Documentos de Académico
Documentos de Profesional
Documentos de Cultura
OPERATIVA
David Jiménez
CISO
PROCESOS DE NEGOCIO
Y TECNOLOGÍA DE INFORMACIÓN 1
2014 D.R. Petróleos Mexicanos. Todos los derechos reservados. pemex.com
Agenda
• ¿Qué es la resiliencia operativa?
• ¿Por qué es importante?
• ¿Cuál es el alcance de la resiliencia operativa?
• ¿Qué mejores prácticas existen al respecto?
• ¿Cómo puedo mejorar mi resiliencia operativa?
• Conclusiones
2
2014 D.R. Petróleos Mexicanos. Todos los derechos reservados. pemex.com
¿Qué es la resiliencia operativa?
3
2014 D.R. Petróleos Mexicanos. Todos los derechos reservados. pemex.com
¿Qué es la resiliencia operativa?
Misión
“La habilidad de la
organización de mantener los
procesos de negocio y
Servicios servicios que soportan de
manera directa la misión de la
organización, haciendo lo que
Procesos de
se supone que deben hacer”
Negocio
Organización C
Organización D
Organización A
Organización B
Resiliencia
Operativa
Ambiente de riesgo
5
2014 D.R. Petróleos Mexicanos. Todos los derechos reservados. pemex.com
Resiliencia Operativa – Situaciones de estrés
Proveedores
Soporte a procesos Ceder control Vulnerabilidades y
Riesgos
Globalización Riesgos
6
2014 D.R. Petróleos Mexicanos. Todos los derechos reservados. pemex.com
¿Por qué es importante?
1. El mundo alrededor de las organizaciones
esta cambiando en términos de riesgos y
oportunidades
2. No es posible reaccionar a todas las
situaciones posibles
3. Dejar de determinar nuestra resiliencia en
términos de lo que no ha pasado
• “El servicio sigue arriba, lo que
hacemos seguro lo hacemos bien”
4. Poder predecir que tan bien se va a
desempeñar la organización ante un
cambio en el ambiente de riesgo
7
2014 D.R. Petróleos Mexicanos. Todos los derechos reservados. pemex.com
¿Cuál es el alcance de la resiliencia operativa?
de riesgos
Gestión de la
continuidad del negocio
Gestión de la Operación
de TI
8
2014 D.R. Petróleos Mexicanos. Todos los derechos reservados. pemex.com
CERT-RMM – Gestión de la resiliencia operativa
El CERT Resilience Management • Establecer una convergencia del
Model (CERT-RMM) es un riesgo operacional y las actividades de
modelo de capacidades para la gestión de la resiliencia
gestión y mejora de la resiliencia • Gestión de Seguridad
operacional • Gestión de Continuidad
• Gestión de las operaciones de TI
• Aplicar un enfoque de mejora de
procesos mediante la definición y
aplicación de una escala de
capacidades (Amigable con CMMI), la
cual expresa niveles de madurez en
los procesos
• Trazabilidad con ISO27000, COBIT e
ITIL
9
2014 D.R. Petróleos Mexicanos. Todos los derechos reservados. pemex.com
CERT-RMM – Gestión de la resiliencia operativa
Estratégico Influencia
Objetivos
organizacionales
Tolerancia y
Alineando con
apetito de riesgo
Metas y objetivos Informa
de resiliencia
Establece
Requerimientos de
resiliencia
Define Define
Objetivos de Objetivos de
control control
Influencia Influencia Establece
Controles de Controles de
protección continuidad
Protección Continuidad
Se aplica a
Servicios críticos
Activos de alto Gestión de
Táctico Gestión de valor
Define consecuencias
condiciones
10
2014 D.R. Petróleos Mexicanos. Todos los derechos reservados. pemex.com
CERT-RMM – Gestión de la resiliencia operativa
Protección Continuidad
11
2014 D.R. Petróleos Mexicanos. Todos los derechos reservados. pemex.com
CERT-RMM
• 26 procesos
• 4 categorías
Identificar • 256 prácticas
Proteger específicas
Actividades del día a día para
Dar continuidad
gestionar la resiliencia • 94 metas específicos
• …
12
2014 D.R. Petróleos Mexicanos. Todos los derechos reservados. pemex.com
Componentes del modelo
Metas Metas
especificas genéricas
Prácticas Prácticas
especificas genéricas
Productos de
Subprácticas Subprácticas Nota adicional
trabajo
13
2014 D.R. Petróleos Mexicanos. Todos los derechos reservados. pemex.com
CERT-RMM – Modelo de madurez
14
2014 D.R. Petróleos Mexicanos. Todos los derechos reservados. pemex.com
¿Cómo puedo utilizar el CERT-RMM?
• Punto de partida para aprovechar la convergencia entre seguridad, continuidad del
negocio y las actividades de operaciones de TI
• Línea base para evaluar las capacidades de la organización y mejorar su postura
de resiliencia
• Guía para mejorar las áreas donde la capacidad de la organización no son iguales
al estado deseado
• Mejorar las actividades de seguridad de la información, así como las
responsabilidades de cumplimiento asociadas
• Mejorar las actividades de operaciones de TI
• Mejorar las operaciones de continuidad y recuperación de desastres a nivel
política
• Evaluar las actividades de protección de la infraestructura crítica
15
2014 D.R. Petróleos Mexicanos. Todos los derechos reservados. pemex.com
¿Por donde empiezo?
1. Define tu objetivo de mejora
• Proceso o Servicios de negocio
• Aplicaciones críticas
2. Revisa detenidamente el modelo, particularmente el propósito de cada proceso y
selecciona aquellos que sumen a tu objetivo de mejora
3. Elige que partes de la organización serán el objetivo de la mejora
• Objetivo organizacional + Unidad de negocio + sponsor (CIO, CISO,
Responsables de continuidad del negocio)
4. Selecciona un proceso u objetivo y prácticas para cada proceso
16
2014 D.R. Petróleos Mexicanos. Todos los derechos reservados. pemex.com
Conclusiones
Organización B
Organización A
17
2014 D.R. Petróleos Mexicanos. Todos los derechos reservados. pemex.com
Conclusiones
1. Conoce tu negocio
2. Conoce los objetivos estratégicos y de negocio de la organización
3. Liga los procesos y servicios de negocio con los objetivos para identificar
aquellos que habilitan la misión de manera directa
4. Identifica los activos que soportan esos procesos y servicios
5. Define una estrategia de protección y una de continuidad para el activo, tomando
en cuenta la postura de riesgo de la organización
6. La resiliencia operativa nunca se alcanza, debe ser gestionada
continuamente
7. CERT-RMM es un modelo de referencia, empieza con las áreas de interés y
ve creciendo, apóyate de otras mejores prácticas
8. Podemos tener un mejor entendimiento del retorno de la inversión si
pensamos en la resiliencia
18
2014 D.R. Petróleos Mexicanos. Todos los derechos reservados. pemex.com
GRACIAS
David Jiménez
CISO
@monkeychief
PROCESOS DE NEGOCIO
Y TECNOLOGÍA DE INFORMACIÓN 19
2014 D.R. Petróleos Mexicanos. Todos los derechos reservados. pemex.com