Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Continui Dad Latin Cac S
Continui Dad Latin Cac S
Agenda
Introduccin
ElementosquecomponenelSGCN
Gestin de incidentes en el SGCN
GestindeincidentesenelSGCN
SimilitudesydiferenciasentreBS259992e
ISO/DIS 22301
ISO/DIS22301
Factorescrticosdexito
Conclusiones
C l i
Nota
Al cierre de la p
preparacin
p
de esta p
presentacin,,
el estndar ISO 22301 no ha sido publicado en su
versin final, por lo que la informacin contenida
en esta presentacin se refiere al documento
ISO/DIS 22301.
La publicacin de ISO 22301 en su versin final
pudiera incluir cambios relevantes no includos en
esta presentacin.
presentacin
Introduccin
Introduccin
Ejemplos de incidentes
continuidad del negocio:
que
pueden
afectar
la
Introduccin
Evento Internacional Adverso
El 31 de diciembre de 1986 ocurri un incendio en el hotel
Dupont Plaza en San Juan, Puerto Rico teniendo como
resultado 97 muertos y 140 lesionados.
lesionados El fuego fue iniciado
por un empleado inconforme.
2,300 demandantes.
2,300demandantes.
Drexel Heritage Furnishing
f e encontrada no
fueencontradano
responsableporeljuradoen
1989.
Introduccin
Eventos que en ocasiones no son consideradas,
causadas por:
Un proveedor
Un prueba / ejercicio
Acciones de los empleados
Acciones del departamento de Recursos Humanos
Acciones de los medios
Situacin de espionaje
p
j industrial
Muerte precipitada de funcionarios
Introduccin
Proveedores
En 1993 PlayDoh Co inhabilit a 80 empleados debido a que
uno de sus proveedores en Illinois era incapaz de proveer
harina que se utiliza para la fabricacin de masa para modelar.
modelar
Elproveedorfueafectadopor
l
lagraninundacindel93.
d d l
Lostrabajadoresfueron
j
f
llamadoscuandoseencontr
unnuevoproveedor.
Introduccin
Pruebas / ejercicios mal ejecutados
En 1992 el Federal Reserve Bank de San Francisco realiz una
prueba de su plan de recuperacin ante desastres. Como
resultado de las actividades realizadas durante la prueba,
prueba un
mainframe dej de operar durante 12 horas, afectando a
usuarios en California y Arizona.
15institucionesbancarias
fueronafectadas.
Elbancoatribuyeelhechoa
unerrorhumano.
Introduccin
Pruebas / ejercicios mal ejecutados
En 1996 cinco hombres enmascarados ingresaron a la sala
de emergencia del Memorial Hospital en Martinsville,
Virginia apuntando sus armas al personal y demandando
Virginia,
medicamentos. La prueba fue preparada por el staff de
seguridad del hospital.
Nocreoquecualquierapueda
apuntarunarmaenlacabezadeuna
personaysesalgaconlasuya
Abogadorepresentantede3
enfermeras.
Introduccin Evolucin
Introduccin
PlandeContingencias(CP)
Plan
de Contingencias (CP)
PlandeRecuperacindeDesastres(DRP)
PlandeContinuidaddelasOperaciones(COOP)
PlandeContinuidaddelNegocio(BCP)
PlandeReanudacindelNegocio(BRP)
Gestin de la Continuidad del Negocio (BCM)
GestindelaContinuidaddelNegocio(BCM)
ProgramadeGestindelaContinuidaddelNegocio(BCMP)
SistemadeGestindeContinuidaddelNegocio(BCMS)
SistemadeGestindePreparacinyContinuidad(PCMS)?
Introduccin Retos
Introduccin
Nocontarconunaestrategiadecontinuidad
No contar con una estrategia de continuidad
Faltadeapoyodeladireccin
Inexistenciadeanlisisderiesgosydeimpactoalnegocio
g y
p
g
Faltadeintegracinentreplanes
ComplejidadTecnolgica
Planesnoactualizados
Noserealizanpruebas,auditora,revisionesgerenciales
Planesdemasiadogeneralesodemasiadoespecficos
Introduccin
Introduccin
Fuente:http://www.fema.gov/privatesector/preparedness/adoption
p //
f
g /p
/p p
/
p
_standards.shtm
Introduccin
Introduccin
Introduccin
Buenas prcticas BCM
27001
PAS56
27031
BS25999-1
BCMS
BS25999-2 Sistema de Gestin de
Continuidad
Co
t u dad de
del Negocio
egoc o
Introduccin
Introduccin Definiciones
Introduccin
BCM
Procesodegestinholsticoqueidentificaamenazas
potencialesalaorganizacinysusimpactos ala
operacindelnegocioqueesasamenazas,encaso
i d l
i
realizarse,pudierancausar,yproveeunaestructura
paraconstruirresiliencia organizacionalconla
p
g
capacidadparalaefectivarespuesta salvaguardando
losinteresesdelasprincipalespartesinteresadas,
reputacin marca y actividades que crean valor
reputacin,marcayactividadesquecreanvalor.
BS259992:2007
Introduccin Definiciones
Introduccin
BCMS
LapartedelSistemadeGestingeneralque
d l Si
d G i
l
establece,implementa,opera,monitorea,
revisa,mantieneymejoralacontinuidaddel
i
i
j
l
i id d d l
negocio.
BS259992:2007
Introduccin BS25999
Introduccin
PARTE 1
PARTE1
PARTE 2
PARTE2
Parte1
Prcticasno
auditables
(sugerencias,
comentarios,guas,
etc)
Requisitos
Comunes
Parte2
Requisitosde
Requisitos
de
Sistemasde
Gestin
(auditora,accin
(auditora
accin
correctivay
preventiva,etc)
BCMS
Requerimientosdedocumentacinde
BS259992
Alcance,objetivosyprocedimientos
ca ce, objet os y p oced e tos
PolticadeGCN
Provisin de recursos
Provisinderecursos
CompetenciadelpersonaldeGCN
Anlisis de Impacto al Negocio
AnlisisdeImpactoalNegocio
Evaluacinderiesgos
Estrategia de Continuidad del Negocio
EstrategiadeContinuidaddelNegocio
Estructuraderespuestaaincidentes
Requerimientosdedocumentacinde
BS259992
Plan(es)decontinuidaddelnegocio
a (es) de co t u dad de egoc o
Plan(es)degestindeincidentes
Ejercicio de GCN
EjerciciodeGCN
MantenimientoyrevisindearreglosdeGCN
Auditora interna
Auditorainterna
RevisindelagerenciadelSGCN
Acciones correctivas y preventivas
Accionescorrectivasypreventivas
Mejoracontinua
Requerimientosdedocumentacinde
BS259992
YelmanualdelSGCN?
Elementos de IRBC
ElementosdeIRBC
ElementosdeIRBC
Elementos de PCMS
ElementosdePCMS
Definicin
IRBC
C ICTReadiness
C ead ess for
o BusinessContinuity
us ess Co t u ty
(ICT Information andComunication Technology)
Capacidaddeunaorganizacinparasoportarsus
operacionesatravsdelaprevencin,deteccin
p
p
,
yrespuestaalainterrupcinyrecuperacinde
serviciosdeICT.
ISO27031:2011
GestindeIncidentesyelSGCN
t0 t1
RPO
t2
t3 RTO
t4
t5
Niveldeoperacinnormal
MTPoD
Niveldeoperacinnormal
Niveldeoperacinencrisis
Operacin normal
Operacinnormal
Recuperacin
Operacin en continuidad
Operacinencontinuidad
PlandeGestindeIncidentes
PlandeContinuidaddelNegocio
Nota:EstainformacinnoesunrequisitodeBS25999
Regreso
Operacin normal
Operacinnormal
Similitudesydiferenciasentre
BS259992eISO22301
BS259992
1 Alcance
2 Trminosydefiniciones
3 PlanearelSGCN
3
l
l SGCN
4 ImplementaryoperarelSGCN
5 MonitorearyrevisarelSGCN
5
Monitorear y revisar el SGCN
6 MantenerymejorarelSGCN
ISODIS22301
1 Alcance
2 Referenciasnormativas
3 Trminosydefiniciones
3
i
d fi i i
4 Requerimientosgenerales
5 Liderazgo
5
6 Planeacin
7 Soporte
8 Operacin
9 Evaluacindeldesempeo
10 Mejora
10
Similitudesydiferenciasentre
BS259992eISO22301
BS259992
Clusula
Descripcin
Introduccin
1
Alcance
2
Trminosydefiniciones
ISODIS22301
Clusula
Descripcin
Introduccin
1
Alcance
2
Referenciasnormativas
3
Trminosydefiniciones
Similitudesydiferenciasentre
BS259992eISO22301
BS259992
Clusula
l l
Descripcin
3
PlaneacindelSGCN
3.1
General
3.2
EstablecerygestionarelSGCN
yg
3.2.1 Alcanceyobjetivos
ISODIS22301
Clusula
l l
Descripcin
6
Planeacin
6.1
6.2
4
4.1
3.2.1.1
3.2.1.2
3.2.2
Alcanceyobjetivos
y j
Productosyserviciosclave
PolticadeGCN
4.3
4.2
5.3
Objetivosyplanesparaalcanzarlos
Accionesparaatenderproblemasy
preocupaciones
R
Requerimientosgenerales
i i t
l
Entendimientodelaorganizacinysu
contexto
SistemadeGestinyAlcance
y
Necesidadesyrequerimientos
Poltica
Similitudesydiferenciasentre
BS 259992
BS25999
2eISO22301
e ISO22301
BS259992
Clusula
Descripcin
3 2 3 Provisinderecursos
3.2.3
Provisin de recursos
3.2.3.1 Recursosgenerales
Roles,responsabilidades,
3.2.3.2 competenciasyautoridades
d GCN
deGCN
3.2.3.3 Designacindelresponsable
3.3
3.4
IntegrarGCNenlaculturade
laorganizacin
Documentacinyregistrosdel
SGCN
ISODIS22301
Clusula
71
7.1
Descripcin
Recursos
7.2
Roles,responsabilidadesy
autoridadesorganizacionales
Competencia
Roles,responsabilidadesy
autoridadesorganizacionales
Competencia
p
7.3
Concientizacin
5.4
7.2
5.4
7.5
751
7.5.1
7.5.2
7.5.3
Informacindocumentada
General
Crearyactualizar
Controldeinformacin
documentada
BS259992
Clusula Descripcin
4
ImplementaryoperarelSGCN
ISODIS22301
Clusula
8
8.1
8.2
4.1
Entenderalaorganizacin
8.3
8.4
8.4.3
4.1.1 AnlisisdeImpactoalNegocio
4.1.2 Evaluacinderiesgos
8.4.3.3
8.4.3.4
8.4.4
4.1.3 Determinaropciones
8.4.4.1
8.4.4.3
4.2
Determinarestrategiade
continuidaddelnegocio
8.4.4.2
Descripcin
O
Operacin
i
General
Planeacinycontrol
operacional
Preparacin
Planeacin
AnlisisdeImpactoalNegocio
y Evaluacin de Riesgos
yEvaluacindeRiesgos
AnlisisdeImpactoalNegocio
Evaluacinderiesgos
Opcionesdecontinuidaddel
negocio
i
Determinacinyseleccinde
opciones
y
g
Proteccinymitigacin
Establecerrequerimientosde
recursos
BS259992
Clusula Descripcin
4.3
Desarrollareimplementarla
Desarrollar
e implementar la
GCN
4 3 1 General
4.3.1
ISODIS22301
Clusula
7.4
741
7.4.1
7.4.2
8.5
8.5.8
8.5.9
Descripcin
Comunicacin
Comunicacin externa
Comunicacinexterna
Comunicacininterna
Ejecucin
Desarrollareimplementaruna
respuesta de continuidad del
respuestadecontinuidaddel
negocio
Estructuraderespuesta
Alertaycomunicacin
R
Respuesta
t
Planesdecontinuidadel
negocio
Requerimientosde
procedimientosderespuesta
di i t d
t
Contenidodelprocedimiento
derespuesta
Recuperacin
Comunicacinyconsulta
8.6.1
Ejerciciosypruebas
851
8.5.1
8.5.2
8.5.3
854
8.5.4
Estructuraderespuestaa
incidentes
4.3.2
Planesdecontinuidaddel
4.3.3
negocioygestinde
i
ti d
incidentes
4.4
Ejercitar.Manteneryrevisar
losarreglosdeBCM
8.5.5
8.5.6
8.5.7
Similitudesydiferenciasentre
BS259992eISO22301
BS25999
BS
259992
2
Clusula Descripcin
MonitorearyrevisarelSGCN
5.1
5.2
Auditorainterna
Revisindelagerenciadel
SGCN
9.1
9.2
8.7.1
9.3
Descripcin
Evaluacindeldesempeo
Revisin
d ld
Monitoreodeldesempeo
Evaluacindeprocedimientos
decontinuidad
Evaluacindeldesempeo
p
Auditorainterna
Revisindelagerencia
Revisindelagerencia
Similitudesydiferenciasentre
BS259992eISO22301
BS259992
Clusula Descripcin
6
MantenerymejorarelSGCN
6.1
Accionespreventivasycorrectivas
6.1.1 General
6.1.2 Accinpreventiva
p
6.1.3 Accincorrectiva
6.2
Mejoracontinua
Clusula
10
Mejora
10.1
10.2
ISODIS22301
Descripcin
Noconformidadyaccincorrectiva
Mejoracontinua
EstatusdeISO22301
Fuente:www.iso.org
EstatusdeISO22301
Fuente:www.iso.org
Asegurarelapoyodeladireccin
g
p y
BCMrequiererecursospermanentes(d # $)
Rolesyresponsabilidadesclaramenteestablecidos
Programadeconcientizacinadecuado
Documentacinsuficientemente detallada
P
Programadeejerciciosypruebas
d j i i
b
Promoverlaparticipacindetodalaorganizacin
Procedimiento de control de cambios efectivo
Procedimientodecontroldecambiosefectivo
Auditora,revisindelagerenciaymejoracontinua
Conclusiones
Preguntas
g
yyrespuestas
p
Gracias!
MarioUreaCuate
CISA,CISM,CGEIT,CISSP
CISA
CISM CGEIT CISSP
ISO27001LA,BS25999LA
mario.urena@secureit.com.m
x
@mariourena
www.mariourenacuate.com
www.slideshare.net/mariour
ena