Este documento presenta una introducción al sistema de gestión de continuidad del negocio de acuerdo con los estándares BS25999 e ISO 22301. Explica brevemente las opciones para el tratamiento de riesgos, como aceptar, transferir, terminar, reducir o mitigar. También aclara que no son opciones amplificar, simular, desatender, ignorar, confiar o aparentar ante los riesgos.
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio de acuerdo con BS25999 e ISO22301
1. Sistema de Gestión de Continuidad
del Negocio de Acuerdo con
BS25999 e ISO 22301
October 2011
Mario Ureña Cuate
CISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001
2. Agenda
• Introducción
• Elementos que componen el SGCN
• Gestión de incidentes en el SGCN
• Similitudes y diferencias entre BS 25999-2 e
ISO/DIS 22301
• Factores críticos de éxito
• Conclusiones
3. Nota
• Al cierre de la preparación de esta presentación,
el estándar ISO 22301 no ha sido publicado en su
versión final, por lo que la información contenida
en esta presentación se refiere al documento
ISO/DIS 22301.
• La publicación de ISO 22301 en su versión final
pudiera incluir cambios relevantes no incluídos en
esta presentación.
8. Introducción
Opciones de Tratamiento de Riesgos
(Reducir*)
Reducir la posibilidad
Reducir el tiempo de interrupción
Reducir el impacto de una interrupción
16. Introducción
• Ejemplos de incidentes que pueden afectar la
continuidad del negocio:
– Percepción negativa del público hacia la organización
– Problema con productos y servicios
– Problema financiero
– Problema de relaciones con empleados
– Evento internacional adverso
– Violencia en el lugar de trabajo
– Pérdida de personal
– Desastre natural
17. Introducción
• Evento Internacional Adverso
• El 31 de diciembre de 1986 ocurrió un incendio en el hotel
Dupont Plaza en San Juan, Puerto Rico teniendo como
resultado 97 muertos y 140 lesionados. El fuego fue iniciado
por un empleado inconforme.
2,300 demandantes.
Drexel Heritage Furnishing
fue encontrada “no
responsable” por el jurado en
1989.
18. Introducción
• Eventos que en ocasiones no son consideradas,
causadas por:
– Un proveedor
– Un prueba / ejercicio
– Acciones de los empleados
– Acciones del departamento de Recursos Humanos
– Acciones de los medios
– Situación de espionaje industrial
– Muerte precipitada de funcionarios
19. Introducción
• Proveedores
• En 1993 Play-Doh Co inhabilitó a 80 empleados debido a que
uno de sus proveedores en Illinois era incapaz de proveer
harina que se utiliza para la fabricación de masa para modelar.
El proveedor fue afectado por
la “gran inundación del ’93”.
Los trabajadores fueron
llamados cuando se encontró
un nuevo proveedor.
20. Introducción
• Pruebas / ejercicios mal ejecutados
• En 1992 el Federal Reserve Bank de San Francisco realizó una
prueba de su plan de recuperación ante desastres. Como
resultado de las actividades realizadas durante la prueba, un
mainframe dejó de operar durante 12 horas, afectando a
usuarios en California y Arizona.
15 instituciones bancarias
fueron afectadas.
El banco atribuye el hecho a
un error humano.
21. Introducción
• Pruebas / ejercicios mal ejecutados
• En 1996 cinco hombres “enmascarados” ingresaron a la sala
de emergencia del Memorial Hospital en Martinsville,
Virginia, apuntando sus armas al personal y demandando
medicamentos. La prueba fue preparada por el staff de
seguridad del hospital.
“No creo que cualquiera pueda
apuntar un arma en la cabeza de una
persona y se salga con la suya…”
Abogado representante de 3
enfermeras.
22. Introducción – Evolución
• Plan de Contingencias (CP)
• Plan de Recuperación de Desastres (DRP)
• Plan de Continuidad de las Operaciones (COOP)
• Plan de Continuidad del Negocio (BCP)
• Plan de Reanudación del Negocio (BRP)
• Gestión de la Continuidad del Negocio (BCM)
• Programa de Gestión de la Continuidad del Negocio (BCMP)
• Sistema de Gestión de Continuidad del Negocio (BCMS)
• Sistema de Gestión de Preparación y Continuidad (PCMS) ?
23. Introducción – Retos
• No contar con una estrategia de continuidad
• Falta de apoyo de la dirección
• Inexistencia de análisis de riesgos y de impacto al negocio
• Falta de integración entre planes
• Complejidad Tecnológica
• Planes no actualizados
• No se realizan pruebas, auditoría, revisiones gerenciales
• Planes demasiado generales o demasiado específicos
30. Introducción - Definiciones
• BCM
Proceso de gestión holístico que identifica amenazas
potenciales a la organización y sus impactos a la
operación del negocio que esas amenazas, en caso
realizarse, pudieran causar, y provee una estructura
para construir resiliencia organizacional con la
capacidad para la efectiva respuesta salvaguardando
los intereses de las principales partes interesadas,
reputación, marca y actividades que crean valor.
BS 25999-2:2007
31. Introducción - Definiciones
• BCMS
La parte del Sistema de Gestión general que
establece, implementa, opera, monitorea,
revisa, mantiene y mejora la continuidad del
negocio.
BS 25999-2:2007
33. Elementos que componen el SGCN
Parte 2
Parte 1 Requisitos de
Prácticas no Sistemas de
auditables
Requisitos
Comunes Gestión
(sugerencias,
(auditoría, acción
comentarios, guías,
correctiva y
etc)
preventiva, etc)
34. Elementos que componen el SGCN
• Parte 1 – Ciclo de Vida de BCM
• Parte 2 – BCMS basado en modelo P-D-C-A
Planear – Hacer – Verificar - Actuar
38. Requerimientos de documentación de
BS 25999-2
• Alcance, objetivos y procedimientos
• Política de GCN
• Provisión de recursos
• Competencia del personal de GCN
• Análisis de Impacto al Negocio
• Evaluación de riesgos
• Estrategia de Continuidad del Negocio
• Estructura de respuesta a incidentes
39. Requerimientos de documentación de
BS 25999-2
• Plan(es) de continuidad del negocio
• Plan(es) de gestión de incidentes
• Ejercicio de GCN
• Mantenimiento y revisión de arreglos de GCN
• Auditoría interna
• Revisión de la gerencia del SGCN
• Acciones correctivas y preventivas
• Mejora continua
42. Definición
• IRBC – ICT Readiness for Business Continuity
(ICT – Information and Comunication Technology)
Capacidad de una organización para soportar sus
operaciones a través de la prevención, detección
y respuesta a la interrupción y recuperación de
servicios de ICT.
ISO 27031:2011
45. Gestión de Incidentes y el SGCN
• Plan de Gestión de Incidentes
Plan de acción claramente definido y documentado
para ser utilizado cuando ocurre un incidente,
típicamente cubre al personal clave, recursos,
servicios y acciones necesarias para implementar
el proceso de gestión de incidentes.
BS 25999-2:2007
46. Gestión de Incidentes y el SGCN
RPO t0 t1 t2 t3 RTO t4 t5 MTPoD
Nivel de operación normal Nivel de operación normal
Nivel de operación en crisis
Operación normal Recuperación Operación en continuidad Operación normal
Plan de Gestión de Incidentes
Plan de Continuidad del Negocio
Regreso
Nota: Esta información no es un requisito de BS25999
47. Similitudes y diferencias entre
BS 25999-2 e ISO22301
BS 25999-2 ISO DIS 22301
1 - Alcance 1 - Alcance
2 - Términos y definiciones 2 - Referencias normativas
3 - Planear el SGCN 3 - Términos y definiciones
4 - Implementar y operar el SGCN 4 - Requerimientos generales
5 - Monitorear y revisar el SGCN 5 - Liderazgo
6 - Mantener y mejorar el SGCN 6 - Planeación
7 - Soporte
8 - Operación
9 - Evaluación del desempeño
10 - Mejora
48. Similitudes y diferencias entre
BS 25999-2 e ISO22301
BS 25999-2 ISO DIS 22301
Cláusula Descripción Cláusula Descripción
Introducción Introducción
1 Alcance 1 Alcance
2 Referencias normativas
2 Términos y definiciones 3 Términos y definiciones
49. Similitudes y diferencias entre
BS 25999-2 e ISO22301
BS 25999-2 ISO DIS 22301
Cláusula Descripción Cláusula Descripción
3 Planeación del SGCN 6 Planeación
3.1 General
3.2 Establecer y gestionar el SGCN
3.2.1 Alcance y objetivos 6.1 Objetivos y planes para alcanzarlos
Acciones para atender problemas y
6.2
preocupaciones
4 Requerimientos generales
Entendimiento de la organización y su
4.1
contexto
3.2.1.1 Alcance y objetivos 4.3 Sistema de Gestión y Alcance
3.2.1.2 Productos y servicios clave 4.2 Necesidades y requerimientos
3.2.2 Política de GCN 5.3 Política
50. Similitudes y diferencias entre
BS 25999-2 e ISO22301
BS 25999-2 ISO DIS 22301
Cláusula Descripción Cláusula Descripción
3.2.3 Provisión de recursos 7.1 Recursos
3.2.3.1 Recursos generales
Roles, responsabilidades, Roles, responsabilidades y
5.4
3.2.3.2 competencias y autoridades autoridades organizacionales
de GCN 7.2 Competencia
Roles, responsabilidades y
5.4
3.2.3.3 Designación del responsable autoridades organizacionales
7.2 Competencia
Integrar GCN en la cultura de
3.3 7.3 Concientización
la organización
7.5 Información documentada
7.5.1 General
Documentación y registros del
3.4 7.5.2 Crear y actualizar
SGCN
Control de información
7.5.3
documentada
51. BS 25999-2 ISO DIS 22301
Cláusula Descripción Cláusula Descripción
8 Operación
8.1 General
4 Implementar y operar el SGCN
Planeación y control
8.2
operacional
4.1 Entender a la organización 8.3 Preparación
8.4 Planeación
Análisis de Impacto al Negocio
8.4.3
y Evaluación de Riesgos
4.1.1 Análisis de Impacto al Negocio 8.4.3.3 Análisis de Impacto al Negocio
4.1.2 Evaluación de riesgos 8.4.3.4 Evaluación de riesgos
Opciones de continuidad del
8.4.4
negocio
Determinación y selección de
8.4.4.1
4.1.3 Determinar opciones opciones
8.4.4.3 Protección y mitigación
Determinar estrategia de Establecer requerimientos de
4.2 8.4.4.2
continuidad del negocio recursos
52. BS 25999-2 ISO DIS 22301
Cláusula Descripción Cláusula Descripción
7.4 Comunicación
Desarrollar e implementar la 7.4.1 Comunicación externa
4.3
GCN 7.4.2 Comunicación interna
8.5 Ejecución
Desarrollar e implementar una
4.3.1 General 8.5.1 respuesta de continuidad del
negocio
8.5.2 Estructura de respuesta
8.5.3 Alerta y comunicación
8.5.4 Respuesta
Estructura de respuesta a Planes de continuidad el
8.5.5
incidentes negocio
4.3.2
Planes de continuidad del Requerimientos de
4.3.3 8.5.6
negocio y gestión de procedimientos de respuesta
incidentes Contenido del procedimiento
8.5.7
de respuesta
8.5.8 Recuperación
8.5.9 Comunicación y consulta
Ejercitar. Mantener y revisar
4.4 8.6.1 Ejercicios y pruebas
los arreglos de BCM
53. Similitudes y diferencias entre
BS 25999-2 e ISO22301
BS 25999-2 ISO DIS 22301
Cláusula Descripción Cláusula Descripción
9 Evaluación del desempeño
8.7 Revisión
8.6.2 Monitoreo del desempeño
5 Monitorear y revisar el SGCN
Evaluación de procedimientos
8.7.2
de continuidad
9.1 Evaluación del desempeño
5.1 Auditoría interna 9.2 Auditoría interna
Revisión de la gerencia del 8.7.1 Revisión de la gerencia
5.2
SGCN 9.3 Revisión de la gerencia
54. Similitudes y diferencias entre
BS 25999-2 e ISO22301
BS 25999-2 ISO DIS 22301
Cláusula Descripción Cláusula Descripción
6 Mantener y mejorar el SGCN 10 Mejora
6.1 Acciones preventivas y correctivas
6.1.1 General
6.1.2 Acción preventiva
6.1.3 Acción correctiva 10.1 No conformidad y acción correctiva
6.2 Mejora continua 10.2 Mejora continua
57. Factores críticos de éxito
• Asegurar el apoyo de la dirección
• BCM requiere recursos permanentes ( $)
• Roles y responsabilidades claramente establecidos
• Programa de concientización adecuado
• Documentación suficientemente detallada
• Programa de ejercicios y pruebas
• Promover la participación de toda la organización
• Procedimiento de control de cambios efectivo
• Auditoría, revisión de la gerencia y mejora continua