BS 25999 – Gestión de la Continuidad del Negocio (BCM

)

Mario Ureña Cuate

CISSP, CISA, CISM, CGEIT

Director General Secure Information Technologies

2

Agenda

• Introducción

• Desarrollo de la BS 25999

• El modelo de Gestión y Contenido de la BS 25999

• Porque Certificarse?

• Cursos de Continuidad del Negocio

3

Introducción

4

Situaciones reales
México, D.F. 06 de Octubre de 2008

San Juan Ixhuatepec. 1984 México, D.F. 19 de Septiembre de 1985 Empresa que cotiza en bolsa, 10 de Octubre de 2008

Huracán Nora, Acapulco. 1997

Bomba, México, D.F. 15 de Febrero de 2008

New York, USA. 11 de Septiembre de 2001 México, D.F. 04 de Noviembre de 2008

Inundación en Veracruz. 1999

Fuente: SecureInformationTechnologies

5

Que no nos sorprendan sin un plan

“Well, thank God we all made it out on time… ‘Course, now we are equally screwed.”

“Bueno, gracias a Dios que todos logramos salir a tiempo… Por supuesto, ahora estamos igualmente fregados.”

6 Que no nos sorprendan sin un plan ¿Era mejor salirse o quedarse? ¿Quién ordeno salir? En este “sitio alterno”… ¿se cuenta con los recursos mínimos para sobrevivir? ¿Cuáles son estos recursos? ? ? ? ? ¿Cuánto tiempo podemos sobrevivir sin… por ejemplo… agua? Y una vez que se apague el fuego… ¿como regresar? .

7 Enfoque tradicional Planificación del proyecto Análisis y Evaluación de riesgos Análisis de Impacto al negocio El Proceso de Planificación de la continuidad del negocio Mantenimiento y actualización Desarrollo de estrategia Concientización y capacitación Desarrollo del plan Prueba y ejercicio El plan Fuente: SecureInformationTechnologies .

Adaptado del NIST.8 Enfoque tradicional Plan de Continuidad de las Operaciones (COOP) Plan de Emergencias (OEP) Plan de Respuesta a Incidentes Administración de la Continuidad del Negocio (BCM) Análisis de Impacto al Negocio (BIA) Análisis de Riesgos y Amenazas (TRA) Planes de Contingencia (CP) Plan de Comunicación de Crisis Plan de Reanudación del Negocio (BRP) Plan de Recuperación de Desastres (DRP) Elemento base Orientado a TI Plan de Continuidad del Negocio (BCP) Orientado a las instalaciones Orientado al negocio Fuente: SecureInformationTechnologies. .

9 Desarrollo de la BS 25999 .

• Demostró que la Gestión de la Continuidad del Negocio es una disciplina. • Ofreció una visión de lo que debería ser una norma Nacional (UK) y Europea relativa al tema. • Buen inicio para el debate de la gestión de la continuidad del negocio. .10 Gestión de la Continuidad del Negocio ¿Dónde Estábamos? • Publicación de la PAS 56 en 2003 • “PAS – Public Available Specification” es una norma “informal” producida por un número limitado de expertos.

• Nuevo comité técnico establecido en 2005 para dar respuesta a la consulta y desarrollar la BS 25999 . • Crecimiento del consenso de cuales son las mejores prácticas. al menos para Organizaciones grandes. • Ayudó a que la Gestión de la Continuidad del Negocio sea tomada de forma más seria.11 Gestión de la Continuidad del Negocio ¿Dónde Estábamos? • Ofreció un enfoque consistente entre diferentes sectores. • Consulta hecha para evaluar el futuro de la PAS 56.

12 Respuesta de la Encuesta sobre la necesidad de desarrollo de la BS 25999 790 15 28 Voters: 833.36% View Poll Results: Do you support the development of a formal BSI standard for BCM YES No Undecided View Poll Results: Should there be a Validation scheme as part of the Standard 606 37 112 Voters: 755.26% Yes.84% 1. 94. there should a BCM plan Validation scheme No. Companies can check plans out if they need to 4. 80. The standard will be enough.83% Undecided Source: http://www.org/ Date: 18 October 2006 .80% 3.90% 14.continuityforum.

13 Gestión de la Continuidad del Negocio ¿Dónde Estábamos? • Decisión de publicar en 2 partes: Parte 1: Código de Práctica Parte 2: Especificaciones • La publicación del borrador de la BS 25999-1 en Agosto del 2006 para comentarios llamó la atencion del mercado: Descarga de 5. Más de 70 tipos de comentarios distribuidos en 300 páginas . mientras que en otras normas tenemos menos de 250.000 copias.

• Gestión de la Continuidad del Negocio como parte integrante y clave del proceso de gestión de riesgos. • Mejor entendimiento de los beneficios en un creciente número de Organizaciones.14 Gestión de la Continuidad del Negocio ¿Dónde Estamos? • Publicación de la BS 25999-1 “Código de Practica” en Noviembre del 2006 con amplio acuerdo en lo que serían las mejores prácticas. • Reconocimiento de que puede ayudar a reducir interrupciones del negocio. . • Retiro de la PAS 56 con la publicación de la BS 25999.

• No más visto como una especialidad dentro de la tecnología de información. .15 Gestión de la Continuidad del Negocio ¿Para dónde vamos? • No más visto como “moda”. y sí parte integrante del proceso de gestión del negocio. • Desarrollo de la BS 25999:2 “especificaciones” con el objetivo de establecer los requerimientos. • Integrado a través de todas las funciones del negocio. permitiendo evaluación de procesos y certificación – publicada en Noviembre del 2007.

Gestión de Continuidad del Negocio – Visión General 4. Política de Gestión de Continuidad del Negocio 5. Términos y Definiciones 3.16 BS 25999-1:2006 – Código de Practica 1. Gestión del Programa de Continuidad del Negocio . Alcance y Aplicación 2.

Determinando Estrategias de Continuidad del Negocio 8. Ejercitando. Fijando el BCM en la Cultura de la Organización . Entendiendo la Organización 7. Manteniendo y Analizando el plan de BCM 10. Desarrollo e Implementación de Respuestas a BCM 9.17 BS 25999-1:2006 – Código de Practica 6.

Términos y Definiciones 3.18 BS 25999-2:2007 – Especificación 1. Mantenimiento y Mejora del Sistema . Monitoreo y Revisión del Sistema 6. Planeación del Sistema de Gestión de BCM 4. Implementando y Operando el Sistema 5. Alcance 2.

Demostrará a terceras partes el grado de seriedad tomado. Se incrementa constantemente el énfasis en riesgos del negocio • BS 25999-1 es el inicio y la BS 25999-2 provee una estructura de sistema de gestión incluyendo requisitos básicos para la auditoria y certificación de 3a parte: Permitirá la determinación del grado de cumplimiento en relación a los requerimientos de la norma. .19 Conclusión • La Continuidad de Negocio está en el tope de la agenda de las Organizaciones La alta administración tiene crecientes responsabilidades de gobernancia corporativa.

Singapur y Austria ya crearon normativas para tratar del tema • No hay iniciativas de la Comunidad Europea en este momento. • ISO está tratando el tema en el nuevo “Societal Security Management System”. .20 Conclusión • BS 25999 no es la primera norma sobre el tema Japón. Australia.

21 El modelo de Gestión .

reputación. Provee una estructura para construir resiliencia (resistencia a ser afectada) organizacional con la capacidad para la efectiva respuesta salvaguardando los intereses de las principales partes interesadas. marca y activos de valor” Fuente: BS 25999-2 .22 Gestión de la Continuidad del Negocio Definición “La gestión de la continuidad del negocio es un proceso de gestión holístico que identifica amenazas potenciales a la organización y sus impactos a la operación.

23 Beneficios de BCM 3. • mantiene la capacidad de gestionar riesgos no asegurables.5 Los beneficios de un programa eficaz de BCM (BS 25999-1) La organización: • es capaz de identificar proactivamente los impactos de una interrupción operativa. . • puede mejorar su reputación. • puede ganar ventajas competitivas a través de la capacidad demostrada de mantener la entrega de productos y servicios. • dispone de una respuesta efectiva ante interrupciones. • es capaz de demostrar una respuesta creíble a través de ejercicios. • fomenta el trabajo entre equipos. minimizando su impacto.

autoridades locales y de servicios de emergencia. • se activa la capacidad de gestión de incidentes para proporcionar una respuesta eficaz. • se protege la reputación de la organización. • la auto-comprensión de la organización y se desarrolla.24 Resultados de BCM 3. documenta y entiende adecuadamente sus relaciones con otras organizaciones.6 Los resultados de un programa efectivo de BCM (BS 25999-1): • se identifican y protegen los productos y servicios claves. • la organización cumple con sus obligaciones legales y reglamentarias. • el personal es capacitado para responder eficazmente a un incidente o interrupción mediante ejercicios apropiados. órganos de regulación o departamentos gubernamentales. • se asegura la cadena de suministro de la organización. • el personal recibe el soporte y comunicación adecuadas en el caso de una interrupción. asegurando su continuidad. . • los requisitos de las partes interesadas son comprendidos y entregados.

25 Conceptos de Continuidad del Negocio El concepto P-D-C-A .

26 Conceptos de Continuidad del Negocio Ciclo de Vida .

27 Entender la Organización .

tipo de impacto. Probabilidad de ocurrencia. nivel de servicio mínimo.Contenido Entendiendo la Organización Identificación de las partes interesadas – quien son.28 BS 25999-1:2006 . Analice de Impacto al negocio (parte interesada afectada. Como la organización cumple con las necesidades de las partes interesadas. tiempo aceptable para lograr el nivel de servicio mínimo y tiempo para recuperación total. Como la organización es impactada. Potenciales amenazas. . que desean y necesitan.

29 Determinar las estrategias de BCM .

Personas .Instalaciones .Tecnología .30 BS 25999-1:2006 . consecuencia y tiempo de recuperación.Información . Provisión de continuidad para actividades críticas durante y después de incidentes. Criterio de selección de estrategias es basado en costo. Algunas estrategias pueden ser requeridas para los siguientes recursos organizacionales: . Implementación de acciones para reducir el efecto de incidentes.Proveedores .Partes Interesadas .Contenido Determinando Estrategias de Continuidad del Negocio Implementación de acciones para reducir la probabilidad de incidentes.

31 Desarrollar e implementar la respuesta de BCM .

.Recuperar las actividades de la organización Se deben establecer planes para reaccionar a un incidente (Incident Management Plan) y para recuperar la actividad de la organización (Business Continuity Plan).Contención del incidente. . .Toma de control de la situación.32 BS 25999-1:2006 . . .Confirmación de la naturaleza y extensión del incidente.Comunicación con partes interesadas.Contenido Desarrollo e Implementación de Respuestas a BCM La estructura del programa de respuesta debe incluir: .

33 Invocar el BCP. proveedores. De horas a días. Recuperación/reanudación – vuelta a la normalidad . Contactar a la plantilla. De minutos a horas. Recuperación de procesos de negocio críticos. clientes. ¡Incidente! Valoración de daños. Recuperación de costos de las aseguradoras De horas a días: Contactar los empleados. etc. Localización de personal y visitas. Reubicación en puesto de trabajo De minutos a horas: permanente. Atención de víctimas. Reparación/sustitución de daños. Contención y limitación de daños. Invocar el BCP. proveedores. Recuperación de costes de las aseguradoras. Localización de personal y visitas. Recuperación de procesos de negocio críticos. Valoración de daños. Traslado a puesto de trabajo permanente. De semanas a meses. Rehacer el trabajo en curso perdido. Atención de víctimas. etc. Cronograma Respuesta al incidente Continuidad de negocio De semanas a meses: Reparación/sustitución de daños. Rehacer el trabajo en curso perdido.Cronograma del incidente Contención y limitación de daños. clientes.

34 Planes: contenidos del IMP y BCP • Plan de Gestión de Incidentes Respuesta inicial Contactos de emergencias Asistencia a las personas (bien estar) Respuesta ante los medios de comunicación Gestión de las partes interesadas Punto de reunión (centro de comando) .

35 Planes: contenidos del IMP y BCP • Plan de Continuidad de Negocio Acciones a tomar Requerimientos de Recursos (personas. instalaciones. etc. tecnología.) Responsabilidades .

mantener y revisar .36 Probar.

confianza y conocimiento. Los ejercicios son esenciales para el desarrollo del trabajo de equipo. administrativos. mejora de la competencia. Los ejercicios pueden incluir: Evaluación de sistemas técnicos. Evaluación de infraestructura. Manteniendo y Analizando el plan de BCM La efectividad del programa solamente puede ser validada a través de ejercicios.37 BS 25999-1:2006 . procedimientos y otros.Contenido Probando/Ejercitando. incluyendo la disponibilidad y cambio del local de trabajo del personal . logísticos. Validación de recuperación de tecnología y telecomunicaciones.

38 Beneficios de las pruebas • se practica la capacidad de la organización para recuperarse de un incidente. • validan la eficacia y puntualidad de la restauración de actividades críticas. • demuestran la competencia de los equipos de repuesta inmediata y sus alternativas. aumenta la concienciación de BCM en toda la organización. • se verifica que el BCP incorpora todas las actividades críticas de la organización y sus dependencias y prioridades. • infunde confianza entre los participantes en los ejercicios. . • publicando los resultados de los ejercicios. • sale a la luz suposiciones que necesitan ser cuestionadas.

Invocar el plan en una situación controlada que no Probar las actividades pone en peligro la actividad Anualmente o menos críticas del negocio. Revisa procesos de principio a fin. requiere pocos recursos. Crea Grandes interrupciones. repuede que no presente quiere pocos recurdesafíos reales. no provoca Al menos. Anualmente o menos La forma de prueba más minuciosa. no provoca Como la anterior: interrupciones. Complejidad Ejercicio Baja Revisión sobre el papel (“desk-check”) Recorrido guiado del plan (“walk-through”) Anualmente Cuestionamiento del contenido del BCP Media Rapidez. valida planes. Emplea más recursos. Situación artificial. Verifica los planes más a fondo. Menor probabilidad de crear competencias o probar procesos. Sólo comprueba actividades percibidas como críticas. Emplea más recursos. . incluyendo gestión de incidentes Prueba a nivel de edificio/campus/zona de exclusión. sos. Alta Probar el BCP completo.39 Tipos de pruebas – ejercicios Proceso Beneficios Frecuencia recomendable Limitaciones Revisión / modificación del BCP Rapidez. competencias y Gran uso de recursos. No provoca interrupciones. anualmente interrupciones. Mayor probabilidad de presentarse situaciones y problemas reales. Simulación Uso de una situación “artificial” para validar que Anualmente o dos el BCP contiene la veces al año información necesaria y suficiente para permitir una recuperación con éxito.

Apoyado por: Liderazgo de la alta administración.40 BS 25999-1:2006 . Definición de responsabilidades. . Capacitación.Contenido Fijando el BCM en la Cultura de la Organización Para tener éxito hay que integrar los principios de BCM dentro de la organización. Creciente conocimiento. Ejercicios.

41 Porque Certificarse? .

la obtención de la certificación provee: • Credibilidad • Seguridad al mercado • Transparencia • Maximiza competitividad .Contents slide 42 Porque certificarse? Es una inversión segura y de retorno garantizado. Los beneficios de la implementación de un sistema de gestión son amplios y fueron presentados anteriormente. En adición a estos beneficios.

consecuentemente: Promover aplicación de tecnología Dirección a inversiones efectivas Maximiza recursos Promover mejora continua Promover innovación • Promover compromiso y cambio cultural • Maximiza el potencial de crecimiento y de acceso a mercados .Contents slide 43 Porque certificarse? Es una inversión segura y de retorno garantizado. • Evita el riesgo de implementación inadecuada. falta de actualización y mantenimiento débil.

etc . debilidades. fragilidades.Contents slide 44 Porque certificarse? Es una inversión segura y de retorno garantizado. oportunidades de mejora y fortalezas antes que la empresa sufra con las consecuencias en la practica • Evidencia objetiva de la gestión adecuada de los riesgos relacionados a la continuidad del negocio. • Cumplimiento a requisitos contractuales y reglamentarios • Un mecanismo reglamentado de evaluación continua. como inversionistas. clientes. identifica vulnerabilidades. tanto para los ejecutivos. no conformidades.

45 Cursos Disponibles .

Son especialmente adecuados para responsables del mantenimiento y gestión de un estándar. .46 Cursos de formación en BS 25999 • Introducción Proporciona una introducción a la norma y a su importancia y aplicación para usted y su organización. • Implementación (basada en BS 25999-2) Un curso eminentemente práctico para implantar el estándar en su negocio y obtener el máximo de él. • Auditor interno (basado en BS 25999-2) Proporciona las habilidades y conocimientos para dirigir eficazmente auditorías internas de conformidad con la norma.

como IRCA o RABQSA. Los cursos proporcionan a los alumnos los conocimientos y habilidades necesarias para dirigir una auditoría. e incluyen un examen al final de los mismos. que lleva a la certificación. Muchos de nuestros cursos de auditor líder están acreditados por entidades internacionales. .47 Cursos de formación en BS 25999 • Auditor Líder (basado en BS 25999-2) Diseñado tanto para auditores externos como internos que desean llevar sus habilidades y conocimientos a un nivel superior. Proporcionan a los gestores internos un conocimiento detallado del proceso de auditoría externa y dan una visión profunda de cómo puede obtener la empresa el máximo del proceso de auditoría y certificación.

48 Próximos Cursos .Guadalajara • Interpretación de la norma BS25999 15 y 16 de Abril • Implementación de la norma BS25999 17 y 18 de Abril .

amigable y fácil de entender. • Formato software basado en web. Para más información. junto con indicaciones sobre el establecimiento del proceso. incluida una demo online: www. los principios y la terminología de BCM. • Incluye asistencia práctica sobre cómo obtener lo mejor del estándar.com .49 Herramienta de auto-evaluación de BS 25999 • Una nueva herramienta que le ayudará a evaluar las prácticas de gestión de continuidad de negocio de su organización frente a BS 25999 parte 1.bs25999assessment. • Puede ayudarle a prepararse para la evaluación externa independiente y certificación por BSI Management Systems.

50 Conclusiones .

Lista de acceso a la localidad . El formato es muy complejo 6.51 Errores más comunes 1. La asistencia externa dirigirá nuestra recuperación 3. Plan de respuesta de emergencia etiquetado como DRP/BCP 2. Copias no accesibles 11. El seguro se encargará del asunto 4. Escenarios de un solo site 9. Información organizada de manera poco efectiva 5. Sincronización de datos 10. Suplentes no identificados 7. Información no actualizada 8.

1997 Bomba. D. Eso no nos va a pasar a nosotros !! México. USA. 04 de Noviembre de 2008 Inundación en Veracruz. México. 1984 México. 1999 Fuente: SecureInformationTechnologies . 15 de Febrero de 2008 New York. 11 de Septiembre de 2001 México. D.F. D. 19 de Septiembre de 1985 Empresa que cotiza en bolsa.F.F. Acapulco.52 22. D.F. 10 de Octubre de 2008 Huracán Nora. 06 de Octubre de 2008 San Juan Ixhuatepec.

53 Conclusión • La Continuidad de Negocio está en el tope de la agenda de las Organizaciones La administración tiene crecientes responsabilidades de gobernabilidad corporativa. Demostrará a terceras partes el grado de seriedad tomado. Se incrementa constantemente el énfasis en riesgos del negocio • BS 25999-1 es el inicio y la BS 25999-2 provee una estructura de sistema de gestión incluyendo requisitos básicos para la auditoria y certificación de 3a parte: Permitirá la determinación del grado de cumplimiento en relación a los requerimientos de la norma. .

Australia. • ISO está tratando el tema en el nuevo “Societal Security Management System”. Singapur y Austria ya crearon normativas para tratar del tema • No hay iniciativas de la Comunidad Europea en este momento.54 Conclusión • BS 25999 no es la primera norma sobre el tema Japón. .

55 PREGUNTAS? .

com. México Telefone: Fax: Email: Web: (5255) 5241 1370 (5255) 5241 1371 Informacion.msmexico@bsigroup. Distrito federal. 505 Piso 41 Suite C.com http://www.mx .bsigroup.Contents slide 56 Contáctenos Dirección: BSI Management Systems México Paseo de la Reforma.

com. CGEIT Posición: Empresa: Associated Consultant Program Director General Secure Information Technologies (5255) 5524 8091 (5255) 5524 7582 mario. CISA.com.secureit.mx Teléfono 1: Teléfono 2: Email: Web: . CISM.Contents slide 57 Contáctenos Miembro Mario Ureña Cuate.mx http://www.urena@secureit. Nombre: CISSP.

58 Gracias .

59 Próximos Cursos .Guadalajara • Interpretación de la norma BS25999 15 y 16 de Abril • Implementación de la norma BS25999 17 y 18 de Abril .

Sign up to vote on this title
UsefulNot useful