Escolar Documentos
Profissional Documentos
Cultura Documentos
Director General
Secure Information Technologies
2
Agenda
• Introducción
• Desarrollo de la BS 25999
• El modelo de Gestión y Contenido de la BS 25999
• Porque Certificarse?
• Cursos de Continuidad del Negocio
3
Introducción
4
Situaciones reales
Fuente: SecureInformationTechnologies
5
Enfoque tradicional
Planificación
del proyecto
Análisis y
Evaluación
de riesgos
El Proceso de Planificación Mantenimiento y
de la continuidad del actualización
Análisis de negocio
Impacto al
negocio
Desarrollo
de estrategia
Concientización
y capacitación El plan
Desarrollo
del plan
Prueba y
ejercicio
Fuente: SecureInformationTechnologies
8
Enfoque tradicional
Administración
de la Continuidad Plan de
del Negocio (BCM) Continuidad de
las Operaciones
(COOP)
Plan de Plan de
Emergencias Respuesta a
(OEP) Incidentes
Análisis de
Impacto al
Negocio
(BIA)
Plan de
Comunicación Planes de
de Crisis Análisis de Contingencia
Riesgos y (CP)
Amenazas
(TRA)
Plan de
Reanudación Plan de
del Negocio Recuperación
(BRP) de Desastres
(DRP)
Plan de
Elemento base Continuidad del
Negocio
Orientado a TI (BCP)
Orientado a las instalaciones
Orientado al negocio
Desarrollo de la BS 25999
10
No 15 1.80%
Undecided 28 3.36%
Voters: 833.
View Poll Results: Should there be a Validation scheme as part of the Standard
Voters: 755.
Source: http://www.continuityforum.org/
Date: 18 October 2006
13
1. Alcance y Aplicación
2. Términos y Definiciones
6. Entendiendo la Organización
BS 25999-2:2007 – Especificación
1. Alcance
2. Términos y Definiciones
Conclusión
• La Continuidad de Negocio está en el tope de la
agenda de las Organizaciones
La alta administración tiene crecientes responsabilidades de
gobernancia corporativa;
Se incrementa constantemente el énfasis en riesgos del
negocio
• BS 25999-1 es el inicio y la BS 25999-2 provee una
estructura de sistema de gestión incluyendo requisitos
básicos para la auditoria y certificación de 3a parte:
Permitirá la determinación del grado de cumplimiento en
relación a los requerimientos de la norma;
Demostrará a terceras partes el grado de seriedad tomado.
20
Conclusión
• BS 25999 no es la primera norma sobre el tema
Japón, Australia, Singapur y Austria ya crearon normativas
para tratar del tema
• No hay iniciativas de la Comunidad Europea en este
momento;
• ISO está tratando el tema en el nuevo “Societal
Security Management System”.
21
El modelo de Gestión
22
Beneficios de BCM
3.5 Los beneficios de un programa eficaz de BCM (BS 25999-1)
La organización:
• es capaz de identificar proactivamente los impactos de una
interrupción operativa;
• dispone de una respuesta efectiva ante interrupciones, minimizando
su impacto;
• mantiene la capacidad de gestionar riesgos no asegurables;
• fomenta el trabajo entre equipos;
• es capaz de demostrar una respuesta creíble a través de ejercicios;
• puede mejorar su reputación;
• puede ganar ventajas competitivas a través de la capacidad
demostrada de mantener la entrega de productos y servicios.
24
Resultados de BCM
3.6 Los resultados de un programa efectivo de BCM (BS 25999-1):
• se identifican y protegen los productos y servicios claves, asegurando su continuidad;
• se activa la capacidad de gestión de incidentes para proporcionar una respuesta
eficaz;
• la auto-comprensión de la organización y se desarrolla, documenta y entiende
adecuadamente sus relaciones con otras organizaciones, órganos de regulación o
departamentos gubernamentales, autoridades locales y de servicios de emergencia;
• el personal es capacitado para responder eficazmente a un incidente o interrupción
mediante ejercicios apropiados;
• los requisitos de las partes interesadas son comprendidos y entregados;
• el personal recibe el soporte y comunicación adecuadas en el caso de una
interrupción;
• se asegura la cadena de suministro de la organización;
• se protege la reputación de la organización;
• la organización cumple con sus obligaciones legales y reglamentarias.
25
Entender la Organización
28
BS 25999-1:2006 - Contenido
Entendiendo la Organización
BS 25999-1:2006 - Contenido
Determinando Estrategias de Continuidad del Negocio
Implementación de acciones para reducir la probabilidad de
incidentes;
Implementación de acciones para reducir el efecto de incidentes;
de continuidad para actividades críticas durante y
Provisión
después de incidentes;
de selección de estrategias es basado en costo,
Criterio
consecuencia y tiempo de recuperación;
Algunas estrategias pueden ser requeridas para los
siguientes recursos organizacionales:
- Personas - Instalaciones - Tecnología
- Información - Proveedores - Partes Interesadas
31
BS 25999-1:2006 - Contenido
Desarrollo e Implementación de Respuestas a BCM
Cronograma
De semanas a meses:
Respuesta al incidente Reparación/sustitución de
daños.
Traslado a puesto de trabajo
permanente.
Continuidad de negocio Recuperación de costos de las
De horas a días: aseguradoras
Contactar los empleados,
clientes, proveedores, etc. Recuperación/reanudación – vuelta a la normalidad
Recuperación de procesos
de negocio críticos.
Rehacer el trabajo en
curso perdido.
34
BS 25999-1:2006 - Contenido
Probando/Ejercitando, Manteniendo y Analizando el plan de BCM
La forma de prueba
Probar el BCP Prueba a nivel de más minuciosa. Crea Grandes interrupciones.
Alta completo, incluyendo edificio/campus/zona de Anualmente o menos competencias y Gran uso de recursos.
gestión de incidentes exclusión. valida planes.
40
BS 25999-1:2006 - Contenido
Fijando el BCM en la Cultura de la Organización
Para tener éxito hay que integrar los principios de BCM dentro
de la organización.
Apoyado por:
Liderazgo de la alta administración;
Definición de responsabilidades;
Creciente conocimiento;
Capacitación;
Ejercicios.
41
Porque Certificarse?
Contents slide 42
Porque certificarse?
Es una inversión segura y de retorno garantizado.
Porque certificarse?
Es una inversión segura y de retorno garantizado.
Porque certificarse?
Es una inversión segura y de retorno garantizado.
• Cumplimiento a requisitos contractuales y reglamentarios
• Un mecanismo reglamentado de evaluación continua,
identifica vulnerabilidades, no conformidades, debilidades,
fragilidades, oportunidades de mejora y fortalezas antes
que la empresa sufra con las consecuencias en la practica
• Evidencia objetiva de la gestión adecuada de los riesgos
relacionados a la continuidad del negocio, tanto para los
ejecutivos, como inversionistas, clientes, etc
45
Cursos Disponibles
46
Conclusiones
51
Fuente: SecureInformationTechnologies
53
Conclusión
• La Continuidad de Negocio está en el tope de la
agenda de las Organizaciones
La administración tiene crecientes responsabilidades de
gobernabilidad corporativa;
Se incrementa constantemente el énfasis en riesgos del
negocio
• BS 25999-1 es el inicio y la BS 25999-2 provee una
estructura de sistema de gestión incluyendo requisitos
básicos para la auditoria y certificación de 3a parte:
Permitirá la determinación del grado de cumplimiento en
relación a los requerimientos de la norma;
Demostrará a terceras partes el grado de seriedad tomado.
54
Conclusión
• BS 25999 no es la primera norma sobre el tema
Japón, Australia, Singapur y Austria ya crearon normativas
para tratar del tema
• No hay iniciativas de la Comunidad Europea en este
momento;
• ISO está tratando el tema en el nuevo “Societal
Security Management System”.
55
PREGUNTAS?
Contents slide 56
Contáctenos
Contáctenos
Miembro
Gracias
59