presentación de powerpoint - … · operacional • establecer una convergencia del riesgo...
TRANSCRIPT
pemex.com2014 D.R. Petróleos Mexicanos. Todos los derechos reservados.
PROCESOS DE NEGOCIOY TECNOLOGÍA DE INFORMACIÓN
David Jiménez
CISO
RESILIENCIA
OPERATIVA
1
pemex.com2014 D.R. Petróleos Mexicanos. Todos los derechos reservados.
Agenda
• ¿Qué es la resiliencia operativa?
• ¿Por qué es importante?
• ¿Cuál es el alcance de la resiliencia operativa?
• ¿Qué mejores prácticas existen al respecto?
• ¿Cómo puedo mejorar mi resiliencia operativa?
• Conclusiones
2
pemex.com2014 D.R. Petróleos Mexicanos. Todos los derechos reservados.
¿Qué es la resiliencia operativa?
“Es la habilidad de la organización para
alcanzar su misión y aprovechar
oportunidades incluso en circunstancias
degradadas o adversas”
3
pemex.com2014 D.R. Petróleos Mexicanos. Todos los derechos reservados.
¿Qué es la resiliencia operativa?
4
Servicios
Procesos de
Negocio
Gente InformaciónTecnología Instalaciones
“La habilidad de la
organización de mantener los
procesos de negocio y
servicios que soportan de
manera directa la misión de la
organización, haciendo lo que
se supone que deben hacer”
Misión
pemex.com2014 D.R. Petróleos Mexicanos. Todos los derechos reservados.
¿Qué es la resiliencia operativa?
5
Org
aniz
ació
n A
Org
aniz
ació
n B
Org
aniz
ació
n C
Org
aniz
ació
n D
Am
bie
nte
de r
iesgo
Resiliencia
Operativa
pemex.com2014 D.R. Petróleos Mexicanos. Todos los derechos reservados.
Resiliencia Operativa – Situaciones de estrés
6
Tecnología
Proveedores
Globalización
Complejidades Soporte Vulnerabilidades y
Riesgos
Vulnerabilidades y
Riesgos
Soporte a procesos Ceder control
Riesgos
pemex.com2014 D.R. Petróleos Mexicanos. Todos los derechos reservados.
¿Por qué es importante?
7
1. El mundo alrededor de las organizaciones
esta cambiando en términos de riesgos y
oportunidades
2. No es posible reaccionar a todas las
situaciones posibles
3. Dejar de determinar nuestra resiliencia en
términos de lo que no ha pasado
• “El servicio sigue arriba, lo que
hacemos seguro lo hacemos bien”
4. Poder predecir que tan bien se va a
desempeñar la organización ante un
cambio en el ambiente de riesgo
pemex.com2014 D.R. Petróleos Mexicanos. Todos los derechos reservados.
¿Cuál es el alcance de la resiliencia operativa?
8
Co
nve
rge
nc
ia =
Ali
ne
ac
ión
de
ge
sti
ón
de
rie
sg
os
Gestión de
Seguridad
Gestión de la
continuidad del negocio
Gestión de la Operación
de TI
pemex.com2014 D.R. Petróleos Mexicanos. Todos los derechos reservados.
CERT-RMM – Gestión de la resiliencia operativa
El CERT Resilience Management
Model (CERT-RMM) es un
modelo de capacidades para la
gestión y mejora de la resiliencia
operacional
• Establecer una convergencia del riesgo operacional y las actividades de gestión de la resiliencia
• Gestión de Seguridad
• Gestión de Continuidad
• Gestión de las operaciones de TI
• Aplicar un enfoque de mejora de procesos mediante la definición y aplicación de una escala de capacidades (Amigable con CMMI), la cual expresa niveles de madurez en los procesos
• Trazabilidad con ISO27000, COBIT e ITIL
9
pemex.com2014 D.R. Petróleos Mexicanos. Todos los derechos reservados.
CERT-RMM – Gestión de la resiliencia operativa
10
Objetivos
organizacionalesTolerancia y
apetito de riesgo
Metas y objetivos
de resiliencia
Requerimientos de
resiliencia
Controles de
protección
Objetivos de
control
Objetivos de
control
Controles de
continuidad
Servicios críticosActivos de alto
valor
Protección Continuidad
Estratégico
Táctico Gestión de
condiciones
Gestión de
consecuencias
Influencia
Informa
Alineando con
Establece
Define
InfluenciaInfluencia
Se aplica a
Define
Define
Establece
pemex.com2014 D.R. Petróleos Mexicanos. Todos los derechos reservados.
CERT-RMM – Gestión de la resiliencia operativa
11
Protección Continuidad
Gestionar condiciones de riesgo Gestionar las consecuencias del
riesgo
pemex.com2014 D.R. Petróleos Mexicanos. Todos los derechos reservados.
CERT-RMM
• 26 procesos
• 4 categorías
• 256 prácticas
específicas
• 94 metas específicos
• …
12
Identificar
Proteger
Dar continuidad
Actividades de alto nivel para
soportar la gestión de la
resiliencia
Actividades del día a día para
gestionar la resiliencia
Implementar, medir,
monitorear y mejorar
pemex.com2014 D.R. Petróleos Mexicanos. Todos los derechos reservados.
Componentes del modelo
13
Proceso PropósitoNotas de
introducción
Relación con
otros procesos
Metas
especificas
Metas
genéricas
Prácticas
especificas
Productos de
trabajoSubprácticas Subprácticas Nota adicional
Prácticas
genéricas
pemex.com2014 D.R. Petróleos Mexicanos. Todos los derechos reservados.
CERT-RMM – Modelo de madurez
14
CERT-RMM 1.1 MIL (Maturity Indicator
Level) ‘13
Indicador
Nivel 0: Incompleto MIL 0: Incompleto No se realiza el proceso
Nivel 1: Realizado MIL 1: Realizado Alguna práctica especifica se realiza
Nivel 2: Administrado MIL 2: Planeado
MIL 3: Administrado
MIL 4: Medido
Se realiza una práctica especifica con
planeación, soporte de stakeholders, guías y
estándares
La práctica especifica es gobernada,
financiada, con responsabilidades claras y
con gente capacitada
Ejecutada, planeada, administrada,
monitoreada y controlada
Nivel 3: Definido MIL 5: Definido Es medida y se realiza en todas las unidades
de negocio
MIL 6: Compartido Un proceso compartido con una comunidad
que persigue el mismo objetivo
pemex.com2014 D.R. Petróleos Mexicanos. Todos los derechos reservados.
¿Cómo puedo utilizar el CERT-RMM?
• Punto de partida para aprovechar la convergencia entre seguridad, continuidad del
negocio y las actividades de operaciones de TI
• Línea base para evaluar las capacidades de la organización y mejorar su postura
de resiliencia
• Guía para mejorar las áreas donde la capacidad de la organización no son iguales
al estado deseado
• Mejorar las actividades de seguridad de la información, así como las
responsabilidades de cumplimiento asociadas
• Mejorar las actividades de operaciones de TI
• Mejorar las operaciones de continuidad y recuperación de desastres a nivel
política
• Evaluar las actividades de protección de la infraestructura crítica
15
pemex.com2014 D.R. Petróleos Mexicanos. Todos los derechos reservados.
¿Por donde empiezo?
1. Define tu objetivo de mejora
• Proceso o Servicios de negocio
• Aplicaciones críticas
2. Revisa detenidamente el modelo, particularmente el propósito de cada proceso y
selecciona aquellos que sumen a tu objetivo de mejora
3. Elige que partes de la organización serán el objetivo de la mejora
• Objetivo organizacional + Unidad de negocio + sponsor (CIO, CISO,
Responsables de continuidad del negocio)
4. Selecciona un proceso u objetivo y prácticas para cada proceso
16
pemex.com2014 D.R. Petróleos Mexicanos. Todos los derechos reservados.
Conclusiones
17
Org
aniz
ació
n A
Org
aniz
ació
n B
pemex.com2014 D.R. Petróleos Mexicanos. Todos los derechos reservados.
Conclusiones
1. Conoce tu negocio
2. Conoce los objetivos estratégicos y de negocio de la organización
3. Liga los procesos y servicios de negocio con los objetivos para identificar aquellos que habilitan la misión de manera directa
4. Identifica los activos que soportan esos procesos y servicios
5. Define una estrategia de protección y una de continuidad para el activo, tomando en cuenta la postura de riesgo de la organización
6. La resiliencia operativa nunca se alcanza, debe ser gestionada continuamente
7. CERT-RMM es un modelo de referencia, empieza con las áreas de interés y ve creciendo, apóyate de otras mejores prácticas
8. Podemos tener un mejor entendimiento del retorno de la inversión si pensamos en la resiliencia
18
pemex.com2014 D.R. Petróleos Mexicanos. Todos los derechos reservados.
PROCESOS DE NEGOCIOY TECNOLOGÍA DE INFORMACIÓN
David Jiménez
CISO
@monkeychief
GRACIAS
19