File 14022018115244344

CASO PRÁCTICO PARA LA EJECUCIÓN DE UN BIA
Mario Ureña Cuate
Secure Information Technologies

CISA, CISM, CGEIT, CISSP
Lead Auditor ISO 27001, ISO 22301
Lead Implementer ISO 22301
@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

INTRODUCCIÓN

Base metodológica

¿Qué es un BIA?
Proceso de analizar actividades y el
efecto que una interrupción del
negocio podría tener sobre ellas
ISO 22301: 2012, cláusula 3.8

¿Qué es una actividad?
Proceso o conjunto de procesos
realizados por una organización (o en
su nombre) que produce o soporta
uno o mas productos o servicios.
ISO 22301: 2012, cláusula 3.1

¿Qué es un proceso?
Conjunto de actividades
interelacionadas o interactivas que
transforma entradas en salidas.
ISO 22301: 2012, cláusula 3.40

¿Qué hacemos primero?
Valuación de riesgos (RA)
Análisis de Impacto al Negocio (BIA)

Requerimientos de ISO 22301
Existen diversas metodologías para
Análisis de Impacto al Negocio y
Valuación de Riesgos que
determinarán el órden en que estos
serán conducidos
ISO 22301: 2012, cláusula 8.2.1, Nota

¿En qué momento hacemos el BIA?

¿En qué momento hacemos el BIA?

Objetivos de un BIA
• Determinar prioridades de continuidad
• Determinar prioridades de recuperación
• Determinar objetivos de continuidad
• Determinar metas

PROCESO BIA

BURBUJA, la tortuga

Recursos Personas
Entradas Actividades Salidas
Procedimientos Medidores

Dinero Responsables de actividades
Ejemplo… Tiempo
Herramientas
Tomadores de decisión
Gestión BCMS
… …
Entendimiento del negocio
Actividades críticas
Partes interesadas ISO 22301 Prioridades
Roles y responsabilidades
Productos y servicios
Cláusula RTO, MTPoD, RPO, MBCO
8.2.2 Dependencias
Objetivos de continuidad
Recursos críticos
Criterios de impacto
Requisitos legales
Procedimientos
Actividades analizadas / total
Metodología
Personal capacitado / total
Técnicas
…

POLÍTICA Y ESTRATEGIA
OBJETIVOS

REQUERIMIENTOS ISO 22301

a

Identificar actividades
Evaluar impactos en el tiempo
Establecer periodos de tiempo y

objetivos de operación
Identificar dependencias y
recursos que las soportan

1. IDENTIFICAR ACTIVIDADES

Organización Contexto
interno
Contexto
externo
Proveedores
y socios de Propósito de la organización
negocio
Productos Producto / servicio Producto / servicio
y servicios
Actividad Actividad Actividad Actividad Actividad Actividad
Actividades Clientes
de soporte Dependencias y
Activos y actividades de soporte
recursos
Activos y recursos

1. Identificar actividades
Identificar productos y servicios
Identificar actividades críticas
Identificar actividades de soporte
Identificar dependencias
Identificar proveedores críticos
Identificar recursos críticos

Nivel de operación
Línea de tiempo
Nivel de operación
normal
Operación normal
Tiempo
Ocurre el Detección del Inicio de Recuperación (mínima) Resolución Regreso a la
incidente incidente recuperación de la operación en el del incidente operación normal
sitio alterno del negocio
!
¿Cuál es el RTO? F
E
Nivel de operación D
C
B
A
Nivel de operación
normal
Operación normal
Tiempo
@mariourena
! www.slideshare.net/mariourena Mario Ureña Cuate
¿Cuál es el RTO? F
E
Nivel de operación D
C
B
A
Nivel de operación
normal
Operación normal
Tiempo
@mariourena
¿Cuál es el MTPD / MAO?
Nivel de operación
1 2 3 4 5
Nivel de operación
normal
Operación normal
Tiempo
@mariourena
Nivel de operación
1 2 3 4 5
Nivel de operación
normal
Operación normal
Tiempo
@mariourena
2. EVALUAR IMPACTOS EN EL TIEMPO

¿Cuál es el impacto en el tiempo?
Impacto al negocio
Alto
Medio
Bajo
@mariourena
Impacto al negocio
Alto
A A A A
Medio
M M
Bajo B B B B
0-1 1-5 5-15 15- 30- 1-2 1-2 2-5 5-12 ……
12-24
Min Min Min 30Min 60Min Hrs Hrs Hrs Hrs Hrs
@mariourena

3. ESTABLECER PERIODOS DE
TIEMPO

Nivel de operación
RPO RTO MTPoD
Nivel de operación
normal
MBCO
Operación normal
Tiempo
@mariourena
4. IDENTIFICAR DEPENDENCIAS Y
RECURSOS QUE LAS SOPORTAN

Contexto
Organización Contexto
interno externo
Proveedores
y socios de Propósito de la organización
negocio
Productos Producto / servicio Producto / servicio
y servicios
Actividad Actividad Actividad Actividad Actividad Actividad
Actividades Clientes
de soporte Dependencias y
actividades de soporte
Activos y
recursos
Activos y recursos

4a. Identificar dependencias
Actividad Y
Actividad X
Actividad M

4b. Identificar recursos
• Personal / Gente
• Información y datos
• Instalaciones
• Mobiliario, equipamiento y consumibles
• Sistemas de información y comunicaciones
• Transportación
• Finanzas
• Proveedores y socios de negocio

Auditoría
a

Preguntas y
respuestas
Mario Ureña Cuate
CISSP, CISA, CISM, CGEIT
¡Gracias!
ISO27001LA, BS25999LA, ISO22301
mario.urena@secureit.com.mx
@mariourena
www.slideshare.net/mariourena

DEPENDE…

File 14022018115244344

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

File 14022018115244344

Cargado por

Copyright:

Formatos disponibles

CASO PRÁCTICO PARA LA EJECUCIÓN DE UN BIA

Mario Ureña Cuate

Secure Information Technologies

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

ISO 22301: 2012, cláusula 3.8

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

ISO 22301: 2012, cláusula 3.1

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

ISO 22301: 2012, cláusula 3.40

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

Análisis de Impacto al Negocio (BIA)

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

Entradas Actividades Salidas

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

Evaluar impactos en el tiempo

Establecer periodos de tiempo y

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

Actividad Actividad Actividad Actividad Actividad Actividad

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

RPO RTO MTPoD

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

Actividad Actividad Actividad Actividad Actividad Actividad

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

@mariourena www.slideshare.net/mariourena Mario Ureña Cuate

También podría gustarte