Sistema deGestin deContinuidad

delNegocio deAcuerdo con

BS25999 e ISO 22301
BS25999eISO22301
O t b 2011
October2011

Mario Urea Cuate

MarioUreaCuate
CISA,CISM,CGEIT,CISSP,LABS25999,LAISO27001

Agenda
Introduccin
ElementosquecomponenelSGCN
Gestin de incidentes en el SGCN
GestindeincidentesenelSGCN
SimilitudesydiferenciasentreBS259992e
ISO/DIS 22301
ISO/DIS22301
Factorescrticosdexito
Conclusiones
C l i

Nota
Al cierre de la p
preparacin
p
de esta p
presentacin,,
el estndar ISO 22301 no ha sido publicado en su
versin final, por lo que la informacin contenida
en esta presentacin se refiere al documento
ISO/DIS 22301.
La publicacin de ISO 22301 en su versin final
pudiera incluir cambios relevantes no includos en
esta presentacin.
presentacin

Introduccin

Introduccin
Ejemplos de incidentes
continuidad del negocio:

que

pueden

afectar

Percepcin negativa del pblico hacia la organizacin

P bl
Problema
con productos
d t y servicios
i i
Problema financiero
Problema de relaciones con empleados
Evento internacional adverso
Violencia en el lugar de trabajo
Prdida de personal
Desastre natural

la

Introduccin
Evento Internacional Adverso
El 31 de diciembre de 1986 ocurri un incendio en el hotel
Dupont Plaza en San Juan, Puerto Rico teniendo como
resultado 97 muertos y 140 lesionados.
lesionados El fuego fue iniciado
por un empleado inconforme.
2,300 demandantes.
2,300demandantes.
Drexel Heritage Furnishing
f e encontrada no
fueencontradano
responsableporeljuradoen
1989.

Introduccin
Eventos que en ocasiones no son consideradas,
causadas por:

Un proveedor
Un prueba / ejercicio
Acciones de los empleados
Acciones del departamento de Recursos Humanos
Acciones de los medios
Situacin de espionaje
p
j industrial
Muerte precipitada de funcionarios

Introduccin
Proveedores
En 1993 PlayDoh Co inhabilit a 80 empleados debido a que
uno de sus proveedores en Illinois era incapaz de proveer
harina que se utiliza para la fabricacin de masa para modelar.
modelar
Elproveedorfueafectadopor
l
lagraninundacindel93.
d d l
Lostrabajadoresfueron
j
f
llamadoscuandoseencontr
unnuevoproveedor.

Introduccin
Pruebas / ejercicios mal ejecutados
En 1992 el Federal Reserve Bank de San Francisco realiz una
prueba de su plan de recuperacin ante desastres. Como
resultado de las actividades realizadas durante la prueba,
prueba un
mainframe dej de operar durante 12 horas, afectando a
usuarios en California y Arizona.
15institucionesbancarias
fueronafectadas.
Elbancoatribuyeelhechoa
unerrorhumano.

Introduccin
Pruebas / ejercicios mal ejecutados
En 1996 cinco hombres enmascarados ingresaron a la sala
de emergencia del Memorial Hospital en Martinsville,
Virginia apuntando sus armas al personal y demandando
Virginia,
medicamentos. La prueba fue preparada por el staff de
seguridad del hospital.
Nocreoquecualquierapueda
apuntarunarmaenlacabezadeuna
personaysesalgaconlasuya
Abogadorepresentantede3
enfermeras.

Introduccin Evolucin
Introduccin

PlandeContingencias(CP)
Plan
de Contingencias (CP)
PlandeRecuperacindeDesastres(DRP)
PlandeContinuidaddelasOperaciones(COOP)
PlandeContinuidaddelNegocio(BCP)
PlandeReanudacindelNegocio(BRP)
Gestin de la Continuidad del Negocio (BCM)
GestindelaContinuidaddelNegocio(BCM)
ProgramadeGestindelaContinuidaddelNegocio(BCMP)
SistemadeGestindeContinuidaddelNegocio(BCMS)
SistemadeGestindePreparacinyContinuidad(PCMS)?

Introduccin Retos
Introduccin
Nocontarconunaestrategiadecontinuidad
No contar con una estrategia de continuidad

Faltadeapoyodeladireccin
Inexistenciadeanlisisderiesgosydeimpactoalnegocio
g y
p
g
Faltadeintegracinentreplanes
ComplejidadTecnolgica
Planesnoactualizados
Noserealizanpruebas,auditora,revisionesgerenciales
Planesdemasiadogeneralesodemasiadoespecficos

Introduccin

Introduccin

Fuente:http://www.fema.gov/privatesector/preparedness/adoption
p //
f
g /p
/p p
/
p
_standards.shtm

Introduccin

Introduccin

Introduccin
Buenas prcticas BCM

27001
PAS56

27031
BS25999-1

BCMS
BS25999-2 Sistema de Gestin de
Continuidad
Co
t u dad de
del Negocio
egoc o

Introduccin

Gestin de Continuidad el Negocio

(BCM)
Vs
Sistema de Gestin de Continuidad
del Negocio (BCMS)

Introduccin Definiciones
Introduccin
BCM
Procesodegestinholsticoqueidentificaamenazas
potencialesalaorganizacinysusimpactos ala
operacindelnegocioqueesasamenazas,encaso
i d l
i
realizarse,pudierancausar,yproveeunaestructura
paraconstruirresiliencia organizacionalconla
p
g
capacidadparalaefectivarespuesta salvaguardando
losinteresesdelasprincipalespartesinteresadas,
reputacin marca y actividades que crean valor
reputacin,marcayactividadesquecreanvalor.
BS259992:2007

Introduccin Definiciones
Introduccin
BCMS
LapartedelSistemadeGestingeneralque
d l Si
d G i
l
establece,implementa,opera,monitorea,
revisa,mantieneymejoralacontinuidaddel
i
i
j
l
i id d d l
negocio.
BS259992:2007

Introduccin BS25999
Introduccin

PARTE 1
PARTE1

PARTE 2
PARTE2

Elementos que componen el SGCN

ElementosquecomponenelSGCN

Parte1
Prcticasno
auditables
(sugerencias,
comentarios,guas,
etc)

Requisitos
Comunes

Parte2
Requisitosde
Requisitos
de
Sistemasde
Gestin
(auditora,accin
(auditora
accin
correctivay
preventiva,etc)

Elementos que componen el SGCN

ElementosquecomponenelSGCN
Parte
Parte1
1 CiclodeVidadeBCM
Ciclo de Vida de BCM
Parte2 BCMSbasadoenmodeloPDCA
Planear Hacer Verificar Actuar

Elementos que componen el SGCN

ElementosquecomponenelSGCN
Ciclode
Vid d BCM
VidadeBCM

BCMS

Elementos del Ciclo de Vida de BCM

ElementosdelCiclodeVidadeBCM

Elementos del BCMS

ElementosdelBCMS

Requerimientosdedocumentacinde
BS259992

Alcance,objetivosyprocedimientos
ca ce, objet os y p oced e tos
PolticadeGCN
Provisin de recursos
Provisinderecursos
CompetenciadelpersonaldeGCN
Anlisis de Impacto al Negocio
AnlisisdeImpactoalNegocio
Evaluacinderiesgos
Estrategia de Continuidad del Negocio
EstrategiadeContinuidaddelNegocio
Estructuraderespuestaaincidentes

Requerimientosdedocumentacinde
BS259992

Plan(es)decontinuidaddelnegocio
a (es) de co t u dad de egoc o
Plan(es)degestindeincidentes
Ejercicio de GCN
EjerciciodeGCN
MantenimientoyrevisindearreglosdeGCN
Auditora interna
Auditorainterna
RevisindelagerenciadelSGCN
Acciones correctivas y preventivas
Accionescorrectivasypreventivas
Mejoracontinua

Requerimientosdedocumentacinde
BS259992

YelmanualdelSGCN?

Elementos de IRBC
ElementosdeIRBC

ElementosdeIRBC

Elementos de PCMS
ElementosdePCMS

Definicin
IRBC
C ICTReadiness
C ead ess for
o BusinessContinuity
us ess Co t u ty
(ICT Information andComunication Technology)
Capacidaddeunaorganizacinparasoportarsus
operacionesatravsdelaprevencin,deteccin
p
p
,
yrespuestaalainterrupcinyrecuperacinde
serviciosdeICT.
ISO27031:2011

Gestin de Incidentes y el SGCN

GestindeIncidentesyelSGCN
PlandeGestindeIncidentes
a de Gest de c de tes
Plandeaccinclaramentedefinidoydocumentado
Plan
de accin claramente definido y documentado
paraserutilizadocuandoocurreunincidente,
tpicamentecubrealpersonalclave,recursos,
serviciosyaccionesnecesariasparaimplementar
elprocesodegestindeincidentes.
BS259992:2007

GestindeIncidentesyelSGCN
t0 t1

RPO

t2

t3 RTO

t4

t5

Niveldeoperacinnormal

MTPoD
Niveldeoperacinnormal

Niveldeoperacinencrisis

Operacin normal
Operacinnormal

Recuperacin

Operacin en continuidad
Operacinencontinuidad

PlandeGestindeIncidentes
PlandeContinuidaddelNegocio

Nota:EstainformacinnoesunrequisitodeBS25999

Regreso

Operacin normal
Operacinnormal

Similitudesydiferenciasentre
BS259992eISO22301
BS259992
1 Alcance
2 Trminosydefiniciones
3 PlanearelSGCN
3
l
l SGCN
4 ImplementaryoperarelSGCN
5 MonitorearyrevisarelSGCN
5
Monitorear y revisar el SGCN
6 MantenerymejorarelSGCN

ISODIS22301
1 Alcance
2 Referenciasnormativas
3 Trminosydefiniciones
3
i
d fi i i
4 Requerimientosgenerales
5 Liderazgo
5
6 Planeacin
7 Soporte
8 Operacin
9 Evaluacindeldesempeo
10 Mejora
10

Similitudesydiferenciasentre
BS259992eISO22301

BS259992
Clusula
Descripcin
Introduccin
1
Alcance
2

Trminosydefiniciones

ISODIS22301
Clusula
Descripcin
Introduccin
1
Alcance
2
Referenciasnormativas
3
Trminosydefiniciones

Similitudesydiferenciasentre
BS259992eISO22301
BS259992
Clusula
l l
Descripcin

3
PlaneacindelSGCN
3.1
General
3.2
EstablecerygestionarelSGCN
yg
3.2.1 Alcanceyobjetivos

ISODIS22301
Clusula
l l
Descripcin

6
Planeacin

6.1
6.2
4
4.1

3.2.1.1
3.2.1.2
3.2.2

Alcanceyobjetivos
y j
Productosyserviciosclave
PolticadeGCN

4.3
4.2
5.3

Objetivosyplanesparaalcanzarlos
Accionesparaatenderproblemasy
preocupaciones
R
Requerimientosgenerales
i i t
l
Entendimientodelaorganizacinysu
contexto
SistemadeGestinyAlcance
y
Necesidadesyrequerimientos
Poltica

Similitudesydiferenciasentre
BS 259992
BS25999
2eISO22301
e ISO22301
BS259992
Clusula
Descripcin
3 2 3 Provisinderecursos
3.2.3
Provisin de recursos
3.2.3.1 Recursosgenerales
Roles,responsabilidades,
3.2.3.2 competenciasyautoridades
d GCN
deGCN
3.2.3.3 Designacindelresponsable
3.3

3.4

IntegrarGCNenlaculturade
laorganizacin
Documentacinyregistrosdel
SGCN

ISODIS22301
Clusula
71
7.1

Descripcin
Recursos

7.2

Roles,responsabilidadesy
autoridadesorganizacionales
Competencia
Roles,responsabilidadesy
autoridadesorganizacionales
Competencia
p

7.3

Concientizacin

5.4
7.2
5.4

7.5
751
7.5.1
7.5.2
7.5.3

Informacindocumentada
General
Crearyactualizar
Controldeinformacin
documentada

BS259992
Clusula Descripcin
4

ImplementaryoperarelSGCN

ISODIS22301
Clusula
8
8.1
8.2

4.1

Entenderalaorganizacin

8.3
8.4
8.4.3

4.1.1 AnlisisdeImpactoalNegocio
4.1.2 Evaluacinderiesgos

8.4.3.3
8.4.3.4
8.4.4

4.1.3 Determinaropciones

8.4.4.1
8.4.4.3

4.2

Determinarestrategiade
continuidaddelnegocio

8.4.4.2

Descripcin
O
Operacin
i
General
Planeacinycontrol
operacional
Preparacin
Planeacin
AnlisisdeImpactoalNegocio
y Evaluacin de Riesgos
yEvaluacindeRiesgos
AnlisisdeImpactoalNegocio
Evaluacinderiesgos
Opcionesdecontinuidaddel
negocio
i
Determinacinyseleccinde
opciones
y
g
Proteccinymitigacin
Establecerrequerimientosde
recursos

BS259992
Clusula Descripcin
4.3

Desarrollareimplementarla
Desarrollar
e implementar la
GCN

4 3 1 General
4.3.1

ISODIS22301
Clusula
7.4
741
7.4.1
7.4.2
8.5

8.5.8
8.5.9

Descripcin
Comunicacin
Comunicacin externa
Comunicacinexterna
Comunicacininterna
Ejecucin
Desarrollareimplementaruna
respuesta de continuidad del
respuestadecontinuidaddel
negocio
Estructuraderespuesta
Alertaycomunicacin
R
Respuesta
t
Planesdecontinuidadel
negocio
Requerimientosde
procedimientosderespuesta
di i t d
t
Contenidodelprocedimiento
derespuesta
Recuperacin
Comunicacinyconsulta

8.6.1

Ejerciciosypruebas

851
8.5.1
8.5.2
8.5.3
854
8.5.4

Estructuraderespuestaa
incidentes
4.3.2
Planesdecontinuidaddel
4.3.3
negocioygestinde
i
ti d
incidentes

4.4

Ejercitar.Manteneryrevisar
losarreglosdeBCM

8.5.5
8.5.6
8.5.7

Similitudesydiferenciasentre
BS259992eISO22301
BS25999
BS
259992
2
Clusula Descripcin

MonitorearyrevisarelSGCN

ISO DIS 22301

ISODIS22301
Clusula
9
8.7
8.6.2
8.7.2

5.1
5.2

Auditorainterna
Revisindelagerenciadel
SGCN

9.1
9.2
8.7.1
9.3

Descripcin
Evaluacindeldesempeo
Revisin
d ld
Monitoreodeldesempeo
Evaluacindeprocedimientos
decontinuidad
Evaluacindeldesempeo
p
Auditorainterna
Revisindelagerencia
Revisindelagerencia

Similitudesydiferenciasentre
BS259992eISO22301
BS259992
Clusula Descripcin
6
MantenerymejorarelSGCN
6.1
Accionespreventivasycorrectivas
6.1.1 General
6.1.2 Accinpreventiva
p
6.1.3 Accincorrectiva
6.2
Mejoracontinua

Clusula
10
Mejora

10.1
10.2

ISODIS22301
Descripcin

Noconformidadyaccincorrectiva
Mejoracontinua

EstatusdeISO22301

Fuente:www.iso.org

EstatusdeISO22301

Fuente:www.iso.org

Factores crticos de xito

Factorescrticosdexito

Asegurarelapoyodeladireccin
g
p y
BCMrequiererecursospermanentes(d # $)
Rolesyresponsabilidadesclaramenteestablecidos
Programadeconcientizacinadecuado
Documentacinsuficientemente detallada
P
Programadeejerciciosypruebas
d j i i
b
Promoverlaparticipacindetodalaorganizacin
Procedimiento de control de cambios efectivo
Procedimientodecontroldecambiosefectivo
Auditora,revisindelagerenciaymejoracontinua

Conclusiones

Preguntas
g
yyrespuestas
p
Gracias!
MarioUreaCuate
CISA,CISM,CGEIT,CISSP
CISA
CISM CGEIT CISSP
ISO27001LA,BS25999LA

mario.urena@secureit.com.m
x
@mariourena
www.mariourenacuate.com
www.slideshare.net/mariour
ena