charla sgcn
DESCRIPTION
Continuidad de NegocioTRANSCRIPT
SISTEMA DE GESTION DE CONTINUIDAD DEL NEGOCIO
ISO 22301:2012
2
TODA EMPRESA POR LO MENOS UNA VEZ AL AÑO ES PENETRADA POR UN
DESASTRE
3
DEFINICIÓN DE UN DESASTRE
Un desastre es un evento que altera los procesos críticos de la organización que afectan su misión y degrada su servicio a un punto donde el impacto financiero y operacional se convierte en inaceptable.
4
Solo el 6% de empresas que sufren pérdidas catastróficas de datos, logran sobrevivir
43% nunca podrá reabrir su negocio
51% tendrá que cerrar en dos años
Una parada no controlada de más de ocho horas en una empresa, causa una pérdida irreversible al negocio
5
AMENAZAS A LA CONTINUIDAD DEL NEGOCIO
VirusSismos
FuegoHuelgasHacking
Sabotaje
Terrorismo
6
AMENAZAS A LA CONTINUIDAD DEL NEGOCIO
DEFINICIÓN DE AMENAZAIntento de hacer daño a algo
Según el diccionario Webster, una amenazas es “una indicación de un evento desagradable”
AMENAZAS NATURALES
7
INUNDACIONES
MAREMOTOS
TORMENTAS ELÉCTRICAS
HURACANES
TERREMOTOS
TORNADOS
AMENAZAS NATURALES
8
AMENAZAS A LA CONTINUIDAD DEL NEGOCIO
AMENAZAS NATURALES
AMENAZAS AINSTALACIONES
9
DAÑO DE AGUA
CAÍDA DE ENERGÍA
EXPLOSIÓN
FALLAS MECÁNICAS
FUEGO
PERDIDA DE ACCESO
AMENAZAS A INSTALACIONES
1014
AMENAZAS A LA CONTINUIDAD DEL NEGOCIO
• HUELGAS• EPIDEMIAS
• MATERIALESPELIGROSOS
• PROBLEMAS DETRANSPORTE
• PÉRDIDA DEPERSONAL CLAVE
AMENAZAS NATURALES
AMENAZAS AINSTALACIONES
AMENAZASHUMANAS
1115
MATERIALESPELIGROSOSHUELGAS
PROBLEMAS DETRANSPORTE
EPIDEMIAS
PERDIDA DEPERSONAL CLAVE
AMENAZAS HUMANAS
12
AMENAZAS A LA CONTINUIDAD DEL NEGOCIO
16
• VIRUS• HACKING
• PÉRDIDA DE DATOS• FALLAS DE
HARDWARE• FALLAS DE
SOFTWARE• FALLAS EN LA RED• FALLAS EN LINEAS
TELEFÓNICAS
AMENAZAS NATURALES
AMENAZAS AINSTALACIONES
AMENAZASHUMANAS
AMENAZASTECNOLÓGICAS
1317
VIRUS
HACKERS
FALLAS DEHARDWARE
FALLAS EN LÍNEASTELEFÓNICAS FALLAS EN
LA RED
FALLAS DESOFTWARE
Pérdida DEDATOS
AMENAZAS TECNOLÓGICAS
14
AMENAZAS A LA CONTINUIDAD DEL NEGOCIO
18
• CRISISFINANCIERAS
• PÉRDIDA DE SUPLIDORES
• FALLAS EN EQUIPO• ASPECTOS
REGULATORIOS• MALA PUBLICIDAD
AMENAZAS NATURALES
AMENAZAS AINSTALACIONES
AMENAZASHUMANAS
AMENAZASTECNOLÓGICAS
AMENAZASOPERACIONALES
1519
FALLAS ENEQUIPOS
CRISISFINANCIERAS
PERDIDA DESUPLIDORES
MALA PUBLICIDADASPECTOS REGULATORIOS
AMENAZAS OPERACIONALES
16
AMENAZAS A LA CONTINUIDAD DEL NEGOCIO
• MOTINES• PROTESTAS• SABOTAJE
• VANDALISMO• AMENAZA DE BOMBAS• VIOLENCIA LABORAL
• TERRORISMO
AMENAZAS NATURALES
AMENAZAS AINSTALACIONES
AMENAZASHUMANAS
AMENAZASTECNOLÓGICAS
AMENAZASOPERACIONALES
AMENAZASSOCIALES
17
VIOLENCIALABORAL
MOTINES SABOTAJE
PROTESTAS
VANDALISMO
AMENAZADE BOMBAS
TERRORISMO
AMENAZAS SOCIALES
18
AMENAZAS A LA CONTINUIDAD DEL NEGOCIO
22
AMENAZAS NATURALES
AMENAZAS AINSTALACIONES
AMENAZASHUMANAS
AMENAZASTECNOLÓGICAS
AMENAZASOPERACIONALES
AMENAZASSOCIALES
LA ORGANIZACIÓN
1923
LAS EMPRESAS PARA PODER OPERAR REQUIEREN DE UN EQUILIBRIO EN EL FUNCIONAMIENTO DE LA INTERDEPENDENCIA
ENTRE SUS DISTINTOS RECURSOS
2029
FAMILIA ISO 22300
ISO 22300 ISO 22313 ISO 22320
Seguridad de la Sociedad: Vocabulario Seguridad de la Sociedad: Gestión de la Continuidad del Negocio Lineamiento
Seguridad de la Sociedad: Requerimientos respuesta a incidentes
ISO 22322 ISO 22323 ISO 22351
Seguridad de la Sociedad: Gestión de Emergencias
Seguridad de la Sociedad: Gestión de Sistemas Organizacionales de Resistencia
Seguridad de la Sociedad: Planificación de Emergencias
ISO 22397 ISO 22398 ISO 22399
Seguridad de la Sociedad: Establecimiento Relación Público - Privado
Seguridad de la Sociedad: Guías para Ejercicios y Pruebas
Seguridad de la Sociedad: Preparación ante Incidentes
ISO 22301:2012, NORMA CERTIFICABLE
21
NUEVA ESTRUCTURA EN ESTÁNDARES CT 223
Los 106 requerimientos del ISO 22301:2012 están distribuidos en estas 10 secciones
30
1) Alcance 2) Referencias Normativas 3) Términos y Definiciones 4) Requerimientos Generales 5) Liderazgo
6) Planeación 7) Soporte 8) Operación 9) Evaluación de Desempeño10) Mejoramiento
La organización ISO encargó al grupo “Joint Technical Coordination Group” para crear un enfoque estándar para Sistemas de Gestión. El ISO 22301:2012 es el primer estándar con la nueva estructura:
LA NORMA ISO 22301:2012
Estándar internacional para establecer y gestionar un efectivo sistema de gestión de Continuidad del Negocio (SGCN).
Un SGCN enfatiza la importancia de : Entender la continuidad y necesidades de preparación y la necesidad de establecer una
política de gestión de continuidad y objetivos. Implementando y operando controles y medidas para la gestión global de los riesgos de
continuidad. Monitoreando y revisando el desempeño y efectividad del SGCN. Mejora continuada basada en mediciones objetivas.
4 Contexto de la organización 4.1 Entendimiento a la organización y su contexto 4.2 Entendimiento de las necesidades y expectativas de las partes interesadas 4.3 Determinando el alcance del SGCN 4.4 SGCN 5 Liderazgo 5.1 Liderazgo y compromiso 5.2 Compromiso de la gerencia 5.3 Política 5.4 Roles organizacionales, responsabilidades y autoridades6 Planeación 6.1 Acciones a atender riesgos y oportunidades 6.2 Objetivos de continuidad del negocio y planes para alcanzarlos7 Apoyo 7.1 Recursos 7.2 Competencia 7.3 Toma de conciencia 7.4 Comunicación 7.5 Información documentada
LA NORMA ISO 22301:2012
8 Operación 8.1 Planeamiento operacional y control 8.2 Análisis de impacto del negocio y evaluación del riesgo 8.2.2 Análisis del Impacto 8.3 Estrategia de continuidad del negocio 8.4 Estableciendo e Implementando procedimientos para continuidad del negocio 8.5 Ejercicios y Ensayos9 Evaluación del desempeño 9.1 Monitoreo, medición, análisis y evaluación 9.1.1 General 9.2 Auditoría interna 9.3 Revisión gerencial10 Mejoramiento 10.1 No conformidad y acción correctiva 10.2 Mejoramiento continuado
LA NORMA ISO 22301:2012
Cláusula 4 es un componente del Plan. Introduce los requerimientos necesarios para establecer el contexto del SGCN tal como aplica a la organización. Cláusula 5 es un componente del Plan. Resume los requerimientos específicos de la alta gerencia. Cláusula 6 es un componente del Plan. Describe los requerimientos en su relación al establecimiento de objetivos estratégicos y principios guías para el SGCN. Cláusula 7 es un componente del Plan. Soporta las operaciones del SGCN en su relación al establecimiento de competencias y comunicación. Cláusula 8 es un componente del DO. Define los requerimientos de la Continuidad del Negocio, determina como atenderlos y el desarrollo de procedimientos para atender un evento alterador. Cláusula 9 es un componente del Check. Hace un resumen de los requerimientos necesarios para medir la gestión del desempeño de la continuidad del Negocio. Cláusula 10 es un componente del Act. Identifica y actúa en relación a conformidades detectadas al SGCN tomando acciones correctivas.
27
Business Impact Analysis8.4.3.3
Focal
Global
37
CATEGORIZACIÓN DE LAS CLÁUSULAS EN GLOBALES Y FOCALES ISO 22301:2012
Evaluación del Riesgo8.4.3.4
Opciones de Continuidaddel Negocio8.4.4
Establecimiento Requerimientos de Recursos8.4.4.2
Estructura Respuesta aIncidentesPlanes de Continuidad 8.5.4/8.5.5
Ejercicios y Pruebas8.6.1
Evaluación Procedimientosde Continuidad8.7.2
Sistema de Gestión y Alcance 4.3Política SGCN 5.3
Objetivos y Planes para Alcanzarlos 6.1
Competencias del personal 7.2Toma de Conciencia7.3
Control de Información Documentada7.5.3Auditorías Internas 9.2Revisión Gerencial 8.7.1
No conformidad y acción correctiva 10.1
Mejora Continuada 10.2
Dotar a la organización de un Marco Organizativo, Tecnológico, Funcional y Operativo que garantice y asegure la continuidad de las actividades de negocio y mejore la disponibilidad global de los recursos en consonancia con los criterios de integridad, confidencialidad y disponibilidad en el tratamiento y gestión de la información.
OBJETIVO PRINCIPAL DE UN SGCN
La implantación de un SGCN en la organización permitirá:
Aumentar la resistencia de la organización a amenazas internas y externas. Aumentar la confianza en el negocio por parte de los clientes. Aumentar la reputación, tanto interna como externa. Demostrar capacidad de respuesta frente a imprevistos respecto a los
competidores de mercado.
Es la actividad que se lleva a cabo en una organización para asegurar que todos los procesos de negocio críticos estarán disponibles para los clientes, proveedores, y otras entidades que deben acceder a ellos.
Estas actividades incluyen un gran número de tareas diarias como gestión de proyectos, copias de seguridad de los sistemas, control de cambios y helpdesk.
La gestión de la continuidad no se implanta cuando ocurre un desastre, sino que hace referencia a todas aquellas actividades que se llevan a cabo diariamente para mantener el servicio y facilitar la recuperación.
QUÉ ES LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO ?
3040
BusinessImpactAnalysis
Procesos EsencialesTiempos de RecuperaciónRequerimientos de Recursos
GestiónDelRiesgo
Análisis AmenazasExposición al riesgoEscenarios de amenazas
Fase 1
Fase 1Entregables
Ensayo delPlan BC
Business Continuity PlanValidado
Plan ReanudaciónOperaciones
Business Continuity PlanDocumentado
Estrategia de Continuidad:Recursos críticos, alternos, serviciosy métodos de recuperación
Fase 2
Fase 3
Fase 4
Fase 5
Fase 2Entregables
Fase 3Entregables
Fase 4Entregables
Fase 5Entregables
Mantenimiento Plan SGCN
Fase 6
Monitorear cambios y reevaluar riesgos
Monitorear cambios y reevaluar impactos
Monitorear cambios y reevaluar estrategia
Evaluar resultados de ensayo
Actualizar Plan
DesarrolloEstrategiasContinuidad
EL PROCESO SGCN Y LOS ENTREGABLES
3131
PASOS PARA LA IMPLEMENTACIÓN DEL ISO 22301:2012 EN UNA ORGANIZACIÓN
Determinar el Alcance
Diseñar Estructura para Manejo del Proyecto
Iniciar Documentación Cláusulas Globales
Iniciar Desarrollo Cláusulas Focales
Desarrollo Business Impact Analysis
Evaluación del Riesgo
Opciones de Continuidad del Negocio
Establecimiento Requerimientos de Recursos
Estructura Respuesta a Incidentes
Planes de Reanudación de Operaciones
Ejercicios y Pruebas
Evaluación de Procedimientos de Continuidad
Lo primero que se debe realizar es un análisis del impacto al negocio (BIA). Éste es básicamente un informe que nos muestra el costo ocasionado por la interrupción de los procesos de negocio.
Una vez obtenido este informe, la organización tiene la capacidad de clasificar los procesos de negocio en función de su criticidad y lo que es más importante: establecer la prioridad de recuperación (o su orden secuencial).
CÓMO EMPEZAMOS ?
En el BIA se identifican los componentes claves requeridos para continuar con las Operaciones de Negocio luego de un incidente, dentro de estos componentes se encuentran: Personal requerido Áreas de trabajo Registros vitales- Backups de información Aplicativos críticos Dependencias de otras áreas Dependencias de terceras partes Criticidad de los recursos de información Participación del personal de seguridad informática y los usuarios finales Análisis de todos los tipos de recursos de información
Tres aspectos claves para el análisis: Criticidad de los recursos de información relacionados con los procesos críticos del
negocio Período de recuperación crítico antes de incurrir en pérdidas significativas Sistema de clasificación de riesgos
TERMINOLOGÍA
Maximum Tolerable Downtime (MTPD) Representa el máximo tiempo de inactividad que pude tolerar la organización.
Recovery Time Objective (RTO)Indica el tiempo disponible para recuperar sistemas/recursos que han sufrido una alteración
Recovery Point Objective (RPO)Se refiere a la magnitud de pérdida de datos en términos de un periodo de tiempo que puede ser tolerado por un proceso de negocios
Work Recovery Time (WRT)Es el tiempo disponible para recuperar datos perdidos una vez que los sistemas están reparados, dentro del MTPD
3547
Datosperdidos
Procesaramontona-miento detrabajo
Recuperaciónmanual dedatos
Recuperaramontona-miento detrabajo
Recuperardatosperdidos
Recolectar datosmanualmente
RPO RTO WRTMTPD
Sistemasy recursosinexisten-tes
Procedi-mientosnormales
Procedimientos normales y manuales
Procedi-mientosmanuales de emer-gencia
Procedi-mientomanual
ULTIMOBACKUP
EVENTOALTERADOR
SISTEMAS YRECURSOSRECUPERADOS
INICIO DE PROCESAMIENTONORMAL
TIEMPO PARA LA RECUPERACIÓN DE UN DESASTRE
3648
PASO IOBJETIVOS, ALCANCE Y SUPOSICIONES
Este paso provee una base para:
Entendimiento de las expectativas de la gerencia, en relación a los resultados del BIA
Definir el ámbito de las actividades del BIA
Estimar recursos, tiempos y esfuerzos requeridos para conducir el BIA.
3749
PASO IIIDENTIFICAR PROCESOS Y FUNCIONES DEL NEGOCIO
El objetivos de este paso es identificar funciones y procesos de negocios, que son utilizados para apoyar la misión y objetivos de la empresa
3850
PASO IIIEVALUAR LOS IMPACTOS FINANCIEROS Y OPERACIONALES
Este paso evalúa los impactos financieros y operacionales de la organización, en el evento que haya una alteración a las funciones y procesos identificados en el paso previo
Evaluación del impacto financieroEl impacto financiero, mide el grado y la severidad de la pérdida financiera para la organización. La evaluación del impacto financiero se desempeña por cada proceso del negocio, formándose la siguiente pregunta: ¿Cuál sería la magnitud y severidad de las pérdidas financieras si los procesos se alteran por causa de un desastre?
39
PLANIFICACIÓN DE LA REANUDACIÓN DE LAS OPERACIONES
¿Qué es un plan para reanudar las operaciones?
Un plan de reanudación de operaciones (PRO) son una serie de actividades documentadas, que pudiesen requerirse desempeñar por grupos de continuidad del negocio, como respuesta a un potencial incidente desastroso
Nota: Un PRO son usualmente denominados Planes de Continuidad del Negocio, pero el término tiende a confundir
40
¿Qué es un incidente potencialmente desastroso? Es un evento interno o externo que puede causar una
interrupción inaceptable en los procesos esenciales del negocio
¿Qué es un Equipo de Continuidad del Negocio?• Es un grupo designado de individuos responsables por
la ejecución de actividades especificas tal como se detalla en el plan de continuidad
• Puede haber equipos múltiples, cada uno con roles claramente definidos y responsabilidades.
PLANIFICACIÓN DE LA REANUDACIÓN DE LAS OPERACIONES
41
Detalle deActividadesListas deActividad
MaterialesExternos
Miembros deEquipo
Requerimientos deRecuperaciónAspectos
EstratégicosPlan de
Reanudación deOperaciones
Equipo OficinaPrincipal
QUÉ DEBE CONTEMPLAR UN PLAN DE REANUDACIÓN DEL NEGOCIO
Cada plan del equipo debe contener:• Aspectos estratégicos por cada
tipo de incidente o escenarios de amenazas
• Lista de requerimientos mínimos de recuperación
• Información de contacto
• Lista de actividades organizada por fase y escenario
• Detalle de actividades
42
¿QUÉ ES UN EQUIPO DE CONTINUIDAD DEL NEGOCIO?
Un equipo de continuidad del negocio es un grupo designado de individuos responsables, después de un incidente mayor, por:
• Determinar qué actividades requieren ser desempeñadas
• Coordinar ejecución de aquellas actividades• Comunicarse con otros equipos de continuidad
del negocio
Cada equipo debe tener a un líder de equipo y alternos
43
ESTABLECIENDO LA ESTRUCTURA DEL EQUIPO
La estructura de equipo para la continuidad del negocio, es lo que hará que los planes funcionen o noNo existe una estructura estandarizada de equipos. El establecimiento de una estructura que es la correcta para la organización es vitalFactores a considerar:
• Tamaño de la organización• Ubicación de las instalaciones y unidades operativas• Estructura organizacional• Cultura organizacional• Escenarios potenciales de amenazas• Estrategias de continuidad• Complejidad de los planes de continuidad del negocio• Conocimiento especializado requerido
44
FACTORES CLAVES DE ÉXITO AL IMPLANTAR EL ISO 22301:2012
Incluir el SGCN en el plan estratégico de la empresa. El SGCN debe apoyar la visión de la empresa
Rol protagónico de la alta gerencia en el desarrollo, operación y mejora continua del SGCN
Tiempo y recursos necesarios dedicados al cumplimiento con los requerimientos del estándar
Presupuesto asignado al SGCN
Conseguir la transferencia Metodológica y Tecnológica para implantar el estándar de la manera más eficiente y eficaz
Promover la participación de toda la organización
45
www.pe.sgs.com