BS 25999 Gestin de la Continuidad del Negocio (BCM)

Mario Urea Cuate

CISSP, CISA, CISM, CGEIT

Director General Secure Information Technologies

Agenda

Introduccin

Desarrollo de la BS 25999

El modelo de Gestin y Contenido de la BS 25999

Porque Certificarse?

Cursos de Continuidad del Negocio

Introduccin

Situaciones reales
Mxico, D.F. 06 de Octubre de 2008

San Juan Ixhuatepec. 1984 Mxico, D.F. 19 de Septiembre de 1985 Empresa que cotiza en bolsa, 10 de Octubre de 2008

Huracn Nora, Acapulco. 1997

Bomba, Mxico, D.F. 15 de Febrero de 2008

New York, USA. 11 de Septiembre de 2001 Mxico, D.F. 04 de Noviembre de 2008

Inundacin en Veracruz. 1999

Fuente: SecureInformationTechnologies

Que no nos sorprendan sin un plan

Well, thank God we all made it out on time Course, now we are equally screwed.

Bueno, gracias a Dios que todos logramos salir a tiempo Por supuesto, ahora estamos igualmente fregados.

Que no nos sorprendan sin un plan

Era mejor salirse o quedarse? Quin ordeno salir? En este sitio alterno se cuenta con los recursos mnimos para sobrevivir? Cules son estos recursos?
? ? ? ?

Cunto tiempo podemos sobrevivir sin por ejemplo agua? Y una vez que se apague el fuego como regresar?

Enfoque tradicional

Planificacin del proyecto

Anlisis y Evaluacin de riesgos Anlisis de Impacto al negocio

El Proceso de Planificacin de la continuidad del negocio

Mantenimiento y actualizacin

Desarrollo de estrategia Concientizacin y capacitacin Desarrollo del plan Prueba y ejercicio El plan

Fuente: SecureInformationTechnologies

Enfoque tradicional
Plan de Continuidad de las Operaciones (COOP) Plan de Emergencias (OEP) Plan de Respuesta a Incidentes

Administracin de la Continuidad del Negocio (BCM)

Anlisis de Impacto al Negocio (BIA) Anlisis de Riesgos y Amenazas (TRA) Planes de Contingencia (CP)

Plan de Comunicacin de Crisis

Plan de Reanudacin del Negocio (BRP)

Plan de Recuperacin de Desastres (DRP)

Elemento base

Orientado a TI

Plan de Continuidad del Negocio (BCP)

Orientado a las instalaciones

Orientado al negocio

Fuente: SecureInformationTechnologies. Adaptado del NIST.

Desarrollo de la BS 25999

10

Gestin de la Continuidad del Negocio Dnde Estbamos?

Publicacin de la PAS 56 en 2003

PAS Public Available Specification es una norma informal producida por un nmero limitado de expertos;

Buen inicio para el debate de la gestin de la continuidad del negocio;

Ofreci una visin de lo que debera ser una norma Nacional (UK) y Europea relativa al tema;

Demostr que la Gestin de la Continuidad del Negocio es una disciplina;

11

Gestin de la Continuidad del Negocio Dnde Estbamos?

Ofreci un enfoque consistente entre diferentes sectores;

Ayud a que la Gestin de la Continuidad del Negocio sea tomada de forma ms seria;

Crecimiento del consenso de cuales son las mejores prcticas, al menos para Organizaciones grandes;

Consulta hecha para evaluar el futuro de la PAS 56;

Nuevo comit tcnico establecido en 2005 para dar respuesta a la consulta y desarrollar la BS 25999

12

Respuesta de la Encuesta sobre la necesidad de desarrollo de la BS 25999

790 15 28 Voters: 833. 94.84% 1.80% 3.36%

View Poll Results: Do you support the development of a formal BSI standard for BCM

YES

No

Undecided

View Poll Results: Should there be a Validation scheme as part of the Standard 606 37 112 Voters: 755. 80.26%

Yes, there should a BCM plan Validation scheme

No, The standard will be enough. Companies can check plans out if they need to

4.90% 14.83%

Undecided

Source: http://www.continuityforum.org/

Date: 18 October 2006

13

Gestin de la Continuidad del Negocio Dnde Estbamos?

Decisin de publicar en 2 partes:

Parte 1: Cdigo de Prctica

Parte 2: Especificaciones

La publicacin del borrador de la BS 25999-1 en Agosto del 2006 para comentarios llam la atencion del mercado:

Descarga de 5,000 copias, mientras que en otras normas tenemos menos de 250;

Ms de 70 tipos de comentarios distribuidos en 300 pginas

14

Gestin de la Continuidad del Negocio Dnde Estamos?

Publicacin de la BS 25999-1 Cdigo de Practica en Noviembre del 2006 con amplio acuerdo en lo que seran las mejores prcticas;

Retiro de la PAS 56 con la publicacin de la BS 25999;

Mejor entendimiento de los beneficios en un creciente nmero de Organizaciones;

Gestin de la Continuidad del Negocio como parte integrante y clave del proceso de gestin de riesgos;

Reconocimiento de que puede ayudar a reducir interrupciones del negocio.

15

Gestin de la Continuidad del Negocio Para dnde vamos?

No ms visto como moda, y s parte integrante del proceso de gestin del negocio;

Integrado a travs de todas las funciones del negocio;

No ms visto como una especialidad dentro de la tecnologa de informacin;

Desarrollo de la BS 25999:2 especificaciones con el objetivo de establecer los requerimientos, permitiendo evaluacin de procesos y certificacin publicada en Noviembre del 2007.

16

BS 25999-1:2006 Cdigo de Practica

1. Alcance y Aplicacin

2. Trminos y Definiciones

3. Gestin de Continuidad del Negocio Visin General

4. Poltica de Gestin de Continuidad del Negocio

5. Gestin del Programa de Continuidad del Negocio

17

BS 25999-1:2006 Cdigo de Practica

6. Entendiendo la Organizacin

7. Determinando Estrategias de Continuidad del Negocio

8. Desarrollo e Implementacin de Respuestas a BCM

9. Ejercitando, Manteniendo y Analizando el plan de BCM

10. Fijando el BCM en la Cultura de la Organizacin

18

BS 25999-2:2007 Especificacin

1. Alcance

2. Trminos y Definiciones

3. Planeacin del Sistema de Gestin de BCM

4. Implementando y Operando el Sistema

5. Monitoreo y Revisin del Sistema

6. Mantenimiento y Mejora del Sistema

19

Conclusin

La Continuidad de Negocio est en el tope de la agenda de las Organizaciones

La alta administracin tiene crecientes responsabilidades de gobernancia corporativa;

Se incrementa constantemente el nfasis en riesgos del negocio

BS 25999-1 es el inicio y la BS 25999-2 provee una estructura de sistema de gestin incluyendo requisitos bsicos para la auditoria y certificacin de 3a parte:

Permitir la determinacin del grado de cumplimiento en relacin a los requerimientos de la norma;

Demostrar a terceras partes el grado de seriedad tomado.

20

Conclusin

BS 25999 no es la primera norma sobre el tema

Japn, Australia, Singapur y Austria ya crearon normativas para tratar del tema

No hay iniciativas de la Comunidad Europea en este momento;

ISO est tratando el tema en el nuevo Societal Security Management System.

21

El modelo de Gestin

22

Gestin de la Continuidad del Negocio Definicin

La gestin de la continuidad del negocio es un proceso de gestin holstico que identifica amenazas potenciales a la organizacin y sus impactos a la operacin.

Provee una estructura para construir resiliencia (resistencia a ser afectada) organizacional con la capacidad para la efectiva respuesta salvaguardando los intereses de las principales partes interesadas, reputacin, marca y activos de valor

Fuente: BS 25999-2

23

Beneficios de BCM

3.5 Los beneficios de un programa eficaz de BCM (BS 25999-1)

La organizacin:

es capaz de identificar proactivamente los impactos de una interrupcin operativa;

dispone de una respuesta efectiva ante interrupciones, minimizando su impacto;

mantiene la capacidad de gestionar riesgos no asegurables;

fomenta el trabajo entre equipos;

es capaz de demostrar una respuesta creble a travs de ejercicios;

puede mejorar su reputacin;

puede ganar ventajas competitivas a travs de la capacidad demostrada de mantener la entrega de productos y servicios.

24

Resultados de BCM

3.6 Los resultados de un programa efectivo de BCM (BS 25999-1):

se identifican y protegen los productos y servicios claves, asegurando su continuidad;

se activa la capacidad de gestin de incidentes para proporcionar una respuesta eficaz;

la auto-comprensin de la organizacin y se desarrolla, documenta y entiende adecuadamente sus relaciones con otras organizaciones, rganos de regulacin o departamentos gubernamentales, autoridades locales y de servicios de emergencia;

el personal es capacitado para responder eficazmente a un incidente o interrupcin mediante ejercicios apropiados;

los requisitos de las partes interesadas son comprendidos y entregados;

el personal recibe el soporte y comunicacin adecuadas en el caso de una interrupcin;

se asegura la cadena de suministro de la organizacin;

se protege la reputacin de la organizacin;

la organizacin cumple con sus obligaciones legales y reglamentarias.

25

Conceptos de Continuidad del Negocio El concepto P-D-C-A

26

Conceptos de Continuidad del Negocio Ciclo de Vida

27

Entender la Organizacin

28

BS 25999-1:2006 - Contenido
Entendiendo la Organizacin

Identificacin de las partes interesadas quien son, que desean y necesitan;

Como la organizacin cumple con las necesidades de las partes interesadas;

Potenciales amenazas;

Probabilidad de ocurrencia;

Como la organizacin es impactada;

Analice de Impacto al negocio (parte interesada afectada, tipo de impacto, nivel de servicio mnimo, tiempo aceptable para lograr el nivel de servicio mnimo y tiempo para recuperacin total.

29

Determinar las estrategias de BCM

30

BS 25999-1:2006 - Contenido

Determinando Estrategias de Continuidad del Negocio

Implementacin de acciones para reducir la probabilidad de incidentes;

Implementacin de acciones para reducir el efecto de incidentes;

Provisin de continuidad para actividades crticas durante y despus de incidentes;

Criterio de seleccin de estrategias es basado en costo, consecuencia y tiempo de recuperacin;

Algunas estrategias pueden ser requeridas para los siguientes recursos organizacionales:
- Instalaciones - Proveedores - Tecnologa - Partes Interesadas

- Personas - Informacin

31

Desarrollar e implementar la respuesta de BCM

32

BS 25999-1:2006 - Contenido

Desarrollo e Implementacin de Respuestas a BCM

La estructura del programa de respuesta debe incluir:

- Confirmacin de la naturaleza y extensin del incidente;

- Toma de control de la situacin;

- Contencin del incidente;

- Comunicacin con partes interesadas;

- Recuperar las actividades de la organizacin

Se deben establecer planes para reaccionar a un incidente (Incident Management Plan) y para recuperar la actividad de la organizacin (Business Continuity Plan).

Cronograma del incidente

Contencin y limitacin de daos. Localizacin de personal y visitas. Atencin de vctimas. Valoracin de daos. De minutos a horas. Reubicacin en puesto de trabajo De minutos a horas: permanente. Localizacin de personal y visitas. Contactar a la plantilla, clientes, proveedores, etc. Atencin de vctimas. Contencin y limitacin de daos. Recuperacin de procesos de negocio crticos.

33

Invocar el BCP. Reparacin/sustitucin de daos. Rehacer el trabajo en curso perdido. Recuperacin de costes de las aseguradoras. De semanas a meses. De horas a das.

Incidente!
Valoracin de daos. Invocar el BCP.

Cronograma

Respuesta al incidente Continuidad de negocio

De semanas a meses: Reparacin/sustitucin de daos. Traslado a puesto de trabajo permanente. Recuperacin de costos de las aseguradoras

De horas a das: Contactar los empleados, clientes, proveedores, etc. Recuperacin de procesos de negocio crticos. Rehacer el trabajo en curso perdido.

Recuperacin/reanudacin vuelta a la normalidad

34

Planes: contenidos del IMP y BCP

Plan de Gestin de Incidentes

Respuesta inicial

Contactos de emergencias

Asistencia a las personas (bien estar)

Respuesta ante los medios de comunicacin

Gestin de las partes interesadas

Punto de reunin (centro de comando)

35

Planes: contenidos del IMP y BCP

Plan de Continuidad de Negocio

Acciones a tomar

Requerimientos de Recursos (personas, instalaciones, tecnologa, etc.)

Responsabilidades

36

Probar, mantener y revisar

37

BS 25999-1:2006 - Contenido

Probando/Ejercitando, Manteniendo y Analizando el plan de BCM

La efectividad del programa solamente puede ser validada a travs de ejercicios;

Los ejercicios son esenciales para el desarrollo del trabajo de equipo, mejora de la competencia, confianza y conocimiento;

Los ejercicios pueden incluir:

Evaluacin de sistemas tcnicos, logsticos, administrativos, procedimientos y otros; Evaluacin de infraestructura; Validacin de recuperacin de tecnologa y telecomunicaciones, incluyendo la disponibilidad y cambio del local de trabajo del personal

38

Beneficios de las pruebas

se practica la capacidad de la organizacin para recuperarse de un incidente;

se verifica que el BCP incorpora todas las actividades crticas de la organizacin y sus dependencias y prioridades;

sale a la luz suposiciones que necesitan ser cuestionadas;

infunde confianza entre los participantes en los ejercicios;

publicando los resultados de los ejercicios, aumenta la concienciacin de BCM en toda la organizacin;

validan la eficacia y puntualidad de la restauracin de actividades crticas;

demuestran la competencia de los equipos de repuesta inmediata y sus alternativas.

39

Tipos de pruebas ejercicios

Proceso Beneficios Frecuencia recomendable Limitaciones Revisin / modificacin del BCP Rapidez, no provoca Al menos, anualmente interrupciones, requiere pocos recursos. Menor probabilidad de crear competencias o probar procesos.

Complejidad

Ejercicio

Baja

Revisin sobre el papel (desk-check)

Recorrido guiado del plan (walk-through) Anualmente

Cuestionamiento del contenido del BCP

Media

Rapidez, no provoca Como la anterior: interrupciones, repuede que no presente quiere pocos recurdesafos reales. sos. Revisa procesos de principio a fin.

Simulacin

Uso de una situacin artificial para validar que Anualmente o dos el BCP contiene la veces al ao informacin necesaria y suficiente para permitir una recuperacin con xito.

Verifica los planes ms a fondo.

Emplea ms recursos. Situacin artificial.

Invocar el plan en una situacin controlada que no Probar las actividades pone en peligro la actividad Anualmente o menos crticas del negocio.

Mayor probabilidad de presentarse situaciones y problemas reales. No provoca interrupciones.

Emplea ms recursos. Slo comprueba actividades percibidas como crticas.

Alta

Probar el BCP completo, incluyendo gestin de incidentes

Prueba a nivel de edificio/campus/zona de exclusin.

Anualmente o menos

La forma de prueba ms minuciosa. Crea Grandes interrupciones. competencias y Gran uso de recursos. valida planes.

40

BS 25999-1:2006 - Contenido
Fijando el BCM en la Cultura de la Organizacin

Para tener xito hay que integrar los principios de BCM dentro de la organizacin.

Apoyado por:

Liderazgo de la alta administracin;

Definicin de responsabilidades;

Creciente conocimiento;

Capacitacin;

Ejercicios.

41

Porque Certificarse?

Contents slide

42

Porque certificarse?

Es una inversin segura y de retorno garantizado.

Los beneficios de la implementacin de un sistema de gestin son amplios y fueron presentados anteriormente.

En adicin a estos beneficios, la obtencin de la certificacin provee:

Credibilidad

Seguridad al mercado

Transparencia

Maximiza competitividad

Contents slide

43

Porque certificarse?

Es una inversin segura y de retorno garantizado.

Evita el riesgo de implementacin inadecuada, falta de actualizacin y mantenimiento dbil, consecuentemente:

Promover aplicacin de tecnologa

Direccin a inversiones efectivas

Maximiza recursos

Promover mejora continua

Promover innovacin

Promover compromiso y cambio cultural

Maximiza el potencial de crecimiento y de acceso a mercados

Contents slide

44

Porque certificarse?

Es una inversin segura y de retorno garantizado.

Cumplimiento a requisitos contractuales y reglamentarios

Un mecanismo reglamentado de evaluacin continua, identifica vulnerabilidades, no conformidades, debilidades, fragilidades, oportunidades de mejora y fortalezas antes que la empresa sufra con las consecuencias en la practica

Evidencia objetiva de la gestin adecuada de los riesgos relacionados a la continuidad del negocio, tanto para los ejecutivos, como inversionistas, clientes, etc

45

Cursos Disponibles

46

Cursos de formacin en BS 25999

Introduccin

Proporciona una introduccin a la norma y a su importancia y aplicacin para usted y su organizacin.

Implementacin (basada en BS 25999-2)

Un curso eminentemente prctico para implantar el estndar en su negocio y obtener el mximo de l.

Auditor interno (basado en BS 25999-2)

Proporciona las habilidades y conocimientos para dirigir eficazmente auditoras internas de conformidad con la norma. Son especialmente adecuados para responsables del mantenimiento y gestin de un estndar.

47

Cursos de formacin en BS 25999

Auditor Lder (basado en BS 25999-2)

Diseado tanto para auditores externos como internos que desean llevar sus habilidades y conocimientos a un nivel superior. Los cursos proporcionan a los alumnos los conocimientos y habilidades necesarias para dirigir una auditora.

Proporcionan a los gestores internos un conocimiento detallado del proceso de auditora externa y dan una visin profunda de cmo puede obtener la empresa el mximo del proceso de auditora y certificacin. Muchos de nuestros cursos de auditor lder estn acreditados por entidades internacionales, como IRCA o RABQSA, e incluyen un examen al final de los mismos, que lleva a la certificacin.

48

Prximos Cursos - Guadalajara

Interpretacin de la norma BS25999 15 y 16 de Abril

Implementacin de la norma BS25999 17 y 18 de Abril

49

Herramienta de auto-evaluacin de BS 25999

Una nueva herramienta que le ayudar a evaluar las prcticas de gestin de continuidad de negocio de su organizacin frente a BS 25999 parte 1.

Incluye asistencia prctica sobre cmo obtener lo mejor del estndar, junto con indicaciones sobre el establecimiento del proceso, los principios y la terminologa de BCM.

Puede ayudarle a prepararse para la evaluacin externa independiente y certificacin por BSI Management Systems.

Formato software basado en web, amigable y fcil de entender. Para ms informacin, incluida una demo online:

www.bs25999assessment.com

50

Conclusiones

51

Errores ms comunes

1. Plan de respuesta de emergencia etiquetado como DRP/BCP

2. La asistencia externa dirigir nuestra recuperacin

3. El seguro se encargar del asunto

4. Informacin organizada de manera poco efectiva

5. El formato es muy complejo

6. Suplentes no identificados

7. Informacin no actualizada

8. Escenarios de un solo site

9. Sincronizacin de datos

10. Copias no accesibles

11. Lista de acceso a la localidad

52

22. Eso no nos va a pasar a nosotros !!

Mxico, D.F. 06 de Octubre de 2008

San Juan Ixhuatepec. 1984 Mxico, D.F. 19 de Septiembre de 1985 Empresa que cotiza en bolsa, 10 de Octubre de 2008

Huracn Nora, Acapulco. 1997

Bomba, Mxico, D.F. 15 de Febrero de 2008

New York, USA. 11 de Septiembre de 2001 Mxico, D.F. 04 de Noviembre de 2008

Inundacin en Veracruz. 1999

Fuente: SecureInformationTechnologies

53

Conclusin

La Continuidad de Negocio est en el tope de la agenda de las Organizaciones

La administracin tiene crecientes responsabilidades de gobernabilidad corporativa;

Se incrementa constantemente el nfasis en riesgos del negocio

BS 25999-1 es el inicio y la BS 25999-2 provee una estructura de sistema de gestin incluyendo requisitos bsicos para la auditoria y certificacin de 3a parte:

Permitir la determinacin del grado de cumplimiento en relacin a los requerimientos de la norma;

Demostrar a terceras partes el grado de seriedad tomado.

54

Conclusin

BS 25999 no es la primera norma sobre el tema

Japn, Australia, Singapur y Austria ya crearon normativas para tratar del tema

No hay iniciativas de la Comunidad Europea en este momento;

ISO est tratando el tema en el nuevo Societal Security Management System.

55

PREGUNTAS?

Contents slide

56

Contctenos
Direccin:

BSI Management Systems Mxico Paseo de la Reforma, 505 Piso 41 Suite C, Distrito federal, Mxico

Telefone: Fax: Email: Web:

(5255) 5241 1370 (5255) 5241 1371 Informacion.msmexico@bsigroup.com http://www.bsigroup.com.mx

Contents slide

57

Contctenos

Miembro

Mario Urea Cuate,

Nombre: CISSP, CISA, CISM, CGEIT Posicin: Empresa:

Associated Consultant Program

Director General Secure Information Technologies

(5255) 5524 8091 (5255) 5524 7582 mario.urena@secureit.com.mx http://www.secureit.com.mx

Telfono 1: Telfono 2: Email: Web:

58

Gracias

59

Prximos Cursos - Guadalajara

Interpretacin de la norma BS25999 15 y 16 de Abril

Implementacin de la norma BS25999 17 y 18 de Abril