Está en la página 1de 35

CERT Resilience Management Model

Centrndose en el modelo de mejora de proceso


La mayora de los esfuerzos de mejora de procesos pueden ser estructurados para
responder las siguiente cuatro preguntas:
Cmo

puedo decidir qu hacer y en qu orden?

Cmo

lo hago?

Cmo

puedo saber si lo que hice trabajo?

Cmo

puedo decidir qu hacer a continuacin?

Estas cuatro preguntas se pueden asignar directamente al Plan, Do, Check, Act
(PDCA) (planificar-hacer-verificar-actuar), que se basa en el ciclo de Deming.
Eficaz mtodo para la mejora y la gestin del cambio. Esta seccin se inicia con la
identificacin del impulso o estmulo para el cambio y hacer el caso de negocios para
iniciar un programa de mejora de procesos.

Centrndose en el modelo de mejora de proceso


Hacer el caso de negocios
En el entorno empresarial actual, las organizaciones estn constantemente tratando
de hacer ms con menos.
Todas las decisiones de inversin estn a punto de hacer lo que es mejor para la
organizacin (y sus grupos de inters). Sin embargo, lo que es mejor a veces es difcil
de definir, difcil cuantificar, y an ms difcil de defender cuando la demanda de
dlares de inversin superior a la oferta.
Los lderes de negocios son cada vez ms conscientes de la necesidad de invertir en
la capacidad de recuperacin operativa y de recuperarse de eventos que generan
cambios, para proteger y mantener los servicios de alto valor y el apoyo a los activos
(informacin, tecnologa, instalaciones y personas) que son esenciales para cumplir
los objetivos de negocio, y para satisfacer los requisitos de cumplimiento.

Centrndose en el modelo de mejora de proceso


Entonces, cmo nos aseguramos de que inversiones en la capacidad de recuperacin
operativa aumentar nuestra confianza en que los servicios continuarn cumpliendo
con su misin, incluso en momentos de estrs y los trastornos? Y al hacerlo, cmo
somos capaces para justificar esas inversiones a los altos directivos?
El caso de negocios se lleva a cabo mediante la articulacin de las necesidades del
negocio y mostrando cmo el CERT-RMM cumple, de una manera tangible y medible
en un perodo de tiempo razonable para una costo asequible, con una rentabilidad
positiva.
En el contexto de riesgo operacional, a menudo es la respuesta a la pregunta, Cul
alto impacto, que alta perdida de evento(s) nos pondra fuera del negocio?

Centrndose en el modelo de mejora de proceso


Un paso clave en este proceso es identificar el alto directivo que ms se preocupa
por la respuesta a estas preguntas y asegurarse de que nos apoye y tambin el
patrocinador del CERT-RMM programa de mejora.
La proteccin y el mantenimiento de servicios de alto valor es el principal objetivo
del caso de negocio. Una vez que la necesidad de la empresa se acord y se tom la
decisin de tomar medidas para resolverlo, lo que se necesita hacer como siguiente
paso es un proceso para garantizar que se cumpla la necesidad.

Modelo de Mejora de Procesos


En gran parte, la mejora de procesos es sobre la gestin del cambio, ya sea
intencional o no intencional.
Se ha adaptado enfoque PDCA de Deming en un mtodo para la adopcin de
tecnologa y mejora de procesos de software llamado IDEAL. El modelo IDEAL es
un modelo de mejora organizativa que sirve como una hoja de ruta para iniciar,
planificar e implementar acciones de mejora.
El nombre del modelo IDEAL proviene de las cinco fases que se describen: la
iniciacin, el diagnstico, el establecimiento, la actuacin y aprendizaje.
(initiating, diagnosing, establishing, acting and learning)

Modelo de Mejora de Procesos

Modelo de Mejora de Procesos


Iniciacin
La razn por la que una empresa aplica el modelo IDEAL - Identifica una
necesitad del negocio, crea el caso de negocio para cumplir con la necesidad y
que esto sirva como impulso o estmulo para el cambio.
Esto puede incluir un objetivo que deben cumplir el negocio, eventos no
previstos, un nuevo requisito de cumplimiento, o un problema a resolver, como
un pobre respuesta institucional a un evento o un fallo de seguridad.
Las contribuciones del esfuerzo para las empresas se identifican en las metas y
objetivos. El apoyo de los gerentes, los recursos que asignan y finalmente una
infraestructura para la gestin de los detalles de la implementacin.

Modelo de Mejora de Procesos


Diagnostico
Se basa en la fase de iniciacin para desarrollar una comprensin ms completa
del esfuerzo de mejora. Durante la fase de diagnstico, dos caracterizaciones de
la organizacin se desarrollan: el estado actual de la organizacin y el estado
futuro deseado. Estos estados organizacionales se utilizan para desarrollar un
enfoque para mejorar la prctica empresarial.
Establecimiento
Desarrollar un plan de trabajo detallado. Las prioridades se establecen en
reflejar las recomendaciones formuladas durante la fase de diagnstico. Las
acciones especficas, los entregables y las responsabilidades estn incorporados
en un plan de accin.

Modelo de Mejora de Procesos


Accin
Las actividades de la fase de accin ayudan a una organizacin implementar el
trabajo que ha sido conceptualizado y planificado en las tres fases anteriores.
Estas actividades suelen consumir ms tiempo de calendario y ms recursos que
todas las otras fases combinadas.
Aprendizaje
Con la fase de aprendizaje se completa el ciclo de mejora. Uno de los objetivos
del modelo IDEAL es mejorar continuamente la capacidad de implementar el
cambio. En la fase de aprendizaje se revisa lo que se logr, si el esfuerzo logra la
objetivos previstos, y cmo la organizacin puede implementar el cambio con
mayor eficacia y / o eficientemente en el futuro.

Modelo de Mejora de Procesos


Al igual que con cualquier actividad de mejora de procesos, algunas fases y
actividades como las descritas para el modelo IDEAL son genricos. que puede
ser interpretado y aplicado con una personalizacin mnima basada en la
iniciativa de la mejora especfica.

Establecimiento y comunicacin de los objetivos


Un elemento clave de cualquier mejora es el de establecer y comunicar
claramente los objetivos.
La determinacin del alcance incluye dos partes fundamentales: la organizacin
y el alcance del modelo. El alcance de la organizacin es simplemente la parte
de la organizacin o un la actividad de la organizacin que es el foco de los
esfuerzos de mejora. El alcance del modelo es la designacin de cuales partes
del CERT-RMM se utilizarn para guiar la mejora.
Cuando se realice la determinacin del alcance mejora o el establecimiento de
objetivos de mejora, es importante tener en cuenta lo siguiente.

Establecimiento y comunicacin de los objetivos


Objetivos organizacionales o estratgicos
Tanto el mbito de la organizacin y el alcance del modelo deberan establecerse
en el marco de los objetivos de la organizacin o estratgicos que impulsan el
cambio.
Algunas partes de la organizacin pueden ser ms o menos apropiados para su
inclusin en el alcance de tales objetivos. Las partes del modelo que se incluyen
en el alcance del modelo deben estar estrechamente alineados con los objetivos
generales.
Recuerde que los objetivos de la organizacin o estratgicos pueden ser diversas:
pueden ser tan simples como la mejora de las ventas o tan complejo como la
prevencin de nuevas violaciones o negaciones de servicio de datos.

Establecimiento y comunicacin de los objetivos


Tiempo
La determinacin del alcance y los objetivos de mejora pueden cambiar con el
transcurso del tiempo como resultado de los cambios planificados o a la
organizacin o de su entorno operativo.
Tambin puede ser conveniente establecer un enfoque por fases para el alcance
y los objetivos para asegurar que la mejora es capaz de generar resultados
visibles con la suficiente rapidez para ser sostenida.

Establecimiento y comunicacin de los objetivos


Mandatos o iniciativas de la industria reguladora
A veces, el motor de cambio viene desde fuera de la organizacin en forma de un
nuevo mandato o una iniciativa reglamentaria.
En estos casos, tanto el alcance de la organizacin y el alcance del modelo se
pueden determinar por el conductor externo.

Establecimiento y comunicacin de los objetivos


Patrocinio
El alcance siempre debe establecerse con una cuidadosa consideracin de
patrocinio.
El alcance de la organizacin en general, debe estar alineado con el alcance
organizativo o influencia del patrocinador, y el mbito de aplicacin del modelo
en general, debe estar alineada con la responsabilidades del patrocinador.

Establecimiento y comunicacin de los objetivos


mbito Organizacional
El alcance de la organizacin es la parte de la organizacin que es la base de la
implementacin CERT RMM. El esquema ms simple para determinacin del
mbito de la organizacin es centrarse en una parte explcita de la organizacin.
Sin embargo, una organizacin puede optar por acotar el esfuerzo de mejora en
torno a un sistema especfico (como el sistema de nmina), una red o un servicio
especfico.
Por lo tanto, el esfuerzo se centrar en los servicios prestados por el sistema y
los activos relacionados con el sistema.
El esfuerzo tambin podra incluir las unidades organizativas que tienen
responsabilidad en la gestin del sistema y asegurar su capacidad de
recuperacin.

Establecimiento y comunicacin de los objetivos


Los siguientes trminos pueden ser usados para describir el alcance de la
organizacin y sern utilizados para describir los problemas de planificacin
asociados con el despliegue CERT-RMM.
Unidad

organizacional: un subconjunto de una organizacin o empresa.


Normalmente, la unidad organizativa es un segmento o capa de la estructura
organizativa que puede ser claramente designada por dibujar un cuadro
alrededor de parte del organigrama.
Subunidad

organizacional: cualquier sub-elemento de la unidad organizacional.


Una organizacin subunidad est totalmente contenido dentro de la unidad
organizativa.
Superunidad

organizacional: cualquier parte de la organizacin que est en un


nivel superior a la unidad organizacional.

Establecimiento y comunicacin de los objetivos


El alcance de la organizacin se establece identificando claramente una o ms
unidades organizativas que sern el punto de la mejora.
A continuacin se muestra la relacin tpica entre la unidad organizativa,
subunidad organizativa y superunidad organizacional en un organigrama
genrico.

Establecimiento y comunicacin de los objetivos


Elementos de la organizacin, en los cuales se aplicara el proceso de mejora.

Establecimiento y comunicacin de los objetivos


El alcance del modelo
El alcance del modelo representa las partes del CERT-RMM que sern utilizados
para guiar la mejora. En otras palabras, el alcance modelo especifica que partes
del modelo sern desplegados a las unidades organizativas que componen el
mbito organizacional.
reas de proceso deben ser elegidos en base a los objetivos y casos del negocio
de mejora y en la consideracin de los otros factores descritos anteriormente,
tales como calendario, los mandatos regulatorios y los patrocinios.
Ejemplo de reas que una organizacin puede aplicar el modelo de mejora para
administrar el riesgo operacional.

Establecimiento y comunicacin de los objetivos

Continuidad del Servicio. Para asegurar que las prcticas de continuidad del
negocio son adecuados para sostener la operacin de su infraestructura de
ventas en lnea.

Gestin del Conocimiento y de la Informacin. Para mejorar la proteccin de


la informacin de los clientes.

Gestin de Riesgos. Establecer directrices comunes para la tolerancia al


riesgo y procedimientos para evaluar y mitigar los riesgos identificados de una
manera consistente.

Comunicaciones. Instituir procedimientos y directrices para las


comunicaciones que apoyarn el objetivo de la organizacin para preservar la
confianza del cliente, incluso en momentos de estrs.

Establecimiento y comunicacin de los objetivos


No hay reglas firmes sobre el nmero mnimo o mximo de reas de proceso que
deben ser seleccionados para incluir en el mbito de aplicacin del modelo.
Se debe tener cuidado al seleccionar tantas reas de proceso segn sea necesario
para lograr los objetivos, pero pocos lo suficiente para que el progreso se puede
demostrar en un plazo razonable para el patrocinador y los principales
interesados.
Si los objetivos requieren un gran nmero de reas de proceso, entonces se debe
considerar un enfoque por fases.

Establecimiento y comunicacin de los objetivos


El alcance del Nivel Prctica
El mbito de nivel de prctica permite el alcance del modelo a limitarse a las
prcticas especficas y genricas seleccionadas dentro de un rea de proceso.
Esta opcin no tiene que ser aplicado a todas las reas de proceso al establecer
el alcance del modelo, pero puede ser apropiado para una o ms reas de
proceso para hacer frente a las necesidades o preocupaciones especficas de
mejora.
Esta opcin de alcance puede ser til en las primeras fases de un esfuerzo de
mejora, en respuesta a los objetivos de mejora muy estrechas, o para ser
coherente con el espacio de influencia del patrocinador mejora.

Establecimiento y comunicacin de los objetivos


Alcance de Activos
Debido CERT-RMM aborda cuatro tipos de activos (personas, informacin,
tecnologa, e instalaciones) el alcance mejora podra estar centrado en una o
ms reas de proceso que podran ser adaptados para centrarse en uno o ms
tipos de activos.
Por ejemplo, una organizacin puede limitar el alcance de los activos para la
fase de un proyecto de mejora centrndose en los activos de informacin y
tecnologa.

Establecimiento y comunicacin de los objetivos


Alcance de resilencia
CERT-RMM se refiere a la convergencia de las tres grandes categoras de
actividades operacionales de gestin de la resiliencia: la seguridad, la
continuidad del negocio y las operaciones de TI.
Esta opcin de alcance es til en organizaciones donde la convergencia de estas
actividades an no est ocurriendo o que la convergencia es un objetivo
organizacional.

Establecimiento y comunicacin de los objetivos


Relacin de los cuatro mbitos del modelo

Diagnstico basado en CERT-RMM


Es el proceso por el cual el modelo se utiliza como base para evaluar las
prcticas de resiliencia actuales de la organizacin. El diagnstico se puede
realizar de manera formal o informal.
Diagnstico formal de evaluacin del CERT-RMM.
Caracteristica

Clase A

Clase B

Clase C

Profundidad de investigacin

Alto

Medio

Bajo

Requisitos de pruebas objetivas

Alto

Medio

Bajo

Resultados previstos

Clasificacin de los
niveles de capacidad
y
los
objetivos
niveles
de
satisfaccin

Caracterizacin de las
implementaciones
prcticas en una escala
de tres puntos

Caracterizacin de las
prcticas previstas o
que se destinen a una
escala flexible

El tamao del equipo de evaluacin

4 o ms

2 o ms

1 o ms

Se permite la adaptacin

Bajo

Medio

Alto

Recursos necesarios

Alto

Medio

Bajo

Diagnstico basado en CERT-RMM


Una organizacin puede elegir una valoracin de clase A porque desea un examen
riguroso de las prcticas implementadas para reconocer o recordar su punto de
partida o los resultados de un proyecto de mejora.
Evaluaciones de Clase A tambin son tiles cuando dos o ms organizaciones se
han de comparar, lo que podra ser de beneficio en la evaluacin de las
diferentes partes de una gran empresa.
En el otro extremo del espectro, las evaluaciones de clase C son bastante ligeros
y pueden ser utilizados de forma flexible para evaluar implementaciones
planificadas de prcticas o para un examen menos riguroso de las prcticas
implementadas.
Las grandes organizaciones pueden elegir evaluaciones de clase C para evaluar la
intencin de las polticas y directrices de la organizacin en relacin con el
modelo. La determinacin del alcance de una evaluacin es una actividad
importante en la planificacin de la evaluacin.

Diagnstico basado en CERT-RMM


Diagnstico informal
Ejemplos de mtodos de diagnstico informales incluyen:
Reuniones

o ejercicios de simulacin en el que las personas que son


responsables de las prcticas en un rea de proceso dado se renen, revisan la
gua del modelo, y discutir la medida en que las prcticas de la organizacin a
alcanzar el propsito modelo.
Comentarios

o anlisis realizados por una sola persona o un pequeo grupo para


comparar las prcticas de la organizacin para el modelo de orientacin con el
apoyo de los informes escritos.
Coleccin

informal y la revisin de la evidencia que demuestra si la


organizacin est llevando a cabo las prcticas modelo.

Diagnstico basado en CERT-RMM


En todos los casos, los resultados de tales diagnsticos son hallazgos informales
relacionadas con el desempeo de la organizacin con respecto a la orientacin
del modelo.
Tales actividades pueden ser tiles para guiar las actividades de mejora de
procesos informales o para proporcionar informacin para la determinacin del
alcance o el establecimiento de objetivos de nivel de capacidad para un proyecto
ms formal de mejora de procesos.
Opiniones informales pueden ser tiles cuando el modelo est siendo utilizado
como una base para la evaluacin.
Tanto las actividades de diagnstico formales e informales proporcionan
informacin valiosa para la planificacin de un actividad de mejora.

Planificacin de mejoras basadas-CERT-RMM


Cuando se planifica un despliegue CERT-RMM, se analizan las deficiencias y
determinan en dnde diversas prcticas deben aplicarse de manera ptima en la
organizacin, estas son las actividades clave.
Analizando brechas
Las actividades de diagnstico normalmente revelan brechas entre el desempeo
actual y el deseado.
Estas brechas son insumos necesarios para la planificacin de mejoras para una
organizacin.
Las siguientes preguntas pueden ser tiles para analizar y priorizar las brechas en
apoyo del proceso de planificacin de la mejora

Planificacin de mejoras basadas-CERT-RMM

Cerrar una brecha apoyara el objetivo de mejora?

El costo de cerrar una brecha justificable para el objetivo de mejora?

Cul de las brechas identificadas son las ms importantes para cerrar en


primer lugar?

Si se determina que una o ms de las brechas identificadas son aceptables y no


se cierra, puede ser apropiado volver a examinar y revisar los objetivos de la
actividad de mejora. Este enfoque iterativo es valioso para asegurar que la
organizacin est gastando recursos para la mejora de la manera ms
productiva.

Planificacin de mejoras basadas-CERT-RMM


Planificacin de mejoras en las prcticas
Parte de la planificacin de mejoras en las prcticas existentes o la planificacin
de la implementacin de nuevas prcticas es determinar en qu parte de la
organizacin se realizarn las prcticas.
La mayora de las organizaciones encontrarn que las prcticas dentro de una
misma rea de proceso CERT-RMM pueden ser llevadas a cabo de manera ptima
a diferentes niveles de la organizacin.

Planificacin de mejoras basadas-CERT-RMM


Se muestran dos ubicaciones para los procesos organizacionales de los activos de
una organizacin.

CERT-RMM es gil y flexible para soportar una amplia gama de actividades de


mejora en una organizacin.
Los mtodos formales e informales para el diagnstico y la comparacin estn
disponibles para utilizar el modelo como base para la identificacin y evaluacin
de brecha.