La Continuidad del Negocio como Herramienta de Empresas Eficaces

3� Foro Global Crossing de Tecnología y NegociosLa Continuidad del Negocio como Herramienta de Empresas Eficaces

¿Cómo ordenarnos metodológicamente?Kit de supervivencia BCM: por dónde empezarJuan Ignacio TrentalancePorto, Trentalance, Antúnez y Asociados

Qué es BS 25999

• Es una norma británica (BS por British Standard) desarrollada en 2006 y 2007 y por BSI (British Standards Institution) en cooperación con un importante número de asociaciones civiles, instituciones, universidades y agencias de seguridad.

• Tiene dos partes: BS 25999-1 (parte 1, una recopilación de las mejores prácticas), y BS 25999-2 (parte 2, especificación de los requisitos que una organización debe cumplir para poder declarar conformidad con el

3° Foro Global Crossing de Tecnología y Negocios

organización debe cumplir para poder declarar conformidad con el estándar).

• Fuertemente basada en ISO 9001 (requisitos sobre Calidad de los procesos de producción de bienes y prestación de servicios) y en ISO/IEC 27001 (requisitos para la gestión de la Seguridad de la Información).

• Todavía no es un estándar internacional ISO, pero se ha convertido en el estándar de facto de la Continuidad del Negocio y se espera en el corto plazo el surgimiento de una norma ISO (ISO 9001 e ISO/IEC 27001 fueron primero una norma BS).

Etapas de la Gestión de un Programa de BCM (BCMP) según BS 25999

• Establecer la Política de BCM• Asignar responsabilidades• Definir, documentar, implementar y mantener las actividades del Ciclo

de Vida de BCM• Entender la organización• Determinar la estrategia de BCM

3° Foro Global Crossing de Tecnología y Negocios

• Determinar la estrategia de BCM• Desarrollar e implementar la respuesta de BCM• Pruebas, mantenimiento y revisión

• Concientizar y entrenar a los involucrados

Ciclo de Vida de BCM

Entender la Organización

Lecciones Aprendidas

BIA / Gestión de Riesgos

3° Foro Global Crossing de Tecnología y Negocios

Gestión del Programa de

BCM

Determinar la estrategia de

BCM

Desarrollar e implementar la

respuesta de BCM

Pruebas, mantenimiento

y revisión

Estrategia Documentada de BCM

IMP / BCP / BRP

Insertar al BCM en la cultura de la organización

BCM

Marco de Trabajo de BCM

3° Foro Global Crossing de Tecnología y Negocios

BCMP IMP/BCP/BRP

PERSONAS

PARTES

INTERESADAS

Es el enfoque para asegurar el

Estrategia de BCM

INSTALACIONES

3° Foro Global Crossing de Tecnología y Negocios

TECNOLOGÍAINSUMOS

INFORMACIÓN

recupero y continuidad del negociode la organización en caso de

desastre, incidente o interrupción de las actividades

Estados de Operación del Negocio

Línea temporalIncidente

• Estado normal: preparación y mantenimiento del Programa de Gestión de la Continuidad del Negocio

• Estado de emergencia: invocación de los Planes de Gestión de Incidentes, Continuidad y Recupero del Negocio (IMP, BCP y BRP)

3° Foro Global Crossing de Tecnología y Negocios

Respuesta al Incidente

Continuidad del Negocio

Recupero - Vuelta a la Normalidad

IMP

BRP

BCP

invocar

invocar

invocar

Documentación de BCM

• Política de BCM• Alcance de BCM• Referencia a normativa relevante

• Análisis de Impacto en el Negocio (BIA)• Análisis y Evaluación de Riesgos• Estrategia de BCM

3° Foro Global Crossing de Tecnología y Negocios

• Estrategia de BCM• Programa de Concientización• Programa de Entrenamiento• Plan de Gestión de Incidentes (IMP)• Plan de Continuidad del Negocio (BCP)• Plan de Recupero del Negocio (BRP)• Programa de Pruebas y Registros• SLAs y Contratos

Caso de estudio ISO 9001

• BCM en el contexto de una implementación ISO 9001 en una empresa de servicio

• Requisito 6.3 - Infraestructura. La organización debe determinar, proporcionar y mantener la infraestructura necesaria para lograr la conformidad con los requisitos del producto. La infraestructura incluye,

3° Foro Global Crossing de Tecnología y Negocios

conformidad con los requisitos del producto. La infraestructura incluye, cuando sea aplicable:

a) edificios, espacio de trabajo y servicios asociados, b) equipo para los procesos (tanto hardware como software), yc) servicios de apoyo tales (como transporte o comunicación).

Caso de estudio ISO 27001

A.14 Gestión de la continuidad del negocio

A.14.1Aspectos de seguridad de la información de la gestión de la continuidad del negocio

Contrarrestar las interrupciones a las actividades del negocio y proteger los procesos críticos del negocio de los efectos de fallas graves de los sistemas de información o desastres, y asegurar su adecuada reanudación.

A.14.1.1Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio.

Se debe desarrollar y mantener un proceso de gestión para la continuidad del negocio a lo largo de toda la organización que trate los requerimientos de seguridad de la información necesarios para la continuidad del negocio de la organización.

Se deben identificar los eventos que puedan causar interrupciones a los procesos del negocio,

3° Foro Global Crossing de Tecnología y Negocios

A.14.1.2Continuidad del negocio y evaluación de riesgo

Se deben identificar los eventos que puedan causar interrupciones a los procesos del negocio, junto con la probabilidad y el impacto de tales interrupciones y sus consecuencias en la seguridad de la información.

A.14.1.3Desarrollo e implementación de planes de continuidad incluyendo la seguridad de la información

Se deben desarrollar e implementar planes para mantener o restaurar operaciones y asegurar la disponibilidad de la información al nivel requerido y en las escalas de tiempos requeridas, luego de ocurridas interrupciones o fallas sobre los procesos críticos del negocio.

A.14.1.4Marco del plan de continuidad del negocio

Se debe mantener un único marco de planes de continuidad del negocio para asegurar que todos ellos son consistentes, para tratar consistentemente los requerimientos de seguridad de la información, y para identificar prioridades para su prueba y mantenimiento.

A.14.1.5Prueba, mantenimiento y reevaluación de los planes de continuidad del negocio

Los planes de continuidad del negocio se deben probar y actualizar regularmente para asegurar que estén al día y sean efectivos.

Por dónde empezar a documentar

• Política de BCM• Alcance de BCM• Referencia a normativa relevante

• Análisis de Impacto en el Negocio (BIA)• Análisis y Evaluación de Riesgos• Estrategia de BCM

“BIA extendido”

3° Foro Global Crossing de Tecnología y Negocios

• Estrategia de BCM• Programa de Concientización• Programa de Entrenamiento• Plan de Gestión de Incidentes (IMP)• Plan de Continuidad del Negocio (BCP)• Plan de Recupero del Negocio (BRP)• Programa de Pruebas y Registros• SLAs y Contratos

“BCP extendido”

Por dónde empezar a documentar

• Instructivo de trabajo sobre BCM• Registro de BCM

• Funciones Críticas (de los procesos dentro del alcance del SGC)• Impacto (de una interrupción, en términos cuantitativos y/o cualitativos)• Tolerancia (tiempo máximo de interrupción)• Recovery Time Objective (objetivo de tiempo para la recuperación de la

3° Foro Global Crossing de Tecnología y Negocios

• Recovery Time Objective (objetivo de tiempo para la recuperación de la función crítica)

• Recursos Requeridos (para cumplir con los RTOs)• Mención a los Procedimientos Operativos de Respuesta (IMP, BCP y BRP) y

Prueba; y Registros de Prueba asociados

Por dónde empezar a documentar

• Instructivo de trabajo sobre redacción de Procedimientos Operativos• Procedimientos Operativos

• Se pueden agrupar en torno a las funciones críticas, o a los tipos de amenaza a las funciones.

• Sección Gestión del Incidente: pasos a seguir para contener el incidente, incluyendo manejo de partes interesadas.

3° Foro Global Crossing de Tecnología y Negocios

incluyendo manejo de partes interesadas.• Sección Continuidad del Negocio: pasos a seguir para continuar con las

operaciones del negocio en un nivel mínimo aceptable.• Sección Recupero: pasos a seguir para volver a las condiciones normales de

operación.• Sección Pruebas: cómo se va a evidenciar que los pasos de emergencia y

recupero son realmente adecuados si ocurriese un incidente.

• Registros de prueba

Pruebas de BCM

• Prueba de Recorrido (walkthrough): reunir en una sala a los equipos de trabajo que correspondan de acuerdo al escenario de contingencia establecido para revisar los procedimientos de emergencia y recupero.

• Prueba de Recupero de las Aplicaciones (Application Recovery Test): se chequea el funcionamiento de las aplicaciones críticas a partir de la restauración de datos provenientes del backup fuera del sitio principal. En

3° Foro Global Crossing de Tecnología y Negocios

restauración de datos provenientes del backup fuera del sitio principal. En el día de la prueba se hace una restauración (restore) del software aplicativo y datos asociados usando el backup traído de fuera del sitio principal y se compara los resultados obtenidos con la misma corrida en producción.

Pruebas de BCM

• Prueba de Notificación de Alertas: se realizan llamados a todos los integrantes de los equipos de trabajo, para chequear que las listas estén actualizadas y que se puede localizar a la mínima cantidad de gente necesaria.

• Prueba Integral de Recupero: a partir de un escenario dado, se simula un incidente y se realizan las tareas requeridas por los procedimientos de

3° Foro Global Crossing de Tecnología y Negocios

incidente y se realizan las tareas requeridas por los procedimientos de emergencia y recupero, preferentemente fuera del horario de operación.

Esquema documental

Instructivo de Trabajo de BCM

Explica cómo llevar a cabo la actividad

Evidencian su La actividad se evidencia en

“BIA extendido”Pruebas

3° Foro Global Crossing de Tecnología y Negocios

Registro de BCMProcedimientosOperativos

Registros de pruebas

Hace referencia a

Evidencian su adecuado mantenimiento en

“BCP extendido”

¡¡Muchas gracias!!

3� Foro Global Crossing de Tecnología y Negocios

¿Preguntas?jtrental@portoyasociados.com.ar