BS 25999 – Gestión de la Continuidad del Negocio (BCM

)

Mario Ureña Cuate

CISSP, CISA, CISM, CGEIT

Director General Secure Information Technologies

2

Agenda

• Introducción

• Desarrollo de la BS 25999

• El modelo de Gestión y Contenido de la BS 25999

• Porque Certificarse?

• Cursos de Continuidad del Negocio

3

Introducción

4

Situaciones reales
México, D.F. 06 de Octubre de 2008

San Juan Ixhuatepec. 1984 México, D.F. 19 de Septiembre de 1985 Empresa que cotiza en bolsa, 10 de Octubre de 2008

Huracán Nora, Acapulco. 1997

Bomba, México, D.F. 15 de Febrero de 2008

New York, USA. 11 de Septiembre de 2001 México, D.F. 04 de Noviembre de 2008

Inundación en Veracruz. 1999

Fuente: SecureInformationTechnologies

5

Que no nos sorprendan sin un plan

“Well, thank God we all made it out on time… ‘Course, now we are equally screwed.”

“Bueno, gracias a Dios que todos logramos salir a tiempo… Por supuesto, ahora estamos igualmente fregados.”

6 Que no nos sorprendan sin un plan ¿Era mejor salirse o quedarse? ¿Quién ordeno salir? En este “sitio alterno”… ¿se cuenta con los recursos mínimos para sobrevivir? ¿Cuáles son estos recursos? ? ? ? ? ¿Cuánto tiempo podemos sobrevivir sin… por ejemplo… agua? Y una vez que se apague el fuego… ¿como regresar? .

7 Enfoque tradicional Planificación del proyecto Análisis y Evaluación de riesgos Análisis de Impacto al negocio El Proceso de Planificación de la continuidad del negocio Mantenimiento y actualización Desarrollo de estrategia Concientización y capacitación Desarrollo del plan Prueba y ejercicio El plan Fuente: SecureInformationTechnologies .

8 Enfoque tradicional Plan de Continuidad de las Operaciones (COOP) Plan de Emergencias (OEP) Plan de Respuesta a Incidentes Administración de la Continuidad del Negocio (BCM) Análisis de Impacto al Negocio (BIA) Análisis de Riesgos y Amenazas (TRA) Planes de Contingencia (CP) Plan de Comunicación de Crisis Plan de Reanudación del Negocio (BRP) Plan de Recuperación de Desastres (DRP) Elemento base Orientado a TI Plan de Continuidad del Negocio (BCP) Orientado a las instalaciones Orientado al negocio Fuente: SecureInformationTechnologies. . Adaptado del NIST.

9 Desarrollo de la BS 25999 .

10 Gestión de la Continuidad del Negocio ¿Dónde Estábamos? • Publicación de la PAS 56 en 2003 • “PAS – Public Available Specification” es una norma “informal” producida por un número limitado de expertos. • Demostró que la Gestión de la Continuidad del Negocio es una disciplina. . • Buen inicio para el debate de la gestión de la continuidad del negocio. • Ofreció una visión de lo que debería ser una norma Nacional (UK) y Europea relativa al tema.

al menos para Organizaciones grandes.11 Gestión de la Continuidad del Negocio ¿Dónde Estábamos? • Ofreció un enfoque consistente entre diferentes sectores. • Consulta hecha para evaluar el futuro de la PAS 56. • Ayudó a que la Gestión de la Continuidad del Negocio sea tomada de forma más seria. • Crecimiento del consenso de cuales son las mejores prácticas. • Nuevo comité técnico establecido en 2005 para dar respuesta a la consulta y desarrollar la BS 25999 .

90% 14. Companies can check plans out if they need to 4. 94.36% View Poll Results: Do you support the development of a formal BSI standard for BCM YES No Undecided View Poll Results: Should there be a Validation scheme as part of the Standard 606 37 112 Voters: 755.83% Undecided Source: http://www. there should a BCM plan Validation scheme No. 80.80% 3. The standard will be enough.26% Yes.org/ Date: 18 October 2006 .12 Respuesta de la Encuesta sobre la necesidad de desarrollo de la BS 25999 790 15 28 Voters: 833.continuityforum.84% 1.

13 Gestión de la Continuidad del Negocio ¿Dónde Estábamos? • Decisión de publicar en 2 partes: Parte 1: Código de Práctica Parte 2: Especificaciones • La publicación del borrador de la BS 25999-1 en Agosto del 2006 para comentarios llamó la atencion del mercado: Descarga de 5.000 copias. Más de 70 tipos de comentarios distribuidos en 300 páginas . mientras que en otras normas tenemos menos de 250.

• Gestión de la Continuidad del Negocio como parte integrante y clave del proceso de gestión de riesgos. . • Mejor entendimiento de los beneficios en un creciente número de Organizaciones. • Reconocimiento de que puede ayudar a reducir interrupciones del negocio. • Retiro de la PAS 56 con la publicación de la BS 25999.14 Gestión de la Continuidad del Negocio ¿Dónde Estamos? • Publicación de la BS 25999-1 “Código de Practica” en Noviembre del 2006 con amplio acuerdo en lo que serían las mejores prácticas.

y sí parte integrante del proceso de gestión del negocio. • Desarrollo de la BS 25999:2 “especificaciones” con el objetivo de establecer los requerimientos. • Integrado a través de todas las funciones del negocio.15 Gestión de la Continuidad del Negocio ¿Para dónde vamos? • No más visto como “moda”. • No más visto como una especialidad dentro de la tecnología de información. . permitiendo evaluación de procesos y certificación – publicada en Noviembre del 2007.

16 BS 25999-1:2006 – Código de Practica 1. Política de Gestión de Continuidad del Negocio 5. Gestión del Programa de Continuidad del Negocio . Términos y Definiciones 3. Alcance y Aplicación 2. Gestión de Continuidad del Negocio – Visión General 4.

Fijando el BCM en la Cultura de la Organización . Entendiendo la Organización 7. Ejercitando. Determinando Estrategias de Continuidad del Negocio 8.17 BS 25999-1:2006 – Código de Practica 6. Manteniendo y Analizando el plan de BCM 10. Desarrollo e Implementación de Respuestas a BCM 9.

Implementando y Operando el Sistema 5. Alcance 2. Monitoreo y Revisión del Sistema 6. Términos y Definiciones 3. Planeación del Sistema de Gestión de BCM 4. Mantenimiento y Mejora del Sistema .18 BS 25999-2:2007 – Especificación 1.

19 Conclusión • La Continuidad de Negocio está en el tope de la agenda de las Organizaciones La alta administración tiene crecientes responsabilidades de gobernancia corporativa. Se incrementa constantemente el énfasis en riesgos del negocio • BS 25999-1 es el inicio y la BS 25999-2 provee una estructura de sistema de gestión incluyendo requisitos básicos para la auditoria y certificación de 3a parte: Permitirá la determinación del grado de cumplimiento en relación a los requerimientos de la norma. . Demostrará a terceras partes el grado de seriedad tomado.

. Singapur y Austria ya crearon normativas para tratar del tema • No hay iniciativas de la Comunidad Europea en este momento.20 Conclusión • BS 25999 no es la primera norma sobre el tema Japón. • ISO está tratando el tema en el nuevo “Societal Security Management System”. Australia.

21 El modelo de Gestión .

22 Gestión de la Continuidad del Negocio Definición “La gestión de la continuidad del negocio es un proceso de gestión holístico que identifica amenazas potenciales a la organización y sus impactos a la operación. reputación. Provee una estructura para construir resiliencia (resistencia a ser afectada) organizacional con la capacidad para la efectiva respuesta salvaguardando los intereses de las principales partes interesadas. marca y activos de valor” Fuente: BS 25999-2 .

• fomenta el trabajo entre equipos. . • mantiene la capacidad de gestionar riesgos no asegurables. • puede ganar ventajas competitivas a través de la capacidad demostrada de mantener la entrega de productos y servicios.23 Beneficios de BCM 3. • dispone de una respuesta efectiva ante interrupciones. • es capaz de demostrar una respuesta creíble a través de ejercicios. minimizando su impacto.5 Los beneficios de un programa eficaz de BCM (BS 25999-1) La organización: • es capaz de identificar proactivamente los impactos de una interrupción operativa. • puede mejorar su reputación.

• los requisitos de las partes interesadas son comprendidos y entregados. • el personal es capacitado para responder eficazmente a un incidente o interrupción mediante ejercicios apropiados.24 Resultados de BCM 3. documenta y entiende adecuadamente sus relaciones con otras organizaciones. • el personal recibe el soporte y comunicación adecuadas en el caso de una interrupción. • se protege la reputación de la organización. autoridades locales y de servicios de emergencia. • se asegura la cadena de suministro de la organización. asegurando su continuidad.6 Los resultados de un programa efectivo de BCM (BS 25999-1): • se identifican y protegen los productos y servicios claves. órganos de regulación o departamentos gubernamentales. • se activa la capacidad de gestión de incidentes para proporcionar una respuesta eficaz. . • la organización cumple con sus obligaciones legales y reglamentarias. • la auto-comprensión de la organización y se desarrolla.

25 Conceptos de Continuidad del Negocio El concepto P-D-C-A .

26 Conceptos de Continuidad del Negocio Ciclo de Vida .

27 Entender la Organización .

Analice de Impacto al negocio (parte interesada afectada. Como la organización cumple con las necesidades de las partes interesadas. tipo de impacto. Potenciales amenazas.28 BS 25999-1:2006 . tiempo aceptable para lograr el nivel de servicio mínimo y tiempo para recuperación total. nivel de servicio mínimo. .Contenido Entendiendo la Organización Identificación de las partes interesadas – quien son. que desean y necesitan. Como la organización es impactada. Probabilidad de ocurrencia.

29 Determinar las estrategias de BCM .

Contenido Determinando Estrategias de Continuidad del Negocio Implementación de acciones para reducir la probabilidad de incidentes. Algunas estrategias pueden ser requeridas para los siguientes recursos organizacionales: .Proveedores .Partes Interesadas . Provisión de continuidad para actividades críticas durante y después de incidentes. Implementación de acciones para reducir el efecto de incidentes.Instalaciones . Criterio de selección de estrategias es basado en costo.Tecnología .30 BS 25999-1:2006 . consecuencia y tiempo de recuperación.Información .Personas .

31 Desarrollar e implementar la respuesta de BCM .

32 BS 25999-1:2006 .Contención del incidente. . . .Contenido Desarrollo e Implementación de Respuestas a BCM La estructura del programa de respuesta debe incluir: .Comunicación con partes interesadas.Toma de control de la situación. .Recuperar las actividades de la organización Se deben establecer planes para reaccionar a un incidente (Incident Management Plan) y para recuperar la actividad de la organización (Business Continuity Plan).Confirmación de la naturaleza y extensión del incidente. .

Recuperación de procesos de negocio críticos. clientes. Atención de víctimas. Recuperación de costos de las aseguradoras De horas a días: Contactar los empleados. Reparación/sustitución de daños.Cronograma del incidente Contención y limitación de daños. De horas a días. Recuperación/reanudación – vuelta a la normalidad . Recuperación de costes de las aseguradoras. Contactar a la plantilla. ¡Incidente! Valoración de daños. De minutos a horas. Rehacer el trabajo en curso perdido. proveedores. Localización de personal y visitas. Atención de víctimas. Traslado a puesto de trabajo permanente. De semanas a meses. Cronograma Respuesta al incidente Continuidad de negocio De semanas a meses: Reparación/sustitución de daños. Invocar el BCP. 33 Invocar el BCP. Valoración de daños. Reubicación en puesto de trabajo De minutos a horas: permanente. etc. proveedores. clientes. Recuperación de procesos de negocio críticos. etc. Rehacer el trabajo en curso perdido. Localización de personal y visitas. Contención y limitación de daños.

34 Planes: contenidos del IMP y BCP • Plan de Gestión de Incidentes Respuesta inicial Contactos de emergencias Asistencia a las personas (bien estar) Respuesta ante los medios de comunicación Gestión de las partes interesadas Punto de reunión (centro de comando) .

tecnología. instalaciones.) Responsabilidades .35 Planes: contenidos del IMP y BCP • Plan de Continuidad de Negocio Acciones a tomar Requerimientos de Recursos (personas. etc.

36 Probar. mantener y revisar .

Validación de recuperación de tecnología y telecomunicaciones. incluyendo la disponibilidad y cambio del local de trabajo del personal . procedimientos y otros. confianza y conocimiento. Los ejercicios son esenciales para el desarrollo del trabajo de equipo. logísticos.37 BS 25999-1:2006 . Evaluación de infraestructura.Contenido Probando/Ejercitando. administrativos. Los ejercicios pueden incluir: Evaluación de sistemas técnicos. mejora de la competencia. Manteniendo y Analizando el plan de BCM La efectividad del programa solamente puede ser validada a través de ejercicios.

aumenta la concienciación de BCM en toda la organización. • validan la eficacia y puntualidad de la restauración de actividades críticas. • infunde confianza entre los participantes en los ejercicios. • se verifica que el BCP incorpora todas las actividades críticas de la organización y sus dependencias y prioridades. • publicando los resultados de los ejercicios. • demuestran la competencia de los equipos de repuesta inmediata y sus alternativas. .38 Beneficios de las pruebas • se practica la capacidad de la organización para recuperarse de un incidente. • sale a la luz suposiciones que necesitan ser cuestionadas.

Complejidad Ejercicio Baja Revisión sobre el papel (“desk-check”) Recorrido guiado del plan (“walk-through”) Anualmente Cuestionamiento del contenido del BCP Media Rapidez. Verifica los planes más a fondo. anualmente interrupciones. No provoca interrupciones. Emplea más recursos. Revisa procesos de principio a fin. Alta Probar el BCP completo. requiere pocos recursos. . Situación artificial. no provoca Al menos. repuede que no presente quiere pocos recurdesafíos reales. competencias y Gran uso de recursos. incluyendo gestión de incidentes Prueba a nivel de edificio/campus/zona de exclusión.39 Tipos de pruebas – ejercicios Proceso Beneficios Frecuencia recomendable Limitaciones Revisión / modificación del BCP Rapidez. valida planes. Sólo comprueba actividades percibidas como críticas. Emplea más recursos. Anualmente o menos La forma de prueba más minuciosa. Mayor probabilidad de presentarse situaciones y problemas reales. Simulación Uso de una situación “artificial” para validar que Anualmente o dos el BCP contiene la veces al año información necesaria y suficiente para permitir una recuperación con éxito. no provoca Como la anterior: interrupciones. Crea Grandes interrupciones. Menor probabilidad de crear competencias o probar procesos. Invocar el plan en una situación controlada que no Probar las actividades pone en peligro la actividad Anualmente o menos críticas del negocio. sos.

Apoyado por: Liderazgo de la alta administración. . Creciente conocimiento.Contenido Fijando el BCM en la Cultura de la Organización Para tener éxito hay que integrar los principios de BCM dentro de la organización. Ejercicios.40 BS 25999-1:2006 . Definición de responsabilidades. Capacitación.

41 Porque Certificarse? .

Contents slide 42 Porque certificarse? Es una inversión segura y de retorno garantizado. Los beneficios de la implementación de un sistema de gestión son amplios y fueron presentados anteriormente. En adición a estos beneficios. la obtención de la certificación provee: • Credibilidad • Seguridad al mercado • Transparencia • Maximiza competitividad .

Contents slide 43 Porque certificarse? Es una inversión segura y de retorno garantizado. • Evita el riesgo de implementación inadecuada. consecuentemente: Promover aplicación de tecnología Dirección a inversiones efectivas Maximiza recursos Promover mejora continua Promover innovación • Promover compromiso y cambio cultural • Maximiza el potencial de crecimiento y de acceso a mercados . falta de actualización y mantenimiento débil.

tanto para los ejecutivos. no conformidades. identifica vulnerabilidades. fragilidades. clientes. oportunidades de mejora y fortalezas antes que la empresa sufra con las consecuencias en la practica • Evidencia objetiva de la gestión adecuada de los riesgos relacionados a la continuidad del negocio. como inversionistas. etc . • Cumplimiento a requisitos contractuales y reglamentarios • Un mecanismo reglamentado de evaluación continua.Contents slide 44 Porque certificarse? Es una inversión segura y de retorno garantizado. debilidades.

45 Cursos Disponibles .

Son especialmente adecuados para responsables del mantenimiento y gestión de un estándar. • Auditor interno (basado en BS 25999-2) Proporciona las habilidades y conocimientos para dirigir eficazmente auditorías internas de conformidad con la norma. .46 Cursos de formación en BS 25999 • Introducción Proporciona una introducción a la norma y a su importancia y aplicación para usted y su organización. • Implementación (basada en BS 25999-2) Un curso eminentemente práctico para implantar el estándar en su negocio y obtener el máximo de él.

Los cursos proporcionan a los alumnos los conocimientos y habilidades necesarias para dirigir una auditoría. que lleva a la certificación.47 Cursos de formación en BS 25999 • Auditor Líder (basado en BS 25999-2) Diseñado tanto para auditores externos como internos que desean llevar sus habilidades y conocimientos a un nivel superior. e incluyen un examen al final de los mismos. como IRCA o RABQSA. Proporcionan a los gestores internos un conocimiento detallado del proceso de auditoría externa y dan una visión profunda de cómo puede obtener la empresa el máximo del proceso de auditoría y certificación. . Muchos de nuestros cursos de auditor líder están acreditados por entidades internacionales.

Guadalajara • Interpretación de la norma BS25999 15 y 16 de Abril • Implementación de la norma BS25999 17 y 18 de Abril .48 Próximos Cursos .

junto con indicaciones sobre el establecimiento del proceso.49 Herramienta de auto-evaluación de BS 25999 • Una nueva herramienta que le ayudará a evaluar las prácticas de gestión de continuidad de negocio de su organización frente a BS 25999 parte 1. • Incluye asistencia práctica sobre cómo obtener lo mejor del estándar. amigable y fácil de entender. • Puede ayudarle a prepararse para la evaluación externa independiente y certificación por BSI Management Systems. los principios y la terminología de BCM. • Formato software basado en web.com . Para más información. incluida una demo online: www.bs25999assessment.

50 Conclusiones .

Lista de acceso a la localidad . El seguro se encargará del asunto 4. Plan de respuesta de emergencia etiquetado como DRP/BCP 2. El formato es muy complejo 6. Información no actualizada 8. Suplentes no identificados 7.51 Errores más comunes 1. La asistencia externa dirigirá nuestra recuperación 3. Copias no accesibles 11. Escenarios de un solo site 9. Información organizada de manera poco efectiva 5. Sincronización de datos 10.

11 de Septiembre de 2001 México. 04 de Noviembre de 2008 Inundación en Veracruz. USA.F. D. 1997 Bomba.F. Acapulco. D. México. D.52 22.F. D. 1984 México. 15 de Febrero de 2008 New York. 10 de Octubre de 2008 Huracán Nora. Eso no nos va a pasar a nosotros !! México. 1999 Fuente: SecureInformationTechnologies .F. 06 de Octubre de 2008 San Juan Ixhuatepec. 19 de Septiembre de 1985 Empresa que cotiza en bolsa.

Se incrementa constantemente el énfasis en riesgos del negocio • BS 25999-1 es el inicio y la BS 25999-2 provee una estructura de sistema de gestión incluyendo requisitos básicos para la auditoria y certificación de 3a parte: Permitirá la determinación del grado de cumplimiento en relación a los requerimientos de la norma.53 Conclusión • La Continuidad de Negocio está en el tope de la agenda de las Organizaciones La administración tiene crecientes responsabilidades de gobernabilidad corporativa. . Demostrará a terceras partes el grado de seriedad tomado.

. Australia. Singapur y Austria ya crearon normativas para tratar del tema • No hay iniciativas de la Comunidad Europea en este momento.54 Conclusión • BS 25999 no es la primera norma sobre el tema Japón. • ISO está tratando el tema en el nuevo “Societal Security Management System”.

55 PREGUNTAS? .

505 Piso 41 Suite C.bsigroup.Contents slide 56 Contáctenos Dirección: BSI Management Systems México Paseo de la Reforma.com http://www. Distrito federal.com. México Telefone: Fax: Email: Web: (5255) 5241 1370 (5255) 5241 1371 Informacion.msmexico@bsigroup.mx .

Contents slide 57 Contáctenos Miembro Mario Ureña Cuate.mx Teléfono 1: Teléfono 2: Email: Web: . CISA.com. CGEIT Posición: Empresa: Associated Consultant Program Director General Secure Information Technologies (5255) 5524 8091 (5255) 5524 7582 mario. CISM.secureit.mx http://www.urena@secureit.com. Nombre: CISSP.

58 Gracias .

59 Próximos Cursos .Guadalajara • Interpretación de la norma BS25999 15 y 16 de Abril • Implementación de la norma BS25999 17 y 18 de Abril .

Sign up to vote on this title
UsefulNot useful