Business Continuity Management (BCM)

1. Experiencia que se transmite Business Continuity Management (BCM) y conceptos de los requisitos de la norma ISO 22301 Buenos Aires, 09 de abril de 2020 1

2. Fundada en 1872 tiene su oficina central en Colonia, Alemania, y renombrada en 1936 como grupo TÜV Rheinland (Organización de Inspecciones Técnicas), el grupo emplea a unas 19.320 personas en 520 sedes de 69 países.

3. Sistemas de Gestión de continuidad de negocio Business Continuity Management (BCM) y conceptos de los requisitos de la norma ISO 22301 Fabián Descalzo – Director (fdescalzo@bdoargentina.com) Fabián posee 30 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de diferentes áreas de negocio. Docente del módulo de Seguridad de la Información en la “Diplomatura en Gobierno y Gestión de Servicios de IT” del ITBA; en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Argentina; del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro. Miembro del Comité Científico del IEEE (Institute of Electrical and Electronics Engineers), del Comité Directivo de ADACSI/ISACA. Disertante nacional e internacional y columnista especializado en áreas de Gobierno de la Tecnología y Seguridad de la Información, Ciberseguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter de España y MAGAZCITUM de México. ESPECIALIDADES Y ÁREAS DE CONOCIMIENTO  Riesgo, Gobierno y Auditoría de TI  Continuidad de Negocio y Recuperación de Procesos de Servicios de TI  Análisis de riesgos de Ti y Seguridad de la Información  Cumplimiento de Marco Regulatorio (SOX, HIPAA, PCI-DSS, Data Privacy, Internal Frame)  Gobierno de Seguridad de la Información  Procesos de Servicios TI  Cibercrimen CERTIFICACIONES - PRACTICAS NOTABLES COBIT5 Foundation, Lead Auditor ISO/IEC 20000:2011, IRCA ISMS Auditor: Lead Auditor ISO/IEC 27001, Lead Auditor ISO/IEC 22301:2019, ITIL® version 3:2011 Information Management, ITIL® version 3:2011, Accredited Trainer (EXIN Accreditation)

4. DE QUE HABLAMOS CUANDO DECIMOS CONTINUIDAD 4

5. CONTINUIDAD SOCIEDAD, ORGANIZACIONES Y PERSONAS “La resiliencia es la capacidad para adaptarse positivamente a las situaciones adversas para seguir pensando en el futuro” “Capacidad estratégica y táctica que tiene una Organización para planificar y responder a incidentes e interrupciones del negocio con el fin de continuar con las operaciones críticas del negocio dentro de un nivel de servicio aceptable y asumible por la Organización”

6. CONTINUIDAD SOCIEDAD, ORGANIZACIONES Y PERSONAS Base en la psicología, hasta los ’60 como condición innata de la persona, capacidad de no verse afectado psicológicamente a pesar del estrés Factores no solo individuales, sino también familiares y de relacionamiento En el siglo XXI se suman factores comunitarios y culturales

7. CONTINUIDAD SOCIEDAD, ORGANIZACIONES Y PERSONAS  Estado de ánimo  Cultura  Familia  Comunidad  Creencias  Oficio / Profesión  Necesidades básicas  Recursos básicos  Situación actual  Cultura  Equipo  Terceras partes  Regulaciones y Leyes  Industria – Productos y Servicios  Procesos críticos  Recursos críticos

8. CONTINUIDAD SOCIEDAD, ORGANIZACIONES Y PERSONAS

9. CONTINUIDAD SOCIEDAD, ORGANIZACIONES Y PERSONAS

10. ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO 10

11. IMPACTO Y CONTINUIDAD ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO – CASO DE ÉXITO

12. IMPACTO Y CONTINUIDAD ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO – CASO DE ÉXITO “Salentein es una empresa Argentina de capitales Holandeses que tiene distintas unidades de Negocio (Ganadería, Agricultura y 3 Bodegas,2 en Mendoza y una en San Juan), una Posada y un Restaurant; es decir, una empresa con negocios distintos y una diversidad geográfica amplia. Todos estos cambios nos fortalecieron como organización y nos permitió que hoy, a pesar de la contingencia actual que todos estamos atravesando por el tema del coronavirus nuestra compañía pueda trabajar de manera remota con el 100% del personal asignado ante una contingencia, con los sistemas y aplicaciones críticas previstas y con un nivel de seguridad aceptable para una compañía de nuestro segmento.” Trinidad Núñez Gerente de Auditoría Interna en Salentein Argentina BV.

13. IMPACTO Y CONTINUIDAD ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO

15. IMPACTO Y CONTINUIDAD ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO • Alcance de las actividades; • Niveles mínimos de prestación de servicio y su tipo / condiciones del servicio brindado; • Participación de subcontratistas. • No podrán tercerizarse actividades con proveedores que a su vez tengan contratada la función de auditoría interna y/o externa de dichas actividades. • Compromisos de confidencialidad. Término de compromiso de confidencialidad de la información a la que tenga acceso/alcance el proveedor y/o subcontratista. • Identificar posibles riesgos: • Los mecanismos de notificación de cambios en el control accionario; • Los mecanismos de notificación de cambios de niveles gerenciales; • Resarcimiento por daños económicos que causará el proveedor • El procedimiento por el cual las áreas tecnológicas y de seguridad informática pueda obtener los datos, los programas fuentes, los manuales y la documentación técnica de los sistemas, ante cualquier situación que pudiera sufrir el proveedor externo por la cual dejara de prestar sus servicios o de operar en el mercado • Tener derecho a realizar auditorías a los proveedores, propias o de empresas contratadas para tal fin, y eestablecer que cualquier Entidad Regulatoria pueda acceder sin limitación • Contar con un plan de contingencia

17. IMPACTO Y CONTINUIDAD ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO Recovery Time Objetive Maximum Tolerable Downtime Revised Operating Level Recovery Point Objetive Nivel comprometido de productividad aceptable como una solución alternativa. A menudo refleja y respalda los compromisos asumidos en los acuerdos de nivel de servicio existentes.

18. IMPACTO Y CONTINUIDAD ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO • Tiempo de trabajo en Recuperación (WRT): Es el tiempo utilizado para hacer que las funciones críticas de la Organización estén nuevamente operando (hardware, software, configuraciones necesarias, etc.) • Tiempo Máximo Tolerable de Indisponibilidad (MTD): Es el tiempo máximo de inactividad que la organización puede tolerar la ausencia o no disponibilidad de una función o proceso. El tiempo de caída o de inoperancia se constituye por dos elementos: el tiempo de recuperación del sistema y el tiempo de trabajo en recuperación: MTD = RTO + WRT • Por ejemplo, si su MTD es de 3 días, probablemente el día 1 sea el RTO y los días 2 y 3 pueden ser los WRT

19. IMPACTO Y CONTINUIDAD ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO Categoría Ejemplos Financiero Pérdidas financieras debido a multas, sanciones, pérdida de beneficios o disminución de cuota de mercado Reputacional Opinión negativa o daño a la marca Legal y Regulatorio Litigios por responsabilidad, pérdida de licencias comerciales, Contractual Incumplimiento de contratos y obligaciones entre las organizaciones Objetivos de negocio Fallas en procesos de negocio que impiden cumplir con los objetivos de negocio, pérdida de oportunidades

20. IMPACTO Y CONTINUIDAD ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO Determine el nivel de exposición del proceso relevado en base a las siguientes dimensiones de evaluación: Nivel de exposición 1. Legislaciones aplicables 2. Impacto organizacional 3. Impacto en el cliente 5. Efecto en la organización 6. Rango de pérdida (U$S) 0 Ninguna Ninguno Ninguno Ninguno 0 < 50.000 1 Normativa Interna Operativo / Sector Cliente interno (1 área/proceso) Mínimo ≥ 50.000 < 100.000 2 Contrato con Terceros (Clientes/Proveedores) Táctico / Gerencial Cliente interno (+1 área/proceso) Moderado ≥ 100.000 < 200.000 3 Regulación del sector Estratégico / Compañía Cliente externo (- 50%) Atención ≥ 200.000 < 400.000 4 Ley Nacional, Provincial o Municipal Estratégico / Organizacional Cliente externo (+50%) Grave ≥ 400.000

21. IMPACTO Y CONTINUIDAD ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO Las categorías que nos ayudan a determinar los tiempos de recuperación óptimos, son: Categoría 1: Procesos Misionales y/o Críticos (Menor a 24 horas) Funciones que pueden realizarse sólo si las capacidades se reemplazan por otras idénticas. No pueden reemplazarse por métodos manuales. Muy baja tolerancia a interrupciones. Categoría 2: Vitales (Dentro de las 48 horas) Pueden realizarse manualmente por un periodo breve. Costo de interrupción un poco más bajos, sólo si son restaurados dentro de un tiempo determinado (5 o menos días, por ejemplo). Categoría 3: Importantes (3 a 5 días) Funciones que pueden realizarse manualmente por un periodo prolongado a un costo tolerable. El proceso manual puede ser complicado y requeriría de personal adicional. Categoría 4: Menores (Más de 1 semana) Funciones que pueden interrumpirse por tiempos prolongados a un costo pequeño o nulo.

22. IMPACTO Y CONTINUIDAD ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO El proceso de BIA entrega como resultado requerimientos de continuidad del negocio. Estos requerimientos permiten a la organización determinar y seleccionar estrategias de continuidad de negocio apropiadas: • Área de trabajo alternativo • Acuerdos con proveedores en contingencia • Opciones de recuperación de las TIC • Disponibilidad del personal en contingencia • Equipos y fuentes de materias primas

23. IMPACTO Y CONTINUIDAD ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO PN TI OPERACIÓN DISPONIBILIDAD Y CONTINUIDAD PROYECTOS PROYECTOS ANÁLISIS DE RIESGOS ADMINISTRACIÓN INFRAESTRUCTURA SERVICE DESK ADMINISTRACIÓN APLICATIVA ADMINISTRACIÓN SEGURIDAD SOPORTE TÉCNICO GESTIÓN DE INCIDENTES GESTIÓN DE CAMBIOS DRP - BCP ANÁLISIS DE RIESGO BIA BACKUPS CUMPLIMIENTO MARCO NORMATIVO DOCUMENTACIÓN Y REGISTROS AUDITORÍA

24. IMPACTO Y CONTINUIDAD ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO Procesos del negocio • Procesos cuya pérdida o degradación hacen que sea imposible llevar a cabo la misión de la organización • Procesos que contienen procesos secretos o procesos que involucran tecnología propietaria • Procesos que, si se modifican, pueden afectar en gran medida el logro de la misión de la organización. • Procesos que son necesarios para que la organización cumpla con requerimientos contractuales, legales o reglamentarios. Información: • Información vital para el ejercicio de la misión de la organización o el negocio • Información personal, tal como específicamente puede definirse en el sentido de las legislaciones nacionales respecto a la privacidad • Información estratégica necesaria para lograr los objetivos determinados por las orientaciones estratégicas • Información de costo alto cuya recolección, almacenamiento, procesamiento y transmisión requieren mucho tiempo y/o implican un alto costo de adquisición

26. IMPACTO Y CONTINUIDAD ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO Decisiones Gerenciales ¿Podría verse afectada negativamente la toma de decisiones por la falta de disponibilidad de la aplicación? Pérdida directa del negocio ¿Podrían generarse pérdidas directas en el negocio si la aplicación no se encuentra disponible? Confianza Pública ¿Qué impacto podría tener la falta de disponibilidad de la aplicación en la confianza de los clientes, en la imagen pública y reputación de la empresa y en la lealtad de accionistas y proveedores? Costos Adicionales ¿Podrían surgir costos adicionales por la falta de disponibilidad de la aplicación? Responsabilidad Legal La falta de disponibilidad de la aplicación ¿podría resultar en el incumplimiento de obligaciones legales, regulatorias o contractuales? Recuperación ¿Cuán costoso sería recuperar el procesamiento atrasado del período durante el cual la aplicación no estuvo disponible? Moral del Personal La falta de disponibilidad de la aplicación ¿podría tener un efecto perjudicial sobre la moral o la motivación del personal? Fraude ¿Podrían surgir fraudes o desviaciones de bienes o fondos de la falta de disponibilidad de la aplicación? ¿Podrían encubrirse fraudes por medio de la falta de disponibilidad de la aplicación? Interrupción del Negocio ¿Podría interrumpirse el negocio como resultado de la falta de disponibilidad de la aplicación? Los niveles de impacto a utilizar para responder las consultas son: A Amenaza a la supervivencia del negocio B Daño serio C Daño importante D Impacto menor E Insignificante

29. IMPACTO Y CONTINUIDAD ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO • Realizar el proceso BIA de forma periódica (normalmente anual) o como parte de un cambio organizacional que puede afectar la exactitud de los requerimientos de continuidad del negocio. • Ante cambios del plan estratégico u objetivos estratégico de la organización, como por ejemplo: • Alta o baja de productos o servicios • Cambios en las prioridades de productos y servicios

30. IMPACTO Y CONTINUIDAD ENTENDIENDO LA “PSICOLOGIA” DEL NEGOCIO • Determinar cuáles recursos se necesitan para soportar las actividades prioritarias; • Determinar las dependencias, incluyendo socios y proveedores, y las interdependencias de las actividades prioritarias y anticipar sus reacciones a ante un incidente mayor • Participar a todas las partes interesadas relevantes con una acción apropiada • Desarrollo de las habilidades y competencias dentro de la organización para llevar a cabo el análisis del proyecto y presentar los resultados • Recopilación de información general, completa y precisa • Asegurar que los que contribuyen al proceso de recopilación de información para el BIA poseen el conocimiento suficiente y tienen la autoridad para hablar en nombre de la organización, en cualquier proceso o actividad • Asegurar que los representantes seleccionados para la gestión del BIA tienen autoridad suficiente para aprobar sus resultados y alcance

31. HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO 31

32. ESTÁNDARES PARA LA CONTINUIDAD HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO

35. ESTÁNDARES PARA LA CONTINUIDAD Cuestiones Externas Relevantes para el propósito del SGCN Que afecten al resultado esperado para el SGCN Cuestiones Internas HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO

36. ESTÁNDARES PARA LA CONTINUIDAD HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO Partes de la organización Servicios Locación, tamaño, naturaleza y complejidad

38. ESTÁNDARES PARA LA CONTINUIDAD HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO LA DIRECCIÓN PARA GARANTIZAR:  Que los objetivos y políticas del SGCN son compatibles con la estrategia de la organización y se integran a sus procesos de negocio.  La provisión de los recursos necesarios, orientando y apoyando a las personas en la comunicación de la importancia del sistema.  Que el sistema obtiene los resultados esperados y fomente el mejoramiento continuo.

49. ESTÁNDARES PARA LA CONTINUIDAD HACIÉNDOSE RESILIENTE Y CONSTRUYENDO EL FUTURO Gestión de Riesgos Gestión de Crisis Gestión de Continuidad del Negocio Tecnologías de información y comunicaciones para la continuidad del negocio Estándar asociado ISO 31.000 / ISO 31.010 (Gestión y valoración de riesgos) PAS200 (Crisis Management) ISO 22.301 (SGCN) ISO 22.317 (BIA) ISO 27.031 (IT y Comunicaciones para la Continuidad del Negocio) ISO 27.035 (Gestión de Incidentes) Principales Actividades • Establecer el contexto. • Intereses de las partes (entendidos y considerados). • Riesgos adecuadamente identificados. • Diferentes áreas de especialización. • Diferentes puntos de vista en la definición de criterios de riesgo y en la evaluación. • Respaldo y apoyo al plan de tratamiento. • Adecuada comunicación interna y externa y un plan de consulta. • Relación entre incidentes y crisis • Desarrollo de capacidades para la gestión de crisis • Planificación y preparación de respuesta ante una crisis y como debe ser la recuperación • Estrategia de comunicación , estructuras formales e informales de • Planificación de la comunicación • Relevamiento o revisión de procesos funcionales • Diseño o revisión de procesos de continuidad de negocio y escritura de procedimientos • Implementación de procesos de continuidad de negocio • Desarrollo del programa de formación y sensibilización, y comunicación a la Organización • Desarrollo de la documentación para las operaciones de gestión del BCM • Estrategia de la Gestión de la Continuidad del Servicio (ITSCM) • Revisar la organización del personal involucrado. • Instalaciones y hardware alternativos. • Garantizar la recuperación de datos, su integridad y reiniciar el servicio TI • Contratos de colaboración con otras organizaciones. • Protocolos de comunicación con los clientes • Gestión de proveedores en contingencia

59. 59

60. CONCLUSIONES PORQUÉ FRACASA LA CONTINUIDAD DEL NEGOCIO

61. La resiliencia es un proceso dinámico que tiene como resultado la adaptación positiva en un contexto de gran adversidad, por eso: ¿Cómo construimos nuestra resiliencia pensando en el futuro? ¿Sabemos cuan resiliente es nuestra organización para garantizar su continuidad? ¿El ánimo, la cultura y el conocimiento de nuestra gente, de nuestra organización, nos garantiza el futuro? CONCLUSIONES PREGUNTAS PARA NO FRACASAR

62. ISO/IEC 27001 IRCA ISMS Auditor / Lead Auditor Course ISMS Auditor / Internal Auditor Course ISO/IEC 20000-1 Lead Auditor Course & Internal Auditor Course de Sistemas de Gestión de Servicios de TI BCMS Auditor / Lead Auditor de Sistemas de Gestión de la Continuidad del Negocio ISO 22301 Internal Auditor de Sistemas de Gestión de la Continuidad de Negocio (SGCN) según ISO 22301

Business Continuity Management (BCM)

Business Continuity Management (BCM)

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados(20)

Similar a Business Continuity Management (BCM)

Similar a Business Continuity Management (BCM)(20)

Mais de Fabián Descalzo

Mais de Fabián Descalzo(20)

Business Continuity Management (BCM)