CONFERENCIA:

“La continuidad de negocio”

Por: Manuel Carpio Cámara

01/04/2020 © Manuel Carpio 1

SUMARIO

TERMINOLOGÍA
RESPONSABILIDADES
ESCENARIOS
ESTÁNDARES
REQUISITOS MÍNIMOS
INTERDEPENDENCIAS
ISO 22301:2019
SISTEMA CORPORATIVO DE GESTIÓN DE LA CONTINUIDAD
(GCSGCN)
• ANÁLISIS DE IMPACTO PARA EL NEGOCIO (BIA)
• PLAN DE CONTINUIDAD DE NEGOCIO (PCN)
• GESTIÓN DE CRISIS
• PROCEDIMIENTOS DE GESTIÓN DE CRISIS Y CONTINUIDAD
• PLAN DE FORMACIÓN Y PLAN DE PRUEBAS
• MÉTRICAS Y PLAN DE MEJORA

PROYECTO TIPO
FACTORES CLAVE DE ÉXITO

01/04/2020 © Manuel Carpio 2

TERMINOLOGÍA

Por un clavo se perdió la herradura

Por la herradura se perdió el caballo
Por el caballo se perdió la batalla
Por la batalla se perdió la guerra
Por la guerra se perdió el Reino

ISO 22300:2018(en) Security and resilience — Vocabulary

“Evento, ya sea anticipado (por ejemplo, una
huelga laboral o huracán) o no anticipado “Situación en la que se han producido pérdidas humanas, materiales,
”Ocurrencia o cambio de un “Situación que puede ser, (por ejemplo, un apagón o un terremoto),
conjunto particular de o podría conducir a, una económicas o medioambientales generalizadas que superaron la
que causa una desviación negativa no capacidad de la organización afectada , la comunidad o la sociedad
circunstancias” interrupción), pérdida, planificada de la entrega esperada de
“Parte de la advertencia pública que emergencia o crisis” para responder y recuperarse utilizando sus propios recursos”
productos o servicios de acuerdo con la
capta la atención de los socorristas y organización objetivos ”
“Cuestión distinta de la
las personas en riesgo en una situación
principal en un proceso”
de emergencia en desarrollo”

Evento Incidencia Alerta Crisis Parada Desastre

Incidente Disrupción
Contingencia
“Posible evento futuro,
“Condición inestable que implica
condición o eventualidad”
un cambio abrupto o significativo
inminente que requiere atención y
acción urgentes para proteger la
vida, los activos, la propiedad o el
medio ambiente”
Resiliencia
Continuidad “Capacidad de un material, mecanismo o
sistema para recuperar su estado inicial cuando
ha cesado la perturbación a la que había estado
sometido”
“Capacidad estratégica y táctica, preaprobada
por la gerencia, de una organización para
planificar y responder a condiciones,
situaciones y eventos para continuar las
operaciones a un nivel predefinido aceptable”
RESPONSABILIDADES

Incidentes en infraestructuras empresariales

Ataques terroristas
Septiembre 2001

Fallo sistemas TI BA
Agosto 2019

Desastres Naturales
Huracán Katryna
Nueva Orleans
Agosto 2005

Eyjafjallajökull
Islandia Abril 2010

01/04/2020 © Manuel Carpio 4

RESPONSABILIDADES

▪ 13 de julio 2012, 2h 04m 51s

▪ Diámetro 1m Meteorito de
▪ Peso 2 Tn Cheliabinsk
▪ Velocidad 90.000 Km/h Rusia, Febrero 2013
▪ Altitud 40Km

▪ 5.000 edificios afectados, entre ellos 700

escuelas, 200 hospitales y 100.000 viviendas
▪ 1.200 personas heridas
▪ 200.000 km2 de cristales rotos
▪ 24.000 trabajadores de servicios de
emergencia movilizados

01/04/2020 © Manuel Carpio 5

RESPONSABILIDADES

Potencias?
A proposal for categorization of responsibilities
in prevention of business continuity crisis scenarios Escenarios
Fuente: Extinción

garantizar objetivos de resiliencia mínima

“Instituciones Financieras Críticas: Escenarios de Katrina
Responsabilidad de las inversiones para

Países
Continuidad de Negocios y su coste”. César Pérez-Chirinos.
European CIIP Newsletter. August-September 2009
COVID-19
Escenarios
Alcance de la
altamente catastróficos
Gobierno
Alcance de Directiva CIIP
Organización Grupo sectorial Basilea II 2008/114 11-S

Categoría II
Eyjafjallajökull (volcán) Categoría III
Categoría
British I
Airways

Riesgo de supervivencia de:

Organización Sector Cadena suministro Nación Área económica Humanos
RESPONSABILIDADES

01/04/2020 © Manuel Carpio 7

RESPONSABILIDADES
Continuidad
de negocio

Servicios
Finales Procesos
de negocio

Datos Servicios
de soporte

Personas

Sistemas Instalaciones

Redes Infraestructuras Relaciones

Redes oficiales
Contingencia Infraestructuras
tecnológica críticas

01/04/2020 © Manuel Carpio 8

ESCENARIOS

1. Inaccesibilidad al 2. Indisponibilidad de
centro de trabajo e
Sistemas de
inhabitabilidad
Información
(total o parcial)

3. Indisponibilidad
4. Indisponibilidad
de Suministros de Capital
Críticos Humano

01/04/2020 © Manuel Carpio 9

 ESTÁNDARES

Nª ORDEN SERIE CATEGORÍA TIPO

ISO 22301 Security and resilience Business continuity management systems Requirements

ISO 22313 Security and resilience Business continuity management systems Guidance on the use of ISO 22301

ISO/TS 22330 Security and resilience Business continuity management systems Guidelines for people aspects of business continuity

ISO/TS 22331 Security and resilience Business continuity management systems Guidelines for business continuity strategy

ISO/TS 22317 Societal security Business continuity management systems Guidelines for business impact analysis (BIA)

ISO/TS 22318 Societal security Business continuity management systems Guidelines for supply chain continuity
ISO 22398 Societal security Guidelines for exercises

ISO/IEC 27002 Information technology Security techniques Code of practice for information security controls

ISO/IEC 27031 Information technology Security techniques Guidelines for information and communication technology readiness for business continuity

ISO 31000 Risk management Guidelines

01/04/2020 © Manuel Carpio 10

ESTÁNDARES

1995 2000 2005 2010 2015 2020

NFPA 1600 NFPA 1600

ISO 27001
ISO 27031
BS 7799 BS 25999-1-2 ISO 22301 ISO 22301
ISO 27320 ISO 22318
ISO 22398 ISO 22317
BCI PAS 56 BCI BCLM
BCI PAS 200
Bank for
DRII Prácticas DRII
International
Profesionales Terminología
Settlement
para BCM
ANSI/ASIS
PSO/PPE ENISA OES MSR
Basilea II Organizational
Contenidos
resilience
mínimos

01/04/2020 © Manuel Carpio 11

 REQUISITOS MÍNIMOS
SECURITY SECURITY ISA/IEC
DESCRIPTION ISO 27001 NIST CSF
SUB-DOMAIN MEASURE 62443
ID.BE-5
PR.PT-5
In accordance with its ISSP, the operator defines objectives SR 5.2
Continuity of Disaster recovery PR.IP-9, 10
and strategic guidelines regarding disaster recovery A.17.2 Redundancies SR 7.1
operations management PR.DS-4
management, in case of a severe IT security incident. SR 7.2
RC.IM-1, 2
RC.RP-1
5.3 Organizational roles, responsibilities and authorities
The operator defines in its ISSP the organization for crisis PR.DS-4 SR 3.3
Crisis Crisis management A.6.1.1 Information security roles and responsibilities
management in case of IT security incidents and the PR.IP-10 SR 7.1
management organisation A.11.2.4 Equipment maintenance
continuity of organization’s activities. ID.BE-5 SR 7.2
A.17.1 Information security continuity
5.3 Organizational roles, responsibilities and authorities
PR.DS-4 SR 3.3
Crisis Crisis management A.6.1.1 Information security roles and responsibilities
PR.IP-10 SR 7.1
management organization A.11.2.4 Equipment maintenance
ID.BE-5 SR 7.2
A.17.1 Information security continuity
ID.RM-1, 2, 3
RP.IP-4, 7, 9, 10 SR 2.8
9.3 Management review RS.IM- 2 SR 3.3
In accordance with its ISSP, the operator defines objectives 10.2 Continual improvement RC.IM-1, 2 SR 5.2
Continuity of Business continuity A.5.1.2 Review of the policies for information security RC.RP-1 SR.6.1
and strategic guidelines regarding business continuity
operations management A.11.2.4 Equipment maintenance RC.CO-1,2,3 SR 7.1,
management, in case of IT security incident. A.17.1 Information security continuity PR.PT-5 SR 7.2
A.17.2 Redundancies PR.DS-4 SR 7.3
ID.BE-5 SR 7.4
ID.SC-5
7.4 Communication SR 2.8
RC.CO-1, 2, 3
The operator defines in its ISSP the processes for crisis 9.3 Management review SR 3.3
RC.RP-1
10.2 Continual improvement SR.6.1
Crisis Crisis management management which the crisis management organization RS.IM-1, 2
A.5.1.2 Review of the policies for information security SR 7.1
management process will implement in case of IT security incidents and the ID.SC-5
A.6.1.3 Contact with authorities SR 7.2
continuity of an organization’s activities. PR.IP-4, 9, 10
A.11.2.4 Equipment maintenance SR 7.3
PR.PT-5
A.17.1 Information security continuity SR 7.4

01/04/2020 © Manuel Carpio 12

INTERDEPENDENCIAS

País 3

Finanzas

País 2
Transportes

Comunicaciones

País 1

Electricidad

01/04/2020 © Manuel Carpio 13

ISO 22301:2019

ACT PLAN

CHECK DO

01/04/2020 © Manuel Carpio 14

ANÁLISIS DE IMPACTO PARA EL NEGOCIO (BIA)
63 <= VTI <= 6.300.000
0h<T<6h 6h<T<12h 12h<T<24h 24h<T<48h 48h<T<96h >96h vtim vtiM vtiem
Intervalo 32 16 8 4 2 1 0
𝑉𝑇𝐼(𝑖) 𝑽𝑻𝑰𝒆 63 630
Valoración 0 1 1 3 3 4
630 6.300 1
Económico -- 1 1 3 3 4 = 16.272 → 2,176
6.300 63.000 2
Legal -- -- -- 2 2 3 = 1.656 → 1,181
63.000 630.000 3
Estratégico -- -- -- -- -- 2 = 72 → 0,016
630.000 6.300.000 4
Externo 2 2 3 3 4 1 = 136.800 → 3,130
5
Reputación -- 2 2 3 3 4 =18.432 → 2,214 6.300.000 +
McorrVI Financiero Legal Estratégico Externo Reputación

Financiero 1 0,5 0,75 0,5 0,5 1 ⋯ 0,5

Legal 0,5 1 0,25 0,25 0,5 𝑉𝐼 𝑃 = 𝑉𝑇𝐼𝑒 · ⋮ ⋱ ⋮ · 𝑉𝑇𝐼𝑒 𝑇 = 7,069
Estratégico 0,75 0,25 1 0,1 0,25 0,5 ⋯ 1
Externo 0,5 0,25 0,1 1 0,75
Reputación 0,5 0,5 0,25 0,75 1

𝑉𝑇𝐼(𝑖) = ∑( 10𝑉𝑎𝑙𝑜𝑟𝑎𝑐𝑖ó𝑛𝑖 × 𝐼𝑛𝑡𝑒𝑟𝑣𝑎𝑙𝑜𝑖) VTIe = Valor Tipo de Impacto Escalado

VTI = Valor Tipo Impacto
VI = Valoración del Impacto
P = Proceso que se está valorando
vtim = valor mínimo del intervalo al que corresponde VTI VTIe = Vector de valoraciones de tipo de impacto
vtiM = valor máximo del intervalo al que corresponde VTI escalado del proceso P
𝑉𝑇𝐼(𝑖) − 𝑣𝑡𝑖𝑚 vtiem = valor mínimo del intervalo al que corresponde VTIe MCorrVI = Matriz de correlación de tipos de
𝑉𝑇𝐼𝑒 = + 𝑣𝑡𝑖𝑒𝑚 impacto
𝑣𝑡𝑖𝑀 − 𝑣𝑡𝑖𝑚

01/04/2020 © Manuel Carpio 15

PLAN DE CONTINUIDAD DE NEGOCIO (PCN)

Actividad Crítica 1

Actividad Crítica M

Centro
Alternativo
Personal crítico
físico

Personal crítico Hogares personal

Centro de trabajo remoto crítico

5
Localización y acondicionamiento de Centros Alternativos y
establecimiento de procedimientos de Acceso Remoto para poder
ejecutar las Actividades de Negocio Críticas en caso de contingencia

01/04/2020 © Manuel Carpio 16

PLAN DE CONTINUIDAD DE NEGOCIO (PCN)
Actividad Crítica 1

Hogares
personal
crítico

Centro
Alternativo
Centro de trabajo
Actividad Crítica M

Definición de los Procedimientos de

Gestión de Crisis

Personal No Crítico

01/04/2020 © Manuel Carpio 17

GESTIÓN DE CRISIS
Alerta
Recomendable centralizar desde un
Centro de Control de Seguridad
Integral (CCSI) :
Monitorización y recepción de
Alarmas de Seguridad Física.
Monitorización y recepción de
Incidentes de Seguridad Lógica.
Movilización de los equipos de
evaluación y en caso de ser
necesario, del Comité de Crisis.
01/04/2020
Declaración
Evaluación
Contingencia
Equipos de evaluación diferenciados Declaración de la situación de
para cada escenario de contingencia: contingencia y activación de los
Planes correspondientes para
recuperar las actividades
identificadas como críticas.
Indisponibilidad de
Infraestructuras
Indisponibilidad Tecnológica
Indisponibilidad de Proveedores
Críticos.
Indisponibilidad de Personas
© Manuel Carpio 18
GESTIÓN DE CRISIS

Comité de Crisis Grupo Apoyo Crisis

Presidente Unidad N
Unidad 2
Unidad 1
Seguridad Física Coordinador /
Secretario Responsables de las
áreas de Negocio con
Actividades críticas
RRHH
afectadas

Prevención RRLL Asuntos Legales

Servicios Médicos
Gestión Patrimonial /
Servicios Generales Seguros
Medio Ambiente
Sistemas de Información
Y Comunicaciones
Comunicación Crisis
Operaciones
Comunicación Interna

Comunicación
Externa
PLAN DE FORMACIÓN Y PLAN DE PRUEBAS

Sesiones o Cursos de Formación periódicos:

Segmentadas según audiencia
Incluyen información relevante e instrucciones a seguir en caso de
contingencia

Plan de Pruebas:
Comprobar que los procedimientos se cumplen según lo previsto
Aumentar progresivamente el nivel de madurez:
Trabajo remoto con equipo del usuario
Trabajo remoto con equipo nuevo (incluye plataformado)
Prueba de continuidad completa
Mantener actualizado el Plan de Contingencias
Optimizar los procedimientos
Obtener sugerencias y recomendaciones de mejora

01/04/2020 © Manuel Carpio 20

MÉTRICAS Y PLAN DE MEJORA

Concienciación y Formación en Continuidad de

Plan de Pruebas

Mantenimiento y Revisión de los Planes de

Continuidad de Negocio Planes de Continuidad de Negocio y Gestión de Crisis

Organización de Gestión de
Negocio
Estrategia de Continuidad de Negocio

Crisis
Análisis de Riesgos

Análisis de Impacto en el Negocio (BIAS)

PROCESO DE PROCESO DE
NEGOCIO CRÍTICO NEGOCIO NO CRÍTICO

01/04/2020 © Manuel Carpio 21

MÉTRICAS Y PLAN DE MEJORA

100% 5 Optimizado: procesos automatizados y fiables

80% 4 Gestionado: procesos monitorizados y medidos

60% 3 Definido: procesos documentados y publicados

40% 2 Repetible: los procesos siguen un patrón regular

20% 1 Inicial: se aplican procesos ad-hoc y desorganizados

0% 0 Inexistente: no se aplican procesos de gestión

01/04/2020 © Manuel Carpio 22

FACTORES CLAVES DE ÉXITO

Apoyo institucional
Respaldo

CORPORATIVO
Continuidad
Metodología
Análisis de Riesgos BIA Métricas
Portal Formación Gestión crisis
Herramientas
Comunicación Gestión continuidad

Auditoría
Capacidades
Comunicación Presupuesto

Compromiso de las áreas

LOCAL

Respaldo mutuo

Presupuesto
Capacidades
SLAs Formación Teletrabajo

01/04/2020 © Manuel Carpio 23

 ¡Muchas gracias!

Manuel Carpio
Cybersecurity Senior Advisor
mcarpio@inerco.com
linkedin.com/in/manuelcarpio
@M_Carpio_

01/04/2020 © Manuel Carpio 24