Sistema deGestin deContinuidad

delNegocio deAcuerdo con

BS25999 e ISO 22301
BS25999eISO22301
O t b 2011
October2011

Mario Urea Cuate

MarioUreaCuate
CISA,CISM,CGEIT,CISSP,LABS25999,LAISO27001
 Agenda
Introduccin
ElementosquecomponenelSGCN
Gestin de incidentes en el SGCN
GestindeincidentesenelSGCN
SimilitudesydiferenciasentreBS259992e
ISO/DIS 22301
ISO/DIS22301
Factorescrticosdexito
Conclusiones
C l i
 Nota
Al cierre de la p
preparacin
p de esta p
presentacin,,
el estndar ISO 22301 no ha sido publicado en su
versin final, por lo que la informacin contenida
en esta presentacin se refiere al documento
ISO/DIS 22301.

La publicacin de ISO 22301 en su versin final

pudiera incluir cambios relevantes no includos en
esta presentacin.
presentacin
Introduccin
 Introduccin
Ejemplos de incidentes que pueden afectar la
continuidad del negocio:

Percepcin negativa del pblico hacia la organizacin

P bl
Problema con productos
d t y servicios
i i
Problema financiero
Problema de relaciones con empleados
Evento internacional adverso
Violencia en el lugar de trabajo
Prdida de personal
Desastre natural
 Introduccin
Evento Internacional Adverso

El 31 de diciembre de 1986 ocurri un incendio en el hotel

Dupont Plaza en San Juan, Puerto Rico teniendo como
resultado 97 muertos y 140 lesionados.
lesionados El fuego fue iniciado
por un empleado inconforme.
2,300 demandantes.
2,300demandantes.

Drexel Heritage Furnishing

f e encontrada no
fueencontradano
responsableporeljuradoen
1989.
 Introduccin
Eventos que en ocasiones no son consideradas,
causadas por:

Un proveedor
Un prueba / ejercicio
Acciones de los empleados
Acciones del departamento de Recursos Humanos
Acciones de los medios
Situacin de espionaje
p j industrial
Muerte precipitada de funcionarios
 Introduccin
Proveedores

En 1993 PlayDoh Co inhabilit a 80 empleados debido a que

uno de sus proveedores en Illinois era incapaz de proveer
harina que se utiliza para la fabricacin de masa para modelar.
modelar

Elproveedorfueafectadopor
l
lagraninundacindel93.
d d l

Lostrabajadoresfueron
j f
llamadoscuandoseencontr
unnuevoproveedor.
 Introduccin
Pruebas / ejercicios mal ejecutados

En 1992 el Federal Reserve Bank de San Francisco realiz una

prueba de su plan de recuperacin ante desastres. Como
resultado de las actividades realizadas durante la prueba,
prueba un
mainframe dej de operar durante 12 horas, afectando a
usuarios en California y Arizona.
15institucionesbancarias
fueronafectadas.

Elbancoatribuyeelhechoa
unerrorhumano.
 Introduccin
Pruebas / ejercicios mal ejecutados

En 1996 cinco hombres enmascarados ingresaron a la sala

de emergencia del Memorial Hospital en Martinsville,
Virginia apuntando sus armas al personal y demandando
Virginia,
medicamentos. La prueba fue preparada por el staff de
seguridad del hospital.
Nocreoquecualquierapueda
apuntarunarmaenlacabezadeuna
personaysesalgaconlasuya

Abogadorepresentantede3
enfermeras.
 Introduccin Evolucin
Introduccin
PlandeContingencias(CP)
Plan de Contingencias (CP)
PlandeRecuperacindeDesastres(DRP)
PlandeContinuidaddelasOperaciones(COOP)
PlandeContinuidaddelNegocio(BCP)
PlandeReanudacindelNegocio(BRP)
Gestin de la Continuidad del Negocio (BCM)
GestindelaContinuidaddelNegocio(BCM)
ProgramadeGestindelaContinuidaddelNegocio(BCMP)
SistemadeGestindeContinuidaddelNegocio(BCMS)
SistemadeGestindePreparacinyContinuidad(PCMS)?
 Introduccin Retos
Introduccin
Nocontarconunaestrategiadecontinuidad
No contar con una estrategia de continuidad
Faltadeapoyodeladireccin
Inexistenciadeanlisisderiesgosydeimpactoalnegocio
g y p g
Faltadeintegracinentreplanes
ComplejidadTecnolgica
Planesnoactualizados
Noserealizanpruebas,auditora,revisionesgerenciales
Planesdemasiadogeneralesodemasiadoespecficos
Introduccin
 Introduccin

Fuente:http://www.fema.gov/privatesector/preparedness/adoption
p // f g /p /p p / p _standards.shtm
Introduccin
Introduccin
 Introduccin
Buenas prcticas BCM

27001
PAS56 27031
BS25999-1

BCMS
BS25999-2 Sistema de Gestin de
Continuidad
Co t u dad de
del Negocio
egoc o
 Introduccin

Gestin de Continuidad el Negocio

(BCM)
Vs
Sistema de Gestin de Continuidad
del Negocio (BCMS)
 Introduccin Definiciones
Introduccin
BCM
Procesodegestinholsticoqueidentificaamenazas
potencialesalaorganizacinysusimpactos ala
operacindelnegocioqueesasamenazas,encaso
i d l i
realizarse,pudierancausar,yproveeunaestructura
paraconstruirresiliencia organizacionalconla
p g
capacidadparalaefectivarespuesta salvaguardando
losinteresesdelasprincipalespartesinteresadas,
reputacin marca y actividades que crean valor
reputacin,marcayactividadesquecreanvalor.

BS259992:2007
 Introduccin Definiciones
Introduccin
BCMS

LapartedelSistemadeGestingeneralque
d l Si d G i l
establece,implementa,opera,monitorea,
revisa,mantieneymejoralacontinuidaddel
i i j l i id d d l
negocio.

BS259992:2007
Introduccin BS25999
Introduccin

PARTE 1
PARTE1 PARTE 2
PARTE2
Elementos que componen el SGCN
ElementosquecomponenelSGCN

Parte2
Parte1 Requisitosde
Requisitos de
Prcticasno Sistemasde
auditables
Requisitos
Comunes Gestin
(sugerencias,
(auditora,accin
(auditora accin
comentarios,guas,
correctivay
etc)
preventiva,etc)
Elementos que componen el SGCN
ElementosquecomponenelSGCN
Parte
Parte1
1 CiclodeVidadeBCM
Ciclo de Vida de BCM
Parte2 BCMSbasadoenmodeloPDCA

Planear Hacer Verificar Actuar

Elementos que componen el SGCN
ElementosquecomponenelSGCN
Ciclode BCMS
Vid d BCM
VidadeBCM
Elementos del Ciclo de Vida de BCM
ElementosdelCiclodeVidadeBCM
Elementos del BCMS
ElementosdelBCMS
Requerimientosdedocumentacinde
BS259992
Alcance,objetivosyprocedimientos
ca ce, objet os y p oced e tos
PolticadeGCN
Provisin de recursos
Provisinderecursos
CompetenciadelpersonaldeGCN
Anlisis de Impacto al Negocio
AnlisisdeImpactoalNegocio
Evaluacinderiesgos
Estrategia de Continuidad del Negocio
EstrategiadeContinuidaddelNegocio
Estructuraderespuestaaincidentes
Requerimientosdedocumentacinde
BS259992
Plan(es)decontinuidaddelnegocio
a (es) de co t u dad de egoc o
Plan(es)degestindeincidentes
Ejercicio de GCN
EjerciciodeGCN
MantenimientoyrevisindearreglosdeGCN
Auditora interna
Auditorainterna
RevisindelagerenciadelSGCN
Acciones correctivas y preventivas
Accionescorrectivasypreventivas
Mejoracontinua
Requerimientosdedocumentacinde
BS259992

YelmanualdelSGCN?
Elementos de IRBC
ElementosdeIRBC
ElementosdeIRBC
Elementos de PCMS
ElementosdePCMS
 Definicin
IRBC
C ICTReadiness
C ead ess foro BusinessContinuity
us ess Co t u ty
(ICT Information andComunication Technology)

Capacidaddeunaorganizacinparasoportarsus
operacionesatravsdelaprevencin,deteccin
p p ,
yrespuestaalainterrupcinyrecuperacinde
serviciosdeICT.

ISO27031:2011
 Gestin de Incidentes y el SGCN
GestindeIncidentesyelSGCN
PlandeGestindeIncidentes
a de Gest de c de tes

Plandeaccinclaramentedefinidoydocumentado
Plan de accin claramente definido y documentado
paraserutilizadocuandoocurreunincidente,
tpicamentecubrealpersonalclave,recursos,
serviciosyaccionesnecesariasparaimplementar
elprocesodegestindeincidentes.

BS259992:2007
 GestindeIncidentesyelSGCN
RPO t0 t1 t2 t3 RTO t4 t5 MTPoD
Niveldeoperacinnormal Niveldeoperacinnormal

Niveldeoperacinencrisis

Operacin normal
Operacinnormal Recuperacin Operacin en continuidad
Operacinencontinuidad Operacin normal
Operacinnormal

PlandeGestindeIncidentes

PlandeContinuidaddelNegocio

Regreso
Nota:EstainformacinnoesunrequisitodeBS25999
 Similitudesydiferenciasentre
BS259992eISO22301
BS259992 ISODIS22301
1 Alcance 1 Alcance
2 Trminosydefiniciones 2 Referenciasnormativas
3 PlanearelSGCN
3 l l SGCN 3 Trminosydefiniciones
3 i d fi i i
4 ImplementaryoperarelSGCN 4 Requerimientosgenerales
5 MonitorearyrevisarelSGCN
5 Monitorear y revisar el SGCN 5 Liderazgo
5
6 MantenerymejorarelSGCN 6 Planeacin
7 Soporte
8 Operacin
9 Evaluacindeldesempeo
10 Mejora
10
 Similitudesydiferenciasentre
BS259992eISO22301

BS259992 ISODIS22301
Clusula Descripcin Clusula Descripcin
Introduccin Introduccin
1 Alcance 1 Alcance
2 Referenciasnormativas
2 Trminosydefiniciones 3 Trminosydefiniciones
 Similitudesydiferenciasentre
BS259992eISO22301
BS259992 ISODIS22301
Clusula
l l Descripcin
Clusula
l l Descripcin

3 PlaneacindelSGCN 6 Planeacin
3.1 General
3.2 EstablecerygestionarelSGCN
yg
3.2.1 Alcanceyobjetivos 6.1 Objetivosyplanesparaalcanzarlos
Accionesparaatenderproblemasy
6.2
preocupaciones
4 R
Requerimientosgenerales
i i t l
Entendimientodelaorganizacinysu
4.1
contexto
3.2.1.1 Alcanceyobjetivos
y j 4.3 SistemadeGestinyAlcance
y
3.2.1.2 Productosyserviciosclave 4.2 Necesidadesyrequerimientos
3.2.2 PolticadeGCN 5.3 Poltica
 Similitudesydiferenciasentre
BS 259992
BS25999 2eISO22301
e ISO22301
BS259992 ISODIS22301
Clusula Descripcin Clusula Descripcin
3 2 3 Provisinderecursos
3.2.3 Provisin de recursos 71
7.1 Recursos
3.2.3.1 Recursosgenerales
Roles,responsabilidades, Roles,responsabilidadesy
5.4
3.2.3.2 competenciasyautoridades autoridadesorganizacionales
d GCN
deGCN 7.2 Competencia
Roles,responsabilidadesy
5.4
3.2.3.3 Designacindelresponsable autoridadesorganizacionales
7.2 Competencia
p
IntegrarGCNenlaculturade
3.3 7.3 Concientizacin
laorganizacin
7.5 Informacindocumentada
751
7.5.1 General
Documentacinyregistrosdel
3.4 7.5.2 Crearyactualizar
SGCN
Controldeinformacin
7.5.3
documentada
 BS259992 ISODIS22301
Clusula Descripcin Clusula Descripcin
8 O
Operacin
i
8.1 General
4 ImplementaryoperarelSGCN
Planeacinycontrol
8.2
operacional
4.1 Entenderalaorganizacin 8.3 Preparacin
8.4 Planeacin
AnlisisdeImpactoalNegocio
8.4.3
y Evaluacin de Riesgos
yEvaluacindeRiesgos
4.1.1 AnlisisdeImpactoalNegocio 8.4.3.3 AnlisisdeImpactoalNegocio
4.1.2 Evaluacinderiesgos 8.4.3.4 Evaluacinderiesgos
Opcionesdecontinuidaddel
8.4.4
negocio
i
Determinacinyseleccinde
8.4.4.1
4.1.3 Determinaropciones opciones
8.4.4.3 y g
Proteccinymitigacin
Determinarestrategiade Establecerrequerimientosde
4.2 8.4.4.2
continuidaddelnegocio recursos
 BS259992 ISODIS22301
Clusula Descripcin Clusula Descripcin
7.4 Comunicacin
Desarrollareimplementarla
Desarrollar e implementar la 741
7.4.1 Comunicacin externa
Comunicacinexterna
4.3
GCN 7.4.2 Comunicacininterna
8.5 Ejecucin
Desarrollareimplementaruna
4 3 1 General
4.3.1 851
8.5.1 respuesta de continuidad del
respuestadecontinuidaddel
negocio
8.5.2 Estructuraderespuesta
8.5.3 Alertaycomunicacin
854
8.5.4 R
Respuestat
Estructuraderespuestaa Planesdecontinuidadel
8.5.5
incidentes negocio
4.3.2
Planesdecontinuidaddel Requerimientosde
4.3.3 8.5.6
negocioygestinde
i ti d procedimientosderespuesta
di i t d t
incidentes Contenidodelprocedimiento
8.5.7
derespuesta
8.5.8 Recuperacin
8.5.9 Comunicacinyconsulta
Ejercitar.Manteneryrevisar
4.4 8.6.1 Ejerciciosypruebas
losarreglosdeBCM
 Similitudesydiferenciasentre
BS259992eISO22301
BS25999
BS 259992
2 ISO DIS 22301
ISODIS22301
Clusula Descripcin Clusula Descripcin
9 Evaluacindeldesempeo
8.7 Revisin
8.6.2 d ld
Monitoreodeldesempeo
5 MonitorearyrevisarelSGCN
Evaluacindeprocedimientos
8.7.2
decontinuidad
9.1 Evaluacindeldesempeo
p
5.1 Auditorainterna 9.2 Auditorainterna
Revisindelagerenciadel 8.7.1 Revisindelagerencia
5.2
SGCN 9.3 Revisindelagerencia
 Similitudesydiferenciasentre
BS259992eISO22301

BS259992 ISODIS22301
Clusula Descripcin Clusula Descripcin
6 MantenerymejorarelSGCN 10 Mejora
6.1 Accionespreventivasycorrectivas
6.1.1 General
6.1.2 Accinpreventiva
p
6.1.3 Accincorrectiva 10.1 Noconformidadyaccincorrectiva
6.2 Mejoracontinua 10.2 Mejoracontinua
 EstatusdeISO22301

Fuente:www.iso.org
 EstatusdeISO22301

Fuente:www.iso.org
 Factores crticos de xito
Factorescrticosdexito
Asegurarelapoyodeladireccin
g p y
BCMrequiererecursospermanentes(d # $)
Rolesyresponsabilidadesclaramenteestablecidos
Programadeconcientizacinadecuado
Documentacinsuficientemente detallada
P
Programadeejerciciosypruebas
d j i i b
Promoverlaparticipacindetodalaorganizacin
Procedimiento de control de cambios efectivo
Procedimientodecontroldecambiosefectivo
Auditora,revisindelagerenciaymejoracontinua
Conclusiones
 Preguntas
g yyrespuestas
p
Gracias!
MarioUreaCuate
CISA,CISM,CGEIT,CISSP
CISA CISM CGEIT CISSP
ISO27001LA,BS25999LA
mario.urena@secureit.com.m
x
@mariourena
www.mariourenacuate.com
www.slideshare.net/mariour
ena