¿cómo ordenarnos metodológicamente? - juan ignacio trentalance
DESCRIPTION
¿Cómo ordenarnos metodológicamente?Orador: - Juan Ignacio Trentalance, Director de Porto, Trentalance, Antúnez y AsociadosLos estándares metodológicos permiten lograr mayor efectividad operativa, dentro de un marco legal y seguridad estratégica. Pero ¿conocemos cuáles son y si serían de utilidad para nuestra empresa? O son solo buenas intenciones para las corporaciones?TRANSCRIPT
La Continuidad del Negocio como Herramienta de Empresas Eficaces
3� Foro Global Crossing de Tecnología y NegociosLa Continuidad del Negocio como Herramienta de Empresas Eficaces
¿Cómo ordenarnos metodológicamente?Kit de supervivencia BCM: por dónde empezarJuan Ignacio TrentalancePorto, Trentalance, Antúnez y Asociados
Qué es BS 25999
• Es una norma británica (BS por British Standard) desarrollada en 2006 y 2007 y por BSI (British Standards Institution) en cooperación con un importante número de asociaciones civiles, instituciones, universidades y agencias de seguridad.
• Tiene dos partes: BS 25999-1 (parte 1, una recopilación de las mejores prácticas), y BS 25999-2 (parte 2, especificación de los requisitos que una organización debe cumplir para poder declarar conformidad con el
3° Foro Global Crossing de Tecnología y Negocios
organización debe cumplir para poder declarar conformidad con el estándar).
• Fuertemente basada en ISO 9001 (requisitos sobre Calidad de los procesos de producción de bienes y prestación de servicios) y en ISO/IEC 27001 (requisitos para la gestión de la Seguridad de la Información).
• Todavía no es un estándar internacional ISO, pero se ha convertido en el estándar de facto de la Continuidad del Negocio y se espera en el corto plazo el surgimiento de una norma ISO (ISO 9001 e ISO/IEC 27001 fueron primero una norma BS).
Etapas de la Gestión de un Programa de BCM (BCMP) según BS 25999
• Establecer la Política de BCM• Asignar responsabilidades• Definir, documentar, implementar y mantener las actividades del Ciclo
de Vida de BCM• Entender la organización• Determinar la estrategia de BCM
3° Foro Global Crossing de Tecnología y Negocios
• Determinar la estrategia de BCM• Desarrollar e implementar la respuesta de BCM• Pruebas, mantenimiento y revisión
• Concientizar y entrenar a los involucrados
Ciclo de Vida de BCM
Entender la Organización
Lecciones Aprendidas
BIA / Gestión de Riesgos
3° Foro Global Crossing de Tecnología y Negocios
Gestión del Programa de
BCM
Determinar la estrategia de
BCM
Desarrollar e implementar la
respuesta de BCM
Pruebas, mantenimiento
y revisión
Estrategia Documentada de BCM
IMP / BCP / BRP
Insertar al BCM en la cultura de la organización
BCM
Marco de Trabajo de BCM
3° Foro Global Crossing de Tecnología y Negocios
BCMP IMP/BCP/BRP
PERSONAS
PARTES
INTERESADAS
Es el enfoque para asegurar el
Estrategia de BCM
INSTALACIONES
3° Foro Global Crossing de Tecnología y Negocios
TECNOLOGÍAINSUMOS
INFORMACIÓN
recupero y continuidad del negociode la organización en caso de
desastre, incidente o interrupción de las actividades
Estados de Operación del Negocio
Línea temporalIncidente
• Estado normal: preparación y mantenimiento del Programa de Gestión de la Continuidad del Negocio
• Estado de emergencia: invocación de los Planes de Gestión de Incidentes, Continuidad y Recupero del Negocio (IMP, BCP y BRP)
3° Foro Global Crossing de Tecnología y Negocios
Respuesta al Incidente
Continuidad del Negocio
Recupero - Vuelta a la Normalidad
IMP
BRP
BCP
invocar
invocar
invocar
Documentación de BCM
• Política de BCM• Alcance de BCM• Referencia a normativa relevante
• Análisis de Impacto en el Negocio (BIA)• Análisis y Evaluación de Riesgos• Estrategia de BCM
3° Foro Global Crossing de Tecnología y Negocios
• Estrategia de BCM• Programa de Concientización• Programa de Entrenamiento• Plan de Gestión de Incidentes (IMP)• Plan de Continuidad del Negocio (BCP)• Plan de Recupero del Negocio (BRP)• Programa de Pruebas y Registros• SLAs y Contratos
Caso de estudio ISO 9001
• BCM en el contexto de una implementación ISO 9001 en una empresa de servicio
• Requisito 6.3 - Infraestructura. La organización debe determinar, proporcionar y mantener la infraestructura necesaria para lograr la conformidad con los requisitos del producto. La infraestructura incluye,
3° Foro Global Crossing de Tecnología y Negocios
conformidad con los requisitos del producto. La infraestructura incluye, cuando sea aplicable:
a) edificios, espacio de trabajo y servicios asociados, b) equipo para los procesos (tanto hardware como software), yc) servicios de apoyo tales (como transporte o comunicación).
Caso de estudio ISO 27001
A.14 Gestión de la continuidad del negocio
A.14.1Aspectos de seguridad de la información de la gestión de la continuidad del negocio
Contrarrestar las interrupciones a las actividades del negocio y proteger los procesos críticos del negocio de los efectos de fallas graves de los sistemas de información o desastres, y asegurar su adecuada reanudación.
A.14.1.1Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio.
Se debe desarrollar y mantener un proceso de gestión para la continuidad del negocio a lo largo de toda la organización que trate los requerimientos de seguridad de la información necesarios para la continuidad del negocio de la organización.
Se deben identificar los eventos que puedan causar interrupciones a los procesos del negocio,
3° Foro Global Crossing de Tecnología y Negocios
A.14.1.2Continuidad del negocio y evaluación de riesgo
Se deben identificar los eventos que puedan causar interrupciones a los procesos del negocio, junto con la probabilidad y el impacto de tales interrupciones y sus consecuencias en la seguridad de la información.
A.14.1.3Desarrollo e implementación de planes de continuidad incluyendo la seguridad de la información
Se deben desarrollar e implementar planes para mantener o restaurar operaciones y asegurar la disponibilidad de la información al nivel requerido y en las escalas de tiempos requeridas, luego de ocurridas interrupciones o fallas sobre los procesos críticos del negocio.
A.14.1.4Marco del plan de continuidad del negocio
Se debe mantener un único marco de planes de continuidad del negocio para asegurar que todos ellos son consistentes, para tratar consistentemente los requerimientos de seguridad de la información, y para identificar prioridades para su prueba y mantenimiento.
A.14.1.5Prueba, mantenimiento y reevaluación de los planes de continuidad del negocio
Los planes de continuidad del negocio se deben probar y actualizar regularmente para asegurar que estén al día y sean efectivos.
Por dónde empezar a documentar
• Política de BCM• Alcance de BCM• Referencia a normativa relevante
• Análisis de Impacto en el Negocio (BIA)• Análisis y Evaluación de Riesgos• Estrategia de BCM
“BIA extendido”
3° Foro Global Crossing de Tecnología y Negocios
• Estrategia de BCM• Programa de Concientización• Programa de Entrenamiento• Plan de Gestión de Incidentes (IMP)• Plan de Continuidad del Negocio (BCP)• Plan de Recupero del Negocio (BRP)• Programa de Pruebas y Registros• SLAs y Contratos
“BCP extendido”
Por dónde empezar a documentar
• Instructivo de trabajo sobre BCM• Registro de BCM
• Funciones Críticas (de los procesos dentro del alcance del SGC)• Impacto (de una interrupción, en términos cuantitativos y/o cualitativos)• Tolerancia (tiempo máximo de interrupción)• Recovery Time Objective (objetivo de tiempo para la recuperación de la
3° Foro Global Crossing de Tecnología y Negocios
• Recovery Time Objective (objetivo de tiempo para la recuperación de la función crítica)
• Recursos Requeridos (para cumplir con los RTOs)• Mención a los Procedimientos Operativos de Respuesta (IMP, BCP y BRP) y
Prueba; y Registros de Prueba asociados
Por dónde empezar a documentar
• Instructivo de trabajo sobre redacción de Procedimientos Operativos• Procedimientos Operativos
• Se pueden agrupar en torno a las funciones críticas, o a los tipos de amenaza a las funciones.
• Sección Gestión del Incidente: pasos a seguir para contener el incidente, incluyendo manejo de partes interesadas.
3° Foro Global Crossing de Tecnología y Negocios
incluyendo manejo de partes interesadas.• Sección Continuidad del Negocio: pasos a seguir para continuar con las
operaciones del negocio en un nivel mínimo aceptable.• Sección Recupero: pasos a seguir para volver a las condiciones normales de
operación.• Sección Pruebas: cómo se va a evidenciar que los pasos de emergencia y
recupero son realmente adecuados si ocurriese un incidente.
• Registros de prueba
Pruebas de BCM
• Prueba de Recorrido (walkthrough): reunir en una sala a los equipos de trabajo que correspondan de acuerdo al escenario de contingencia establecido para revisar los procedimientos de emergencia y recupero.
• Prueba de Recupero de las Aplicaciones (Application Recovery Test): se chequea el funcionamiento de las aplicaciones críticas a partir de la restauración de datos provenientes del backup fuera del sitio principal. En
3° Foro Global Crossing de Tecnología y Negocios
restauración de datos provenientes del backup fuera del sitio principal. En el día de la prueba se hace una restauración (restore) del software aplicativo y datos asociados usando el backup traído de fuera del sitio principal y se compara los resultados obtenidos con la misma corrida en producción.
Pruebas de BCM
• Prueba de Notificación de Alertas: se realizan llamados a todos los integrantes de los equipos de trabajo, para chequear que las listas estén actualizadas y que se puede localizar a la mínima cantidad de gente necesaria.
• Prueba Integral de Recupero: a partir de un escenario dado, se simula un incidente y se realizan las tareas requeridas por los procedimientos de
3° Foro Global Crossing de Tecnología y Negocios
incidente y se realizan las tareas requeridas por los procedimientos de emergencia y recupero, preferentemente fuera del horario de operación.
Esquema documental
Instructivo de Trabajo de BCM
Explica cómo llevar a cabo la actividad
Evidencian su La actividad se evidencia en
“BIA extendido”Pruebas
3° Foro Global Crossing de Tecnología y Negocios
Registro de BCMProcedimientosOperativos
Registros de pruebas
Hace referencia a
Evidencian su adecuado mantenimiento en
“BCP extendido”