Este documento proporciona una introducción a la implementación de un sistema de gestión de continuidad del negocio (GCN) de acuerdo con las normas UNE 71599/1/2:2010. Explica los pasos clave como entender la organización mediante análisis de impacto y evaluación de amenazas, determinar la estrategia de continuidad, desarrollar una respuesta a incidentes, y probar, mantener y revisar los planes. El objetivo final es ayudar a las organizaciones a prepararse y responder eficazmente a posibles interrup
1. Implantación de la Gestión de la Continuidad del Negocioconforme con las Normas UNE 71599/1/2:2010 Jorge García Carnicero MBCI, CISA, CISSP, LA25999
5. Norma UNE 71599Antecedentes ISO 22399 Guideline for incident prep. & op.cont.mang AENOR UNE 71599-1 y 2 PAS 56 BC Management BCI - GPG BC Management BS 25999-1 y 2 BC Management ISO 22301 2011 2010 2006 2004 2002 2003 2005 2007 2008 2009 EEUU NIST SP 800-34 ContingencyPlanning Guide for IT PAS-77 IT Service Continuity BS 25777 IT Service Continuity Management ISO 27031 Guidelines for ICT readiness for BC Singapour SS 507 BC/DR Service Providers ISO/IEC 24762 Guidelines for ICT disaster recovery serv.
44. Y por último, transmitir confianza y fortaleza a nuestros clientes, socios y empleados en el sentido de que sabremos afrontar exitosamente una crisis Para implementar este programa seguiremos las normativas, procedimientos y buenas prácticas generalmente adoptadas por la industria, así como las normativas y regulaciones que existan. Consejero Delegado Jorge García Carnicero
45. Entendimiento de la organización:Análisis de Impacto de Negocio Paso 1: Identificación de procesos críticos Tratar de clasificarlos por Estratégicos, Tácticos y Operativos Identificar las dependencias de los procesos: Personas, Locales, Tecnología, Información y Provedores. Paso 2: Determinar los impactos a incluir en análisis Bienestar del personal, Imagen, Legales, Reputación, etc. Paso 3: Analizar el impacto a lo largo del tiempo para determinar: MTPD / TMIT: Tiempo máximo de interrupción tolerable. RTO / OTR: Objetivo de Tiempo de Recuperación RPO / OPR: Objetivo de Punto de Recuperación Paso 4: Determinación de requisitos de continuidad Recursos necesarios para prestar el servicio en modo Contingencia
46. Entendimiento de la organización:Evaluación de Amenazas / Análisis de Riesgos Definición: Analizar el riesgo de interrupción de una actividad crítica debido aun incidente grave o desastre. Objetivo: Priorizar de actividades de construcción del Plan de continuidad de negocio Establecer medidas preventivas Principales diferencias con Seguridad de la Información: Amenazas: aquellas que puedan provocar un incidente grave o desastre Recursos: No sólo Información: Personal, Locales, Proveedores y Tecnologías Exclusivamente dimensión de disponibilidad Buenas Prácticas: Orientar el análisis por ubicación física. Ejemplos de amenazas: Por Proximidad: Aeropuertos, Plantas Químicas, Centrales eléctricas, etc. Por Desastres Naturales: Terremotos, Huracanes, Tsunamis, Nevadas,… Por Factor Humano: Accidentes, Terrorismo, actos vandálicos, …. Por Tecnología: Fallos en las comn., fallos en equipos, Interrupción de suministros, …
47. Determinación de la estrategia de Continuidad de Negocio ¿Qué respuesta queremos dar? Ya veremos en su momento, pero seguro que salimos adelante Confiamos en la “inteligencia de masas” o en la “improvisación latina” Nos coordinamos y entrenamos para dar la mejor respuesta en el menor tiempo
78. Recuperar los procesos críticos de IT.Volver al Trabajo Lecciones Aprendidas Acciones Equipo de emergencias notificado, Evaluadas las condiciones y comunicaciones realizadas. Comunicar Equipo de recuperación de negocio notificado. Documentar todo lo relativo al incidente.
79. Prueba, mantenimiento y revisión La única forma de comprobar la eficacia de los planes es mediante las pruebas. Son esenciales en el programa de GCN. Existen diferentes tipos de pruebas, con diferente frecuencia y complejidad Coste Prueba total del PCN Riesgo Alto Pruebas de actividades Críticas Simulación Comprobación del puesto Repaso Riesgo Bajo Complejidad
80. Empresa Sector Seguros Simulacro de Ataque terrorista sobre las 5 sedes de Eurocontrol repartidas en 3 paises Indisponibilidad del CPD principal, activación de CPD de respaldo. Dos ejemplos de Pruebas Reales
81. Mantenimiento y Formación Mantenimiento: GCN es un proceso continuo, por lo que es necesario planificar las inversiones de mantenimiento de los planes. Es imprescindible revisar los planes: De forma periódica, en los tiempos indicados en el programa de gestión De forma excepcional, cuando se produzca un cambio mayor Después de la activación del plan, tanto en pruebas como por necesidad real, para incorporar lecciones aprendidas. Formación: Todos los empleados de la Organización deben conocer, comprender y estar preparados para: Ejecutar su correspondiente parte del Plan. Evitar difundir información sobre el incidente perjudicial para la compañía.
82. Herramientas de automatización Organizaciones medias y grandes no pueden plantearse la construcción y mantenimiento de los planes en papel. Se requieren aplicaciones que automaticen todo o parte del proceso. Objetivos Principales: Facilitar el mantenimiento y revisión periódica Mejorar los tiempos de respuesta al incidente Garantizar la completitud veracidad de los registros Actividades a Automatizar: Construcción de los planes, preferiblemente mediante proceso colaborativo Actualización del contenido de los planes Planificación de pruebas Seguimiento de proyectos de construcción de los planes. Notificaciones de incidentes / Activación de planes Seguimientos de despliegue de recuperación en escenarios reales y en pruebas Workflows de aprobaciones para: Notas de prensa Gastos extraordinarios