Por: Ing. Felipe Agustín Rodríguez – Consultor Externo.
ITILv3-F, PPO, CISSP, IRCA ISMS Auditor,CBCP
Ing. Industrial, Ing. Electrónico, MBA
Resiliencia: Convergencia de la Seguridad, el gobierno de TI y la continuidad de negocio.
Agenda
•¿Qué es resiliencia?
•¿Por qué hay que tener una visión de 3 pilares?
•¿Qué papel puede jugar esta visión en su realidad?
• Bibliografía
Introducción
Resiliencia
Tomado de:
http://www.portalciencia.net/images/mater2.jpg
Tomado de:
http://www.madrimasd.org/blogs/universo/wp-
content/blogs.dir/42/files/189/o_Biodiversidad
%20Marina.jpg
Tomado de:
http://eselby.net/network/music/wp-
content/plugins/wp-o-
matic/cache/a6875_therentalspresentresili.jpg
Japón
Tomado de:
http://pn.psychiatryonline.org/content/46/11/1.1.full
Tomado de:
http://pn.psychiatryonline.org/content/46/11/1.1.full
Tomado de:
http://www.wordscanspeak.com/wp-content/uploads/2011/10/japan.jpg
Tomado de:
http://pamirtimes.net/2011/04/07/
Tomado de:
http://pamirtimes.net/2011/04/07/
Resiliencia también es una propiedad
empresarial
La resiliencia es una propiedad que surge de
las actividades que una empresa realiza
alrededor de:
• Sus servicios
• Sus procesos de negocio
• Sus elementos constituyentes (Activos)
•Frente a condiciones cambiantes del riesgo.
Tomado de:
http://www.coverbrowser.com/image/books-about-
success/504-4.jpg
En síntesis…
• Resiliencia es la capacidad de sostener y
proteger la operación de una empresa y
apoyar el cumplimiento de su misión con la
presencia y realización del riesgo.
Tomado de: http://2.bp.blogspot.com/_8OmD6SQJh5M/RyY68Z3UYeI/AAAAAAAAArs/CEWTwyCJa9k/s400/2007_10_sustain.jpg
Marco de referencia:
CERT- Resilience Management Model
• CERT-RMM v1.1 es una forma de aproximar el reto de administrar la
resiliencia en las empresas en un ambiente complejo.
•Resultado de años de investigación en formas que tienen las empresas
para garantizar su seguridad y sostenibilidad.
•El CERT- RMM v1.1 es un modelo orientado a capacidad para la
mejora de procesos en las disciplinas de:
• Seguridad de la información.
•Continuidad del negocio
• Gestión de Operaciones de Tecnología
Agenda
•¿Qué es resiliencia?
•¿Por qué hay que tener una visión de 3 pilares?
•¿Qué papel puede jugar esta visión en su realidad?
• Bibliografía
• Las empresas sufren de una serie de Perturbaciones y
stress •¿Cuáles?
• Objetivos Administración gerencia operacional
• Prevenir la realización de algún riesgo operacional en un servicio de
alto valor -> Estrategia protección.
•Sostener un servicio de alto valor en caso que el riesgo se manifieste.
• Aproximar efectivamente las consecuencias, y retorna a la empresa a
su normalidad.
• Optimizar el logro de los objetivos anteriores al menor costo posible.
Administración de la resiliencia
Elementos de la resiliencia
operacional
Tomado de:
CERT Resilience Management Model (RMM): A Maturity Model for Managing Operational Resilience (SEI Series in Software Engineering)
Addison-Wesley Professional; 1 edition (December 4, 2010)
Sostenibilidad Protección
Servicios
Procesos
Activos Seguridad de la
Información Gestión de la
continuidad
Gestión de
Tecnología
Pilares para la construcción de
resiliencia
Protección vs Sostenibilidad
Tomado de:
CERT Resilience Management Model (RMM): A Maturity Model for Managing Operational Resilience (SEI Series in Software Engineering)
Addison-Wesley Professional; 1 edition (December 4, 2010)
Agenda
•¿Qué es resiliencia?
•¿Por qué hay que tener una visión de 3 pilares?
•¿Qué papel puede jugar esta visión en su realidad?
• Bibliografía
Visión Resiliencia ISMS
•Política de Seguridad
•Organización de la seguridad de la información.
•Clasificación y control de activos
•Seguridad en los RRHH
•Seguridad física y ambiental
•Gestión de Comunicaciones y operaciones
•Control de acceso
•Adquisición, desarrollo y mantenimiento de sistemas de información.
•Gestión de Incidentes
•Gestión de Continuidad de Negocio
•Cumplimiento
ITSM
• Service Strategy: Financial Management, Service Portafolio Management, Demand Management.
•Service Design: Service Catalogue Mngmt, Service Leve Mngmt, Capacity Mangmt, Availability Mangmt, IT Service Continuity Mngmt, Supplier Mngmt.
•Service Transition: Change Management, Service Asset & Config Mngmt, Release & Deploy Mangmt, Knowledge Mngmt.
•Service Operation: Incident Mngmt, Problem Mngmt, Access Mangmt, Service Desk.
•CSI: Service Reporting.
BCM
•Iniciación y justificación proyecto. •Evaluación y Control de Riesgos. • BIA: Business Impact Analysis •Desarrollo de estrategias de continuidad •Operaciones y respuesta frente a emergencias. •Desarrollo y mantenimiento de planes de continuidad •Programas de conciencia y entrenamiento. •Realización de pruebas planes de continuidad. •Relaciones públicas y coordinación crisis. • Coordinación con áreas externas.
Analicemos cada pilar
Hipótesis, Herramientas
y retos
•La empresa
•Hay que saber caracterizar
correctamente a la empresa:
•Herramientas:
- Arquitectura Empresarial
- Estrategia y diseño de servicios
- Cadena de valor- Macroprocesos y procesos base
• Retos:
-Dinámica de cambio empresarial
- Variedad de formas de entregar productos y servicios.
•Seguridad Información
•En área de Tecnología, más seguridad
informática que otra cosa
Hipótesis, Herramientas
y retos
•Herramientas: - SGSI- ISO 27001.
• Retos:
- Alinear Gestión de riesgos con gestión de servicios.
- Responsabilidades de protección con obligaciones de
sostenibilidad. Falsa confianza.
•Gestión de Continuidad
•No se administra de forma orquestada
con otras áreas.
•Herramientas: - DRII- GAP
- Teoría Análisis Decisión
• Retos:
- Salir del saco de DRP, Atención de emergencias. Onerosas en
costos.
- Justificar inversiones en recursos pre-instalados.
•Gestión de Tecnología
•Concentrada principalmente en
requisitos de disponibilidad y
funcionalidad.
•Herramientas: - ITIL
- COBiT
• Retos:
- Diseñar servicios de TI con requisitos garantía.
- Alinear ritmos de operación con otros pilares.
¿Qué papel puede jugar esta visión
en su realidad?
•Hoy existe una mayor conciencia frente a
escenarios adversos.
• Se debe comunicar a la alta gerencia la
necesidad de administrar el concepto de
resiliencia.
•
¿Preguntas?- Bibliografía
•Gracias por su atención
1. CERT Resilience Management Model (RMM): A Maturity Model for Managing Operational
Resilience (SEI Series in Software Engineering) Addison-Wesley Professional; 1 edition (December
4, 2010)
2. The Resilient Enterprise: Overcoming Vulnerability for Competitive Advantage [Paperback], Yossi
Sheffi (Author). MIT Press
3. CERT Resilience Management Model. En: http://www.cert.org/resilience/rmm.html
4. SEI- CERT Program “Measures for Managing Operational Resilience” Julia Allen, Pamela D. Curtis.
July 2011
5. SEI- CERT Program “Sustaining Operational Resiliency: A process improvement Approach to
Security Management” Richard A. Caralli. April 2006