BS25999 e ISO 22301 BS25999eISO22301 O t b 2011 October2011 Mario Urea Cuate MarioUreaCuate CISA,CISM,CGEIT,CISSP,LABS25999,LAISO27001 Agenda Agenda Introduccin Introduccin ElementosquecomponenelSGCN Gestin de incidentes en el SGCN GestindeincidentesenelSGCN SimilitudesydiferenciasentreBS259992e ISO/DIS 22301 ISO/DIS22301 Factorescrticosdexito C l i Conclusiones Nota Nota Al cierre de la preparacin de esta presentacin, p p p , el estndar ISO 22301 no ha sido publicado en su versin final, por lo que la informacin contenida en esta presentacin se refiere al documento en esta presentacin se refiere al documento ISO/DIS 22301. La publicacin de ISO 22301 en su versin final pudiera incluir cambios relevantes no includos en esta presentacin esta presentacin. Introduccin Introduccin Ejemplos de incidentes que pueden afectar la continuidad del negocio: continuidad del negocio: Percepcin negativa del pblico hacia la organizacin P bl d t i i Problema con productos y servicios Problema financiero Problema de relaciones con empleados Evento internacional adverso Violencia en el lugar de trabajo Prdida de personal Prdida de personal Desastre natural Introduccin Evento Internacional Adverso El 31 de diciembre de 1986 ocurri un incendio en el hotel Dupont Plaza en San Juan, Puerto Rico teniendo como resultado 97 muertos y 140 lesionados El fuego fue iniciado resultado 97 muertos y 140 lesionados. El fuego fue iniciado por un empleado inconforme. 2,300 demandantes. 2,300demandantes. Drexel Heritage Furnishing f e encontrada no fueencontradano responsableporeljuradoen 1989. Introduccin Eventos que en ocasiones no son consideradas, causadas por: causadas por: Un proveedor Un prueba / ejercicio Acciones de los empleados Acciones del departamento de Recursos Humanos Acciones del departamento de Recursos Humanos Acciones de los medios Situacin de espionaje industrial p j Muerte precipitada de funcionarios Introduccin Proveedores En 1993 PlayDoh Co inhabilit a 80 empleados debido a que uno de sus proveedores en Illinois era incapaz de proveer harina que se utiliza para la fabricacin de masa para modelar harina que se utiliza para la fabricacin de masa para modelar. Elproveedorfueafectadopor l d d l lagraninundacindel93. Lostrabajadoresfueron j f llamadoscuandoseencontr unnuevoproveedor. Introduccin Pruebas / ejercicios mal ejecutados En 1992 el Federal Reserve Bank de San Francisco realiz una prueba de su plan de recuperacin ante desastres. Como resultado de las actividades realizadas durante la prueba un resultado de las actividades realizadas durante la prueba, un mainframe dej de operar durante 12 horas, afectando a usuarios en California y Arizona. 15institucionesbancarias fueronafectadas. Elbancoatribuyeelhechoa unerrorhumano. Introduccin Pruebas / ejercicios mal ejecutados En 1996 cinco hombres enmascarados ingresaron a la sala de emergencia del Memorial Hospital en Martinsville, Virginia apuntando sus armas al personal y demandando Virginia, apuntando sus armas al personal y demandando medicamentos. La prueba fue preparada por el staff de seguridad del hospital. Nocreoquecualquierapueda apuntarunarmaenlacabezadeuna personaysesalgaconlasuya Abogadorepresentantede3 enfermeras. Introduccin Evolucin Introduccin Evolucin Plan de Contingencias (CP) PlandeContingencias(CP) PlandeRecuperacindeDesastres(DRP) PlandeContinuidaddelasOperaciones(COOP) PlandeContinuidaddelNegocio(BCP) PlandeReanudacindelNegocio(BRP) Gestin de la Continuidad del Negocio (BCM) GestindelaContinuidaddelNegocio(BCM) ProgramadeGestindelaContinuidaddelNegocio(BCMP) SistemadeGestindeContinuidaddelNegocio(BCMS) SistemadeGestindePreparacinyContinuidad(PCMS)? Introduccin Retos Introduccin Retos No contar con una estrategia de continuidad Nocontarconunaestrategiadecontinuidad Faltadeapoyodeladireccin Inexistenciadeanlisisderiesgosydeimpactoalnegocio g y p g Faltadeintegracinentreplanes ComplejidadTecnolgica Planesnoactualizados Noserealizanpruebas,auditora,revisionesgerenciales Planesdemasiadogeneralesodemasiadoespecficos Introduccin Introduccin Introduccin Fuente:http://www.fema.gov/privatesector/preparedness/adoption standards.shtm p // f g /p /p p / p _ Introduccin Introduccin Introduccin Introduccin Introduccin Introduccin Buenas prcticas BCM 27001 PAS56 27031 BS25999-1 BS25999-2 BCMS Sistema de Gestin de Continuidad del Negocio Co t u dad de egoc o Introduccin Introduccin Gestin de Continuidad el Negocio (BCM) (BCM) Vs Vs Sistema de Gestin de Continuidad Sistema de Gestin de Continuidad del Negocio (BCMS) Introduccin Definiciones Introduccin Definiciones BCM Procesodegestinholsticoqueidentificaamenazas potencialesalaorganizacinysusimpactos ala i d l i operacindelnegocioqueesasamenazas,encaso realizarse,pudierancausar,yproveeunaestructura paraconstruirresiliencia organizacionalconla p g capacidadparalaefectivarespuesta salvaguardando losinteresesdelasprincipalespartesinteresadas, reputacin marca y actividades que crean valor reputacin,marcayactividadesquecreanvalor. BS259992:2007 Introduccin Definiciones Introduccin Definiciones BCMS BCMS d l Si d G i l LapartedelSistemadeGestingeneralque establece,implementa,opera,monitorea, i i j l i id d d l revisa,mantieneymejoralacontinuidaddel negocio. BS259992:2007 Introduccin BS25999 Introduccin BS25999 PARTE 1 PARTE 2 PARTE1 PARTE2 Elementos que componen el SGCN ElementosquecomponenelSGCN Parte2 Requisitosde Parte1 Requisitos de Sistemasde Gestin (auditora accin Prcticasno auditables (sugerencias, Requisitos Comunes (auditora,accin correctivay preventiva,etc) comentarios,guas, etc) Elementos que componen el SGCN ElementosquecomponenelSGCN Parte 1 Ciclo de Vida de BCM Parte1 CiclodeVidadeBCM Parte2 BCMSbasadoenmodeloPDCA Planear Hacer Verificar Actuar Elementos que componen el SGCN ElementosquecomponenelSGCN Ciclode Vid d BCM BCMS VidadeBCM Elementos del Ciclo de Vida de BCM ElementosdelCiclodeVidadeBCM Elementos del BCMS ElementosdelBCMS Requerimientosdedocumentacinde BS259992 Alcance,objetivosyprocedimientos ca ce, objet os y p oced e tos PolticadeGCN Provisin de recursos Provisinderecursos CompetenciadelpersonaldeGCN Anlisis de Impacto al Negocio AnlisisdeImpactoalNegocio Evaluacinderiesgos Estrategia de Continuidad del Negocio EstrategiadeContinuidaddelNegocio Estructuraderespuestaaincidentes Requerimientosdedocumentacinde BS259992 Plan(es)decontinuidaddelnegocio a (es) de co t u dad de egoc o Plan(es)degestindeincidentes Ejercicio de GCN EjerciciodeGCN MantenimientoyrevisindearreglosdeGCN Auditora interna Auditorainterna RevisindelagerenciadelSGCN Acciones correctivas y preventivas Accionescorrectivasypreventivas Mejoracontinua Requerimientosdedocumentacinde BS259992 YelmanualdelSGCN? Elementos de IRBC ElementosdeIRBC ElementosdeIRBC Elementos de PCMS ElementosdePCMS Definicin Definicin IRBC ICTReadiness for BusinessContinuity C C ead ess o us ess Co t u ty (ICT Information andComunication Technology) Capacidaddeunaorganizacinparasoportarsus operacionesatravsdelaprevencin,deteccin p p , yrespuestaalainterrupcinyrecuperacinde serviciosdeICT. ISO27031:2011 Gestin de Incidentes y el SGCN GestindeIncidentesyelSGCN PlandeGestindeIncidentes a de Gest de c de tes Plan de accin claramente definido y documentado Plandeaccinclaramentedefinidoydocumentado paraserutilizadocuandoocurreunincidente, tpicamentecubrealpersonalclave,recursos, serviciosyaccionesnecesariasparaimplementar elprocesodegestindeincidentes. BS259992:2007 GestindeIncidentesyelSGCN t0 MTPoD RPO t2 t3 RTO t4 t1 t5 Niveldeoperacinnormal Niveldeoperacinnormal Niveldeoperacinencrisis Operacin normal Recuperacin Operacin en continuidad Operacin normal Operacinnormal Recuperacin Operacinencontinuidad Operacinnormal PlandeContinuidaddelNegocio PlandeGestindeIncidentes Regreso Nota:EstainformacinnoesunrequisitodeBS25999 Similitudesydiferenciasentre BS259992eISO22301 BS259992 ISODIS22301 1 Alcance 1 Alcance 2 Trminosydefiniciones 2 Referenciasnormativas 3 l l SGCN 3 i d fi i i 3 PlanearelSGCN 3 Trminosydefiniciones 4 ImplementaryoperarelSGCN 4 Requerimientosgenerales 5 Monitorear y revisar el SGCN 5 Liderazgo 5 MonitorearyrevisarelSGCN 5 Liderazgo 6 MantenerymejorarelSGCN 6 Planeacin 7 Soporte 8 Operacin 9 Evaluacindeldesempeo 10 Mejora 10 Mejora Similitudesydiferenciasentre BS259992eISO22301 BS259992 ISODIS22301 Clusula Descripcin Clusula Descripcin Introduccin Introduccin 1 Alcance 1 Alcance 2 Referenciasnormativas 2 Trminosydefiniciones 3 Trminosydefiniciones Similitudesydiferenciasentre BS259992eISO22301 BS259992 ISODIS22301 l l l l Clusula Descripcin Clusula Descripcin 3 PlaneacindelSGCN 6 Planeacin 3.1 General 3.2 EstablecerygestionarelSGCN y g 3.2.1 Alcanceyobjetivos 6.1 Objetivosyplanesparaalcanzarlos 6.2 Accionesparaatenderproblemasy preocupaciones 4 R i i t l 4 Requerimientosgenerales 4.1 Entendimientodelaorganizacinysu contexto 3.2.1.1 Alcanceyobjetivos 4.3 SistemadeGestinyAlcance y j y 3.2.1.2 Productosyserviciosclave 4.2 Necesidadesyrequerimientos 3.2.2 PolticadeGCN 5.3 Poltica Similitudesydiferenciasentre BS 259992 e ISO22301 BS259992 ISODIS22301 Clusula Descripcin Clusula Descripcin 3 2 3 Provisin de recursos 7 1 Recursos BS25999 2eISO22301 3.2.3 Provisinderecursos 7.1 Recursos 3.2.3.1 Recursosgenerales 3.2.3.2 Roles,responsabilidades, competenciasyautoridades d GCN 5.4 Roles,responsabilidadesy autoridadesorganizacionales deGCN 7.2 Competencia 3.2.3.3 Designacindelresponsable 5.4 Roles,responsabilidadesy autoridadesorganizacionales 7.2 Competencia p 3.3 IntegrarGCNenlaculturade laorganizacin 7.3 Concientizacin 7.5 Informacindocumentada 7 5 1 General 3.4 Documentacinyregistrosdel SGCN 7.5.1 General 7.5.2 Crearyactualizar 7.5.3 Controldeinformacin documentada BS259992 ISODIS22301 Clusula Descripcin Clusula Descripcin 8 O i 4 ImplementaryoperarelSGCN 8 Operacin 8.1 General 8.2 Planeacinycontrol operacional 4.1 Entenderalaorganizacin 8.3 Preparacin 8.4 Planeacin 8.4.3 AnlisisdeImpactoalNegocio y Evaluacin de Riesgos yEvaluacindeRiesgos 4.1.1 AnlisisdeImpactoalNegocio 8.4.3.3 AnlisisdeImpactoalNegocio 4.1.2 Evaluacinderiesgos 8.4.3.4 Evaluacinderiesgos 8.4.4 Opcionesdecontinuidaddel i 8.4.4 negocio 4.1.3 Determinaropciones 8.4.4.1 Determinacinyseleccinde opciones 8.4.4.3 Proteccinymitigacin y g 4.2 Determinarestrategiade continuidaddelnegocio 8.4.4.2 Establecerrequerimientosde recursos BS259992 ISODIS22301 Clusula Descripcin Clusula Descripcin Desarrollar e implementar la 7.4 Comunicacin 7 4 1 Comunicacin externa 4.3 Desarrollareimplementarla GCN 7.4.1 Comunicacinexterna 7.4.2 Comunicacininterna 8.5 Ejecucin 4 3 1 General 8 5 1 Desarrollareimplementaruna respuesta de continuidad del 4.3.1 General 8.5.1 respuestadecontinuidaddel negocio 8.5.2 Estructuraderespuesta 8.5.3 Alertaycomunicacin 8 5 4 R t 4.3.2 4.3.3 Estructuraderespuestaa incidentes Planesdecontinuidaddel i ti d 8.5.4 Respuesta 8.5.5 Planesdecontinuidadel negocio 8.5.6 Requerimientosde di i t d t negocioygestinde incidentes procedimientosderespuesta 8.5.7 Contenidodelprocedimiento derespuesta 8.5.8 Recuperacin 8.5.9 Comunicacinyconsulta 4.4 Ejercitar.Manteneryrevisar losarreglosdeBCM 8.6.1 Ejerciciosypruebas Similitudesydiferenciasentre BS 259992 ISO DIS 22301 BS259992eISO22301 BS25999 2 ISODIS22301 Clusula Descripcin Clusula Descripcin 9 Evaluacindeldesempeo 8.7 Revisin d l d 5 MonitorearyrevisarelSGCN 8.6.2 Monitoreodeldesempeo 8.7.2 Evaluacindeprocedimientos decontinuidad 9.1 Evaluacindeldesempeo p 5.1 Auditorainterna 9.2 Auditorainterna 5.2 Revisindelagerenciadel SGCN 8.7.1 Revisindelagerencia 9.3 Revisindelagerencia Similitudesydiferenciasentre BS259992eISO22301 BS259992 ISODIS22301 Clusula Descripcin Clusula Descripcin 6 MantenerymejorarelSGCN 10 Mejora 6.1 Accionespreventivasycorrectivas 6.1.1 General 6.1.2 Accinpreventiva p 6.1.3 Accincorrectiva 10.1 Noconformidadyaccincorrectiva 6.2 Mejoracontinua 10.2 Mejoracontinua EstatusdeISO22301 Fuente:www.iso.org EstatusdeISO22301 Fuente:www.iso.org Factores crticos de xito Factorescrticosdexito Asegurarelapoyodeladireccin g p y BCMrequiererecursospermanentes( $) Rolesyresponsabilidadesclaramenteestablecidos Programadeconcientizacinadecuado Documentacinsuficientemente detallada P d j i i b Programadeejerciciosypruebas Promoverlaparticipacindetodalaorganizacin Procedimiento de control de cambios efectivo Procedimientodecontroldecambiosefectivo Auditora,revisindelagerenciaymejoracontinua Conclusiones Conclusiones Preguntas yrespuestas g y p Gracias! MarioUreaCuate CISA CISM CGEIT CISSP mario.urena@secureit.com.m CISA,CISM,CGEIT,CISSP ISO27001LA,BS25999LA x @mariourena www.mariourenacuate.com www.slideshare.net/mariour ena