlandeGestindeIncidentes a de Gest de c de tes
Plan de accin claramente definido y documentado Plandeaccinclaramentedefinidoydocumentado
paraserutilizadocuandoocurreunincidente,
tpicamentecubrealpersonalclave,recursos,
serviciosyaccionesnecesariasparaimplementar
elprocesodegestindeincidentes.
BS259992:2007
GestindeIncidentesyelSGCN
t0
MTPoD RPO
t2 t3
RTO
t4 t1 t5
Niveldeoperacinnormal Niveldeoperacinnormal
Niveldeoperacinencrisis
Operacin normal Recuperacin Operacin en continuidad Operacin normal Operacinnormal Recuperacin Operacinencontinuidad Operacinnormal
PlandeContinuidaddelNegocio
PlandeGestindeIncidentes
Regreso
Nota:EstainformacinnoesunrequisitodeBS25999
Similitudesydiferenciasentre
BS259992eISO22301
BS259992 ISODIS22301
1 Alcance 1 Alcance
2 Trminosydefiniciones 2 Referenciasnormativas
3 l l SGCN 3 i d fi i i 3 PlanearelSGCN 3 Trminosydefiniciones
4 ImplementaryoperarelSGCN 4 Requerimientosgenerales
5 Monitorear y revisar el SGCN 5 Liderazgo 5 MonitorearyrevisarelSGCN 5 Liderazgo
6 MantenerymejorarelSGCN 6 Planeacin
7 Soporte
8 Operacin
9 Evaluacindeldesempeo
10 Mejora 10 Mejora
Similitudesydiferenciasentre
BS259992eISO22301
BS259992 ISODIS22301
Clusula Descripcin Clusula Descripcin
Introduccin Introduccin
1 Alcance 1 Alcance
2 Referenciasnormativas
2 Trminosydefiniciones 3 Trminosydefiniciones
Similitudesydiferenciasentre
BS259992eISO22301
BS259992 ISODIS22301
l l l l Clusula Descripcin Clusula Descripcin
3 PlaneacindelSGCN 6 Planeacin
3.1 General
3.2 EstablecerygestionarelSGCN y g
3.2.1 Alcanceyobjetivos 6.1 Objetivosyplanesparaalcanzarlos
6.2
Accionesparaatenderproblemasy
preocupaciones
4 R i i t l 4 Requerimientosgenerales
4.1
Entendimientodelaorganizacinysu
contexto
3.2.1.1 Alcanceyobjetivos 4.3 SistemadeGestinyAlcance y j y
3.2.1.2 Productosyserviciosclave 4.2 Necesidadesyrequerimientos
3.2.2 PolticadeGCN 5.3 Poltica
Similitudesydiferenciasentre
BS 259992 e ISO22301
BS259992 ISODIS22301
Clusula Descripcin Clusula Descripcin
3 2 3 Provisin de recursos 7 1 Recursos
BS25999 2eISO22301
3.2.3 Provisinderecursos 7.1 Recursos
3.2.3.1 Recursosgenerales
3.2.3.2
Roles,responsabilidades,
competenciasyautoridades
d GCN
5.4
Roles,responsabilidadesy
autoridadesorganizacionales
deGCN
7.2 Competencia
3.2.3.3 Designacindelresponsable
5.4
Roles,responsabilidadesy
autoridadesorganizacionales
7.2 Competencia p
3.3
IntegrarGCNenlaculturade
laorganizacin
7.3 Concientizacin
7.5 Informacindocumentada
7 5 1 General
3.4
Documentacinyregistrosdel
SGCN
7.5.1 General
7.5.2 Crearyactualizar
7.5.3
Controldeinformacin
documentada
BS259992 ISODIS22301
Clusula Descripcin Clusula Descripcin
8 O i
4 ImplementaryoperarelSGCN
8 Operacin
8.1 General
8.2
Planeacinycontrol
operacional
4.1 Entenderalaorganizacin 8.3 Preparacin
8.4 Planeacin
8.4.3
AnlisisdeImpactoalNegocio
y Evaluacin de Riesgos yEvaluacindeRiesgos
4.1.1 AnlisisdeImpactoalNegocio 8.4.3.3 AnlisisdeImpactoalNegocio
4.1.2 Evaluacinderiesgos 8.4.3.4 Evaluacinderiesgos
8.4.4
Opcionesdecontinuidaddel
i
8.4.4
negocio
4.1.3 Determinaropciones
8.4.4.1
Determinacinyseleccinde
opciones
8.4.4.3 Proteccinymitigacin y g
4.2
Determinarestrategiade
continuidaddelnegocio
8.4.4.2
Establecerrequerimientosde
recursos
BS259992 ISODIS22301
Clusula Descripcin Clusula Descripcin
Desarrollar e implementar la
7.4 Comunicacin
7 4 1 Comunicacin externa
4.3
Desarrollareimplementarla
GCN
7.4.1 Comunicacinexterna
7.4.2 Comunicacininterna
8.5 Ejecucin
4 3 1 General 8 5 1
Desarrollareimplementaruna
respuesta de continuidad del 4.3.1 General 8.5.1 respuestadecontinuidaddel
negocio
8.5.2 Estructuraderespuesta
8.5.3 Alertaycomunicacin
8 5 4 R t
4.3.2
4.3.3
Estructuraderespuestaa
incidentes
Planesdecontinuidaddel
i ti d
8.5.4 Respuesta
8.5.5
Planesdecontinuidadel
negocio
8.5.6
Requerimientosde
di i t d t negocioygestinde
incidentes
procedimientosderespuesta
8.5.7
Contenidodelprocedimiento
derespuesta
8.5.8 Recuperacin
8.5.9 Comunicacinyconsulta
4.4
Ejercitar.Manteneryrevisar
losarreglosdeBCM
8.6.1 Ejerciciosypruebas
Similitudesydiferenciasentre
BS 259992 ISO DIS 22301
BS259992eISO22301
BS25999 2 ISODIS22301
Clusula Descripcin Clusula Descripcin
9 Evaluacindeldesempeo
8.7 Revisin
d l d
5 MonitorearyrevisarelSGCN
8.6.2 Monitoreodeldesempeo
8.7.2
Evaluacindeprocedimientos
decontinuidad
9.1 Evaluacindeldesempeo p
5.1 Auditorainterna 9.2 Auditorainterna
5.2
Revisindelagerenciadel
SGCN
8.7.1 Revisindelagerencia
9.3 Revisindelagerencia
Similitudesydiferenciasentre
BS259992eISO22301
BS259992 ISODIS22301
Clusula Descripcin Clusula Descripcin
6 MantenerymejorarelSGCN 10 Mejora
6.1 Accionespreventivasycorrectivas
6.1.1 General
6.1.2 Accinpreventiva p
6.1.3 Accincorrectiva 10.1 Noconformidadyaccincorrectiva
6.2 Mejoracontinua 10.2 Mejoracontinua
EstatusdeISO22301
Fuente:www.iso.org
EstatusdeISO22301
Fuente:www.iso.org
Factores crticos de xito Factorescrticosdexito
Asegurarelapoyodeladireccin g p y
BCMrequiererecursospermanentes( $)
Rolesyresponsabilidadesclaramenteestablecidos
Programadeconcientizacinadecuado
Documentacinsuficientemente detallada
P d j i i b Programadeejerciciosypruebas
Promoverlaparticipacindetodalaorganizacin
Procedimiento de control de cambios efectivo Procedimientodecontroldecambiosefectivo
Auditora,revisindelagerenciaymejoracontinua
Conclusiones Conclusiones
Preguntas yrespuestas g y p
Gracias!
MarioUreaCuate
CISA CISM CGEIT CISSP
mario.urena@secureit.com.m
CISA,CISM,CGEIT,CISSP
ISO27001LA,BS25999LA
x
@mariourena
www.mariourenacuate.com
www.slideshare.net/mariour
ena