Tener la certeza de disponer de la organización y los medios para hacer frente a las situaciones de crisis, de forma inmediata y eficaz, requiere de una ardua tarea en la elaboración de un plan para establecer la estrategia que nos asegure la continuidad de la actividad principal de la compañía, manteniendo la buena imagen y el prestigio obtenidos a lo largo del tiempo.
El objetivo de este webinar es Proporcionar una visión integral sobre las necesidades de continuidad para brindar respuestas a clientes y socios de negocio, según lo requerido por el estándar ISO/IEC 22301
https://youtu.be/Lzns8uQ-tLY
1. Experiencia que
se transmite
Business Continuity Management
(BCM) y conceptos de los requisitos de
la norma ISO 22301
Buenos Aires, 09 de abril de 2020
1
2. Fundada en 1872 tiene su oficina
central en Colonia, Alemania, y
renombrada en 1936 como grupo TÜV
Rheinland (Organización de
Inspecciones Técnicas), el grupo
emplea a unas 19.320 personas en
520 sedes de 69 países.
3. Sistemas de Gestión de continuidad
de negocio
Business Continuity Management
(BCM) y conceptos de los requisitos
de la norma ISO 22301
Fabián Descalzo – Director (fdescalzo@bdoargentina.com)
Fabián posee 30 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI,
Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e
Internacionales en compañías de diferentes áreas de negocio. Docente del módulo de Seguridad de la Información en la “Diplomatura en Gobierno y
Gestión de Servicios de IT” del ITBA; en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Argentina; del módulo Auditoría y
Control en Seguridad de la Información en la Universidad Nacional de Rio Negro. Miembro del Comité Científico del IEEE (Institute of Electrical and
Electronics Engineers), del Comité Directivo de ADACSI/ISACA. Disertante nacional e internacional y columnista especializado en áreas de Gobierno de
la Tecnología y Seguridad de la Información, Ciberseguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES
(ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter de España y MAGAZCITUM de México.
ESPECIALIDADES Y ÁREAS DE CONOCIMIENTO
Riesgo, Gobierno y Auditoría de TI
Continuidad de Negocio y Recuperación de Procesos de Servicios de TI
Análisis de riesgos de Ti y Seguridad de la Información
Cumplimiento de Marco Regulatorio (SOX, HIPAA, PCI-DSS, Data Privacy, Internal Frame)
Gobierno de Seguridad de la Información
Procesos de Servicios TI
Cibercrimen
CERTIFICACIONES - PRACTICAS NOTABLES
COBIT5 Foundation, Lead Auditor ISO/IEC 20000:2011, IRCA ISMS Auditor: Lead Auditor ISO/IEC 27001, Lead Auditor ISO/IEC
22301:2019, ITIL® version 3:2011 Information Management, ITIL® version 3:2011, Accredited Trainer (EXIN Accreditation)
5. CONTINUIDAD
SOCIEDAD, ORGANIZACIONES Y PERSONAS
“La resiliencia es la
capacidad para adaptarse
positivamente a las
situaciones adversas para
seguir pensando en el futuro”
“Capacidad estratégica y táctica que tiene una
Organización para planificar y responder a incidentes e
interrupciones del negocio con el fin de continuar con
las operaciones críticas del negocio dentro de un nivel
de servicio aceptable y asumible por la Organización”
6. CONTINUIDAD
SOCIEDAD, ORGANIZACIONES Y PERSONAS
Base en la psicología, hasta los ’60 como condición innata de la persona,
capacidad de no verse afectado psicológicamente a pesar del estrés
Factores no solo individuales, sino también familiares y
de relacionamiento
En el siglo XXI se suman factores
comunitarios y culturales
7. CONTINUIDAD
SOCIEDAD, ORGANIZACIONES Y PERSONAS
Estado de ánimo
Cultura
Familia
Comunidad
Creencias
Oficio / Profesión
Necesidades básicas
Recursos básicos
Situación actual
Cultura
Equipo
Terceras partes
Regulaciones y Leyes
Industria – Productos y Servicios
Procesos críticos
Recursos críticos
12. IMPACTO Y CONTINUIDAD
ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO – CASO DE ÉXITO
“Salentein es una empresa Argentina de capitales
Holandeses que tiene distintas unidades de
Negocio (Ganadería, Agricultura y 3 Bodegas,2 en
Mendoza y una en San Juan), una Posada y un
Restaurant; es decir, una empresa con negocios
distintos y una diversidad geográfica amplia.
Todos estos cambios nos fortalecieron como
organización y nos permitió que hoy, a pesar de la
contingencia actual que todos estamos
atravesando por el tema del coronavirus nuestra
compañía pueda trabajar de manera remota con el
100% del personal asignado ante una contingencia,
con los sistemas y aplicaciones críticas previstas y
con un nivel de seguridad aceptable para una
compañía de nuestro segmento.”
Trinidad Núñez
Gerente de Auditoría
Interna en Salentein
Argentina BV.
15. IMPACTO Y CONTINUIDAD
ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO
• Alcance de las actividades;
• Niveles mínimos de prestación de servicio y su tipo / condiciones del servicio
brindado;
• Participación de subcontratistas.
• No podrán tercerizarse actividades con proveedores que a su vez tengan contratada la
función de auditoría interna y/o externa de dichas actividades.
• Compromisos de confidencialidad. Término de compromiso de confidencialidad de la
información a la que tenga acceso/alcance el proveedor y/o subcontratista.
• Identificar posibles riesgos:
• Los mecanismos de notificación de cambios en el control accionario;
• Los mecanismos de notificación de cambios de niveles gerenciales;
• Resarcimiento por daños económicos que causará el proveedor
• El procedimiento por el cual las áreas tecnológicas y de seguridad informática pueda
obtener los datos, los programas fuentes, los manuales y la documentación técnica de
los sistemas, ante cualquier situación que pudiera sufrir el proveedor externo por la
cual dejara de prestar sus servicios o de operar en el mercado
• Tener derecho a realizar auditorías a los proveedores, propias o de empresas
contratadas para tal fin, y eestablecer que cualquier Entidad Regulatoria pueda
acceder sin limitación
• Contar con un plan de contingencia
17. IMPACTO Y CONTINUIDAD
ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO
Recovery Time
Objetive
Maximum Tolerable
Downtime
Revised Operating
Level
Recovery Point
Objetive
Nivel comprometido de productividad
aceptable como una solución alternativa. A
menudo refleja y respalda los compromisos
asumidos en los acuerdos de nivel de
servicio existentes.
18. IMPACTO Y CONTINUIDAD
ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO
• Tiempo de trabajo en Recuperación (WRT): Es el tiempo utilizado
para hacer que las funciones críticas de la Organización estén
nuevamente operando (hardware, software, configuraciones
necesarias, etc.)
• Tiempo Máximo Tolerable de Indisponibilidad (MTD): Es el tiempo
máximo de inactividad que la organización puede tolerar la ausencia o
no disponibilidad de una función o proceso. El tiempo de caída o
de inoperancia se constituye por dos elementos: el tiempo de
recuperación del sistema y el tiempo de trabajo en recuperación:
MTD = RTO + WRT
• Por ejemplo, si su MTD es de 3 días, probablemente el día 1 sea el
RTO y los días 2 y 3 pueden ser los WRT
19. IMPACTO Y CONTINUIDAD
ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO
Categoría Ejemplos
Financiero Pérdidas financieras debido a multas, sanciones,
pérdida de beneficios o disminución de cuota de
mercado
Reputacional Opinión negativa o daño a la marca
Legal y Regulatorio Litigios por responsabilidad, pérdida de licencias
comerciales,
Contractual Incumplimiento de contratos y obligaciones entre
las organizaciones
Objetivos de negocio Fallas en procesos de negocio que impiden
cumplir con los objetivos de negocio, pérdida de
oportunidades
20. IMPACTO Y CONTINUIDAD
ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO
Determine el nivel de exposición del proceso relevado en base a las siguientes
dimensiones de evaluación:
Nivel de
exposición
1. Legislaciones
aplicables
2. Impacto
organizacional
3. Impacto en el
cliente
5. Efecto en la
organización
6. Rango de
pérdida (U$S)
0 Ninguna Ninguno Ninguno Ninguno 0 < 50.000
1 Normativa Interna Operativo / Sector
Cliente interno (1
área/proceso)
Mínimo ≥ 50.000 < 100.000
2
Contrato con Terceros
(Clientes/Proveedores)
Táctico / Gerencial
Cliente interno (+1
área/proceso)
Moderado ≥ 100.000 < 200.000
3 Regulación del sector
Estratégico /
Compañía
Cliente externo (-
50%)
Atención ≥ 200.000 < 400.000
4
Ley Nacional, Provincial o
Municipal
Estratégico /
Organizacional
Cliente externo
(+50%)
Grave ≥ 400.000
21. IMPACTO Y CONTINUIDAD
ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO
Las categorías que nos ayudan a determinar los tiempos de recuperación óptimos, son:
Categoría 1: Procesos Misionales y/o Críticos (Menor a 24 horas)
Funciones que pueden realizarse sólo si las capacidades se reemplazan por otras
idénticas.
No pueden reemplazarse por métodos manuales.
Muy baja tolerancia a interrupciones.
Categoría 2: Vitales (Dentro de las 48 horas)
Pueden realizarse manualmente por un periodo breve.
Costo de interrupción un poco más bajos, sólo si son restaurados dentro de un tiempo
determinado (5 o menos días, por ejemplo).
Categoría 3: Importantes (3 a 5 días)
Funciones que pueden realizarse manualmente por un periodo prolongado a un costo
tolerable.
El proceso manual puede ser complicado y requeriría de personal adicional.
Categoría 4: Menores (Más de 1 semana)
Funciones que pueden interrumpirse por tiempos prolongados a un costo pequeño o nulo.
22. IMPACTO Y CONTINUIDAD
ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO
El proceso de BIA entrega como resultado requerimientos de
continuidad del negocio. Estos requerimientos permiten a la
organización determinar y seleccionar estrategias de
continuidad de negocio apropiadas:
• Área de trabajo alternativo
• Acuerdos con proveedores en contingencia
• Opciones de recuperación de las TIC
• Disponibilidad del personal en contingencia
• Equipos y fuentes de materias primas
23. IMPACTO Y CONTINUIDAD
ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO
PN
TI
OPERACIÓN
DISPONIBILIDAD Y
CONTINUIDAD
PROYECTOS
PROYECTOS
ANÁLISIS DE
RIESGOS
ADMINISTRACIÓN
INFRAESTRUCTURA
SERVICE
DESK
ADMINISTRACIÓN
APLICATIVA
ADMINISTRACIÓN
SEGURIDAD
SOPORTE
TÉCNICO
GESTIÓN DE
INCIDENTES
GESTIÓN DE CAMBIOS
DRP - BCP
ANÁLISIS DE RIESGO
BIA
BACKUPS
CUMPLIMIENTO
MARCO NORMATIVO
DOCUMENTACIÓN Y REGISTROS
AUDITORÍA
24. IMPACTO Y CONTINUIDAD
ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO
Procesos del negocio
• Procesos cuya pérdida o degradación
hacen que sea imposible llevar a cabo
la misión de la organización
• Procesos que contienen procesos
secretos o procesos que involucran
tecnología propietaria
• Procesos que, si se modifican, pueden
afectar en gran medida el logro de la
misión de la organización.
• Procesos que son necesarios para que
la organización cumpla con
requerimientos contractuales, legales o
reglamentarios.
Información:
• Información vital para el ejercicio de la
misión de la organización o el negocio
• Información personal, tal como
específicamente puede definirse en el
sentido de las legislaciones nacionales
respecto a la privacidad
• Información estratégica necesaria para
lograr los objetivos determinados por
las orientaciones estratégicas
• Información de costo alto cuya
recolección, almacenamiento,
procesamiento y transmisión requieren
mucho tiempo y/o implican un alto costo
de adquisición
26. IMPACTO Y CONTINUIDAD
ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO
Decisiones Gerenciales
¿Podría verse afectada negativamente la toma de decisiones por la falta de disponibilidad de la
aplicación?
Pérdida directa del
negocio
¿Podrían generarse pérdidas directas en el negocio si la aplicación no se encuentra disponible?
Confianza Pública
¿Qué impacto podría tener la falta de disponibilidad de la aplicación en la confianza de los clientes, en
la imagen pública y reputación de la empresa y en la lealtad de accionistas y proveedores?
Costos Adicionales ¿Podrían surgir costos adicionales por la falta de disponibilidad de la aplicación?
Responsabilidad Legal
La falta de disponibilidad de la aplicación ¿podría resultar en el incumplimiento de obligaciones legales,
regulatorias o contractuales?
Recuperación
¿Cuán costoso sería recuperar el procesamiento atrasado del período durante el cual la aplicación no
estuvo disponible?
Moral del Personal
La falta de disponibilidad de la aplicación ¿podría tener un efecto perjudicial sobre la moral o la
motivación del personal?
Fraude
¿Podrían surgir fraudes o desviaciones de bienes o fondos de la falta de disponibilidad de la aplicación?
¿Podrían encubrirse fraudes por medio de la falta de disponibilidad de la aplicación?
Interrupción del
Negocio
¿Podría interrumpirse el negocio como resultado de la falta de disponibilidad de la aplicación?
Los niveles de impacto a utilizar para responder las consultas son:
A Amenaza a la supervivencia del negocio
B Daño serio
C Daño importante
D Impacto menor
E Insignificante
29. IMPACTO Y CONTINUIDAD
ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO
• Realizar el proceso BIA de forma periódica (normalmente
anual) o como parte de un cambio organizacional que
puede afectar la exactitud de los requerimientos de
continuidad del negocio.
• Ante cambios del plan estratégico u objetivos estratégico
de la organización, como por ejemplo:
• Alta o baja de productos o servicios
• Cambios en las prioridades de productos y servicios
30. IMPACTO Y CONTINUIDAD
ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO
• Determinar cuáles recursos se necesitan para soportar las actividades
prioritarias;
• Determinar las dependencias, incluyendo socios y proveedores, y las
interdependencias de las actividades prioritarias y anticipar sus reacciones a
ante un incidente mayor
• Participar a todas las partes interesadas relevantes con una acción apropiada
• Desarrollo de las habilidades y competencias dentro de la organización para
llevar a cabo el análisis del proyecto y presentar los resultados
• Recopilación de información general, completa y precisa
• Asegurar que los que contribuyen al proceso de recopilación de información
para el BIA poseen el conocimiento suficiente y tienen la autoridad para hablar
en nombre de la organización, en cualquier proceso o actividad
• Asegurar que los representantes seleccionados para la gestión del BIA tienen
autoridad suficiente para aprobar sus resultados y alcance
32. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
33. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
34. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
35. ESTÁNDARES PARA LA CONTINUIDAD
Cuestiones Externas
Relevantes para el propósito del SGCN
Que afecten al resultado esperado para el SGCN
Cuestiones Internas
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
36. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
Partes de la
organización
Servicios
Locación, tamaño, naturaleza y complejidad
37. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
38. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
LA DIRECCIÓN PARA GARANTIZAR:
Que los objetivos y políticas del SGCN son
compatibles con la estrategia de la organización y se
integran a sus procesos de negocio.
La provisión de los recursos necesarios, orientando
y apoyando a las personas en la comunicación de la
importancia del sistema.
Que el sistema obtiene los resultados esperados y
fomente el mejoramiento continuo.
39. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
40. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
41. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
42. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
43. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
44. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
45. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
46. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
47. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
48. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
49. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
Gestión de Riesgos Gestión de Crisis
Gestión de Continuidad del
Negocio
Tecnologías de
información y
comunicaciones para la
continuidad del negocio
Estándar
asociado
ISO 31.000 / ISO 31.010
(Gestión y valoración de riesgos)
PAS200 (Crisis Management)
ISO 22.301 (SGCN)
ISO 22.317 (BIA)
ISO 27.031 (IT y Comunicaciones
para la Continuidad del Negocio)
ISO 27.035 (Gestión de
Incidentes)
Principales
Actividades
• Establecer el contexto.
• Intereses de las partes
(entendidos y
considerados).
• Riesgos adecuadamente
identificados.
• Diferentes áreas de
especialización.
• Diferentes puntos de vista
en la definición de criterios
de riesgo y en la
evaluación.
• Respaldo y apoyo al plan
de tratamiento.
• Adecuada comunicación
interna y externa y un plan
de consulta.
• Relación entre incidentes y
crisis
• Desarrollo de capacidades
para la gestión de crisis
• Planificación y preparación
de respuesta ante una
crisis y como debe ser la
recuperación
• Estrategia de comunicación
, estructuras formales e
informales de
• Planificación de la
comunicación
• Relevamiento o revisión de
procesos funcionales
• Diseño o revisión de
procesos de continuidad de
negocio y escritura de
procedimientos
• Implementación de
procesos de continuidad de
negocio
• Desarrollo del programa de
formación y sensibilización,
y comunicación a la
Organización
• Desarrollo de la
documentación para las
operaciones de gestión del
BCM
• Estrategia de la Gestión de
la Continuidad del Servicio
(ITSCM)
• Revisar la organización del
personal involucrado.
• Instalaciones y hardware
alternativos.
• Garantizar la recuperación
de datos, su integridad y
reiniciar el servicio TI
• Contratos de colaboración
con otras organizaciones.
• Protocolos de
comunicación con los
clientes
• Gestión de proveedores en
contingencia
50. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
51. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
52. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
53. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
54. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
55. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
56. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
57. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
58. ESTÁNDARES PARA LA CONTINUIDAD
HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO
61. La resiliencia es un proceso dinámico que tiene
como resultado la adaptación positiva en un
contexto de gran adversidad, por eso:
¿Cómo construimos nuestra resiliencia
pensando en el futuro?
¿Sabemos cuan resiliente es nuestra
organización para garantizar su continuidad?
¿El ánimo, la cultura y el conocimiento de
nuestra gente, de nuestra organización, nos
garantiza el futuro?
CONCLUSIONES
PREGUNTAS PARA NO FRACASAR
62. ISO/IEC 27001
IRCA ISMS Auditor /
Lead Auditor Course
ISMS Auditor / Internal
Auditor Course
ISO/IEC 20000-1 Lead
Auditor Course &
Internal Auditor Course
de Sistemas de Gestión
de Servicios de TI
BCMS Auditor / Lead
Auditor de Sistemas de
Gestión de la
Continuidad del Negocio
ISO 22301
Internal Auditor de
Sistemas de Gestión de
la Continuidad de
Negocio (SGCN) según
ISO 22301